INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

Peran CERT di Dunia Siber

Bandung, 03 OKTOBER 2013

___________________________

Ahmad Alkazimy

(Manajer ID-CERT)

ahmad@cert.or.id

Fingerprint PGP Key: 39B2 87BA 3DD6 7832 D56F 0344 FCE4 3A7C FE38 CC96

INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

Sejarah CERT

CERT: Computer Emergency Response Team (1988)dibentuk oleh CMU (Carnegie Mellon University).

CSIRT: Computer Security Incident Response Team (1998), dibakukan melalui kesepakatan bersama masyarakat internet dunia dibawah IETF/ICANN.

“CERT”(CMU - 1988)

“RFC 2350”(IETF - 1998)

“Morris Worm”

(CMU - 1988)

INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

Sejarah ID-CERTDimulai pada 01 Des 1998 sebagai respon terhadap kebutuhan pelaporan masalah security yang terkait dengan internet Indonesia;

Bersifat voluntir (come and go)

Memiliki domain dan situs web

Pendiri forum regional APCERT (Asia Pacific Computer Emergency Response Team) pada 2001-2003, dengan status Full Member;

Kontak Utama untuk Indonesia (PoC) di APCERT;

“ID-CERT”(Budi Rahardjo - 1998)

“APCERT”(ID-CERT

pendiri forum 2001-2003)

INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

Misi

Tujuan ID-CERT adalah untuk melakukan koordinasi penanganan insiden yang melibatkan pihak Indonesia dan luar negeri.

ID-CERT tidak memiliki otoritas secara operasional terhadap konstituensinya baik di Indonesia maupun luar negeri, melainkan hanya menginformasikan berbagai keluhan atas insiden jaringan, serta bergantung sepenuhnya pada kerjasama dengan para-pihak yang terlibat dalam insiden jaringan terkait.

ID-CERT dibangun oleh komunitas dan hasilnya akan kembali kepada komunitas.

Memasyarakatkan pentingnya keamanan internet di Indonesia.

Melakukan berbagai penelitian dibidang keamanan internet yang dibutuhkan oleh komunitas internet Indonesia.

INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

Tim Kami

Voluntir:

Ketua: Budi Rahardjo, PhD

Wakil Ketua: Andika Triwidada

Didukung oleh sejumlah voluntir lainnya.

Staf Profesional:

Manager & Researcher: Ahmad Alkazimy

Incident Response Officer – Helpdesk: Rahmadian

Technical Editor: Ikhlasul Amal

INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

Layanan

Jumlah laporan yang diterima di tahun 2011: 783.457 laporan

Laporan terbesar adalah Network Incident: 780.318 laporan yang terdiri dari:

Brute Force (80%)

Open Proxy (15%)

DDoS, dll (5%)

Respon terhadap pengaduan ditahun 2011: 685 Laporan

Jumlah laporan yang diterima di tahun 2012: 265.194 laporan

Laporan terbesar adalah Network Incident: 202.963 (76,53 % dari total) laporan yang terdiri dari:

Brute Force (90%)

Open Proxy (5%)

DDoS, dll (5%)

Respon terhadap pengaduan ditahun 2012: 868 Laporan

INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

Aduan yang masuk: Darimana Informasi

didapat?

Informasi dari aduan pengguna internet di dalam negri yang mengetahui kelemahan tersebut;

Informasi dari aduan pengguna internet diluar maupun komunitas tertentu yang mengetahui kelemahan yang ada;

Informasi dari media online dan mailing list;

INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

Beberapa Kasus Yang Sering Diadukan

Pembajakan akun media sosial (FB, Twitter, dsb)

Pembajakan pengelolaan nama domain

Deface

Pemalsuan Situs Web/Phishing

HaKI

Malware

Insiden Jaringan

Spam

INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

Kendala yang dihadapi atas aduan yang

diterima

Email tidak valid;

Nomer Telpon tidak valid;

Alamat tidak valid/berubah;

Kontak yang ada merupakan kontak pihak ketiga yang sudah tidak valid;

Terkait masalah Hukum;

INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

Aktifitas

Riset Internet Abuse Indonesia, yang dimulai sejak 2010 dan 2011

Sejak Maret 2012, aktifitas ini berubah nama menjadi Incident Monitoring Report dan bersifat permanen;

Koordinasi dengan tim CERT regional, (seperti: Malaysia CERT, Australian CERT, Japan CERT, dsb);

Membangun kesadaran publik tentang pentingnya IT Security melalui Gathering dan Seminar publik.

INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

Kegiatan

Partisipasi dalam APCERT Drill Februari 2012

Menghadiri APCERT Annual General Meeting, 25 – 27 Maret 2012, BALI.

Membantu pembentukan Roadmap CERT/CC, Regulasi CERT dan GovCERT yang diadakan oleh DITKAMINFO.

Menghadiri forum IISF (Indonesia Information Security Forum) 14 Desember 2011 yang diadakan oleh DITKAMINFO.

INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

Layanan TERBARU

21 Desember 2011: ID-CERT mulai mengirimkan feed/berita harian tentang situs pemerintah yang terkena aksi Deface/Phishing.

01 Juni 2012: ID-CERT meluncurkan Nomor kontak Desk 0889-1400-700.

Nopember 2013: Penerbitan Security Advisory dalam format “resmi”.

INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

CERT/CSIRT di Indonesia

● ID-CERT (1998), sektor umum dan berbasis aduan;www.cert.or.id

● ID-SIRTII (2007), berbasis monitoring log dan memberikan bukti Digital bila diminta penegak hukum;

www.idsirtii.or.id

● Acad-CSIRT (2010), sektor Akademik, berbasis aduan;http://www.acad-csirt.or.id/

● GovCSIRT / KAMINFO (2012), sektor Pemerintahan, berbasis aduan dan Monitoring log.

http://www.acad-csirt.or.id/

INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

Status Terkini Network Abuse DIKBUD

INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

NETWORK ABUSE KEMDIKBUD

PERIODE: JAN 2011 s/d SEP 2013

0

100

200

300Spam

Malware

Network Incident

Spoofing / Phishing

Respon

Spam 0 0 85 148 75 38 69 53 137 257 154 65 169 4 6 3 17 22 80 46 18 39 49 14 2 2 2 0 111 11 7 2 19

Malware 0 0 0 0 0 1 41 13 5 0 4 0 0 0 2 0 0 1 6 2 18 20 23 8 5 9 9 5 2 0 0 0 2

Network Incident 0 0 0 0 0 0 0 0 1 1 1 3 3 1 3 7 1 6 0 0 4 5 2 0 1 0 0 0 0 1 0 0 0

Spoofing / Phishing 0 0 0 0 0 0 0 0 2 0 0 1 0 0 0 0 0 0 0 0 0 1 0 0 1 0 0 0 0 0 0 0 0

Respon 0 0 0 0 0 1 13 3 0 0 0 0 4 0 0 0 0 4 0 0 0 0 1 0 3 0 0 0 0 0 0 0 0

JAN FEB MAR APR MEI JUN JUL AGU SEP OKT NOV DES JAN FEB MAR APR MEI JUN JUL AGU SEP OKT NOV DES JAN FEB MAR APR MEI JUN JUL AGU SEP

2011 2012 2013

INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

Situs Pendidikan yang pernah di Deface

http://asrini.smkn1klaten.sch.id

http://www.sman6bdg.sch.id/wh00t.htm

http://www.smaracatur.sch.id/t6.htm

http://smkn1tanggul.sch.id/zsn.php

http://www.sman20bandung.sch.id/t6.htm

http://www.smp1pandak.sch.id

http://smkn3pandeglang.sch.id

http://www.sdislambumiayu.sch.id/x.txt

http://sdintegral-purwodadi.sch.id/index.php

INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

Situs Pendidikan yang terkena Malware

(cleanmx_generic)http://afarsie.sman2solo.sch.id/thigh.html?lixubimuhu

(Android-PUP/Hamob) http://www.smkn4jkt.sch.id/SMK%2BNegeri%2B4%2BJakarta.apk

(JS/Redirector.aah) http://www.sekolah-pilar-indonesia.sch.id/library/spi-library-collection.html

(HTML/Rce.Gen3) |http://www.smkpratiwiprabumulih.sch.id/html/guru.php?id=lihmateri

(HTML/Rce.Gen3)http://man1psp.sch.id/html/siswa.php?id=profil&kode=24

INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

Situs Pendidikan yang terkena Phishing

http://maalishlah.sch.id/plugins/statmember/index.html

http://smkmuh3kra.sch.id/ggggg/pp/home/

INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

DIKBUDDeface:

http://akademisiprestasi.dikti.go.id/dokumen/spy.html

http://ijazahln.dikti.go.id/backup/v4/spy.html

http://prodibaru.dikti.go.id/temp/spy.html

Malware:

(HTML/Drop.Agent.AB) http://bse.kemdiknas.go.id/buku/20080508115940

(VBS_RAMNIT.SMC) http://bse.kemdiknas.go.id/buku/20080726143026/

Phishing:

http://pptkpaudni.kemdiknas.go.id/wp-content/gallery/galeri/thumbs/sbin.php

Spam:

118.98.164.42, 118.98.232.50, 118.98.162.106, dsb

Network Incident/Brute Force

your Server/Customer with the IP: *118.98.172.188* has attacked one of our servers/partners. The attackers used the method/service: *bruteforcelogin* on: *Fri, 28 Jun 2013 05:53:25 +0200*.The attack was reported to the Blocklist.de-System on: *Fri, 28 Jun 2013 09:07:47 +0200*

INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

Sektor di Indonesia yang pernah

diadukan - Phishing

Operator Telekomunikasi

Perbankan

Universitas/Sekolah/Madrasah/Pendidikan

Penerbangan

Korporat

Pemerintahan

INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

Mengapa perlu respon cepat?

Kelemahan (vulnerability) yang terjadi dapat menimbulkan berbagai peluang:

Kebocoran data penting;

Manipulasi data penting;

Penyalahgunaan data penting;

Pemanfaatan oleh pihak lain untuk menyerang target lainnya;

Penyebaran malware;

Phishing/Spoofing serta “penempelan” situs palsu.

Penyebaran email spam;

Masalah Hukum (UU ITE, ataupun penuntutan dari pihak lain);

Lain-lain;

INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

Tips bagi Pengguna

Cek URL situs tersebut disitus Antivirus

Ciri-ciri situs palsu:

Menggunakan nama domain di tempat hosting gratis

Mencantumkan kontak personal untuk komunikasi

Mencantumkan nomor telpon pribadi

Mencantuman email gratisan dan atasnama pribadi

Selalu mengunjungi situs asli untuk mendapatkan informasi mengenai program tertentu atau dapat menghubungi Call Center resmi Operator/Bank/ Perusahaan tersebut.

INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

Tips bagi Instansi

Segera laporkan situs palsu yang dijumpai kepada ID-CERT (email pengirim harus email resmi instansi).

Sangat disarankan pihak instansi ybs juga melaporkan masalah ini kepada Penegak Hukum;

Beberapa ISP/hosting kerap meminta surat dari penegak hukum sebagai dasar untuk menutup situs/aktifitas ilegal tersebut.

Berkolaborasi dengan CERT/CSIRT untuk memudahkan kontak dimasa yang akan datang.

INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

KESIMPULAN

Perlunya dibentuk CERT/CSIRT Sektor Pendidikan:

Internal DIKBUD

Eksternal:

Dengan “konstituensi” dibawah DIKBUD.

koordinasi dengan CSIRT lainnya yang telah ada.

Melakukan pengecekan keamanan dan kesehatan sistem terhadap seluruh aplikasi yang dijalankan dilingkungan DIKBUD.

Melakukan sosialisasi tentang pentingnya berinternet secara aman;

Membantu CERT/CSIRT yang telah ada;

Peran utama CERT/CSIRT adalah koordinasi dan kolaborasi dengan berbagai pihak secara netral.

Pentingnya CERT/CSIRT mendapatkan dukungan dari berbagai pihak:

Misal: selalu mengupdate kontak agar mudah dihubungi bila terjadi insiden.

INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

READING ROOM: Saran Keamanan

1. Lakukan pemeriksaan kesehatan sistem, misal dengan menggunakan Antivirus untuk memastikan bahwa sistem anda tidak disusupi Malware.

2. Tempatkan seluruh aset sistem kontrol dibelakang firewall, terpisah dari jaringan yang digunakan untuk bisnis.

3. Membangun metode remote akses yang aman, seperti penggunaan Virtual Private Networks (VPN) untuk remote akses.

4. Singkirkan, disable atau rename seluruh akun system default (bila memungkinkan)

5. Implementasikan aturan penguncian akun untuk menghindari upaya coba-coba misal melalui brute force.

6. Implementasikan aturan penggunaan password yang kuat.

7. Lakukan pemantauan pembuatan akun administrator oleh pihak ketiga/vendor.

INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

READING ROOM: cara melapor ke

ID-CERT

Konsultasikan dengan ID-CERT melalui email: cert@cert.or.id (sangat direkomendasikan via email) atau telpon di 0889-1400-700;

Sertakan informasi penting terkait hal yang diadukan, seperti:

Log file

URL / Link bermasalah?

Surat Keterangan dari instansi (untuk situs palsu)

Bila merupakan masalah hukum atau lainnya,ID-CERT akan mengarahkan/mengkonsultasikannya kepada pihak yang tepat.

INDONESIA COMPUTER EMERGENCY RESPONSE TEAM

Kontak Desk ID-CERT:www.cert.or.id

Telpon (+62)889-1400-700cert@cert.or.id

Fingerprint PGP Key: 15CD ADAF 7B01 B838 A795 7408 55C7 877A 4A3B E6E6

______________________________Ahmad Alkazimy(Manajer ID-CERT)

Telpon (+62)838-74-9292-15(+62)8888-777-143 ahmad@cert.or.id

Fingerprint PGP Key: 39B2 87BA 3DD6 7832 D56F 0344 FCE4 3A7C FE38 CC96

_________________________Rahmadian L. Arbianita (Helpdesk ID-CERT)

rahmadian@cert.or.id Fingerprint PGP Key: 414A 1183 199E 8BA5 E0D1 C234 08BF 8BDE 1766 2CC7

__________________Mailing List:

diskusi@MILIS.cert.or.id