Rabu, 13 Januari 2010

Konsep serupa honeypot (sebelumnya belum diberi istilah seperti itu) dipercaya sudah cukup lama ada, walaupun tidak ada literatur yang membahasnya sebelum tahun 1990. Tahun 1990 Clifford Stoll menerbitkan buku The Cuckoo’s Egg, yang lebih mirip cerita detektif. Penerbitnya Pocket Books, yang lebih dikenal dengan novel. Inilah penerbitan pertama yang menguraikan konsep honeypot. Buku ini menceritakan kejadian sesungguhnya selama periode sepuluh bulan di tahun 1986-1987. Stoll adalah astronom pada Lawrence Berkeley Lab yang menjadi admin berbagai komputer untuk komunitas astronom. Selisih akuntansi senilai 75 sen membuatnya menyadari akan adanya hacker bernama ‘Hunter,’ yang telah menyusup ke dalam sistem.



Bukannya menutup account penyusup ini, Stoll malah membiarkannya berada dalam sistem, agar dapat mempelajarinya lebih jauh dan memburunya. Tanpa disadari penyerang, Stoll menyiapkan direktori SDINET (Strategic Defence Initiave Network) dan mengisinya dengan file-file yang pura-pura berisi berbagai file keuangan dan rahasia negara. Hacker ini ternyata tidak tertarik pada file-file keuangan. Makalah teknis pertama mengenai honeypot terbit pada tahun 1990 itu juga, tulisan Bill Cheswick berjudul ‘An Eve-ning with Berfeld in Which a Cracker Is Lured, Endured and Studied’ . Berbeda dengan yang pertama, Cheswick memang menyiapkan suatu sistem yang memang untuk diserang, menjadikannya kasus pertama dari honeypot yang sesungguhnya. Pada makalah ini Cheswick bukan saja membahas cara membangun dan menggunakan honeypot, melainkan juga menceritakan bagaimana seorang hacker Belanda dipelajari sewaktu dia menyerang dan menguasai sistem. Cheswick pertamatama membangun suatu sistem dengan beberapa kelemahan (termasuk Sendmail) untuk mendapatkan ancaman apa saja yang ada dan bagaimana cara kerjanya. Tujuannya bukanlah untuk menangkap orang tertentu, melainkan untuk mempelajari kegiatan membahayakan apa saja yang bisa terjadi terhadap network dan sistemnya. Cheswick menciptakan suatu lingkungan terkontrol yang disebutnya sebagai ‘jail’ (ia tidak menyebutnya sebagai honeypot), yang mengurung kegiatan sang penyerang. Hacker Belanda dengan nickname Berfeld ini memasuki sistem dengan memanfaatkan kelemahan pada Sendmail sampai mendapatkan kendali terhadap sistem. Secara umum, honeypot dapat didefinisikan sebagai sebua sumber daya sistem informasi dimana nilai guna dari sumber daya tersebut justru berdasar kepada terdeteksinya kasus penggunaan yang tidak terotorisasi atau tidak diperbolehkan secara hukum dari sumber daya tersebut. Atau dengan kata lain, honeypot adalah sebuah sumber daya yang bersifat seakan-akan target yang sebenarnya, yang dengan sengaja disediakan untuk diserang atau diambil alih. Oleh karena itu, honeypot akan diamati, diserang bahkan dieksploitasi oleh penyerang atau penyusup. Tujuan utama dari honeypot ini adalah untuk mengumpulkan informasi dari suatu serangan dan penyerang yang melakukannya. Intruder atau penyerang merupakan istilah umum yang diberikan untuk menggambarkan seseorang yang berusaha untuk masuk ke dalam sistem dalam arti berusaha menggunakan sistem dimana mereka tidak memiliki autorisasi atau menggunakan sistem untuk maksud yang menyimpang di luar hak-hak yang mereka miliki.



DEFINISI HONEYPOT



Ada beberapa definisi honeypot yang disampaikan oleh beberapa peneliti honeypot pada makalah sistem kemanan yang mereka buat maupun dari halaman web. Menurut Lance Spitzner, seorang arsitek sistem keamanan Sun Microsystems, ”A honeypot is security resource whose value lies in being probed, attacked, or compromised.” Definisi ini menjadi acuan beberapa makalah lainnya. Dari definisi itu dapat diambil kesimpulan bahwa honeypot baru dikatakan suatu sistem keamanan jika honeypot tersebut disusupi, diserang, atau dikendalikan oleh penyerang. Ada juga seorang insinyur berkebangsaan Swiss bernama Reto Baumann menyikapi interpretasi yang diberikan oleh Lance Spitzner. Menurut Baumann melalui tugas akhir diplomanya, ” A honeypot is a resource which pretends to be a real target. A honeypot is expected to be attacked or compromised. The main goals are the distraction of an attacker and the gain of information about an attack and the attacker.” Jadi, menurut Baumann, honeypot adalah sebuah sumberdaya sistem keamanan yang dibuat sebagai tujuan utama penyerang yang sebenarnya merupakan sistem yang palsu untuk menjebak penyerang. Sistem honeypot biasanya hanya sebuah sistem yang dihubungkan dengan jaringan produktif, atau sistem yang asli, yang ada dengan tujuan untuk menjebak penyerang. Gambar berikut memperlihatkan sebuah sistem fisik honeypots tunggal yang diletakkan pada jaringan internal. Sistem tersebut kemudian dapat mengemulasikan berbagai variasi sistem atau lubang-lubang dari sistem yang mudah untuk diserang.


TIPE HONEYPOT

Honeypot dibagi menjadi dua tipe dasar, yaitu production honeypot dan research honeypot. Tujuan utama dari production honeypot adalah untuk membantu mengurangi resiko keamanan jaringan pada sebuah organisasi. Production honeypot memberikan suatu nilai tambah bagi keamanan jaringan dari suatu organisasi. Tipe kedua, research honeypot, adalah honeypot yang didesain untuk mendapatkan informasi mengenai aktivitas-aktivitas dari komunitas penyerang atau penyusup. Research honeypot tidak memberikan suatu nilai tambah secara langsung kepada suatu organisasi, melainkan digunakan sebagai alat untuk meneliti ancaman-ancaman keamanan yang mungkin dihadapi dan bagaimana cara untuk melindungi diri dari ancaman tersebut.


KLASIFIKASI HONEYPOT

Honeypot dapat diklasifikasikan berdasarkan pada tingkat interaksi yang dimilikinya. Tingkat interaksi dapat didefinisikan sebagai tingkat aktivitas penyerang/ intruder di dalam sistem yang diperbolehkan maka semakin tinggi pula tingkat interaksi honeypot.



LOW INTERACTION HONEYPOT

Low-interaction honeypot merupakan honeypot dengan tingkat interaksi honeypot, yaitu honeypot yang didesain untuk mengemulasikan service (layanan) seperti pada server yang asli. Penyerang hanya mampu memeriksa dan terkoneksi ke satu atau beberapa port.

Kelebihan low-interaction honeypot yaitu:

a. Mudah di install, dikonfigurasi, deployed, dan dimaintain

b. Mampu mengemulasi suatu layanan seperti http, ftp, telnet, dsb.

c. Difungsikan untuk deteksi serangan, khususnya pada proses scanning atau percobaan



pembukaan koneksi pada suatu layanan. Kekurangan low-interaction honeypot :

a. Layanan yang di berikan hanya berupa emulasi, sehingga penyerang tidak dapat berinteraksi secara penuh dengan layanan yang diberikan atau sistem operasinya secara langsung

b. Informasi yang bisa kita dapatkan dari penyerang sangat minim.

c. Apabila serangan dilakukan oleh "real person" bukan "automated tools" mungkin akan segera menyadari bahwa yang sedang dihadapi merupakan mesin honeypot, karena keterbatasan layanan yang bisa diakses.





MEDIUM INTERACTION HONEYPOT


Kelebihannya Medium Interaction Honeypot:

a. Memiliki kemampuan yang lebih banyak untuk berinteraksi dengan penyerang dibandingkan low-interaction honeypot namun tidak sebanyak high-interaction honeypot.

b. Emulasi layanan dapat ditambahkan berbagai macam fitur tambahan sehingga seakanakan penyerang benar-benar sedang berinteraksi dengan layanan yang sebenarnya.

c. Contoh: script untuk mengemulasikan IIS web server dengan berbagai macam informasi tambahan yang menyertai web server tersebut sehingga benar-benar terlihat seperti aslinya, atau pun juga membuat emulasi IIS yang dapat berinteraksi dengan suatu jenis worm, sehingga kita bisa mendapatkan payload dari worm tersebut untuk dianalisis selanjutnya.

d. Contoh: menggunakan jail atau chroot, yaitu membangun sistem operasi virtual pada partisi yang terpisah didalam sistem operasi yang sebenarnya dimana sistem operasi virtual tersebut sepenuhnya di kontrol oleh sistem operasi yang sebenarnya, cara ini dapat memberikan suasana sistem operasi yang

sesungguhnya bagi penyerang. Kekurangan Medium Interaction Honeypot :



a. Sistem tersebut cukup kompleks.

b. Memerlukan usaha lebih untuk maintain dan deploy sistem tersebut sehingga akses yang diberikan kepada penyerang benar-benar terjamin tingkat keamanannya namun tetap dapat memberikan suasana sistem yang nyata bagi penyerang sehingga penyerang tersebut tidak curiga bahwa aktivitasnya sedang di monitor.



HIGH INTERACTION HONEYPOT

Pada high-interaction honeypot terdapat sistem operasi dimana penyerang dapat berinteraksi langsung dan tidak ada batasan yang membatasi interaksi tersebut. Menghilangkan batasan-batasan tersebut menyebabkan tingkat risiko yang dihadapi semakin tinggi karena penyerang dapat memiliki akses root. Pada saat yang sama, kemungkinan pengumpulan informasi semakin meningkat dikarenakan kemungkinan serangan yang tinggi. Dikarenakan penyerang dapat berinteraksi secara penuh dengan sistem operasi, maka apabila si penyerang telah mendapat akses root.



Kelebihannya :

a. Penyerang berinteraksi langsung dengan sistem yang nyata termasuk diantaranya sistem operasi, network, hingga layanan yang diberikan ( web service, ssh service, mail service, dll )

b. Umumnya dibangun suatu sistem khusus dengan topologi yang telah dipersiapkan.

c. Sistem tersebut biasanya terdiri dari berbagai macam implementasi dari teknologi keamanan yang banyak digunakan untuk melindungi suatu sistem, seperti firewall,

IDS/IPS, router, dll.

d. Target serangan berupa sistem operasi sebenarnya yang siap untuk berinteraksi secara

langsung dengan penyerang.



Kekurangannya :

a. Perencanaan dan implementasi sistem jauh lebih rumit dan dibutuhkan banyak pertimbangan.

b. High-interaction honeypot bersifat tidak efisien karena membutuhkan pengawasan berkala.

c. Apabila telah diambil alih oleh penyerang maka honeypot tersebut dapat menjadi ancaman bagi jaringan yang ada.



SEJARAH WIRELESS HONEYPOT

Kemajuan teknologi honeypot mulai terlihat ketika Kevin Poulsen pada tahun 2002 mempublikasikan penelitiannya, Wi-Fi Honeypots a New Hacker Trap , penelitian Poulsen ini dianggap beberapa pihak sebagai teknologi wireless honeypot yang pertama. Suatu tim peneliti, WISE ( Wireless Information Security Experiment ) pada tahun 2002 didirikan oleh SAIC ( Science Applications International Corporation ) di Washington DC, Amerika Serikat. Tim peneliti ini meneliti celah keamanan jaringan wireless pada waktu itu, tim tersebut mendapati bahwa kebanyakan jaringan wireless pada saat itu sangat mudah untuk disusupi dan sangat terbuka. Jenis ancaman yang ditemukan adalah akses yang tidak terotorisasi, penggunaan jaringan wireless yang ilegal, mendengarkan proses komunikasi pada wireless secara ilegal ( eavesdropping ). Ancaman kemanan tersebut merupakan ancaman keamanan yang paling utama dan paling sering terjadi saat ini. Pada akhir 2002, sebuah organisasi bernama Tenebris mempublikasikan hasil penelitian mereka, yaitu pengumpulan data dari wireless honeypot yang mereka implementasikan di Ottawa ( Canada ) dan menyimpulkan bahwa sangat banyak terjadi aktivitas war driving saat itu dan apa saja yang sering menjadi target serangan para penyerang di jaringan wireless. Selanjutnya, Tenebris melanjutkan riset mereka di sekitar kota London lalu menuju Adelaide, South Australia.



SKENARIO SERANGAN PADA JARINGAN WIRELESS

Dari beberapa penelitian sebelumnya, ada suatu bentuk pola skenario serangan yang umum terjadi pada sistem keamanan wireless. Setidaknya ada tiga pola skenario

serangan, yaitu:



A. Serangan yang sebenarnya ditujukan ke jaringan kabel ( LAN ) dengan memakai jaringan wireless sebagai media untuk menyusup ke LAN.

B. Serangan yang langsung ditujukan kepada pengguna jaringan wireless. Jenis serangan ini menyerang perangkat wireless user.

C. Serangan yang ditujukan ke infrastruktur jaringan wireless secara keseluruhan. Jenis serangan ini biasanya bertujuan mengambil alih akses penuh jaringan wireless.



ARSITEKTUR WIRELESS HONEYPOT

Secara umum arsitektur wireless honeypot yang akan diimplementasikan adalah sebagai berikut.

a. Wireless Access Point ( WAP ) sebagai media prasarana jaringan wireless.

b. Wireless Client ( WC ) merupakan pihak pengguna jaringan wireless ( user ).

c. Wireless Monitor ( WMON ) sebagai perangkat yang merekam trafik jaringan.

d. Wireless Data Analysis ( WDA ) berfungsi menganalisis trafik dari WMON

e. Wired Instructure ( WI ) merupakan infrastruktur LAN.

Tidak ada komentar:

Posting Komentar