Sidik Prasetiyo - A1311055
Dosen : Hendrik Setyo Utomo,ST
Dosen : Hendrik Setyo Utomo,ST
Konsep serupa honeypot (sebelumnya
belum diberi istilah seperti itu) dipercaya sudah cukup lama ada,
walaupun tidak ada literatur yang membahasnya sebelum tahun 1990. Tahun
1990 Clifford Stoll menerbitkan buku The Cuckoo’s Egg, yang lebih mirip cerita detektif. Penerbitnya Pocket Books, yang lebih dikenal dengan novel. Inilah penerbitan pertama yang menguraikan konsep honeypot.
Buku ini menceritakan kejadian sesungguhnya selama periode sepuluh
bulan di tahun 1986-1987. Stoll adalah astronom pada Lawrence Berkeley
Lab yang menjadi admin berbagai komputer untuk komunitas astronom.
Selisih akuntansi senilai 75 sen membuatnya menyadari akan adanya hacker bernama ‘Hunter,’ yang telah menyusup ke dalam sistem.
Bukannya menutup account penyusup ini, Stoll malah membiarkannya berada
dalam sistem, agar dapat mempelajarinya lebih jauh dan memburunya.
Tanpa disadari penyerang, Stoll menyiapkan direktori SDINET (Strategic
Defence Initiave Network) dan mengisinya dengan file-file yang pura-pura
berisi berbagai file keuangan dan rahasia negara. Hacker ini ternyata
tidak tertarik pada file-file keuangan. Makalah teknis pertama mengenai honeypot terbit pada tahun 1990 itu juga, tulisan Bill Cheswick berjudul ‘An Eve-ning with Berfeld in Which a Cracker Is Lured, Endured and Studied’ .
Berbeda dengan yang pertama, Cheswick memang menyiapkan suatu sistem
yang memang untuk diserang, menjadikannya kasus pertama dari honeypot yang sesungguhnya. Pada makalah ini Cheswick bukan saja membahas cara membangun dan menggunakan honeypot,
melainkan juga menceritakan bagaimana seorang hacker Belanda dipelajari
sewaktu dia menyerang dan menguasai sistem. Cheswick pertamatama
membangun suatu sistem dengan beberapa kelemahan (termasuk Sendmail)
untuk mendapatkan ancaman apa saja yang ada dan bagaimana cara kerjanya.
Tujuannya bukanlah untuk menangkap orang tertentu, melainkan untuk
mempelajari kegiatan membahayakan apa saja yang bisa terjadi terhadap network dan sistemnya. Cheswick menciptakan suatu lingkungan terkontrol yang disebutnya sebagai ‘jail’ (ia tidak menyebutnya sebagai honeypot), yang mengurung kegiatan sang penyerang. Hacker Belanda dengan nickname Berfeld ini memasuki sistem dengan memanfaatkan kelemahan pada Sendmail sampai mendapatkan kendali terhadap sistem. Secara umum, honeypot dapat
didefinisikan sebagai sebua sumber daya sistem informasi dimana nilai
guna dari sumber daya tersebut justru berdasar kepada terdeteksinya
kasus penggunaan yang tidak terotorisasi atau tidak diperbolehkan secara
hukum dari sumber daya tersebut. Atau dengan kata lain, honeypot adalah sebuah sumber daya yang bersifat seakan-akan target yang sebenarnya, yang dengan sengaja disediakan untuk diserang atau diambil alih. Oleh karena itu, honeypot akan diamati, diserang bahkan dieksploitasi oleh penyerang atau penyusup. Tujuan utama dari honeypot ini adalah untuk mengumpulkan informasi dari suatu serangan dan penyerang yang melakukannya. Intruder atau
penyerang merupakan istilah umum yang diberikan untuk menggambarkan
seseorang yang berusaha untuk masuk ke dalam sistem dalam arti berusaha
menggunakan sistem dimana mereka tidak memiliki autorisasi atau
menggunakan sistem untuk maksud yang menyimpang di luar hak-hak yang
mereka miliki.
DEFINISI HONEYPOT
Ada beberapa definisi honeypot yang disampaikan oleh beberapa peneliti honeypot pada
makalah sistem kemanan yang mereka buat maupun dari halaman web.
Menurut Lance Spitzner, seorang arsitek sistem keamanan Sun
Microsystems, ”A honeypot is security resource whose value lies in being probed, attacked, or compromised.” Definisi ini menjadi acuan beberapa makalah lainnya. Dari definisi itu dapat diambil kesimpulan bahwa honeypot baru dikatakan suatu sistem keamanan jika honeypot tersebut
disusupi, diserang, atau dikendalikan oleh penyerang. Ada juga seorang
insinyur berkebangsaan Swiss bernama Reto Baumann menyikapi interpretasi
yang diberikan oleh Lance Spitzner. Menurut Baumann melalui tugas akhir
diplomanya, ”
A honeypot is a resource which pretends to be a real target. A honeypot
is expected to be attacked or compromised. The main goals are the
distraction of an attacker and the gain of information about an attack and the attacker.” Jadi, menurut Baumann, honeypot adalah
sebuah sumberdaya sistem keamanan yang dibuat sebagai tujuan utama
penyerang yang sebenarnya merupakan sistem yang palsu untuk menjebak
penyerang. Sistem honeypot biasanya
hanya sebuah sistem yang dihubungkan dengan jaringan produktif, atau
sistem yang asli, yang ada dengan tujuan untuk menjebak penyerang.
Gambar berikut memperlihatkan sebuah sistem fisik honeypots tunggal yang
diletakkan pada jaringan internal. Sistem tersebut kemudian dapat
mengemulasikan berbagai variasi sistem atau lubang-lubang dari sistem
yang mudah untuk diserang.
TIPE HONEYPOT
Honeypot dibagi menjadi dua tipe dasar, yaitu production honeypot dan research honeypot. Tujuan utama dari production honeypot adalah untuk membantu mengurangi resiko keamanan jaringan pada sebuah organisasi. Production honeypot memberikan suatu nilai tambah bagi keamanan jaringan dari suatu organisasi. Tipe kedua, research honeypot, adalah honeypot yang didesain untuk mendapatkan informasi mengenai aktivitas-aktivitas dari komunitas penyerang atau penyusup. Research honeypot tidak
memberikan suatu nilai tambah secara langsung kepada suatu organisasi,
melainkan digunakan sebagai alat untuk meneliti ancaman-ancaman keamanan
yang mungkin dihadapi dan bagaimana cara untuk melindungi diri dari ancaman tersebut.
KLASIFIKASI HONEYPOT
Honeypot dapat
diklasifikasikan berdasarkan pada tingkat interaksi yang dimilikinya.
Tingkat interaksi dapat didefinisikan sebagai tingkat aktivitas
penyerang/ intruder di dalam sistem yang diperbolehkan maka semakin tinggi pula tingkat interaksi honeypot.
LOW INTERACTION HONEYPOT
Low-interaction honeypot merupakan honeypot dengan tingkat interaksi honeypot, yaitu honeypot yang didesain untuk mengemulasikan service (layanan) seperti pada server yang asli. Penyerang hanya mampu memeriksa dan terkoneksi ke satu atau beberapa port.
Kelebihan low-interaction honeypot yaitu:
a. Mudah di install, dikonfigurasi, deployed, dan dimaintain
b. Mampu mengemulasi suatu layanan seperti http, ftp, telnet, dsb.
c. Difungsikan untuk deteksi serangan, khususnya pada proses scanning atau percobaan
pembukaan koneksi pada suatu layanan. Kekurangan low-interaction honeypot :
a.
Layanan yang di berikan hanya berupa emulasi, sehingga penyerang tidak
dapat berinteraksi secara penuh dengan layanan yang diberikan atau
sistem operasinya secara langsung
b. Informasi yang bisa kita dapatkan dari penyerang sangat minim.
c. Apabila serangan dilakukan oleh "real person" bukan "automated tools" mungkin akan segera menyadari bahwa yang sedang dihadapi merupakan mesin honeypot, karena keterbatasan layanan yang bisa diakses.
MEDIUM INTERACTION HONEYPOT
Kelebihannya Medium Interaction Honeypot:
a. Memiliki kemampuan yang lebih banyak untuk berinteraksi dengan penyerang dibandingkan low-interaction honeypot namun tidak sebanyak high-interaction honeypot.
b.
Emulasi layanan dapat ditambahkan berbagai macam fitur tambahan
sehingga seakanakan penyerang benar-benar sedang berinteraksi dengan
layanan yang sebenarnya.
c. Contoh: script untuk mengemulasikan IIS web server dengan berbagai macam informasi tambahan yang menyertai web server tersebut
sehingga benar-benar terlihat seperti aslinya, atau pun juga membuat
emulasi IIS yang dapat berinteraksi dengan suatu jenis worm, sehingga kita bisa mendapatkan payload dari worm tersebut untuk dianalisis selanjutnya.
d. Contoh: menggunakan jail atau chroot,
yaitu membangun sistem operasi virtual pada partisi yang terpisah
didalam sistem operasi yang sebenarnya dimana sistem operasi virtual tersebut sepenuhnya di kontrol oleh sistem operasi yang sebenarnya, cara ini dapat memberikan suasana sistem operasi yang
sesungguhnya bagi penyerang. Kekurangan Medium Interaction Honeypot :
a. Sistem tersebut cukup kompleks.
b. Memerlukan usaha lebih untuk maintain dan deploy sistem
tersebut sehingga akses yang diberikan kepada penyerang benar-benar
terjamin tingkat keamanannya namun tetap dapat memberikan suasana sistem
yang nyata bagi penyerang sehingga penyerang tersebut tidak curiga
bahwa aktivitasnya sedang di monitor.
HIGH INTERACTION HONEYPOT
Pada high-interaction honeypot terdapat
sistem operasi dimana penyerang dapat berinteraksi langsung dan tidak
ada batasan yang membatasi interaksi tersebut. Menghilangkan
batasan-batasan tersebut menyebabkan tingkat risiko yang dihadapi
semakin tinggi karena penyerang dapat memiliki akses root.
Pada saat yang sama, kemungkinan pengumpulan informasi semakin
meningkat dikarenakan kemungkinan serangan yang tinggi. Dikarenakan
penyerang dapat berinteraksi secara penuh dengan sistem operasi, maka apabila si penyerang telah mendapat akses root.
Kelebihannya :
a. Penyerang berinteraksi langsung dengan sistem yang nyata termasuk diantaranya sistem operasi, network, hingga layanan yang diberikan ( web service, ssh service, mail service, dll )
b. Umumnya dibangun suatu sistem khusus dengan topologi yang telah dipersiapkan.
c.
Sistem tersebut biasanya terdiri dari berbagai macam implementasi dari
teknologi keamanan yang banyak digunakan untuk melindungi suatu sistem,
seperti firewall,
IDS/IPS, router, dll.
d. Target serangan berupa sistem operasi sebenarnya yang siap untuk berinteraksi secara
langsung dengan penyerang.
Kekurangannya :
a. Perencanaan dan implementasi sistem jauh lebih rumit dan dibutuhkan banyak pertimbangan.
b. High-interaction honeypot bersifat tidak efisien karena membutuhkan pengawasan berkala.
c. Apabila telah diambil alih oleh penyerang maka honeypot tersebut dapat menjadi ancaman bagi jaringan yang ada.
SEJARAH WIRELESS HONEYPOT
Kemajuan teknologi honeypot mulai terlihat ketika Kevin Poulsen pada tahun 2002 mempublikasikan penelitiannya, Wi-Fi Honeypots a New Hacker Trap , penelitian Poulsen ini dianggap beberapa pihak sebagai teknologi wireless honeypot yang
pertama. Suatu tim peneliti, WISE ( Wireless Information Security
Experiment ) pada tahun 2002 didirikan oleh SAIC ( Science Applications
International Corporation ) di Washington DC, Amerika Serikat. Tim
peneliti ini meneliti celah keamanan jaringan wireless pada
waktu itu, tim tersebut mendapati bahwa kebanyakan jaringan wireless
pada saat itu sangat mudah untuk disusupi dan sangat terbuka. Jenis
ancaman yang ditemukan adalah akses yang tidak terotorisasi, penggunaan
jaringan wireless yang ilegal, mendengarkan proses komunikasi pada wireless secara ilegal ( eavesdropping ). Ancaman kemanan tersebut merupakan ancaman keamanan yang paling utama dan paling sering terjadi saat ini.
Pada akhir 2002, sebuah organisasi bernama Tenebris mempublikasikan
hasil penelitian mereka, yaitu pengumpulan data dari wireless honeypot
yang mereka implementasikan di Ottawa ( Canada ) dan menyimpulkan bahwa
sangat banyak terjadi aktivitas war driving saat itu dan apa saja yang sering menjadi target serangan para penyerang di jaringan wireless. Selanjutnya, Tenebris melanjutkan riset mereka di sekitar kota London lalu menuju Adelaide, South Australia.
SKENARIO SERANGAN PADA JARINGAN WIRELESS
Dari beberapa penelitian sebelumnya, ada suatu bentuk pola skenario serangan yang umum terjadi pada sistem keamanan wireless. Setidaknya ada tiga pola skenario
serangan, yaitu:
A. Serangan yang sebenarnya ditujukan ke jaringan kabel ( LAN ) dengan memakai jaringan wireless sebagai media untuk menyusup ke LAN.
B. Serangan yang langsung ditujukan kepada pengguna jaringan wireless. Jenis serangan ini menyerang perangkat wireless user.
C.
Serangan yang ditujukan ke infrastruktur jaringan wireless secara
keseluruhan. Jenis serangan ini biasanya bertujuan mengambil alih akses
penuh jaringan wireless.
ARSITEKTUR WIRELESS HONEYPOT
Secara umum arsitektur wireless honeypot yang akan diimplementasikan adalah sebagai berikut.
a. Wireless Access Point ( WAP ) sebagai media prasarana jaringan wireless.
b. Wireless Client ( WC ) merupakan pihak pengguna jaringan wireless ( user ).
c. Wireless Monitor ( WMON ) sebagai perangkat yang merekam trafik jaringan.
d. Wireless Data Analysis ( WDA ) berfungsi menganalisis trafik dari WMON
e. Wired Instructure ( WI ) merupakan infrastruktur LAN.