stmikbg-dot-com

Beberapa hari yang lalu saya bersama  teman-teman miSOLUSI dan dibantu oleh beberapa STAF Rumah Sakit dimana SIMRS yang saya kembangkan diimplementasikan disana, kami melakukan simulasi serangan terhadap keamanan jaringan komputer, server dan sistem SIMRS serta menganalisa dampak dari serangan ini terhadap pelayanan pada rumah sakit dan kinerja dari sistem pasca serangan.
Simulasi ini berupa serangan terhadap network infrastuktur, server hacking, service exploiting dan database  manipulation. Dalam simulasi ini terdapat dua Tim yakni Tim 1 sebagai penyerang dan Tim 2 sebagai netadmin dan database administrator yang bertugas mengaudit dan merestore kerusakan data yang diakibatkan dari serangan ini.
Skenario serangan Tim 1 sebagai attacker melakukan scanning terhadap jaringan wifi untuk mencari jalan masuk kedalam network,  adapun step by step serangan yang dilakukan :

1. untuk melakukan serangan ini Tim 1 menggunakan airjack pada box linux backtrack. Setelah mendapatkan security key ( setting awal Access Point yang terintall sebagai repeater  / WDS System) menggunakan WEP key autentication).
2. Setelah berhasil mendapatkan WEP key dan berhasil connect ke jaringan wifi, Tim 1 melakukan arp scanning – mac address scanning dan untuk memperoleh IP dan Komputer yang lagi broadcast, adapun tools yang dipakai yakni Mac Address Scan.
3. Setelah mengetahui subnet yang dipakai dan list dari komputer yang lagi broadcast, Tim 1 melakukan ARP Spoofing (ARP Poisoning dan IP Snifing) untuk mendapatkan user name dan password yang kira-kira dipakai oleh APLIKASI SIMRS untuk melakukan login ke database server.  Adapun tools yang digunakan yakni  chain and able
4. Lama menunggu Tim 1 tidak kunjung mendapatkan user name dan password database, mereka melakukan port scanning pada semua list komputer yang telah didapat sebelumnya untuk mengetahui kira-kira dikomputer mana yang terinstall database server service. Tools yang digunakan disini adalah nmap pada box linux backtrack. M aksud dari step 4 ini untuk melakukan direct attack terhadap server database. Step keempat ini memberi sedikit informasi bahwa komputer dengan netbios name Pusat_Data dengan ip broadcast 192.168.1.100 menjalankan service ms-sql pada port 1403.
5. Setelah mengetahui IP server dan port yang listen untuk server database, Tim 1 kembali melakukan ARP Spoofing (ARP Poisoning dan IP Snifing) pada port tersebut untuk menjebak komputer dalam jaringan untuk melakukan login kedatabase server dengan perantara komputer penyerang. Step ini mendatangkan hasil yang memuaskan karena salah satu komputer dengan host name Ruang_Perawat melakukan login dengan username rperawat01 dan password r4h4514
6. Dari user name dan password yang didapatkan Tim 1 mencoba membuka koneksi terhadap database server, login berhasil dilakukan dan Tim 1 telah mempunyai akses untuk memodifikasi database.
7. Walaupun telah berhasil login kedatabase server Tim 1 masih kesulitan karena minimnya informasi tentang server yang didapat, apa nama database yang akan dimodifikasi, protokol apa yang digunakan untuk melakukan query kedatabase.
8. Setelah berdiskusi bersama anggota Tim, Tim 1 mencoba langsung mengakses database master dengan maksud untuk mendapatkan akses terhadap shell windows via stored procedure xp_cmdshell . Langkah ini sama sekali gagal karena username rperawat01 tidak mempunyai akses terhadap database master. Kegagalan pada Step ini sempat membuat Tim 1 kehilangan semangat karena dibenak Tim 1, jika mendapatkan akses pada database master mereka bisa melakukan apa saja terhadap server, baik itu manipulasi data maupun mengambil alih server  karena dengan sp xp_cmdshell mereka bisa menambah user log in setingkat administrator pada server dan melakukan login via remote desktop.

   xp_cmdshell “net user hacked jebol123 /ADD"
   xp_cmdshell “net user localgroup administrator  hacked /ADD”

   Hanya dengan dua baris perintah diatas mereka telah mendapatkan akses administrator pada database server.

9. Karena langkah diatas gagal Tim 1 mengambil tindakan extrim yakni melakukan exploitasi  terhadap service, adapun tool yang digunakan yakni ms-sqlxpl.c Setelah diconfigure pada box linux BT

   # gcc –o ms-sqlxpl ms-sqlxpl.c
   #./ms-sqlxpl 192.168.1.100 1403 attack host 192.168.1.100 on 1403......
   found version Microsoft SQL Server  7.00 - 7.00.1063 (Intel X86)!! exploiting.............................................
   Done..
   here y0u are
   C:\>

10. Tim 1 kembali bisa tersenyum karena berhasil mendapatkan akses shell pada server database. Berarti langkah ini adalah gerbang keberhasilan yang sangat gemilang. Mereka langsung membuat new login sebagai administrator bayangan pada server.
11. Berhasil membuat new login mereka langsung mengakses database server dengan remote desktop. Operating sistem pada server  yakni Windows 2003 Server Data Center.
12. Setelah login lewat remote desktop Tim 1 mengakses server seakan server tersebut berada didepan mereka, bagaimana tidak semua tampilan yang ada dilayar disajikan secara penuh dan full control pada layar monitor sipenyerang.
13. Skenario selanjutnya, Tim 1 melakukan manipulasi data pada database. Hal ini sangat mudah dilakukan karena mereka telah mempunyai akses sepenuhnya terhadap system. Cukup dengan membuka Enterprise Manager pada paket MS SQL mereka bisa memodifikasi database mana saja yang ada pada ms-sql server.
14. Tahap manipulasi database ini terdapat skenario yang ditetapkan sebelumnya yakni merubah tarif tindakan medis, manipulasi bill tagihan pasien rawat inap, menghapus stok obat dan merekayasa data rekam medis pasien, dan memanipulasi semua record yang berhubungan dengan laporan keuangan rumah sakit. (Dalam kejadian yang nyata bisa saja terjadi kerusakan yang lebih fatal dari ini).

Skenario Penyelamatan
Berangkat dari pengalaman Tim 1 dan melihat step yang digunakan dalam melakukan serangan, Tim 2 melakukan beberapa perbaikan keamanan baik pada jaringan, server maupun service database.

1. Merubah metod network key authentication dan melakukan mac address filter pada semua AP yang terinstall.
2. Menginstall security update yang kira-kira bisa mempengaruhi kinerja SIMRS, sampai pada patch untuk epidemic conficker.
3. Upgrade versi MS-SQL karena versi sebelumnya berhasil diexploitasi oleh Tim 1, Transformasi data dilakukan step by step.
4. Merubah semua password default pada server, database dan mematikan service yang kira-kira tidak digunakan.
5. Membangun sistem DTS ( Data Transformation System) yang otomatis, untuk mengatasi serangan seperti terjadinya manipulasi data oleh orang yang tidak berhak.
6. Audit Integritas data secara berkala untuk menjaga validasi data yang ada.
7. Dan beberapa langkah penting lainnya.

Sekian tulisan ini saya buat sekedar bertukar pengalaman, merusak itu mudah tapi membangun dan menjaga sesuatu itu sangat sukar. Jika ada informasi dan saran yang membangun silahkan posting dicomment, saya secara pribadi sangat terbuka atas kritik dan saran teman sekalian.

Incoming search terms:

• keamanan komputer server
• Simulasi arp
• simulasi keamanan jaringan
• simulasi keamanan komputer
• Simulasi serangan jaringan
• keamanan komputer
• simulasi nmap
• simulasi serangan hacker
• keamanankomputer induk /server
• langkah keamanan expert