Bincang Cyber

Dalam beberapa kasus cyberattack, Covid19 di jadikan sebagai tema serangan. Dari mulai serangan phishing dengan menggunakan subject email covid19, hingga serangan kepada organisasi yang memberikan fokus pelayanan medis pandemic ini. Di perkirakan ada sekitar 25ribu email dan password berhasil di retas yang menimpa ketiga organisasi kesehatan WHO, the National Institute of Health (NIH), dan the Center of Disease Control and Prevention (CDC) pada April 2020. Tidak hanya mengenai insiden keamanan terkait Covid19, beberapa kejadian cyberattack di tahun 2020 yang bisa saya kumpulkan akan saya sampaikan dalam urutan bulan. Ulasan mengenai cyberattack ini sifatnya adalah merupakan pengamatan pribadi dan pastinya tidak mencerminkan keseluruhan jumlah kejadian yang terjadi pada periode tersebut. Malam tahun baru 2020 di warnai dengan serangan malware yang menimpa sebagian besar system Travelex, sebuah perusahaan money travel service. Meski tidak di temukan adanya kebocoran data, namun serangan malware ini memaksa Travelex untuk menshutdown systemnya agar dapat mencegah penyebaran (atau lateral movement) yang lebih luas. Dampaknya, proses yang tadinya online di pindah ke cabang di berbagai dunia untuk di kerjakan secara offline. Kasus lain adalah yang menimpa Microsoft sehubungan dengan lima server ElasticSearch mereka yang tereskpose ke Internet. Meski respon sigap dari team Security Microsoft, namun tidak berhasil mencegah 250 juta records yang telah bocor. Data yang ter-eksfiltrate ini berisi email address, IP address, dan detil support case. Kasus lain yang terjadi di bulan ini adalah kebocoran 30 juta record kartu kredit pelanggan Toserba yang bernama Wawa yang bersumber dari 850 cabang. Kejadian ini hampir di pastikan merupakan kebocoran data retail store terbesar selama tahun 2020. 

Pada bulan February 2020, perusahaan Estee Lauder mengalami kebocoran data percakapan internal email. Meski pihak perusahaan mengkonfirmasi bahwa data pelanggan tidak ikut bocor, namun keseluruhan percakapan internal yang ter-eksfiltrate mencapai 440 juta record yang di sebabkan oleh aplikasi middleware. The Defense Information Systems Agency (DISA), yang menangani pekerjaan IT untuk Gedung Putih, mengakui data breach yang berpotensi membahayakan informasi PII karyawan. Dalam hal ini, Department of Defense (DoD) tidak memberikan informasi detil mengenai insiden ini namun mereka mengkonfirmasi tidak di temukannya penyalahgunaan atas data yang ter-ekfiltrate tersebut.Di bulan Maret 2020, perusahaan telekomunikasi US yang bernama T-Mobile men-disclose informasi tentang serangan hacker pada email akun milik karyawannya yang berpotensi menyebabkan data breach pelanggan. Data milik beberapa pelanggan seperti nama, alamat, nomor telpon, nomor account, paket langganan, dan informasi billing di perkirakan berhasil di ambil. Kasus lain pada bulan ini adalah yang menimpa Marriott. Ini merupakan insiden kedua kalinya, setelah sebelumnya di beritakan terjadi pada bulan November 2019 yang menimpa jaringan Starwood. Insiden kali ini, jumlah record yang terkena breach adalah berjumlah 5.2 juta record nasabah. Peretas mengakses data pengguna loyalty program Marriott Bonvoy setelah meretas akses login karyawan. Record ini berisi data nasabah berupa personal detail nasabah, loyalty account information, partnership information, dan preference nasabah ketika menginap. Pihak Marriott mengungkapkan serangan ini telah terjadi sejak pertengahan Januari dan bahwa data mengenai password, nomor PIN, informasi payment card, nomor passport, nomor SIM, dan nomor identitas penduduk tidak ikut terdampak.

Kemudian pada bulan April 2020, perusahaan game console Nintendo mengumumkan telah terjadi serangan account hijacking atas 160 ribu akun user yang memanfaatkan celah keamanan dari legacy login system Nintendo Network ID (atau NNID) yang masih di fungsikan untuk console lama seperti Nintendo Wii U dan Nintendo 3DS.

Guest: Kurniawan Darmanto – Senior Security Consultant Fortinet Indonesia

Peningkatan trafik Internet yang di alami suatu situs mungkin belum bisa di artikan positif. Kebanyakan kasus yang marak terjadi belakangan ini adalah peningkatan trafik yang tiba-tiba di sebabkan atas serangan dari berbagai sumber yang terjadi secara bersamaan. Serangan yang tiba-tiba ini di artikan sebagai serangan yang terkoordinasi. Ratusan hingga ribuan sumber IP address mengirimkan trafik dalam jumlah besar sehingga menimbulkan target IP address kehilangan banyak Internet bandwidth sehingga tidak mampu untuk memberikan respon atas trafik yang legitimate. Serangan ini diberikan nama Distributed Denial of Service Attack, atau di singkat dengan istilah DDoS. Bahkan dalam situasi pandemic Covid-19 seperti sekarang ini, semakin intens di temukan serangan DDoS ini terjadi di beberapa lokasi. Tidak ada system yang di retas ataupun data yang di curi dalam model serangan DDoS ini. Tujuan utama dari model serangan ini adalah memberikan dampak gangguan sehingga fungsi layanan online atau website dari penyedia jasa layanan terkendala untuk beroperasi. Serangan ini di lancarkan secara intens dan dalam durasi waktu yang cukup lama sehingga terkesan website menjadi offline. Tentunya ini akan terjadi bilamana penyerang berhasil memberikan trafik sebesar dengan bandwidth maksimal yang di miliki penyedia jasa layanan dan tidak ada bandwidth yang cukup tersedia untuk pelanggan lainnya. Ini bukan merupakan satu-satunya cara penyerang dalam kaitan dengan DDoS attack, namun belakangan ini merupakan hal yang cukup sering di lakukan.

Sejarah DDoS

Sebelum di sebut dengan istilah DDoS, istilah ini pertama kali di kenal dengan sebuat Denial of Service attack atau DoS. Huruf ‘D’ atau ‘Distributed’ yang kemudian ditambahkan disini melambangkan serangan yang di lakukan secara terkoordinasi namun terpecah. Berawal pada tahun 1974, David Dennis, seorang anak yang berusia 13 tahun tinggal di dekat sebuah laboratorium yang bernama Computer-Based Education Research Laboratory (CERL) yang memiliki sebuah unit komputer yang diberi nama PLATO. Komputer ini memiliki kemampuan untuk terhubung dengan perangkat external devices. Dan instruksi program untuk ini juga tersedia yang memungkinkan pengembangan lebih lanjut. Dennis menemukan sebuah cacat dari program tersebut, yang dapat menyebabkan PLATO menjadi crash dan perlu untuk di restart sebelum dapat kembali melayani user yang terkoneksi. Menyadari akan hal ini, Dennis kemudian mengembangkan program yang memanfaatkan celah kelemahan ini sehingga berhasil menjadikan system PLATO di power-off sehingga merepotkan 31 user yang saat itu sedang terhubung. Dalam kasus ini, serangan yang di lakukan oleh Dennis adalah menyerang availabilitas dari PLATO, meski tidak merusak data-data yang tersimpan. Inilah inti dari serangan DoS attack.

Tidak hanya berhenti pada kasus David Dennis ini, pada Agustus 1999 terjadi serangan DoS pada University of Minnesota. Serangan yang di lakukan oleh hacker ini mempergunakan tool yang di sebut ’Trinoo’ yang menyebabkan menciptakan gangguan pada target IP dengan membanjiri jaringan dengan paket UDP yang bersumber dari berbagai perangkat yang di kelompokkan dengan istilah ‘Master’ dan ‘Daemon’. Hal ini merupakan awal dari penambahan kata Distributed pada DoS attack, sehingga kemudian lebih sering di kenal dengan sebutan DDoS. 

Distributed Denial of Service attack atau di singkat dengan DDoS attack memiliki beberapa jenis kategori. Salah satunya yang baru saja saya sebutkan tadi. Pada episode ke 30 ini saya akan juga menjelaskan beberapa jenis kategori lainnya. Untuk bisa memahami secara lebih dalam terhadap kategori ini, kita perlu sejenak kembali kepada definisi bahwa komunikasi di Internet secara konseptual terjadi melalui 7 tahapan, yang kemudian di sebut dengan istilah Seven Layer OSI. Hal ini mengingatkan saya pada materi komunikasi data saat sedang mengambil S1 dulu.

Meski pandemic Covid-19 menjadi pusat fokus seluruh negara di dunia, dampaknya ternyata bukan hanya kepada dunia kedokteran dan kesehatan publik. Belakangan ini dunia cybersecurity juga terkena dampak krisis ini dengan semakin maraknya kejadian data breach yang menimpa hingga ke Indonesia. Survey yang di lakukan oleh Institute Security and Privacy di Carnegie Mellon University dan juga telah di presentasikan di IEEE Workshop 2020, telah memberikan kenyataan yang cukup membuat kaget praktisi cybersecurity. Pasalnya dari survey ini di temukan bahwa hanya terdapat 33 persen dari pengguna yang mengganti password setelah akunnya terkena insiden data breach. Dan yang lebih mengherankan lagi adalah sepertiga dari 33 persen pengguna tadi baru mengganti password akunnya tiga bulan kemudian. Pastinya kita semua sadar akan bahaya dari data breach terhadap privacy data, namun pada prakteknya tidak semua orang betul-betul menerapkan awareness yang dia ketahui. Wah, semoga sobat pendengar Bincang Cyber termasuk kelompok pengguna yang tidak hanya aware, namun juga terus meningkatkan keamanan atas akun yang di miliki. Pada episode ke 29 di Bincang Cyber ini, saya akan mengangkat kejadian insiden keamanan yang baru terjadi beberapa hari yang lalu. Yaitu serangan ransomware yang menimpa perusahaan otomotif Honda. Kejadian ini tentunya sangat mengagetkan, apalagi dengan nama besar yang di miliki perusahaan tersebut. Serangan yang tiba-tiba terjadi ini berdampak tidak hanya pada satu lokasi atau department, sehingga berpengaruh pada layanan kepada pelanggan. Komentar kritik dari pelanggan yang bersumber dari cuitan twitter pun muncul secara sporadis memberikan tekanan kepada perusahaan. Meski pihak perusahaan hingga saat podcast ini di rekam tidak memberikan keterangan detail tentang kondisinya, namun beberapa sumber yang saya peroleh dari berbagai peneliti dan sumber berita bisa saya rangkum disini. Mudah-mudahan bisa memberikan pencerahan tentang bahaya atas serangan ransomware secara umum.

Honda Ransomware attack

Kejadian yang serangan Ransomware yang menimpa sebuah global operation perusahaan otomotif Honda di Amerika Serikat baru-baru ini cukup mengejutkan banyak pihak. Hal ini tidak hanya menyebabkan system online mereka tidak dapat di akses oleh pelanggan, namun juga Honda terpaksa men-shutdown beberapa lokasi produksi, termasuk finansial service operation mereka. Serangan yang di lakukan oleh peretas adalah dengan memanfaatkan malware, yang bekerja dengan meng-encryption kan file-file yang tersimpan. Malware ini secara spesifik di sebut dengan Snake Ransomware. Ada banyak sekali varian jenis malware (atau malicious software), namun varian yang melakukan penyerangan dengan meng-encrypsi file sehingga tidak bisa di akses oleh pemiliknya di sebut sebagai ransomware. Tidak ada perubahan letak fisik file tadi, namun encryption yang di terapkan kepada file-file tersebut membuat akses pemilik menjadi tidak dapat di lakukan. Dan dalam kasus Honda, tidak di berikan pesan oleh peretas mengenai berapa banyak ransom (atau tebusan) yang di minta agar peretas memberikan akses kembali atas file yang telah di encryption tersebut. Oleh Honda peristiwa serangan ini di sebut sebagai major ransomware attack disebabkan besaran dampak dan impact kepada sistem operational mereka. Beberapa waktu berselang setelah kejadian, pihak regional Honda secara bertahap berhasil mengaktifkan kembali beberapa pabrik otomotif tersebut, namun tetap masih berkendala untuk mengaktifkan customer service website milik mereka. Hal ini terlihat dari beberapa komplain dari pelanggan melalui cuitan di twitter. 

Pihak Honda menjelaskan bahwa serangan ransomware ini tidak berdampak sama sekali kepada data pelanggan mereka, ini artinya informasi Personal Identifiable Informasion (PII) yang tersimpan di database Honda aman dari serangan peretas. Namun hal ini hanya di dasarkan kepada data yang di e...

Dalam beberapa bulan terakhir ini kita banyak sekali di kejutkan dengan berkembangnya isu data breach yang beredar. Banyak pihak yang menanyakan mengapa hal ini dapat terjadi bahkan terkesan semakin intens di saat kebanyakan dari perusahaan di Indonesia atau secara khusus di pulau Jawa sedang menerapkan PSBB atau Work From Home. Tentu saja ini membuat kita pada akhirnya berkesimpulan bahwa threat actors akan terus berkarya dengan inovasi serangannya meski di tengah pandemic yang sedang terjadi ini. Hal ini bukan yang baru pertama kalinya terjadi. Beberapa bulan yang lalu pada saat terjadinya demonstrasi besar-besaran di Hong Kong, pada saat yang bersamaan pula terjadi serangan cyber yang mempergunakan teknik yang tidak biasanya. Waktu itu, serangan di lancarkan bukan langsung melalui penyebaran malware, melainkan dengan memanfaatkan situs berita palsu yang seolah-olah menampilkan kondisi pemberitaan terkini. Uniknya, link pemberitaan ini tidak hanya tersebar di empat channel forum diskusi yang sering di kunjungi user di Hong Kong, namun juga pada group chat seperti Telegram. Kebanyakan user ini biasanya lengah saat sebuah peristiwa besar sedang terjadi. Hal ini di manfaatkan betul oleh hacker untuk sebanyak mungkin menyebarkan link pemberitaan yang tentunya lebih akan berhasil dikarenakan antusiasme orang untuk terus berupaya mendapatkan update informasi terkini. Bahkan ada yang sampai mem-forward dan men-share link pemberitaan tersebut melalui akun social media masing-masing yang kemudian menyebabkan tingginya dampak kerusakan yang terjadi.  Teknik penyerangan ini pada dasarnya di lakukan dengan mengarahkan pengguna kepada situs jahat. Setelah di buka, situs ini akan menginfeksikan malware kepada perangkat pengguna. Teknik ini di sebut dengan strategi Watering Hole attack.

Watering Hole Attack

Dengan menggunakan watering hole attack inilah, hacker menarik user dengan cara menampilkan foto-foto atau infografis di tambah dengan link sumber berita. Tentunya link ini akan di buat seperti sebuah situs pemberitaan resmi. Keterangan kepemilikan domain dan informasi lainnya seperti IP address juga valid. Tidak terkesan IP yang memiliki reputasi jelek. Serangan akan di lancarkan melalui iframe html code yang terdapat pada halaman dari link yang tersebar. Iframe tersebut berisi malicious code yang berpotensi mendownload malware kepada perangkat pengguna. Teknik ini banyak menyerang mobile phone dengan sistem operasi Android, khususnya pada sebelum tahun 2019. Yang di kenal dengan nama dmSpy, sedangkan versi yang menyerang iPhone di berikan nama LightSpy. Dan ketika demonstrasi di Hong Kong terjadi; teknik serangan semakin di sempurnakan dan kini mentargetkan perangkat iPhone dengan versi iOS v12.1 dan v12.2. Serangan pada iPhone terjadi ketika browser Safari mengakses situs berita palsu tersebut dan dengan memanfaatkan vulnerability yang terdapat di Safari, peretas dapat mendownload malware secara tersembunyi. Oleh Safari, hal ini di anggap sebagai proses patching sehingga tidak ada notifikasi download saat malware sedang di kirimkan ke perangkat. Meski sebenarnya vulnerability pada iOS ini sudah di temukan oleh peneliti cybersecurity dengan code CVE-2019-8605, namun rupanya proses patching atas vulnerability ini belum sempurna sehingga tetap dapat di exploit. Apple kemudian me-rilis versi iOS terbaru. Sayangnya iOS versi 13 yang merupakan versi lanjutan yang juga bebas dari vulnerability ini hanya dapat di nikmati oleh pengguna iPhone 6s ke atas. Kesimpulannya, vulnerability ini tetap berpotensi dapat menginfeksi perangkat iPhone seri 6 ke bawah.

Pandemic Covid-19 yang menjadi topik perbincangan di dunia cyber turut pula di manfaatkan oleh pihak peretas. Setidaknya hal ini di buktikan dengan peningkatan pembelian nama domain yang mengandung kata Covid-19. Di temukan setidaknya terdapat 1.2 juta nama domain baru yang mempergunakan kata Covid-19 y...

Guest: Eryk Budi Pratama – Cyber Security and IT Advisory Consultant

Guest: Dr. Avinanta Tarigan

Guest: IGN Mantra – Cyber Security Senior Trainer, Praktisi dan Peneliti.

Guest: Kirby Chong – Chief Information Security Officer

Guest: Andre Iswanto – ASEAN Senior Manager System Engineer of Indonesia, F5 Networks