A. Definisi Internet Worm
Internetworm adalah program-program komputer yang mampu menyebar dan menggandakan dirisecara otomatis dan berpotensi untuk menyebar dengan sangat cepat di internet.
Wormpertama kali muncul di akhir tahun 1980-an, dan terus meningkat dan menginfeksibanyak system target secara dramatis. Worm telah menjadi sebuah ancaman yangmematikan di internet, walaupun sebagian besar kasus yang terjadi secaraspesifik adalah pada system berbasis windows.
Padabulan mei 1998 dunia internet di kejutkan dengan munculnya ADMworm-VI yangmemanfaatkan kelemahan aplikasi bind. Pada tahun berikutnya pada bulanSeptember 1999 muncul generasi baru. Linux worm yang dikenal sebagai millenniumworm, memang ancaman yang terjadi akibat linux worm tidak sebanding denganancaman yang di rasakan pada mesin-mesin windows OS, sampai pada akhirnyamuncul secara berturut-turut Ramen worm dan pengembangannya Lion worm padabulan januari sampai bulan maret tahun 2001 yang memanfaatkankelemahan-kelemahan aplikasi yangn umum di gunakan pada mesin linux sepertiwv-ftpd, rpc.statd, bind, LPRng, mountd dan apopper.
Internetworm modern memiliki kemampuan scanning target yang sangat baik, dan jugadilengkapi dengan kemampuan melindungi diri dari proses pembersihan yang di lakukanoleh antivirus. Serta memiliki kemampuan mengeksploitasi attack baru setelahworm tersebut dirilis ke internet.
Seiringdengan tingkat ancaman yang semakin tinggi para pakar internet bekerjasamadengan beberapa pihak guna untuk mengurangi tingkat ancaman internetworm,seperti koordinasi antar ISP (internet services provider) dan CERT(computer emergency respone team).
B. Teori Pembentukan Sebuah Worm
Wormatau yang dikenal dengan istilah autonomous intrusion agent adalah programcomputer yang mampu menyebar dan menggandakan diri secara otomatis danberpotensi untuk menyebar dengan sangat cepat di internet.
Padacore system worm jenis apapun terdapat 6 komponen pembentuk, komponen-komponentersebut adalah :
1. Kemampuan melakukan pengintaian
Mekanismepengintaian atau pengumpulan informasi yang di lakukan oleh worm di lakukanuntuk mendapatkan informasi tentang system-sistem computer dan jaringanterdekat, mengindetifikasi, dan menjadikannya sebagai target.
2. kemampuan melakukan attack secara spesifik
sebuahworm dapat melakukan attack secara spesifik didahului oleh proses pengintaianatau tidak, dengan tujuan mendapatkan akses masuk dan menguasai system yangmenjadi target. Proses mendapatkan akses masuk biasanya melibatkan penggunaanremote eksplisit memanfaatkan kelemahan system target seperti buffer overflows,error pada CGI-BIN, format string bugs, atau sejenisnya.
Wormyang memiliki kemampuan attack pada banyak tipe system, biasanya berukuranbesar dan tentu saja hal ini sangat tidak efektif dan efisien dalammelangsungkan proses attack. Mensiasati hal itu dan menjaga agar ukuran wormtetap mungil worm dapat saja melakukan teknik file transfer yaitu denganmendownload sub program yang dapat di eksekusi untuk target ysng spesifik.
3. sebuah command interface
sebuahsystem yang terdiri dari banyak titik, hanya dapat berguna jika di control olehsesuatu yang sama. Pada titik-titik tersebut terdapat dua tipe commandinterface, satu adalah tipe interaktif dimana ketika sebuah remote controlshell di dapatkan, dan yang lainnya adalah otomatis, dimana titik tersebut dicontrol oleh beberapa master.
4. kemampuan berkomunikasi
Karena yang menjadi targetberada pada titik lain dalam sebuah jaringan, worms harus memiliki kemampuan berkomunikasiseperti: mengirim request, melakukan network scanning, melakukan attack, ataukegiatan berkomunikasi menggunakan media jaringan lainnya. Kanal komunikasiyang digunakan biasanya tersembunyi atau dienkrip. Metode ini umum digunakanoleh cracker yang melakukan attack secara manual. Mekanisme transport punberagam, seperti paket-paket ICMP atau covert channel.
5. kecerdasan
Internet worms modern mampumencatat korban dan lokasi yang telah dilalui. Hal ini biasanya menggabungkanbeberapa komponen pembentuk seperti command interface, dan kemampuanberkomunikasi. Sebagai contoh, banyak worms berbasis Windows OS menggunakan IRCsebagai media notifikasi atau mekanisme intelejensi. Ketika mereka berhasilmenginfeksi sebuah sistim, mereka akan melakukan sebuah koneksi ke IRC serveryang telah ditentukan, dan masuk kedalam sebuah channel IRC yang rahasia,memberitahukan lokasi dan password yang dapat digunakan sebagai akses masuk.
6. kemampuan attack yang tidak digunakan
Komponen ini adalah salah satudari komponen yang sulit diimplementasikan. Secara garis besar, worm dilengkapioleh sejumlah kemampuan melakukan attack secara komplit untuk banyak tipikalsistim target. Hal tersebut akan semakin memperbesar konstanta sistim yangmenjadi target. Karena kemampuan attack yang tidak digunakan tersebut, ukuran dariworm akan menjadi lebih besar, dan cenderung memperlambat proses penyebaran,namun disisi lain, worm yang memiliki komponen ini sangat berbahaya sekalikarena memilik kriteria target yang lebih banyak dari worm yang biasanya
C. Kemampuanworm dalam melakukan attack
Ada beberapa kemampuanworm dalam melakukan attack pada sistim target sebagai berikut:
a. Scanning
Secara tradisional, wormmelakukan scanning secara acak pada IP Address yang dibuat menggunakan randomIP Address generator, dikenal sebagai hitlist scanning. Proses pertama yangdilakukan adalah melakukan pemeriksaan terhadap status sistim target. Jikatarget ditemukan sedang dalam kondisi menyala, proses selanjutnya adalahmendeteksi services yang tersedia pada remote. Worm modern tidak lagi melakukanrandom scanning. Metode yang digunakan lebih efektif dan efisien. Metode yangumum digunakan adalah Local Subnet Scanning. Worm akan melakukan scanning padasistim ”tetangga” yang berada pada subnet yang sama. Selain local subnetscanning, worm modern dapat menggunakan metode scanning permutasi, berdasarkanperubahan urutan angka. Dalam sebuah proses scan permutasi, semua worms salingberbagi sebuah pseudo random permutation pada alokasi IP address. Setiapmesin-mesin yang terinfeksi selama fase hitlist atau local subnet scanning akanmelakukan scanning pada titik mereka dalam permutasi yang sudah ditentukanuntuk mencari mesin-mesin yang vulnerable. Ketika semua mesin yang vulnerableterinfeksi, sebuah start point baru dan memulai lagi proses scanning permutasipada titik tersebut. Metode scanning permutasi adalah yang paling efektif untukdigunakan namun juga menjadi ancaman yang sangat besar bagi Internet.
b. StealthDefense
Worms biasanya dilengkapioleh kemampuan menyembunyikan dan melindungi diri dari antivirus yang umum. Halini menyebabkan worm akan terus bercokol meskipun pemeriksaan antivirus padasistim menyatakan bahwa mesin tersebut telah benar-benar bersih, atau jikaantivirus menemukan sebuah worm, antivirus maupun sistim yang menjadi korbantidak mampu membersihkan worm tersebut. Worm yang telah berhasil menginfeksifile-file penting yang dibutuhkan oleh sistim untuk berjalan, menyebabkanproses removal worm akan menjadi sangat sulit.
c. Self Update
Walaupunkeberadaannya sendiri masih diragukan, namun saya meyakini bahwa Internet Wormjenis ini telah ada. Worm ini dilengkapi dengan kemampuan mengupdate eksploityang dibawanya untuk melakukan penyerangan, sehingga dapat ditebak, worm jenisini sulit sekali dibasmi karena selalu memperbaharui database eksploit yangdigunakan untuk membobol sistim target dengan eksploit pada vulnerability yangbaru. Tentu saja, worm ini membutuhkan kemampuan untuk berkomunikasi denganworm master dan mendownload informasi vulnerabilty terbaru.
d. Metode Aktivasi Worms
Pengertian bagaimana worm dapataktif pada sebuah host berhubungan erat dengan kemampuan worm untuk menyebarkandiri, sejumlah worms dapat diatur untuk aktif secara langsung (activated nearlyimmediately), sementara yang lain dapat menunggu beberapa hari, minggu atau bahkan bulan untukdapat teraktivasi dan kemudian menyebarkan-dirinya.
Aktivasi dengan intervensiuser “Merupakan proses aktivasi paling lambat karena membutuhkan intervensiuser untuk mengeksekusi worm tersebut, baik disadari maupun tidak oleh usertersebut. Namun karena sosialisasi yang gencar dilakukan mengenai bahaya wormdan virus, user dapat lebih cermat dengan tidak mengeksekusi program asing ataumembuka attachment e-mail dari orang yang tidak dikenalnya, hal ini tentu akanmemperlambat proses aktivasi worm”.
Aktivasi terjadwalMetode aktivasi worm yang lebih cepat adalah dengan menggunakan prosesterjadwal pada sistim (scheduled system proces). Ada banyak program yang berjalan padalingkungan desktop 2 maupun server untuk melakukan proses sesuai dengan jadwalyang diberikan. Metode ini tetap membutuhkan intervesi manusia namun kali iniintervensi attacker yang dibutuhkan.
Aktivasi mandiri Metodeaktivasi mandiri adalah metode tercepat worm dalam menggandakandiri, menyebar,dan menginfeksi host korban. Metode ini paling populer digunakan oleh parapenulis worm. Umumnya worm yang menggunakan metode ini memanfaatkan kelemahansekuriti (security flaw) pada service yang umum digunakan. Sebagai contoh, wormCodeRed yang mengeksploitasi webserver IIS. Worm akan menyertakan dirinya padaservice daemon yang sudah dikuasainya atau mengeksekusi perintah-perintah laindengan privilege yang sama dengan yang digunakan oleh daemon tersebut. Proseseksekusi tersebut akan berlangsung ketika worm menemukan vulnerable service danmelakukan eksploitasi terhadap service tersebut.
D. Mekanisme Penyebaran
Worm menginfeksi host korbandan memasukkan kode program sebagai bagian dari program worm ke dalamnya. Kodeprogram tersebut dapat berupa machine code, atau routine untuk menjalankanprogram lain yang sudah ada pada host korban. Dalam proses penyebarannya, wormharus mencari korban baru dan menginfeksi korban dengan salinan dirinya. Prosespendistribusian tersebut dapat berlangsung sebagai proses distribusi satuan(dari satu host ke host yang lain) atau sebagai proses distribusi masal (dari satuhost ke banyak host).beberapa mekanisme penyebaran yang digunakan worm untukmenemukan calon korban yaitu dengan melakukan scanning. Scanning “Metodescanning melibatkan proses probing terhadap sejumlah alamat di Internet dankemudian mengidentifikasi host yang vulnerable. Dua format sederhana darimetode scanning adalah sequential (mencoba mengidentifikasi sebuah blok alamatdari awal sampai akhir) dan random (secara acak). Penyebaran worm dengan metodescanning baik sequential maupun random, secara komparatif dapat dikatakanlambat, namun jika dikombinasikan dengan aktivasi secara otomatis, worm dapatmenyebar lebih cepat lagi. Worm yang menggunakan metode scanning biasanyamengeksploitasi security holes yang sudah teridentifikasi sebelumnya sehinggasecara relatif hanya akan menginfeksi sejumlah host saja. Metode scanninglainnya yang dinilai cukup efektif adalah dengan menggunakan bandwidth-limitedroutine (seperti yang digunakan oleh CodeRed, yaitu dengan membatasi targetdengan latensi koneksi dari sistim yang sudah terinfeksi dengan calon korbanyang baru), mendefinisikan target yang hanya terdapat pada local address(seperti dalam sebuah LAN maupunWAN), dan permutasi pada proses pencarian.Secaraumum, kecepatan scanning yang dilakukan adalah terbatas pada kombinasi faktorseperti; jumlah mesin-mesin yang vulnerable, desain dari scanner, dan kemampuannetwork monitoring system yang mampu mengidentifikasikan keberadaan worm denganmeningkatnya trafik yang cukup signifikan.
Target Lists “Sebuahworm dapat memiliki target list yang sudah ditentukan sebelumnya oleh penulisworm tersebut. Dengan target list yang sudah ditentukan terlebih dahulu membuatsebuah worm lebih cepat dalam menyebar, namun tentu saja penyebaran tersebutakan sangat terbatas karena target berdasarkan sejumlah alamat di Internet yangsudah ditentukan. Selain itu, worm dapat menemukan list yang dibutuhkan padahost korban yang sudah dikuasainya, list ini umumnya digunakan oleh worm yangmetode penyebarannya berdasarkan topologi network. Informasi yang didapatcontohnya adalah IP address sistim tersebut dan worm mengembangkannya menjadisebuah subnet pada LAN atauWAN. Target list juga dapat diperoleh padametaserver (server yang memberikan informasi sejumlah server yang memilikiservice yang sama). Sebagai contoh, metaserver Gamespy memiliki daftar serveryang menyediakan service game online.
Monitoring secara Pasif“Worm pasif tidak mencari korbannya, namun worm tersebut akan menunggu calonkorban potensial dan kemudian menginfeksinya. Walaupun metode ini lebih lambatnamun worm pasif tidak menghasilkan anomalous traffic patterns sehinggakeberadaan mereka akan sulit diketahui. Sebagai contoh, "antiworm"CRClean tidak membutuhkan aktivasi user, worm ini menunggu serangan wormCodeRed dan turunannya, kemudian melakukan respon dengan melakukancounter-attack. Jika proses counter-attack berhasil, CRClean akan menghapusCodeRed dan menginfeksi korban dengan menginstal dirinya pada mesin. SehinggaCRClean dapat menyebar tanpa melakukan proses scanning.
E. Motivasi Serangan Worms
Ada banyak motivasi yang menyebabkan sebuahworm dibuat berikut ini adalah motivasi umum yang mendasari serangan worm.
Pride and Power “Intruder(juga pembuat worm) termotivasi untuk mendapatkan kekuasaan dan show-offpengetahuan mereka dengan merusak host orang lain. Intruders ini umumnya tidakterorganisir dengan baik dan menemukan targetnya secara random. Jika merekamenemukan sebuah sistim yang lemah dan vulnerable terhadap sebuah attack makamereka akan melangsungkan attack pada sistim tersebut.
Keuntungan Komersial “Berkaitandengan perkembangan dunia ekonomi yang semakin hari semakin bergantung padakinerja computer untuk menjalankan operasional bisnis sehari-hari, seranganelektronik yang ditujukan ke sebuah domain dapat secara serius menganggutransaksi yang sedang berlangsung. Sebuah serangan worm dapat dilakukan untukmendapatkan profit dengan melakukan manipulasi finansial atau membatasiruang-gerak kompetitor.
Pemerasan “Karena sebuahworm dapat dibuat untuk melangsungkan serangan DOS (Denial of Service) tanpahenti, pemerasan terhadap sebuah perusahaan dapat dilakukan dan serangan barudapat dihentikan jika terjadi transaksi pembayaran sesuai yang diinginkan olehattacker. Motivasi ini lebih terorganisi secara individual maupun kelompok.
Terorisme “Secaraobyektif, worm dapat dimanfaatkan oleh kelompok teroris. Oleh karena ada banyaksistim komputer yang terhubungkan ke Internet berlokasi di negara-negara maju,maka sebuah serangan worm dapat ditujukan sebagai bentuk terorisme. Attackerdapat menyertakan muatan teror Al-Qaeda atau kelompok-kelompok anti-globalisasilainnya untuk menyerang.
F. MendeteksiInternet Worms
Sebuah firewall telahdikembangkan sebagai alat untuk mendeteksi anomali traffic yang berasal dariInternet dan menghasilkan logfile yangmemberikan peringatan bahwa wormmenyerang dengan sebuah port tertentu sebagai target. Firewall dapat melakukanblocking akses sampai Administrator melakukan analisis dan recovery jikadiperlukan. Masalah yang umum ditemukan dalam melakukan respon otomatis secaraakurat adalah mendeteksi dan menganalisa sebuah worm yang sedang beroperasi danmenginfeksi ke sebuah network. Bagian ini mendiskusikan strategi-strategi yangtelah eksis maupun baru dalam mendeteksi keberadaan sebuah worm.
Detektor dapat berupasebuah komputer atau device lain yang berdiri sendiri, terletak pada DMZ(De-Militarized Zone), atau pada sebuah backbone, yang memiliki kemampuanmendeteksi secara lokal atau terpusat. Apapun detektor yang digunakan haruslahsensitif dalam skala network yang besar untuk mengurangi false positives danfalse negatives. Detektor dapat dikatakan berhasil jika mampu mendeteksikejadian anomali dari beberapa tipe worm, kejadian anomali tersebut dapatdiketahui dari pola trafik yang dihasilkan sebagai konsekuensi dari teknikpenyebaran worm tersebut.
G. ResponTerhadap Serangan
Malware seperti worm dan virusdapat menyebar lebih cepat dari pada kemampuan manusia untuk menganalisa danmeresponinya. Sebuah strategi pertahanan yang baik menghadapi worm haruslahdapat dilakukan secara otomatis. Sebuah respon otomatis dapat memperlambat danmembatasi ruang-gerak worm.
Respon otomatis yang diberikan biasanya berupablocking terhadap aktifitas worm. Kelemahan respon otomatis yang umum adalahterjadinya respon terhadap false positive dan false negative. False positiveadalah situasi dimana respon diberikan namun tidak terjadi indikasi adanyaworm, sementara false negative adalah situasi dimana worm benar benar menyerangnamun respon tidak diberikan.Keputusan untuk menanggapi keberadaan worm padanetwork haruslah bijak.
Host Response “Sebuahproses respon pada sistim komputer akan melibatkan personal firewall yang mampumembaca alerts yang dihasilkan oleh host-based IDS. Pada level ini, respon yangdiberikan dapat menjadi lebih efektif dalam membendung aktifitas worm.
Network Response “Responpada level ini haruslah memungkinkan untuk mengkombinasikan teknik blockingketika mendapat alert dan mampu memilah kelas dari trafik yang diduga sebagaiworm yang sedang menyebar. Network-based IDS seperti snort dan prelude dapatdigunakan untuk mengidentifikasi keberadaan worm dengan menganalisa networktraffic secara pasif.
ISP Response “Walaupuntingkat kesulitan dalam melakukan respon otomatis pada level ini cukup tinggi,namun proteksi dengan skala sistim yang lebih besar dapat menjadi pertimbangan.Implementasi respon otomatis pada level ISP haruslah terlebih dahulu terujidengan baik karena terjadinya false positive dan false negative dapat denganmudah terjadi.
H. Recovery
Proses recovery dipertimbangkansebagai salah satu upaya untuk memperlambat penyebaran worm. Dengan memulihkankondisi sistim yang terinfeksi setidaknya akan mengurangi sebuah penyebaranbaru dari worm. Beberapa metode berikut adalah upaya dalam melakukan recoveryterhadap serangan worm.
Anti-worms—Walaupun bersifat ilegal dan kurangpraktis, sebuah anti-worm atau ’worm putih’ dapat menutupi security holes danmembatasi ruang-gerak worm jenis lain. Terlihat sangat atraktif namun beberapabatasan signifikan membuatnya bersifat tidak praktis, selain itu faktor hukummembuat anti-worm tidak dibenarkan secara hukum. Batasan yang signifikan darianti-worm adalah keterbatasannya untuk memperbaiki kerusakan yang ditimbulkanoleh satu jenis worm saja. Sekurang-kurangnya terdapat 3 (tiga) macam anti-wormyang pernah
ada di Internet: Cheese worm, yang menyebar denganmenggunakan backdoor yang dibuat oleh 1ion worm, Code Green, yang memanfaatkanhole yang dibuat oleh CodeRed II, dan CRClean yang memberikan respon terhadapserangan CodeRed II.
DAFTAR PUSTAKA
InternetWorms. Diambil dari http://corebsd.or.id/papers/obsoletes/draft-internet-worms.pdf
Mengenal virusworm. Diambil dari http://deris.unsri.ac.id/materi/deris/Worm.pdf
Internet worms. Diambil dari http://www.magnesium.net/~negative/text/inetworms04.paper.pdf
◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇◆◇
