Ringkasan Singkat (TL;DR) Tujuan & Etika: AI chatbot dapat sangat membantu investigasi forensik dan tugas keamanan siber (seperti penetration testing dan red teaming) dalam menganalisis data bocor dalam jumlah besar—selama digunakan secara legal dan etis. Contoh Penggunaan: Mulai dari triase alert, respons insiden, pelatihan forensik, bantuan secure coding, hingga peringkasan threat intelligence—semuanya dengan kontrol ketat terhadap data dan audit. Kewaspadaan: Hasil analisis dari AI harus selalu diverifikasi dengan data mentah agar tetap akurat dan tidak menimbulkan kesimpulan yang salah. Pendahuluan AI semakin terbukti berguna sebagai “asisten pintar” untuk menganalisis data dalam skala besar, khususnya bagi analis forensik dan tim keamanan siber. Data yang dianalisis biasanya berasal dari: Data yang sudah tersedia secara publik, atau Data internal yang disimpan di lingkungan privat dan terkontrol Pendekatan ini melibatkan pembuatan sistem chatbot berbasis AI (menggunakan Large Language Models/LLM). Namun, penting untuk ditekankan bahwa teknologi ini hanya boleh digunakan untuk tujuan yang sah dan etis, seperti: Otomatisasi internal Dukungan keamanan Analisis data Interaksi pengguna internal Tujuan Membangun AI Chatbot Forensik Dengan chatbot AI, tim keamanan dapat: Menemukan informasi penting (“juicy information”) dengan cepat sebelum sebuah engagement Membantu membuat konten teknis Menganalisis data bocor dalam jumlah besar Memahami konteks dari data hasil kebocoran Alih-alih membaca ribuan file secara manual, analis dapat bertanya langsung ke chatbot dan mendapatkan gambaran awal dalam hitungan detik. Pilihan Model AI: Cloud vs On-Premise Meskipun kamu bisa menggunakan OpenAI API (misalnya GPT-4 atau GPT-3.5 via REST API), sangat disarankan untuk kebutuhan forensik dan keamanan agar: Menggunakan model open-source Dihosting secara lokal (on-premise) atau di private cloud Beberapa model yang umum digunakan: Mistral LLaMA OpenChat GPT4All Keuntungannya: Data tidak keluar ke pihak ketiga Bisa digunakan secara offline Lebih aman untuk data sensitif Arsitektur Sistem Chatbot Setelah model siap, langkah berikutnya adalah membangun antarmuka: Web Application Command Line Interface (CLI) Chatbot internal Antarmuka ini kemudian dihubungkan ke model AI dan dataset yang ingin dianalisis. Hasil akhirnya adalah sistem chatbot internal yang aman dan terkendali. Manfaat Chatbot Internal untuk Tim Forensik Bagi tim forensik, chatbot internal bisa berfungsi sebagai asisten forensik khusus untuk: Menganalisis data bocor dan dump Mengidentifikasi kredensial yang terekspos Menemukan dokumen sensitif Mendeteksi indikator kompromi (IoC) Mencocokkan data bocor dengan: Inventaris aset internal Threat intelligence feed Framework MITRE ATT&CK Semua ini dilakukan sambil tetap: Menjaga kontrol akses Menyimpan audit trail Mengikuti kebijakan penanganan data Ide Penggunaan Chatbot AI yang Aman Beberapa contoh penggunaan chatbot AI di dunia keamanan siber: Asisten keamanan siber untuk triase alert Bot Incident Response berbasis MITRE ATT&CK Helper SOP untuk SOC AI SOC assistant Asisten playbook keamanan Bot pelatihan investigator forensik Asisten secure coding Identifikasi informasi sensitif Peringkas laporan threat intelligence Studi Kasus: LockBitGPT Salah satu contoh nyata adalah LockBitGPT, sebuah tool berbasis ChatGPT yang dibuat oleh Hudson Rock. Tool ini diluncurkan setelah grup ransomware LockBit berhasil dijatuhkan pada Mei 2025. Akibatnya, data internal LockBit bocor dalam jumlah besar, termasuk: Log percakapan internal Kunci enkripsi Dompet Bitcoin Detail operasional grup LockBitGPT dibuat untuk membantu peneliti threat intelligence memahami data bocor tersebut dengan cepat, tanpa harus tenggelam berhari-hari di data mentah. Menurut Hudson Rock: Sistem ini bersifat tertutup Data tidak dikirim ke OpenAI atau pihak eksternal Fokusnya adalah mempermudah pencarian dan pemahaman data Banyak pakar keamanan menyebut kebocoran ini sebagai salah satu kemenangan intelijen terbesar dalam beberapa tahun terakhir. Catatan Penting: Verifikasi Tetap Wajib Meskipun AI sangat membantu, hasil dari chatbot tidak boleh langsung dipercaya 100%. Setiap output AI harus: Dicek ulang dengan data mentah Diverifikasi oleh analis manusia Digunakan sebagai alat bantu, bukan sumber kebenaran tunggal Ini penting untuk: Mencegah kesalahan interpretasi Menjaga integritas investigasi Menghindari kesimpulan yang menyesatkan Kesimpulan Jika digunakan dengan benar, AI chatbot adalah alat yang sangat kuat untuk: Tim ofensif Tim defensif Tim OSINT dan forensik AI kini menjadi bagian penting dalam investigasi digital modern dan layak untuk diinvestasikan agar hasil kerja menjadi: Lebih cepat Lebih cerdas Lebih efisien Namun ingat: AI adalah asisten, bukan pengganti analis manusia. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan pentest indonesia, merupakan bagian dari PT. iLogo Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia. Hubungi kami sekarang atau kunjungi pentestindonesia.ilogoindonesia.com untuk informasi lebih lanjut!
Category: Uncategorized
Cara Mentransfer File di AWS Menggunakan SSM (Untuk Pemula)
Ringkasannya (TL;DR) Kamu sedang melakukan pengujian atau audit di lingkungan internal AWS dan perlu mengambil file sebagai bukti laporan. Kamu bisa menjalankan perintah lewat AWS Systems Manager (SSM), tetapi tidak ada akses inbound (tidak bisa SSH, RDP, atau buka port langsung ke server). Tenang—ada solusi yang aman dan rapi menggunakan SSM Port Forwarding dan Python web server. Masalah yang Sering Terjadi Dalam banyak lingkungan AWS (terutama yang aman), server: Tidak memiliki akses internet keluar Tidak membuka port inbound Tidak bisa diakses via SSH atau RDP Contohnya: Kamu melakukan build review dan perlu mengambil file konfigurasi Kamu ingin mengakses Nessus yang berjalan di jaringan internal Ada file log atau hasil scan yang perlu dijadikan evidence laporan Semua data itu ada di server, tapi bagaimana cara mengeluarkannya? Asumsi Dasar Tutorial ini mengasumsikan: Kamu bisa mengakses server lewat AWS Systems Manager (SSM) Kamu punya izin SSM ke instance Linux atau Windows Server memiliki Python Laptop kamu sudah terpasang AWS CLI Jika semua ini terpenuhi, kita bisa lanjut. Solusinya Secara Umum Kita akan: Login ke AWS Membuat SSM port forwarding Menjalankan Python web server di server Mengunduh file lewat browser lokal Semua koneksi dilakukan melalui SSM, tanpa membuka port inbound sama sekali. Langkah 1: Autentikasi ke AWS Pertama, kamu perlu login ke AWS agar AWS CLI bisa digunakan. Jika akses kamu menggunakan AWS Single Sign-On (SSO): Masuk ke AWS Access Portal Klik menu Access keys Pilih tab PowerShell Di sana kamu akan melihat perintah seperti ini: $Env:AWS_ACCESS_KEY_ID=”REDACTED” $Env:AWS_SECRET_ACCESS_KEY=”REDACTED” $Env:AWS_SESSION_TOKEN=”REDACTED” Salin semua perintah tersebut, lalu: Buka PowerShell Paste dan tekan Enter Sekarang AWS CLI di laptop kamu sudah terautentikasi. Jika kamu sudah punya access key yang valid, langkah ini bisa dilewati. Langkah 2: Membuat SSM Port Forwarding Sekarang kita membuat “terowongan” aman dari laptop ke server AWS. Gunakan perintah berikut: aws ssm start-session \ –target <INSTANCE-ID> \ –document-name AWS-StartPortForwardingSession \ –parameters portNumber=”8000″,localPortNumber=”8000″ \ –region <REGION> Penjelasan Parameter: target: Instance ID server AWS portNumber: Port di server AWS localPortNumber: Port di laptop kamu region: Region AWS (misalnya ap-southeast-1) Jika berhasil, terminal akan menunjukkan bahwa sesi port forwarding sedang aktif. Artinya: 👉 Laptop kamu sekarang terhubung langsung ke server AWS tanpa membuka firewall. Langkah 3: Transfer File dengan Python Web Server Sekarang kita perlu cara agar file di server bisa diakses. Di Server AWS: Jalankan perintah berikut di folder yang berisi file: python3 -m http.server 8000 Ini akan membuat web server sederhana di port 8000. Keamanan: Kompres dan Enkripsi File Sebelum mengunduh file penting, sangat disarankan untuk mengenkripsi file. Contoh menggunakan 7-Zip: 7z a hasil_bukti.7z * -pPasswordKuat123 Gunakan password yang kuat dan jangan lupa menyimpannya dengan aman. Di Laptop Kamu: Buka browser dan akses: http://localhost:8000 Kamu sekarang bisa: Melihat file di server Mengunduh file hasil audit Mengambil evidence laporan Contoh: Mengakses Nessus Internal Jika kamu ingin mengakses Nessus yang berjalan di jaringan internal AWS: aws ssm start-session \ –target <INSTANCE-ID> \ –document-name AWS-StartPortForwardingSession \ –parameters portNumber=”8834″,localPortNumber=”8835″ \ –region eu-west-2 Lalu di browser laptop: https://localhost:8835 Nessus bisa diakses seolah-olah berjalan di laptop kamu sendiri. Kesimpulan SSM Port Forwarding adalah solusi yang sangat efektif dan aman untuk: Mengambil file dari server AWS Mengakses aplikasi internal Tanpa SSH, RDP, atau port inbound Keunggulannya: Tidak perlu ubah firewall Semua lewat AWS SSM Cocok untuk audit dan penetration test Catatan Penting: Selalu enkripsi file yang kamu ambil Tutup sesi SSM setelah selesai Jaga kredensial AWS dengan baik Jika kamu sudah menggunakan SSM, teknik ini nyaris tanpa tambahan risiko dan sangat praktis. Semoga penjelasan ini membantu Kalau mau versi lebih teknis, step-by-step dengan command lengkap, atau disesuaikan untuk laporan keamanan, tinggal bilang saja. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan pentes indonesia, merupakan bagian dari PT. iLogo Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia. Hubungi kami sekarang atau kunjungi pentestindonesia.ilogoindonesia.com untuk informasi lebih lanjut!
Mengapa Vulnerability Assessment Menjadi Pondasi Penting dalam Keamanan Siber Modern
Di era digital saat ini, ancaman siber semakin berkembang dengan kecepatan yang luar biasa. Serangan tidak lagi hanya dilakukan oleh peretas individu, tetapi juga oleh kelompok terorganisir, cybercrime-as-a-service, bahkan otomatisasi berbasis AI. Dengan lingkungan IT yang semakin kompleks — mulai dari server, aplikasi web, cloud, hingga perangkat IoT — perusahaan harus mengetahui dengan jelas di mana letak celah keamanan mereka. Inilah alasan mengapa Vulnerability Assessment (VA) menjadi pondasi penting dalam keamanan siber modern. VA adalah proses sistematis untuk mengidentifikasi, menganalisis, dan memprioritaskan kelemahan (vulnerability) dalam sistem sebelum penyerang memanfaatkannya. Tanpa proses ini, perusahaan berjalan dalam “kegelapan” dan tidak benar-benar tahu risiko apa yang sedang dihadapi. Apa Itu Vulnerability Assessment? Vulnerability Assessment adalah proses pemindaian dan penilaian kelemahan dalam sistem IT untuk menemukan celah yang bisa dimanfaatkan oleh penyerang. VA biasanya menggunakan alat otomatis (scanner) untuk memeriksa: sistem operasi aplikasi web database jaringan internal dan eksternal perangkat IoT cloud environment perangkat endpoint Setiap hasil pemindaian akan menampilkan celah keamanan beserta tingkat risikonya, misalnya: Critical High Medium Low Dengan informasi ini, tim IT dapat mengetahui celah mana yang harus diperbaiki terlebih dahulu. Mengapa Vulnerability Assessment Sangat Penting? 1. Menemukan Celah Sebelum Diserang Penyerang tidak membutuhkan waktu lama untuk mengeksploitasi celah sistem yang terbuka. Bahkan, banyak serangan ransomware modern masuk melalui kelemahan sederhana seperti: port tidak aman software belum di-update konfigurasi salah layanan yang tidak perlu tetapi masih aktif Vulnerability Assessment membantu perusahaan menemukan celah ini lebih cepat daripada penyerang. 2. Memberikan Gambaran Risiko Secara Menyeluruh Tanpa VA, perusahaan hanya menebak-nebak risiko keamanan. VA memberikan peta yang jelas tentang: di mana celah berada tingkat bahayanya dampak pada bisnis seberapa cepat harus ditangani Ini membantu perusahaan membuat keputusan yang tepat berdasarkan prioritas. 3. Mendukung Kepatuhan dan Audit (Compliance) Banyak standar keamanan mewajibkan adanya Vulnerability Assessment rutin, misalnya: ISO 27001 PCI-DSS HIPAA SOC 2 Regulasi industri perbankan & finansial Tanpa VA, perusahaan bisa gagal audit atau terkena sanksi karena tidak memenuhi standar. 4. Mengurangi Risiko Serangan yang Mahal Biaya serangan ransomware atau kebocoran data bisa sangat besar — mulai dari kerugian operasional, denda regulator, hingga rusaknya reputasi perusahaan. VA berperan sebagai “tindakan pencegahan dini” untuk mengurangi risiko serangan yang berpotensi merugikan miliaran rupiah. 5. Meningkatkan Keamanan Secara Berkelanjutan Lingkungan IT berubah setiap hari — aplikasi baru dipasang, server diperbarui, layanan ditambah, user baru dibuat. Karena itu, VA tidak cukup dilakukan hanya sekali. VA perlu dilakukan secara berkala, misalnya: setiap bulan setiap kuartal setelah ada perubahan besar pada sistem Dengan cara ini, perusahaan dapat menjaga keamanan tetap konsisten. Bagaimana Proses Vulnerability Assessment Bekerja? Berikut gambaran umum prosesnya: 1. Asset Discovery Menentukan sistem mana saja yang akan dipindai. 2. Vulnerability Scanning Menggunakan tools seperti Nessus, OpenVAS, Qualys, atau Rapid7. 3. Analisis Hasil Menilai celah berdasarkan tingkat risiko dan dampaknya. 4. Prioritas Perbaikan Menentukan tindakan berdasarkan tingkat kritikal: Critical: segera diperbaiki High: perbaikan cepat Medium: evaluasi Low: pantau dan rencanakan 5. Remediation Melakukan update, patching, perbaikan konfigurasi, atau menonaktifkan layanan yang tidak diperlukan. 6. Reporting Membuat laporan lengkap untuk manajemen dan tim teknis. 7. Rescanning Melakukan pemindaian ulang untuk memastikan semua celah sudah tertutup. Perbedaan Vulnerability Assessment dan Penetration Testing Banyak orang mengira VA sama dengan pentest. Padahal berbeda. Vulnerability Assessment Penetration Testing Fokus menemukan banyak celah Fokus mengeksploitasi celah tertentu Lebih luas & otomatis Lebih mendalam dan manual Untuk memetakan risiko Untuk menguji seberapa jauh celah bisa dimanfaatkan Dilakukan rutin Dilakukan periodik atau saat dibutuhkan VA adalah pondasi, sedangkan pentest adalah uji lanjutan untuk memastikan pertahanan benar-benar kuat. Kesimpulan Vulnerability Assessment adalah salah satu fondasi utama keamanan siber modern. Dengan identifikasi celah secara cepat dan sistematis, perusahaan dapat mencegah serangan yang lebih besar, mengurangi risiko, mendukung kepatuhan, dan menjaga keamanan secara berkelanjutan. Di tengah ancaman digital yang terus meningkat, VA bukan lagi pilihan — tetapi keharusan. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan pentest indonesia, merupakan bagian dari PT. iLogo Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia. Hubungi kami sekarang atau kunjungi pentestindonesia.ilogoindonesia.com untuk informasi lebih lanjut!
Benchmarking Website Vulnerability Scanner Kami dan 5 Scanner Lainnya
Pada Februari 2024, kami membandingkan Website Vulnerability Scanner kami dengan beberapa nama besar di bidang Dynamic Web Application Security Testing (DAST), baik yang komersial maupun open-source: Burp Scanner, Acunetix, Qualys, Rapid7 InsightAppSec, dan ZAP. Mengapa Kami Melakukan Ini? Kami masih relatif baru di pasar. Scanner kami dibangun ulang dari awal pada musim gugur 2020. Setelah 4 tahun dan lebih dari 2,5 juta website dipindai, kami ingin melihat bagaimana performa kami dibandingkan dengan alat lain di pasar. Sebagai spesialis keamanan web, biasanya tidak ada cara standar untuk membandingkan produk melalui benchmark resmi atau informasi vendor. Yang ada hanyalah review acak di internet. Pilihan Anda: mempercayai review itu, atau membuat laboratorium pengujian web security sendiri dan mengujinya secara konsisten. Kami memilih pendekatan kedua, dengan tujuan tidak untuk membanggakan scanner kami, tapi untuk melihat secara jujur apa yang kami lakukan dengan baik, apa yang perlu diperbaiki, dan apa yang bisa dipelajari dari alat lain. Cara Kami Membangun Benchmark Scanner Web Seorang engineer keamanan aplikasi biasanya peduli pada tiga hal: Kemampuan crawler: Seberapa luas scanner bisa menjelajahi aplikasi. Jika endpoint tidak ter-crawl, scanner tidak bisa menemukan kerentanan. Jenis dan jumlah kerentanan yang bisa ditemukan. Tingkat keakuratan laporan kerentanan: False positive = waktu terbuang. Untuk itu, aplikasi uji yang digunakan harus: Memiliki berbagai fungsi yang mewakili sebagian besar aplikasi web nyata. Dibangun menggunakan tech stack yang sesuai tren industri. Transparan: kita tahu semua kerentanan yang seharusnya ditemukan. Fokus benchmark ini hanya pada deteksi kerentanan: membandingkan laporan scanner dengan kondisi nyata target. Kami mengukur: True positive rate → berapa kerentanan yang benar-benar ada dan terdeteksi. False positive rate → berapa kerentanan yang dilaporkan tapi tidak ada. False negative rate → berapa kerentanan yang ada tapi tidak terdeteksi. Untuk objektivitas, testbed tidak dibuat oleh perusahaan pembuat scanner agar tidak ada scanner yang mendapat keuntungan. Target yang Digunakan: Broken Crystals dan DVWA Broken Crystals: Menggunakan React → menantang crawler. Memiliki REST dan GraphQL API → beberapa kerentanan hanya bisa dideteksi jika scanner paham teknologi ini. Memiliki berbagai kerentanan: XSS, SQL injection, JWT, dan GraphQL. DVWA (Damn Vulnerable Web Application): Aplikasi klasik, non-single page. Banyak digunakan sebagai tolok ukur kemampuan scanner mendeteksi hampir 100% kerentanan. Kekurangan Benchmark Scanner Web False positive sering muncul, meski scanner bagus di benchmark, belum tentu sama di dunia nyata. Kami berusaha meminimalkan ini dengan memudahkan pengguna melaporkan masalah scan, serta menjalankan scanner secara terus-menerus pada program bug bounty. Cara Pengaturan Testbed Kedua aplikasi dijalankan di VPS cloud menggunakan Docker. Setiap scanner dipakai secara terpisah, dan aplikasi di-reset setelah scan agar tidak saling mempengaruhi. Digunakan versi stabil terbaru per Februari 2024. Scanner dikonfigurasi untuk crawling paling komprehensif dan semua modul deteksi kerentanan. Untuk API, jika memungkinkan, kami memasukkan REST swagger files dan endpoint GraphQL. Scanner juga diatur agar autentikasi berhasil sebisa mungkin. Hasil Benchmark Broken Crystals Acunetix menduduki peringkat pertama. Website Vulnerability Scanner kami berada di peringkat kedua, setara dengan Burp Suite. ZAP mengejutkan dengan mengungguli Qualys dan Rapid7, berada di peringkat keempat. False positives: Semua scanner mendeteksi beberapa false positives, tapi tidak ada yang menonjol secara negatif. Hasil Benchmark DVWA Burp Suite pertama: mendeteksi 29 dari 39 kerentanan. Scanner kami kedua terbanyak mendeteksi kerentanan. Rapid7 19 vulns, Acunetix 18 vulns. Masalah utama: XSS: Scanner kami hanya mendeteksi 4/12, Burp 11/12. Penyebab: bug spidering dan aturan kami hanya melaporkan XSS jika payload dijalankan di headless browser. Spider memiliki bug di edge cases, sehingga beberapa endpoint tidak tercrawl. Passive Scanner kami masih kurang modul deteksi untuk IP, path, SQL statement. Fokus dua tahun terakhir lebih ke Active Scanner. False positives: Mirip Broken Crystals, tapi ZAP mengeluarkan 88 SQL injection palsu, salah satu alasan kami membangun scanner sendiri pada 2020. Cara Kami Menggunakan Hasil Ini Beberapa hal yang akan kami perbaiki: Meningkatkan Spider: Simulasi interaksi pengguna lebih baik di Single Page Application. Misal klik submenu untuk mengakses halaman yang DOM-nya berubah dinamis. Integrasi REST dan GraphQL Scanner: Memberikan fleksibilitas scan spesifik atau all-in-one. Detektor Active Scanner pada variabel GraphQL: Bisa mendeteksi kerentanan server-side klasik pada query/mutation GraphQL. Benchmark berkelanjutan: Menjalankan scanner secara terus-menerus di target nyata (bug bounty) → mengurangi false positive dan mungkin false negative. Hasil ini memberi kami pandangan objektif dan subjektif untuk meningkatkan scanner kami. Nantikan artikel lanjutan dari proses ini! Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan pentest indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi pentestindonesia.com untuk informasi lebih lanjut!
Bagaimana Kerentanan Ini Mendorong Keamanan Siber ke Depan
Semua kerentanan memang mirip, tapi beberapa benar-benar mengubah permainan, membuka kemungkinan baru, dan menambah lapisan kompleksitas untuk dipelajari. Mari kita lihat lima kerentanan paling terkenal dekade terakhir dan bagaimana mereka membentuk komunitas infosec. 1. Shellshock – bug Bash (CVE-2014-6271) Saya menemukan kerentanan Shellshock di situs web universitas besar pada 2020 dan membantu mereka menanganinya via Skype. Meski ditemukan pada 2014, Shellshock masih menjadi ancaman karena manajemen patch yang tidak efisien. Bagaimana Shellshock bekerja: Memengaruhi Bash shell, interpreter command-line yang banyak digunakan di Linux, macOS, dan sistem mirip Unix. Bash salah mengeksekusi perintah tambahan ketika mengimpor fungsi yang disimpan di environment variable. Penyerang bisa menyisipkan kode berbahaya ke environment variable dan Bash akan menjalankannya, memungkinkan akses tidak sah, pencurian data, atau eksekusi skrip berbahaya. Apa yang membuat Shellshock unik: Mudah dieksploitasi → Risiko tinggi untuk berbagai aplikasi dan layanan berbasis Bash. Permukaan serangan luas → Versi Bash rentan sejak 1989, berarti banyak server tidak terpatch. Cara mitigasi: sudo apt-get update sudo apt-get upgrade bash Selalu perbarui sistem; jangan lewatkan update. 2. Heartbleed – kerentanan kritis OpenSSL (CVE-2014-0160) Heartbleed mengguncang dunia siber pada 2014. Bug di OpenSSL memungkinkan pencurian data sensitif dari memori server. Bagaimana Heartbleed bekerja: Fungsi heartbeat OpenSSL memungkinkan client-server mengirim dan menerima data kecil untuk mengecek koneksi. Server mempercayai input tanpa verifikasi, sehingga attacker bisa meminta server mengirim data lebih banyak dari seharusnya → menyebabkan memory leak. Data yang bocor bisa berupa username, password, atau kunci enkripsi. Apa yang membuat Heartbleed unik: Mudah dieksploitasi, berdampak luas, dan sulit dideteksi. Sekitar 17% SSL server terpengaruh. Mendorong perusahaan besar berkontribusi pada Core Infrastructure Initiative untuk mengamankan software open-source. Cara mitigasi: Perbarui OpenSSL ke versi terbaru. Periksa sertifikat secara rutin. 3. EternalBlue – bug Windows terkenal (CVE-2017-0144) EternalBlue mengeksploitasi kelemahan protokol SMBv1. Bug ini ditemukan NSA dan bocor oleh grup Shadow Brokers pada 2017. Bagaimana EternalBlue bekerja: Menyebabkan buffer overflow di server SMB. Penyerang bisa menjalankan kode berbahaya dan membuat worm yang menyebar otomatis, tanpa interaksi pengguna. Digunakan untuk menyebarkan ransomware WannaCry, mengunci ratusan ribu komputer di seluruh dunia. Apa yang membuat EternalBlue unik: Bisa menyebar lewat jaringan, menginfeksi sistem Windows lain. Dampak nyata: kerugian miliaran dolar dan kepanikan global. Cara mitigasi: Update Windows lawas dan pasang patch MS17-10. 4. Meltdown – kerentanan CPU Intel (CVE-2017-5754) Meltdown adalah bug hardware yang memengaruhi prosesor Intel. Memungkinkan attacker mengakses data sensitif di memori kernel. Bagaimana Meltdown bekerja: Mengeksploitasi speculative execution prosesor x86. Penyerang bisa membaca memori kernel meski tanpa hak akses. Apa yang membuat Meltdown unik: Berbasis hardware → sulit diperbaiki hanya dengan update software. Memerlukan solusi gabungan hardware dan software. Cara mitigasi: Terapkan patch terbaru. Ikuti praktik keamanan hardware dan software, aktifkan fitur mitigasi dan virtualisasi. 5. Zerologon – kerentanan kritis Active Directory (CVE-2020-1472) Zerologon ditemukan oleh Secura dan diperbaiki Microsoft pada 11 Agustus 2020. Bug ini memungkinkan attacker mengambil alih domain controller Windows. Bagaimana Zerologon bekerja: Kerentanan ada pada protokol Netlogon, khususnya proses autentikasi. Menggunakan enkripsi AES-CFB8 yang lemah → attacker bisa meniru komputer apa saja dan mendapatkan akses admin. Apa yang membuat Zerologon unik: Bisa mengontrol Active Directory dan mengelola lingkungan IT dengan hak admin. Cara mitigasi: Pasang update di semua DC dan RODC. Pantau event baru. Tangani perangkat yang tidak patuh dengan koneksi Netlogon rentan. Dampak Kelima Kerentanan Ini pada Komunitas Infosec Shellshock, Heartbleed, EternalBlue, Meltdown, Zerologon menunjukkan bahwa sistem masih rapuh dan bisa berdampak besar pada bisnis. Heartbleed disebut “bug katastrofik” karena memungkinkan attacker mengambil data sensitif server tanpa jejak. Shellshock memicu kepanikan global dengan ribuan upaya eksploitasi dalam beberapa hari. EternalBlue dan WannaCry menyebar cepat, merugikan ratusan ribu komputer di 150 negara. Meltdown dan Zerologon menekankan perlunya pendekatan gabungan software-hardware dan kesadaran protokol kritis. Pelajaran utama: Apa yang dianggap aman hari ini, bisa dengan mudah diretas besok. Belajar dari pengalaman dan menjaga kesadaran terhadap lingkungan teknologi adalah kunci untuk berkontribusi dalam keamanan, apapun peran Anda. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan pentest indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi pentestindonesia.com untuk informasi lebih lanjut!
Benchmarking Network Vulnerability Scanner Kami dan 6 Scanner Lainnya
Pada Januari 2024, kami memutuskan untuk mengevaluasi scanner kerentanan jaringan yang paling banyak digunakan — Nessus Professional, Qualys, Rapid7 Nexpose, Nuclei, OpenVAS, Nmap vulnerability scripts, termasuk scanner kami sendiri, yang dapat divalidasi secara independen oleh rekan-rekan di industri. Di bawah ini kami jelaskan mengapa kami melakukan benchmark ini, hasil yang kami dapatkan, dan bagaimana Anda bisa memverifikasinya (tersedia white paper yang bisa diunduh dengan semua data hasil benchmark ini). Mengapa Kami Membuat Benchmark Ini Kami tahu betapa memakan waktunya membandingkan alat keamanan hanya berdasarkan informasi dari vendor, opini rekan-rekan, forum, dan komunitas. Kami mengalami ini langsung, baik sebagai pengguna alat ketika beberapa anggota tim kami bekerja sebagai penetration tester, maupun sebagai pembuat alat, membangun tool jaringan di Pentest-Tools.com. Evaluasi ini menjadi sumber daya yang berguna bagi banyak spesialis keamanan sekaligus menjadi pengalaman belajar yang berharga bagi tim kami. Melalui benchmark ini, kami bisa memahami posisi Network Vulnerability Scanner kami dibandingkan alternatif lain. Kami sangat berinvestasi pada alat ini, yang merupakan salah satu yang paling kuat di antara 20+ toolkit kami. Bahkan ada tim khusus yang terus meningkatkan kemampuan deteksinya, termasuk membuat modul untuk CVE kritis. Membangun Benchmark untuk Network Vulnerability Scanner Benchmark untuk scanner kerentanan jaringan jarang dilakukan, karena dua alasan utama: Ancaman siber berkembang sangat cepat, sehingga sulit membuat benchmark statis yang relevan untuk jangka panjang. Kerentanan sangat beragam, sehingga benchmark harus mencakup banyak skenario dan metrik evaluasinya cukup kompleks. Kami memilih scanner open-source (OpenVAS, Nuclei, Nmap vulnerability scripts) dan scanner komersial (Nessus Professional, Rapid7 Nexpose, Qualys) agar mencerminkan campuran alat yang digunakan kebanyakan tim keamanan. Fokus benchmark ini adalah pemeriksaan jarak jauh (remote checks) atau perspektif black-box. Mengapa? Karena deteksi jarak jauh memberikan penilaian realistis dari permukaan serangan yang terlihat dan dapat diakses dari luar. Kerentanan berisiko tinggi yang bisa dieksploitasi oleh penyerang eksternal sangat menarik, sekaligus berpotensi merugikan organisasi. Menemukan dan menanganinya penting untuk memperkuat jaringan dari intrusi yang tidak sah. Dua indikator kinerja utama yang kami gunakan: Detection availability → Apakah scanner memiliki deteksi untuk kerentanan tertentu di database-nya Detection accuracy → Apakah scanner benar-benar bisa mengidentifikasi kerentanan tersebut Keterbatasan Benchmark Scanner Jaringan Sebagian besar infrastruktur saat ini berada di balik firewall dan Intrusion Prevention System (IPS) yang mendeteksi dan memblokir paket berbahaya. Hal ini membuat scanner jarak jauh kadang melewatkan kerentanan karena ada blind spot yang dibuat IPS. Namun, pertahanan ini tidak menghentikan penyerang, sehingga target tetap berisiko. Idealnya, benchmark bisa dilakukan untuk scanner lokal dan jarak jauh, karena keduanya saling melengkapi: deteksi lokal memberi detail mendalam, sedangkan deteksi jarak jauh memberi pandangan luas. Tapi kami harus fokus pada remote check karena keterbatasan tersebut. Pengaturan Lingkungan Uji Kami menggunakan virtual machine di platform cloud Vultr, dilindungi firewall berbasis IP whitelist. Ini memberikan keamanan sambil tetap sederhana dalam pengaturan. Sebagai bagian dari setup ini, kami men-deploy semua vulnerable Docker container yang tersedia di Vultr pada Desember 2023, mencakup 167 environment berbeda yang tersebar di 17 instance, masing-masing memuat sekitar 10 layanan yang rentan. Setiap scanner dijalankan terhadap semua 167 environment untuk menjaga evaluasi komprehensif dan objektif, sehingga siapa pun bisa memverifikasi hasilnya. Untuk mempermudah manajemen layanan, setiap instance dilengkapi dengan Docker Compose file sendiri. CVE dikategorikan menjadi: Dapat dideteksi jarak jauh → 128 environment Tidak dapat dideteksi jarak jauh → 39 environment Semua scanner diperbarui dengan deteksi terbaru per Januari 2024, dan sebagian besar dijalankan dengan pengaturan default, menargetkan seluruh port TCP (1–65535). Hasil Benchmark Jumlah kerentanan yang ditemukan tidak otomatis menunjukkan kualitas scanner. Setiap scanner memiliki cakupan yang jauh lebih luas daripada subset CVE yang dianalisis di benchmark ini. Faktor lain seperti kemudahan penggunaan, integrasi dengan sistem lain, atau layanan support juga penting, tapi sulit dibandingkan secara objektif. Hasil utama: Scanner komersial besar menunjukkan level detection availability serupa, kecuali Nexpose karena database-nya tidak membedakan local vs remote check. Ada perbedaan nyata antara detection availability dan accuracy. Contoh: Nessus mengklaim punya deteksi untuk 55,09% environment, tapi hanya berhasil mendeteksi 18,56% secara akurat. Untuk kerentanan yang bisa dideteksi jarak jauh, template Nessus 67,19% tapi deteksi akurat 22,66% (misal CVE-2022-26134, CVE-2018-7600, CVE-2014-6271). Qualys dan Nuclei menunjukkan variansi lebih rendah, actual detection sekitar 25% lebih rendah dari database mereka. Perbedaan lain muncul saat fokus pada vulnerabilities yang bisa dideteksi jarak jauh: Nuclei naik ke posisi kedua, Qualys turun ke posisi ketiga. Menunjukkan Nuclei sedikit lebih luas cakupannya untuk kerentanan remote. Seluruh data benchmark tersedia di whitepaper publik yang bisa diunduh: Discover the best scanners for CVE coverage & accuracy Bagaimana Kami Akan Menggunakan Hasil Ini Data benchmark ini digunakan untuk: Meningkatkan Network Vulnerability Scanner kami Menambah deteksi untuk CVE yang dianalisis Penambahan deteksi mempertimbangkan: EPSS (Exploit Prediction Scoring System) score Seberapa luas penggunaan teknologi/framework rentan CVSSv3 score dari kerentanan Seberapa intens kerentanan dibahas di komunitas siber Jika ingin tahu lebih banyak tentang cara kerja Network Vulnerability Scanner kami, kami juga membuat video walkthrough untuk menunjukkan inti mesin deteksinya. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan pentest indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi pentestindonesia.com untuk informasi lebih lanjut!