Sejarah Perhackingan Dunia Telnet
Bab ini menguji serangan yang dilakukan selama bertahun-tahun dalam penggunaan layanan Telnet. Pengujian dimulai dengan sekelumit sejarah. Protokol Telnet pertama kali diperkenalkan oleh Postel di tahun 1980. Dalam RFC 764, sebagaimana dituliskan oleh seseorang bernama Postel:
Tujuan dari protokol Telnet adalah untuk berfungsi secara umum, dua arah, fasilitas komunikasi yang berorientasi 8 bit. Tujuan utamanya adalah untuk mengijinkan metode standar dari perangkat terminal antar-muka dan pengolahan berorientasi terminal yang satu dengan yang lainnya. Visinya bahwa protokol tersebut dapat juga digunakan sebagai komunikasi antar terminal (“linking”) dan komunikasi antar proses (komputasi terdistribusi).
———————————————————————————
Referensi Silang : RFC 764 dapat ditemukan pada http://sunsite.auc.dk/RFC/rfc/rfc764.html
———————————————————————————-
Telnet
Sebagaimana yang saya sebutkan pada ulasan “Penjelasan TCP/IP”, Telnet tergolong unik yang dirancang dengan mengecualikan pencatatan rlogin. Telnet dirancang untuk memungkinkan seorang user log in ke mesin lain dan mengeksekusi perintah disana. Telnet (seperti halnya rlogin) bekerja seperti halnya antara anda pada konsol mesin remote tersebut, seolah-olah anda secara fisik berada di depan mesin remote tersebut, menyalakan, dan mulai bekerja.
————————————————————————————————————
CATATAN: Pengguna PC bisa membayangkan hal yang sama dengan software PCAnywhere atau CloseUp. Program ini memungkinkan anda login secara remote ke PC lainnya dan mengeksekusi perintah pada C: prompt mesin remote tersebut (atau bahkan mengeksekusi perintah pada Windows, menyediakan anda koneksi berkecepatan tinggi untuk mengirimkan data grafis melalui kabel).
———————————————————————————————————–
Virtual Terminal
Virtual Terminal
Keajaiban dibalik Telnet berupa pemalsuan suatu koneksi terminal ASCII diantara dua mesin yang berjauhan satu dengan yang lainnya. Hal ini bisa terjadi dengan menggunakan sebuah virtual terminal sebagaimana yang dijelaskan oleh Postel (dikutip dari RFC 854 )
Saat suatu koneksi telnet pertama kali terjadi, setiap ujungnya menganggap asli dan terhenti pada sebuah “Network Virtual Terminal” atau NVT. Sebuah NVT merupakan perangkat imajiner yang menyediakan sebuah standar, network-wide, perantara yang menggambarkan suatu terminal sebenarnya… Network Virtual Terminal (NVT) merupakan perangkat karakter dua arah. NVT memiliki sebuah printer dan keyboard. Printer tersebut merespon data yang masuk dan keyboard menghasilkan data keluaran yang dikirim melalui koneksi Telnet tersebut dan, jika “echo” merupakan hal yang diinginkan, sama halnya dengan printer NVT. Echo tidak diharapkan untuk melintasi jaringan tersebut (meski, opsi tersebut ada untuk mengaktifkan suatu mode operasi “remote” echo, tidak diperlukan host (untuk mengimplementasikan opsi ini). Code tersebut di set berupa 7-bit USASCII dalam suatu 8-bit, kecuali jika telah dimodifikasi. Konversi kode apapun dan pertimbangan waktu merupakan masalah lokal dan tidak berpengaruh pada NVT tersebut.
—————————————————————————————————————
Referensi Silang: Baca RFC 854 pada http://sunsite.auc.dk/RFC/rfc/rfc854.html
—————————————————————————————————————
Sebuah virtual terminal sama halnya dengan (atau mirip dengan) koneksi kabel serial antara dua mesin. Sebagai contoh, anda dapat mensimulasikan sesuatu yang mirip dengannya ke sebuah sesi Telnet dengan tanpa uncommenting instruksi respawn pada file inittab di sistem Linux (dan sebagian besar sistem UNIX) atau dengan mendiskoneksikan keyboard dan monitor pada sebuah SPARC dan menghubungkan terminal VT200 kedalam serial A atau B. Pertama, sebuah login: prompt akan ditampilkan. Yang kedua, seluruh pesan proses boot merupakan echo ke terminal yang terhubung dan berakhir, sebuah boot prompt ditampilkan (atau mungkin, jika disk drive SCSI ditentukan sebagai boot device pada PROM, mesin tersebut akan melakukan boot dan menampilkan login: prompt).
Oleh karena itu, koneksi berbasis Telnet merupakan apa yang disebut dengan koneksi bare-bone. Anda dapat memperhatikan bahwa jika anda menggunakan terminal VT220 sebagai puncak pada SPARC anda, saat terjadi proses boot, logo Sun yang keren tersebut tidak akan tercetak berwarna, tidak ada tampilan grafis yang bagus yang terlihat. Telnet dan sesi terminal benar-benar berbasiskan teks. Sebagai tambahan, koneksi telnet tidak memiliki fasilitas untuk menginterpretasikan bahasa berorientasi-tampilan seperti HTML tanpa bantuan sebuah browser berbasis teks seperti Lynx. Oleh sebab itu, memanggil suatu halaman Web melalui Telnet tidak akan menampilkan gambar atau teks yang berbentuk indah; hanya merupakan source dokumen tersebut (terkecuali bisa, anda login via telnet dan kemudian menggunakan Lynx).
—————————————————————————————————————
NOTE: Lynx benar-benar merupakan browser HTML berbasis terminal yang digunakan dengan shell-account atau koneksi TCP/IP berbasis DOS. Hanya dengan inilah cara satu-satunya untuk mengakses World Wide Web.
—————————————————————————————————————
Sejarah Keamanan Telnet
Sejarah Keamanan Telnet
Telnet memiliki sejumlah security advisories yang banyak. Masalah keamanan Telnet yang muncul sangat banyak, sebagian besar celah keamanan umumnya pada kesalahan pemrograman. Bagaimanapun juga, kesalahan pemrograman bukan satu-satunya alasan mengapa Telnet ada dalam advisories. Pada bulan Agustus 1989, sebagai contoh, masalah tersebut berupa Trojan, sebagaimana yang disebutkan pada CERT advisory “Telnet Break-in Warning” :
Banyak komputer yang terhubung ke Internet saat ini mengalami aktifitas sistem yang tidak terotorisasi. Penyelidikan menunjukkan bahwa aktifitas tersebut terjadi selama beberapa bulan dan meluas. Beberapa komputer UNIX yang memiliki program “Telnet” terpaksa diganti dengan versi “Telnet” yang melog sesi outgoing login (termasuk username dan password untuk sistem remote). Terlihat bahwa akses tersebut telah menguasai berbagai mesin yang terlihat dalam beberapa sesi log-nya.
————————————————————————————————————–
Referensi Silang: Untuk melihat CERT advisory ini silakan kunjungi ftp://ftp.uwsg.indiana.edu/pub/security/cert/cert_advisories/CA-89:03.telnet.breakin.warning
—————————————————————————————————————
Serangan yang terjadi terlebih dahulu dinyatakan oleh DDN Security Coordination Center (September 1989), jadi sekelumit dokumentasi mengenai apakah hal tersebut berpengaruh pada komputer pemerintah. Selain itu, meskipun usaha CERT merupakan apresiasi dan penting bagi keamanan Internet, Advisory DDN juga berisikan analisa teknis tentang penanganan masalah tersebut.
Pada bulan Maret, 1991, telnetd daemon pada distribusi Sun ditemukan memiliki celah keamanan. Sebagaimana yang tertulis pada CERT advisory “Sun OS in .telnetd Vulnerability”.
The Computer Emergency Response Team/Coordination Center (CERT/CC) telah memperoleh informasi dari Sun Microsystem, Inc. berkenaan dengan celah keamanan yang mempengaruhi SunOS versi 4.1 dan 4.1.1 pada in.telnetd pada seluruh arsitektur Sun 3 dan 4. Celah keamanan ini juga mempengaruhi SunOS versi 4.0.3 pada in.telnetd dan in.rlogind pada seluruh arsitektur Sun 3 dan 4. Sepanjang pengetahuan kami, celah keamanan tidak ada pada SunOS versi 4.1 dan 4.1.1 pada in.rlogind. Celah keamanan telah diperbaiki oleh Sun Microsystems, Inc.
—————————————————————————————————————
Referensi Silang: Untuk melihat CERT advisory ini ada dapat mengujungi ftp://info.cert.org/pub/cert_advisories/CA-91%3A02a.SunOS.telnetd.vulnerability
—————————————————————————————————————
—————————————————————————————————————
—————————————————————————————————————
TIP: Jika anda membeli Sun 3/60 melalui Internet, dan anda bisa mendapatkan patch tersebut, yang disertakan advisory sebelumnya.
—————————————————————————————————————
Berbulan-bulan kemudian, telah ditetapkan bahwa sebuah aplikasi yang dikhususkan LAT/Telnet dikembangkan oleh Digital Corporation telah terjadi pelanggaran keamanan. Sebagaimana yang disebutkan pada CERT advisory-nya “ULTRIK LAT/Telnet Gateway Vulnerability”:
Pelanggaran keamanan terjadi pada sistem ULTRIX 4.1 dan 4.2 yang dijalankan software LAT/Telnet Gateway yang memungkinkan akses privilese yang tidak sah… siapapun yang mengakses suatu terminal atau modem yang terhubung pada LAT server yang dijalankan LAT/Telnet service, bisa mendapatkan root privilese yang tidak sah.
—————————————————————————————————————
Referensi Silang: Untuk melihat CERT advisory ini silakan kunjungi: ftp://info.cert.org/pub/cert_advisories/CA-91%3A11.Ultrix.LAT-Telnet.gateway.vulnerability
—————————————————————————————————————
Masalah Telnet pertama kali yang beredar di kalangan orang-orang awam yang terhubung ke suatu distribusi dari client NCSA Telnet melalui mesin PC dan MacIntosh. Jadi tidak terjadi kesalahpahaman disini, ini berupa sebuah client aplikasi Telnet yang menyertakan sebuah FTP server didalamnya. Celah tersebut meluas terutama dari user yang kurang memahami bagaimana aplikasi tersebut bekerja. Sebagaimana yang dijelaskan oleh orang-orang DDN:
Konfigurasi default dari NCSA Telnet pada MacIntosh dan PC memiliki masalah keamanan serius dalam pengimplementasian sebuah FTP server… Siapapun pengguna Internet dapat terhubung melalui FTP ke suatu PC atau MacIntosh yang menjalankan konfigurasi default NCSA Telnet dan mendapatkan akses baca dan tulis yang tidak absah ke berbagai file, termasuk file-file sistem.
Masalah tersebut terkait dengan sebuah file opsi konfigurasi yang memungkinkan seseorang meng-enable atau mendisable-kan FTP server. Kebanyakan user beranggapan bahwa jika pernyataan enable server tersebut tidak ada, maka server tersebut tidak bekerja. Hal ini merupakan kesalahan. Dengan menghilangkan baris tersebut (atau menambahkan opsi baris ftp=yes), maka Anda mengijinkan seseorang yang tidak diinginkan mengakses baca-tulis pada hard disk anda.
Saya mengharapkan hal ini akan menjelaskan argumentasi yang menganggap apakah seorang pengguna PC dapat diserang dari luar. Masalah ini menjadi diskusi hangat di Usenet. NCSA Telnet hanya membuat celaka seseorang pada beberapa situasi dimana seorang pengguna PC atau Mac dapat diserang dari luar. Jadi tergantung pada situasinya, rata-rata pengguna komputer dirumah dapat menjadi korban serangan dari luar. Orang tersebut dapat membaca, menghapus file anda dan seterusnya.
Apa yang lebih menarik adalah bahwa hingga hari ini, mereka yang menggunakan aplikasi NCSA telnet memiliki beberapa resiko, bahkan jika mereka hanya mengijinkan akses ke FTP server pada seseorang yang terotorisasi. Jika seorang cracker mendapatkan dari korbannya suatu username dan password yang valid (dan cracker tersebut juga merupakan seorang user yang terotorisasi), cracker tersebut bisa saja mendapatkan file FTPPASS. File ini merupakan suatu file otentikasi dimana username dan password para user tersimpan. Password yang terenkripsi dalam file ini mudah sekali dicrack.
Username pada file ini tidak tersimpan dalam bentuk terenkripsi (hanya beberapa program mengenkripsi usernamenya). Password tersebut terenkripsi, namun skema enkripsinya memiliki implementasi yang kurang baik. Sebagai contoh, jika password tersebut kurang dari 6 karakter, maka hanya perlu beberapa detik untuk mengcrack. Kenyataannya, seseorang dengan mudahnya dapat mengcrack password tersebut hanya dengan 14 baris program BASIC.
————————————————————————————————————-
Referensi Silang: program BASIC untuk mengcrack passwords dapat dijumpai di http://www.musa.it/gorgo/txt/NCSATelnetHack.txt.
————————————————————————————————————-
Referensi Silang: program BASIC untuk mengcrack passwords dapat dijumpai di http://www.musa.it/gorgo/txt/NCSATelnetHack.txt.
————————————————————————————————————-
Jika anda seorang pengguna PC atau MAC yang menggunakan NCSA Telnet (dengan FTP server), jangan ijinkan seluruh akses FTP ke semua orang yang tidak anda percayai. Jika anda mengabaikan peringatan ini, mungkin anda telah di crack. Bayangkan suatu skenario dimana seseorang pada suatu jaringan yang menggunakan NCSA Telnet. Bahkan jika sisa jaringan tersebut tergolong aman, hal ini akan menyerang keamanan bagian tersebut. Terlebih lagi, aplikasi tersebut tidak menampilkan log (dalam keadaan normal) dan oleh karena itu, tidak meninggalkan jejak. Jaringan apapun yang menjalankan aplikasi ini dapat diserang, dilumpuhkan dan dirusak, dan tak seorangpun dapat mengidentifikasi penyerangnya.
Kebanyakan celah keamanan Telnet telah penah ditemukan, yang berkenaan dengan opsi yang melalui environmet variable. Buletin DDN telah mempostingnya pada tanggal 20 November 1995:
Suatu celah keamanan yang terdapat dalam beberapa versi Telnet daemon yang mendukung RFC 1408 atau 1572, yang keduanya berjudul “Telnet Environment Option”, yang dijalankan pada sistem tersebut juga mendukung shared object libraries…Local dan remote user dengan atau tanpa local account bisa mendapatkan root access ke sistem target.
Sebagian situs yang memiliki celah keamanan ini. Agar memahami masalahnya, anda harus memahami istilah environment. Dalam bahasa UNIX, umumnya merujuk ke lingkungan shell tersebut (adalah bahwa, shell apa yang mungkin anda gunakan sebagai default, apa terminal emulation yang anda gunakan dan seterusnya).
Tidak ada komentar:
Posting Komentar
kalau udah baca postingan saya comment ya