“WannaCry” – Mimpi Buruk di Akhir Pekan

Akhir minggu ini rupanya bukanlah week end biasa khususnya bagi orang yang bekerja di bidang IT Infrastruktur ataupun IT Security. Sejak pagi, linimasa di Twitter sudah diramaikan dengan berita tentang terjadinya serangan ransomware secara massive di banyak negara. Mengutip dari cnn.com serangan terjadi lebih 75.000 serangan di 99 negara. Masih dari berita yang sama, 16 National Health Services (NHS) di UK terkena dampaknya sehingga berpengaruh terhadap pelayanan kesehatan, Spanish Telecomm Company Telefonica (SEF) dan FedEx juga dilaporkan terdampak serangan tersebut.

Siangnya, portal berita terkemuka di Indonesia pun memberitakan bahwa sebuah Rumah Sakit di Jakarta terkena serangan di sistem antriannya. Disusul berita-berita lain yang mengkonfirmasi bahwa Indonesia termasuk dalam 99 negara yang terinfeksi. Serangan ini begitu massive seperti digambarkan pada peta yang dikutip dari rt.com dimana hampir merata ke seluruh dunia. Ya, “WannaCry” telah menjadi serangan ransomware terbesar dalam sejarah hanya dalam hitungan jam!

Serangan ransomware yang diberi nama “WannaCry” ini seolah menjadi mimpi buruk di akhir minggu, meski dampak yang sesungguhnya baru akan terlihat di hari Senin pagi mengingat perkantoran baru akan buka dimana banyak komputer akan dinyalakan dan terhubung ke jaringan.

Ransomware menurut wiki adalah  a type of malicious software designed to block access to a computer system or data until a ransom is paid. Ransomware tergolong malware yang akan melakukan enkripsi pada data-data korbannya. Untuk membuka enkripsi tersebut korban harus menyerahkan sejumlah uang kepada pembuat malware tersebut sebagai tebusan guna mendapatkan “kunci” untuk melakukan dekripsi pada data-data yang terenkripsi tersebut.  Dalam kasus “WannaCry” korban diminta untuk membayar tebusan US$300 dalam bentuk bitcoin. Dalam publikasi symantec.com “WannaCry” akan mengenkripsi file-file (termasuk file gambar dan microsoft office) dan kemudian menambahkan ekstensi .WCRY pada akhir nama file.

“WannaCry” memanfaatkan kelemahan sistem remote code execution pada SMBv1 yang ada di sistem Microsoft sebagaimana dipublikasikan pada Microsoft Security Bulletin MS17-010 Critical, pada tanggal 14 Maret 2017.

Munculnya “WannaCry” dikaitkan dengan dibocorkannya powerful hacking tools milik National Security Agency (NSA) oleh Group Hacker yang bernama Shadow Broker pada pertengahan April 2017 lalu. Hacker tersebut mempublikasikan exploit yang berguna untuk memanfaatkan kelemahan pada sistem operasi Windows. Exploit ini dikenal dengan sebutan Project EternalBlue. Pihak Microsoft menjelaskan bahwa daftar exploit tersebut telah diperbaiki pada patch bulan Maret 2017.

Well, we live in a powerful global world !

Dalam waktu singkat seluruh praktisi keamanan dunia bereaksi. Microsoft pun merilis patch untuk Windows XP, Windows 8 dan Windows Server 2003. Note bahwa Microsoft sebenarnya telah menghapuskan support untuk platform-platform tersebut.

Melalui twitter misalnya, solusi sementara dilontarkan untuk  membuka koneksi ke domain tertentu sehingga malware berhenti!  Per tulisan ini dibuat, solusi ini masih efektif untuk menghentikan serangan/menonaktifkan payload.

Secara lokal, ID-SIRTII selaku penanggungjawab kegiatan tanggap apabila terjadi insiden keamanan informasi memberikan beberapa tips sebagaimana dikutip dari detik.com sbb:
1. update security pada sistem operasi windows yang digunakan dengan menginstal Patch MS17-010 yang telah dikeluarkan oleh Microsoft, melalui tautan ini.
2. Jangan mengaktifkan fungsi macros
3. Non aktifkan fungsi SMB v1
4. Lakukan pemblokiran pada akses port 139/445 dan 3389
5. Backup file penting yang ada di komputer pada lokasi lain

Keamanan sistem informasi adalah proses yang terus menerus. Tanpa manajemen sistem keamanan informasi (information security management system) yang baik maka organisasi akan selalu berada di posisi reaktif dan selalu berada di belakang insiden.

Beberapa catatan penting terkait insiden keamanan informasi besar hari ini adalah:

Patch and Patch and Patch!

Salah satu proses dalam dunia keamanan informasi adalah memastikan bahwa setiap sistem selalu dalam kondisi aman. Termasuk didalamnya adalah melakukan pemeliharaan rutin pada sistem berupa patching (pemutakhiran sistem) untuk memastikan bahwa tidak terdapat kelemahan pada sistem. Faktor penting dalam proses patching adalah kedisiplinan dari tim IT karena proses ini harus dilakukan secara terus menerus. Identify Vulnerability – Test Patch – Deploy Patch – Monitoring, begitu seterusnya. Untuk memperkuat keyakinan, perlu dilakukan juga vulnerability assessment teratur dari pihak independen. Dalam standar keamanan sistem informasi (ISMS) ISO 27002  disyaratkan bahwa Management of Technical Vulnerabilities harus dilakukan (clause 12.6.1).

Permasalahan umum yang sering menjadi kendala dalam proses patching adalah:

  • Tersedianya automated system untuk melakukan patching
  • Variasi sistem operasi dan aplikasi
  • Jumlah sistem dalam environment IT
  • Jumlah sumber daya IT yang dialokasikan untuk proses patching
  • Kesadaran pengguna

Back Up, Back Up and Back Up! 

Ransomware meminta korban untuk membayar sejumlah tebusan guna mendapatkan “kunci” enkripsi. Apabila tidak dibayar, dalam periode tersebut grup hacker akan menghapus kunci tersebut sehingga otomatis file tersebut tidak akan bisa dibuka untuk selamanya.

Harus disadari bahwa tidak semua orang/perusahaan mau membayar tebusan kepada grup hacker. Sehingga satu-satunya cara untuk mendapatkan file-file kembali adalah dengan melakukan pemulihan dengan cara restore dari file backup. Namun proses restore tidak akan dapat dilakukan apabila proses backup tidak pernah dilakukan atau tidak dilakukan secara teratur!

Standar keamanan informasi (ISMS) ISO 27002 mengharuskan untuk dilakukan backup untuk menghindari hilangnya data (clause 12.3.1).

User Awareness – Human is the weakest link

Umumnya malware masuk melalui email, usb-port ataupun peramban (browser). Sekalipun tim IT telah melakukan proteksi sistem dengan mempergunakan teknologi, manusia tetap merupakan kelemahan terbesar karena dialah yang berinteraksi dengan email, mempergunakan usb-drive dan melakukan selancar di dunia maya melalui peramban. Sehingga terhadap pengguna komputer perlu diinformasikan risiko-risiko keamanan informasi yang berhubungan dengan aktifitasnya.

Standar keamanan informasi (ISMS) ISO 27002 mengharuskan untuk dilakukan kegiatan pelatihan dan pendidikan mengenai keamanan informasi (clause 7.2.2).

Management of Security Incident 

Apabila sebuah insiden keamanan informasi terjadi seperti hari ini, maka yang diperlukan adalah kesiapan organisasi dalam menangani sebuah insiden. Ini akan menentukan seberapa luas dampak insiden bisa diminimalisir, seberapa cepat insiden bisa ditangani dan berapa banyak data dapat dipulihkan. Dalam banyak organisasi, biasanya Information Security Manager juge bertugas sebagai kordinator dari Security Incident Response Team.

Standar keamanan informasi (ISMS) ISO 27002 mengharuskan organisasi untuk memiliki manajemen insiden keamanan informasi (clause 16.1). Secara lebih spesifik, prinsip manajemen insiden tertuang dalam ISO 27035 yang secara umum meliputi tahapan berikut:

  1. Plan and Prepare
  2. Detection and Reporting
  3. Assessment and Decision
  4. Responses, termasuk Post Incident Activity
  5. Lesson Learnt

Hingga tulisan ini dibuat, proses penyebaran “WannaCry” masih berlangsung dan para pegiat keamanan informasi beserta organisasi yang terkena dampak masih berjuang untuk meminimalkan dampaknya. Mari berharap agar “badai” ini lekas berlalu.

Tapi pertanyaan pentingnya adalah,”Are you ready for the next?

Karena percayalah, there will be more to come.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s