Selasa, 24 Mei 2011

7 - Security Threat (Java Applet)


Sebagai internet user, pasti kita senang kalau tampilan website itu menarik, namun terkadang ada yang ingin memanfaatkan kecanggihan teknologi dengan melakukan kejahatan pada dunia maya. Kali ini, saya akan membahas mengenai ancaman keamanan pada Java Applet. Sebelumnya, saya akan bahas sekilas mengenai Java Applet.




Java applet adalah sebuah program kecil yang ditulis dengan menggunakan bahasa pemrograman Java, yang diakses melalui halaman web dan dapat di-download ke dalam mesin klien yang kemudian menjalankannya di dalam jendela penjelajah web. Java applet dapat secara dinamis menambahkan beberapa fungsi kepada halaman-halaman Web yang bersifat statis. Akan tetapi, untuk menjalankannya sebuah komputer harus memiliki program penjelajah web yang dapat menjalankan Java, seperti Internet Explorer 4.0 ke atas, Netscape Navigator, Mozilla Firefox dan Opera.


















Dua gambar diatas merupakan tampilan dari security warning saat pengecekan signature dari aplikasi java applet dari sumber yang tidak terpercaya. Bagi pengguna awam tentunya tidak akan peduli dengan peringatan2 seperti ini dan dengan lugu dan yakin akan mengklik "Run" agar aplikasi bisa berjalan. Bagaimana jika aplikasi applet-nya merupakan aplikasi berbahaya? Nah, berdasarkan keluguan user inilah kesempatan pihak yang tidak bertanggung jawab untuk melakukan JAVA APPLET ATTACK.


Tahapan pada Java Applet Attack yaitu:

  1. Windows User yang iseng, dengan diam-diam masuk membuat batch file dan menjalankannya di komputer korban, namun tidak merusak, hanya ingin membuat korban panik, ketakutan dan heboh.
  2. Reserve Back Connect, dimana user melakukan back connect ke komputer korban untuk mendapatkan command (cmd) korban
  3. Download and Execute, dimana applet yang telah dibuat user akan mendownload file yang ditentukan dan menjalakannya di komputer korban. File yang dimaksud yaitu virus, BotNet, RAT, Keylogger, iStealer, dll.

Java Applet ini berkaitan dengan Reverse Engineering. Reverse Engineering adalah suatu teknik atau proses untuk menemukan prinsip-prinsip teknologi dari suatu perangkat, obyek, atau sistem melalui suatu analisis terhadap struktur, fungsi dan operasi. Reverse engineering memiliki tujuan untuk mempelajari bagaimana program bekerja dan melakukan operasi tertentu, untuk kemudian menciptakan program baru yang serupa dengan aslinya, untuk meningkatkan kinerja suatu program dengan memperbaiki bug atau mengidentifikasi konten berbahaya dalam sebuah program. 

Apabila seseorang yang tidak menggunakan reverse engineering dengan sebagaimana-mestinya (seperti cracker), dan menjadi orang yang "jahat" dengan memasukkan script-nya pada Java Applet-nya sendiri, memodifikasinya dan menyembarkannya lagi. Secara singkat, pengguna tersebut masuk ke dalam komputer client melalui celah yang ada karena kurangnya security (firewall dan antivirus) kemudian menyebarkan virus dan kemudian merusak sistem. Sehingga bukan karena Java Applet-nya yang bervirus, namun pihak-pihak yang tak bertanggung jawab (seperti cracker) yang memanfaatkan celah pada Java Applet untuk memasukkan virus atau masuk ke operating system pada client machine.

Untuk menjalankan program Java sendiri, sebetulnya ada beberapa peraturan yang harus diikuti seperti :
  • Hanya mengakses daerah tertentu pada sistem file komputer lokal
  • Tidak menjalankan program lain pada komputer lokal
  • Dijalankan hanya pada PC yang terhubung internet
  • Hanya mengakses sistem file lokal atau melakukan pertukaran data melalui jaringan dan tidak bisa keduanya, dan tidak dapat mengakses memori dari program



Namun, walaupun terdapat peraturan, tetap saja terdapat ancaman dan serangan pada Java Applet yang dapat membahayakan client, yaitu:
  • Sistem Modifikasi, dimana dilakukan serangan oleh pihak yang tidak berwenang dengan kemampuan membaca, mengubah dan memodifikasi, menghapus file, memodifikasi memori, dan menggunakan sumber daya sistem pada client machine. Selain itu, melakukan pengrusakan pada sistem korban dan menghapus data penting. Juga mendownload malware di host server, kemudian memasukkan virus ke dalam komputer client, kemudian membobol atau merusak software atau operating system pada client machine. Dan lebih parahnya mengambil, memodifikasi, atau merusak privasi atau rahasia pada client machine.

  • Penyerangan Privasi, dimana pihak tidak berwenang membaca dan mengambil informasi rahasia pada korban, dan parahnya mempublikasikannya Mengakses hard disk dan mencari data penting (contohnya password atau rencana bisnis) yang tersimpan di dalamnya. Kemudian menggunakannya untuk kepentingannya sendiri dan tentunya akan merugikan korban.

Bila dikembangkan lagi, maka penyerangan privasi dapat menjadi cookies
stealer dan remote keylogger. Cookies stealer merupakan hacking yang kuat digunakan untuk mencuri cookies dengan menggunakan remote komputer kemudian menggunakan tool online akan mendapatkan ID dan password dari korban. Sedangkan Remote keylogger adaalah kegiatan monitoring semua aspek dalam kegiatan korban. Disini setiap kegiatan korban dimata-matai, tentu hal ini menjadi sesuatu yang mengerikan karena tidak ada privasi lagi dalam kegiatan korban.

  • Denial of Service (DOS) merupakan serangan yang dapat meniadakan penggunaan sah dengan memonopoli sumber daya yang membuat pemilik komputer tidak dapat mengakses komputernya sendiri. DOS ini contohnya mengisi sistem secara komplit, menggunakan semua pointer file yang tersedia, mengalokasikan semua memori sistem, membuat ribuan windows, efektif menolak akses ke layar output atau antrian kegiatan window, menggunakan semua siklus di mesin (waktu CPU) dengan menciptakan thread dengan prioritas tinggi. Juga mengakuisisi kunci pada beberapa sumber daya sistem yang penting, atau menyebabkan sistem untuk menunggu untuk operasi input atau output yang tidak pernah dapat diselesaikan. 
Bila dikembangkan lagi, maka serangan DOS ini dapat berkembang menjadi DDoS ( Distributed-Denial-of-Service), yang merupakan sebuah usaha untuk membuat suatu sumber daya komputer menjadi tidak bisa dipakai oleh user-nya, dengan menggunakan ribuan zombie system yang 'menyerang' secara bersamaan. Tujuannya negatif, yakni agar sebuah website atau layanan online tidak bisa bekerja dengan efisien atau bahkan mati sama sekali, untuk sementara waktu atau selama-lamanya. Walaupun sepertinya simple, namun situs besar seperti yahoo.com, ebay.com, dan hotmail.com pernah mengalami serangan yang mengakibatkan situs nya tidak bisa di akses selama  beberapa jam.

  • Antagonisme, disini serangan yang dilakukan hanya sebatas menganggu atau memusuhi dari client machine. Contohnya memainkan file suara yang tidak diinginkan atau menampilkan gambar yang tidak senonoh pada layar korban. Disini serangan yang dilakukan hanya perbuatan iseng semata dan tidak ingin mengambil data ataupun memodifikasi sistem. Namun tetap saja ini berarti, seseorang yang tidak berwenang telah memasuki sistem operasi pada client machine.



Namun, sekarang anda tidak perlu khawatir, karena Java telah menerapkan Java Sandbox yang dapat membatasi aksi dari Java Applet dengan membuat beberapa peraturan. Sandbox merupakan satu set aturan yang digunakan ketika membuat applet yang mencegah fungsi tertentu ketika applet dikirim sebagai bagian dari halaman web. Ketika browser meminta halaman web dengan applet, maka applet akan segera dikirim secara otomatis dan dapat dilaksanakan segera setelah tiba di halaman browser. Jika applet mengijinkan akses yang tidak terbatas ke memiri dan sumberdaya pada operating system, hal itu dapat merugikan di tangan seseorang dengan niat jahat. Sandbox menciptakan lingkungan dimana terdapat keterbatasan ketat pada sumber daya sistem yang dapat meminta atau mengakses. Sandbox digunakan ketika kode yang dieksekusi berasal dari sumber yang tidak diketahui atau tidak dipercaya dan memungkinkan pengguna untuk menjalankan kode yang untrusted dengan aman.
Ke-empat serangan dan ancaman ini mungkin dirasa tidak terlalu berbahaya bagi korban yang tidak memiliki data-data penting. Namun apabila korban menyangkut sebuah perusahaan, pasti serangan ini sangat membahayakan. Bisa saja cracker memanfaatkan Java Applet ini dengan mencuri data penting atau rencana bisnis dan kemudian ia jual ke pesaing perusahaan, tentu hal ini akan membahayakan masa depan perusahaan. Juga saat komputer perusahaan dimonopoli dan dimodifikasi oleh cracker atau orang iseng, pasti akan membuat kepanikan dan kerugian bagi perusahaan.


Java memiliki fungsi untuk menjalankan aplikasi bisnis dan transaksi pada computer client. Sekali didownload, maka kode Java ini akan langsung dijalankan pada computer client yang artinya disini terdapat masalah keamanan. Walapun telah digunakan Java Sandbox, untuk mengantisipasi serangan dari pihak-pihak yang tidak bertanggung jawab yang menggunakan Java Applet dan untuk memastikan pengamanan PC Anda, maka Anda dapat melakukan pen-disable-an Java pada browser Anda. Pilih Tools > Internet Options. Pilih tab Security pada jendela Internet Options, klik Custom Level untuk mendapatkan jendela Security Setting dan tick pada Disable Java. Juga dengan menggunakan firewall dan antivirus yang bagus (terutama firewall, karena dibutuhkan sebagai pembatas bagi program-program yang tidak diharapkan).

Dengan begitu Anda akan terhindar dari masalah ancaman pada Java Applet, dan selamat ber-browser ria ^.^



NB: Ibu, tolong lihat tgs ke-6 disadvantage free web hosting saya. Saya sudah edit lagi minggu kmrn, tapi nilainya belum diganti, siapa tau nambah sedikit, kan lumayan,, hehehe
Terus kan tadi ibu bilang kalau mengandung e-commerce itu akan disalahkan, tapi tugasnya itu soalnya seperti ini Bu:

Individual Assignment:
List 2 disadvantages of hosting an e-commerce site on a host that is free of available at a very low cost. Give example e-commerce hosting in Indonesia.

Tolong dikoreksi Bu, apakah malah saya yang salah,, hehehe
Saya juga mengucapkan terima kasih banyak kepada dosen saya tercinta, Ibu Paramita telah mengajarkan saya banyak tentang e-business,, kelas yang menarik dan mengasyikan,, sukses dan sehat selalu Bu,,
GBU always ^.^

Tidak ada komentar:

Posting Komentar