Serangan Web Asing Ubah Paradigma Keamanan

Sistem keamanan tradisional mungkin tidak efektif dan menjadi usang dalam menangkis serangan-serangan Web yang diluncurkan oleh negara-negara, menurut Val Smith, pendiri Attack Research. Tren serangan baru termasuk spam blog dan suntikan SQL dari Rusia dan China, Smith mengatakan selama pembicaraannya di Pameran Keamanan Boston Sumber pada hari Jumat.

"Serangan sisi klien adalah di mana paradigma akan terjadi," kata Smith. "Sistem keamanan monolitik tidak berfungsi lagi."

Peretas menggunakan browser Web sebagai alat eksploitasi untuk menyebarkan malware dan mengumpulkan informasi sensitif. Smith menggunakan contoh dari klien perusahaannya, yang menganalisis dan meneliti serangan komputer, untuk menunjukkan ancaman yang ditimbulkan oleh spam blog dan serangan SQL.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Penyerang menargetkan tinggi -Lalu lintas situs dengan spam blog dan memposting komentar di blog, katanya. Komentar-komentar itu tampak aneh dan cenderung memiliki frase-frase non-Inggris yang ditempatkan di blok-blok besar teks dengan kata-kata acak yang di-hyperlink, katanya. Mengeklik tautan tersebut membawa pengguna ke situs yang tampak seperti blog tetapi adalah laman yang dimuat dengan perangkat lunak perusak, kata Smith.

Sebuah bank China memiliki domain untuk masing-masing situs malware, tetapi alamat IP (Internet Protocol) dilacak ke Jerman. Mempelajari tautan mengungkapkan bahwa masing-masing berisi kata-kata dalam bahasa Rusia atau Rumania, kata Smith. Dengan menempatkan spin internasional pada kegiatan keji mereka, para peretas berharap untuk membingungkan siapa pun yang menyelidiki pekerjaan mereka, katanya.

"Bagaimana Anda akan melacak ini kembali ke orang-orang jahat?" katanya, mencatat bahwa pelacakan rumit oleh hambatan bahasa, bekerja dengan organisasi hukum asing dan berurusan dengan negara-negara "yang mungkin tidak ingin berbicara dengan kami."

Sementara tujuan serangan spam blog tetap tidak jelas, Smith mengatakan insentif keuangan berfungsi sebagai motivasi. Adware dipasang setelah pengguna mengunjungi situs yang terinfeksi menjaring uang hacker, seperti halnya mengklik iklan di halaman. Peretas lain mencari untuk memperluas botnet mereka, atau jaringan mesin yang disusupi yang digunakan untuk tujuan jahat.

Investigasi Smith melacak serangan ke akun DSL rumah di Rusia. Sifat internasional dari insiden itu membuat penuntutan menjadi tidak mungkin, katanya.

Serangan injeksi SQL yang didiskusikan Smith berasal dari Tiongkok dan berusaha mencuri informasi mengenai bisnis yang mengunjungi situs Web perusahaan, yang merupakan klien Smith.

Peretas pertama kali meluncurkan injeksi SQL dan mengunggah kembali pintu belakang yang memungkinkan mereka untuk mengendalikan sistem.

Suntikan SQL tambahan gagal, sehingga peretas mencari sistem untuk mengeksploitasi lainnya. Mereka menemukan aplikasi perpustakaan yang memungkinkan gambar diunggah. Peretas mengunggah file GIF dengan baris kode yang terkandung dalam gambar. Sistem komputer membaca tag GIF dan mengunggah foto dan secara otomatis mengeksekusi kode.

Peretas "menargetkan aplikasi yang ditulis khusus, di-rumah, dan meluncurkan serangan khusus terhadap aplikasi itu," kata Smith.

Peretas akhirnya menempatkan kode HTML "iFrame" pada setiap halaman situs Web perusahaan. IFrames mengarahkan browser korban ke server yang menginfeksi komputer menggunakan alat yang disebut "MPack." Alat ini mem-profilkan OS dan browser korban dan meluncurkan serangan berdasarkan informasi itu.

Hasilnya adalah bahwa korban dipukul dengan beberapa serangan, kata Smith.

Hari ini, serangan injeksi SQL adalah ancaman teratas untuk keamanan Web, kata Ryan Barnett, direktur keamanan aplikasi di Breach Security, dalam sebuah wawancara terpisah dari konferensi.

Tahun lalu, penjahat dunia maya mulai melepaskan serangan besar-besaran di Web yang telah membahayakan lebih dari 500.000 situs Web, menurut vendor keamanan.

"Mereka memulai pada bulan Januari dan pada dasarnya hampir sepanjang tahun," kata Barnett. Sebelumnya, membuat serangan injeksi SQL membutuhkan waktu, tetapi penyerang tahun lalu membuat kode worm yang secara otomatis dapat mencari dan membobol ratusan ribu situs dengan sangat cepat.

Sekarang, alih-alih mencuri data dari situs web yang diretas, orang jahat semakin berbalik dan menanam skrip jahat yang menyerang pengunjung situs. "Sekarang situs ini menjadi depot malware," katanya.

(Bob McMillan di San Francisco berkontribusi pada laporan ini.)