Reverse Engineering Aplikasi iOS

Sudah lama saya menuliskan tentang reverse engineering Android tapi sampai saat ini belum menuliskan untuk iOS. Tulisan ini akan memperkenalkan cara reverse engineering aplikasi iOS dengan berbagai pendekatan. Tujuan utamanya di sini adalah untuk pentesting. Reversing untuk tujuan lain (misalnya Tweak development) sebagian akan sama, tapi masih butuh usaha dan tool ekstra dan hanya akan saya bahas sekilas.

Mesin macOS dan XCode

Memiliki mesin macOS akan sangat membantu dalam reverse engineering. Mesin ini bisa fisik asli dari Apple (Macbook, MacMini atau yang lain), mesin tidak resmi (Hackintosh), atau bahkan Virtual Machine. Pengunaan utamanya adalah untuk menjalankan Xcode terbaru dan iTunes.

Sebenarnya ini tidak 100% wajib, karena kebanyakan tool bisa berjalan di OS Lain. Misalnya di Linux saya memakai libimobiledevice untuk menginstall IPA, membaca log dari device, dsb. Tapi biasanya jika ada iOS baru, berbagai tool di luar OS X akan berhenti bekerja sampai beberapa hari atau bulan, menunggu developernya memahami apa yang diubah Apple dan bagaimana memperbaikinya.

Device iOS dan Simulator

Di dunia Android, kita bisa menjalankan hampir semua APK Android di Emulator kecuali beberapa yang butuh akses hardware tertentu. Emulator Android mengemulasikan keseluruhan hardware dan bisa menjalankan APK meskipun APK tersebut memakai kode biner ARM/ARM64.

Tapi saat ini tidak ada emulator iOS yang bisa diakses umum dengan mudah. Hanya ada satu perusahaan bernama Correlium yang menyediakan emulator dan inipun saat ini clientnya masih sangat dibatasi. Masih lebih mudah dan murah membeli iPhone bekas daripada mendapatkan akses ke Correlium.

Apple hanya menyediakan simulator untuk x86, artinya kita harus mengcompile khusus source code kita supaya jalan di simulator yang disediakan. Jika kita mendownload IPA dari App Store, binarynya pasti ARM/ARM64/ARM64e dan tidak akan jalan di simulator.

Jadi jika kita ingin melakukan analisis dinamik, maka kita perlu hardware iOS tergantung aplikasinya mungkin akan butuh iPhone atau iPad. Beberpa aplikasi bisa juga berjalan di iPod Touch (tapi aplikasi banking yang butuh verifikasi SMS sering kali tidak mau jalan di iPod Touch).

Ketika membeli hardware iPhone/iPad bekas, harap diperhatikan versi iOS yang masih didukung dan kira-kira masih akan didukung atau tidak dalam waktu dekat ini. Contoh: saya membeli iPhone 5S baru sekitar 5 tahun yang lalu dan hardware ini masih bisa dipakai sampai sekarang (mendukung iOS 12), tapi kemungkinan besar tidak akan disupport lagi akhir tahun ini (kemungkinan tidak akan mendukung iOS 13). Update setelah WWDC: iPhone 5S tidak termasuk dalam device yang bisa memakai iOS 13, minimum adalah iPhone 6S.

Ketika tulisan ini dibuat (Mei 2019), jika ingin membeli iPhone, hardware minimal yang saya sarankan adalah iPhone 7 Plus. Alasannya:

  • Versi baru ponsel ini masih dijual oleh Apple
  • Harga second hand benda ini mulai reasonable
  • Prosessornya A10, sama seperti yang dipakai iPod Touch generasi 7 yang baru saja diluncurkan
  • versi 7 Plus memiliki RAM 3 GB (versi 7 saja tanpa plus, hanya 2 GB) jadi kemungkinan akan bisa dipakai untuk beberapa iOS mendatang

Jika dana terbatas belilah iPhone 6S yang bisa dipakai setidaknya setahun lagi. Jika ingin lebih jauh lagi, menurut saya iPhone XR merupakan pilihan yang baik:

  • Harganya cukup jauh di bawah iPhone XS
  • Sudah memakai A12, bisa belajar Pointer Authentication

Tapi tentu saja jika ada dananya, silakan saja beli iPhone terbaru dan termahal.

File IPA

Jika di Android kita memakai file APK untuk instalasinya, maka di iOS kita memakai format IPA. Seperti APK, format IPA ini sebenarnya juga hanya file berformat zip yang di dalamnya berisi resource (gambar, suara, dsb) dan program. Tapi tentu saja walau sama-sama file ZIP, keduanya tidak kompatibel karena isinya benar-benar berbeda.

Khusus untuk format PNG, Apple memakai optimasi khusus sehingga perlu dikonversi kembali. Di OS X ini bisa dilakukan dengan pngcrush. Perlu dicatat pngcrush di OS lain tidak memiliki opsi yang sama, jadi gunakan tool lain untuk mengembalikan PNG agar bisa dilihat. Ini hanya contoh kecil mengapa memiliki hardware macOS plus XCode bisa memudahkan proses RE.

Tanda tangan digital dan Enkripsi

Setiap aplikasi yang berjalan di iOS harus ditandatangani secara digital. Selain itu setiap aplikasi dari App Store dienkrip (memakai DRM Fair Play) dan hanya bisa dipakai di account tertentu. Artinya saya tidak bisa mendownload file IPA dari app store dengan account saya dan langsung ditransfer ke iPhone orang lain.

Jika ingin disebarkan ke orang lain, sebuah program perlu didekrip. Proses dekripsi butuh iPhone/iPad yang sudah dijailbreak. Saat ini belum ada yang berhasil mengekstrasi key dari account, jadi sebuah hardware wajib dimiliki. Program yang dienkrip tidak bisa direverse engineer. Bisa saja dipaksa dibuka di disassembler, tapi instruksinya tidak masuk akal.

Dalam proses pentesting kadang client meminta kita testing dari app store dan kadang dari developer. Proses enkripsi ini dilakukan oleh Apple di server apple, jadi aplikasi yang belum diupload ke App Store masih dalam kondisi tidak terenkripsi. Jika kita dibolehkan meminta dari developer, maka akan lebih mudah melakukan reversing tanpa perlu hardware untuk mendekrip.

Jailbreak

Saat ini jailbreak sangat penting untuk security researcher iOS. Tidak semua versi iOS bisa dijailbreak dan pada semua versi iOS beberapa tahun terakhir kita tidak bisa dengan mudah downgrade ke versi sebelumnya. Satu-satunya cara untuk pindah ke sebuah versi tertentu adalah jika kita punya yang namanya SHSH blob untuk versi tersebut yang spesifik untuk device kita. Di ponsel dengan CPU A12, proses ini lebih kompleks lagi.

Jadi jika kita membeli ponsel dengan software terbaru dan belum ada jailbreaknya, tidak ada yang bisa kita lakukan selain menunggu sampai ada yang menjailbreak. Selagi menunggu, kita bisa menyimpan blob SHSH untuk versi berikutnya. Jadi misalnya kita ada di versi 12.3 (belum ada jailbreak) dan sudah ada versi 13 (belum ada jailbreak juga), kita bisa menyimpan blob untuk versi 13. Nanti misalnya ada jailbreak untuk versi 13 kita bisa upgrade ke versi tersebut.

Biasanya ketika ada jailbreak untuk versi tertentu (misalnya 13), dan Apple sudah merilis vesi lebih baru (misalnya 13.1) maka “signing window” akan ditutup, artinya kita tidak bisa lagi upgrade ke versi 13 tapi harus langsung ke 13.1. SHSH blob hanya bisa dipakai di device yang sudah dijailbreak karena perlu akses root untuk set nonce.

Ini berbeda dengan sebagian device Android yang mengijinkan unlocked bootloader. Pada device Android dengan unlocked bootloader, kita bisa me-root ponsel kita dengan sangat mudah. Di Android APK dari playstore juga tidak dienkripsi (hanya ditandatangi digital) jadi rooting juga tidak wajib dilakukan.

Perlu diperhatikan: banyak website menyesatkan yang menyatakan bisa jailbreak iOS terbaru. Informasi terkini dan valid mengenai berbagai device dan versi iOS yang bisa dijailbreak serta tool untuk jailbreaknya bisa dilihat di:

https://www.reddit.com/r/jailbreak/wiki/escapeplan/guides/jailbreakcharts

Setelah jailbreak, tool yang bisa digunakan untuk mendekrip aplikasi adalah Clutch (iOS versi lama), bfinject (iOS 11) dan CrackerXI (iOS 12).

Developer Account

Untuk device yang tidak dijailbreak, semua aplikasi yang diinstall harus ditandangani digital. Dulunya kita perlu memiliki developer account (99 USD/tahun) untuk bisa menjalankan aplikasi apapun di device kita. Ini termasuk juga aplikasi/IPA yang sudah didekrip tetap perlu ditandatangani agar berjalan di device kita.

Tapi sekarang sudah ada kelonggaran: kita bisa menandatangani gratis tapi hanya berlaku 7 hari. Artinya setelah 7 hari, aplikasi tersebut tidak bisa berjalan, kita harus menandatangani (sign) dan menginstall lagi tiap 7 hari. Maksimum dalam satu waktu kita bisa menginstall 3 aplikasi dengan account gratis ini dan maksimum hanya 2 device per Apple ID. Proses reinstall ini butuh waktu dan butuh komputer. Saat ini cara termudah instalasi tanpa developer account dan tanpa jailbreak adalah dengan Cydia Impactor.

Untuk proyek jangka pendek dan untuk testing, account gratis ini sudah cukup. Tapi jika kita perlu sering melakukan ini, developer account akan sangat membantu. Tanpa developer account, beberapa hal cukup mengesalkan, misalnya:

  • Cydia Impactor sering tidak jalan di iOS terbaru (harus menunggu rilis terbaru),
  • Kita perlu membuat password iCloud spesifik untuk Cydia Impactor (dan kadang password ini expire, harus diset ulang)
  • Cydia impactor ini tidak mengingat password (harus ketik ulang atau copy paste)
  • Jika instalasi gagal, harus memasukkan ulang password
  • Jika ada banyak pekerjaan pentest, batas jumlah aplikasi akan terlampaui

Jika ponsel sudah dijailbreak, kita bisa memakai Reprovision yang berjalan di ponsel dan otomatis menandatangani ulang aplikasi tiap 7 hari. Tapi tentunya batasan jumlah aplikasi tetap berlaku.

Karena hasil dari testing iOS ini sudah jauh lebih besar dari harga developer account per tahun, saya memilih memakai developer account. Selain itu accountnya bisa saya pakai untuk development.

Membuat Aplikasi iOS

Mengenal cara sebuah aplikasi dibuat akan sangat membantu dalam proses reverse engineering. Khusus untuk pentesting, kadang developer meminta saran pada kita bagaimana memperbaiki sesuatu. Terkadang memberikan link saja sudah cukup, tapi di kasus tertentu sebuah solusi tidak bisa dipakai dan kita akan dipandang sebagai pentester yang baik jika kita bisa memberi saran perbaikannya.

Aplikasi iOS dulunya hanya ditulis dengan Objective C. Objective-C masih merupakan bahasa utama yang dipakai di seluruh sistem operasi, sama seperti Java di Android. Seluruh API utama masih menggunakan Objective C. Selain itu sekarang Apple mendukung bahasa Swift.

Sebuah aplikasi iOS akan dikompilasi menjadi format MachO. Format ini berbeda dengan ELF (Linux) dan PE (Windows) sehingga tool yang dipakaipun berbeda. Program bawaan XCode adalah otool yang bisa dipakai untuk men-dump file MachO (seperti objdump di Linux). Selain itu ada jtool yang fungsinya lebih banyak.

Saya sangat menyarankan reverser iOS memahami minimal C dan Objective C. Jika memahami Swift akan lebih baik lagi karena aplikasi modern sekarang ditulis menggunakan Swift. Cobalah membuat aplikasi Objective-C sederhana, lalu reverse engineer aplikasinya.

Sekarang ada banyak teknologi yang bisa dipakai untuk mengembangkan aplikasi iOS misalnya:

  • Cordova dan teknologi lain berbasis HTML
  • Unity (berbasis C#)
  • RubyMotion (Ruby)

Saya akan mengasumsikan aplikasi yang akan direverse engineer menggunakan Objective C atau Swift. Jika menggunakan bahasa lain, maka pelajarilah teknologi tersebut (di luar scope artikel ini). Ketika belajar Objective-C jangan lupa belajar teknik tingkat lanjut seperti Method Swizzling yang bisa dipakai untuk runtime patching sebuah method/class Objective C.

Assembly ARM64

iPhone versi awal memakai Thumb/ARM32, tapi saat ini semua device iOS terbaru memakai instruction set ARM64 jadi jika Anda belum pernah belajar ARM 32 bit bisa langsung skip ke ARM64. Secara teori jika kita memakai decompiler kita tidak perlu memahami level assembly, tapi kenyataanya:

  • Decompiler sering salah atau tidak lengkap hasil dekompilasinya
  • Beberapa aplikasi menggunakan proteksi yang menyulitkan decompiler
  • Untuk patching, kita tetap perlu paham assembly

Jadi saran saya: pelajarilah dasar assembly ARM64. Semakin dalam eksplorasi yang dilakukan, pengetahuan ARM64 yang dibutuhkan juga semakin banyak.

Untuk memulai belajar ARM, saya menyarankan website https://azeria-labs.com/. Websitenya sangat lengkap dan berfokus pada ARM secara umum (tidak spesifik ke teknologi untuk iOS).

Contoh dekompilasi dengan Ghidra

Langkah-langkah reverse engineering

Secara umum langkah-langkah reverse engineering Aplikasi iOS adalah sebagai berikut:

  • Dapatkan versi aplikasi yang tidak terenkripsi (langkah wajib). Bisa dari developernya atau dari dekrip aplikasinya
  • Opsional: gunakan class-dump untuk mendapatkan gambaran aplikasi
  • Bongkar aplikasinya dengan disassembler/decompiler
  • Opsional: lakukan dynamic reverse engineering dengan Frida atau Cycript
  • Opsional: lakukan patching aplikasi jika ada jailbreak detection

Langkah pertama sudah jelas, dan langkah-langkah berikutnya pada dasarnya adalah memakai berbagai tool.

Class-dump

Tool class-dump dapat digunakan untuk menghasilkan header objective-c dari binary Mach-O. Berbagai decompiler seperti Hopper, IDA Pro dan juga Ghidra bisa mengekstrak informasi ini secara otomatis, tapi class dump ini masih berguna karena:

  • Prosesnya cepat
  • Setelah mendapatkan header kita bisa dengan cepat melihat-lihat nama fungsi yang ada

Disassembler/Decompiler

Baik jtool maupun otool bisa mendisassemble file MachO, tapi untuk file yang berukuran besar proses membaca assembly memakan waktu lama. Biasanya sama memakai gabungan decompiler dan disassembler untuk memahami sebuah program.

Ghidra tools gratis dari NSA

Dulu satu-satunya decompiler untuk iOS adalah IDA Pro yang harganya mahal. Sekarang ini ada opsi gratis: Ghidra (pernah saya bahas di sini) dan ada opsi yang harganya relatif murah: Hopper. Kualitas dekompilasi Ghidra lebih bagus dan bisa berjalan cross platform, sementara tampilan Hopper lebih menarik.

Frida dan Cycript

Seringkali reversing statik sulit dilakukan dan modifikasi dinamik lebih cepat untuk memahami sebuah aplikasi. Ada dua tool yang berguna untuk ini: Frida dan Cycript. Untuk saat ini saya lebih menyarankan Frida karena masih dipelihara terus.

Frida bisa dijalankan di ponsel yang sudah dijailbreak (bisa meng-hook semua aplikasi) atau pada satu aplikasi di ponsel yang tidak dijailbreak. Untuk yang sudah dijailbreak, langkahnya lebih sederhana. Untuk yang belum dijailbreak:

  • Ekstrak IPA-nya (harus sudah didekrip)
  • Edit binarynya agar meload Frida (misalnya dengan insert_dylib)
  • Masukkan shared library Frida ke dalam aplikasi

Aplikasi kemudian perlu dijalankan dalam mode debug, karena tanpa ini beberapa fungsionalitas Frida tidak akan berjalan. Setelah frida berjalan, kita bisa menulis skrip dalam javascript untuk menginspeksi atau mengubah jalannya program.

Binary Patching

Jika jailbreak detection dilakukan di satu method terpisah (misalnya: isJailBroken) maka ini biasanya bisa diintercept oleh Frida dan tinggal diganti agar mengembalikan falses (“return 0”). Tapi kadang deteksi jailbreak dilakukan sambil melakukan hal lain. Kelemahan frida adalah: kita hanya bisa menambah/mengubah sesuatu di awal/akhir fungsi, jadi dalam kasus tertentu kita masih butuh melakukan patching.

Tidak ada yang istimewa dalam patching file MachO. Asalkan kita bisa mengerti ARM64, kita bisa mempatch opcode seperti biasa dengan hex editor.

Tweaks

Jika kita memakai iOS yang dijailbreak, maka kita bisa menginstall Tweaks. Tweaks ini pada dasarnya adalah shared library (dylib) yang akan diinjeksikan oleh daemon jailbreak ke proses target. Ada tweak tertentu yang bisa membantu proses reverse engineering/pentesting, misalnya ssl-kill-switch 2 untuk mendisable SSL Pinning.

Kita juga bisa membuat sendiri Tweaks untuk iOS dengan menggunakan Xcode, tapi biasanya tweaks dibuat menggunakan Theos. Kelebihan Theos dibandingkan Xcode adalah tersedianya SDK dengan private headers, yang berisi interface fungsi-fungsi yang tidak publik.

Penutup

Artikel ini masih merupakan perkenalan dan baru menyentuh hal-hal dasar reversing aplikasi iOS. Seperti bisa dilihat bahwa untuk terjun ke reversing iOS secara nyaman dibutuhkan uang yang lumayan (untuk membeli hardware macOS dan iPhone) atau waktu yang cukup banyak (setup Hackintosh).

Beberapa aplikasi dan game terkenal memakai berbagai teknik yang membuat reverse engineering iOS menjadi cukup sulit. Karena tingkat kesulitannya. para hacker game iOS bisa mendapatkan uang cukup banyak dari hacking berbagai game dan aplikasi iOS (contohnya developer ini).

Serba-serbi VPN

VPN itu apa sih? Virtual Private Network adalah teknologi untuk membuat serangkaian perangkat terhubung ke jaringan virtual yang sama. Jadi seolah-olah berbagai device tergabung di satu jaringan. Di posting ini saya akan membahas VPN dari sudut pandang user, sampai kalau ingin membuat VPN sendiri.

VPN banyak digunakan di dunia corporate atau enterprise. Penggunaan yang umum adalah untuk menghubungkan berbagai kantor regional dengan kantor lain atau dengan kantor pusat. VPN juga dipakai oleh remote worker untuk mengakses resource kantor (server, printer, dsb) yang tidak bisa diakses dari umum. Dengan koneksi VPN, komputer rumah atau laptop masuk ke jaringan perusahaan. Jika browsing via VPN maka , seolah-olah kita mengakses internet dari perusahaan tersebut.

Sumber: wikipedia

Beberapa bank juga menggunakan koneksi VPN untuk partnernya, jadi berbagai perusahaan yang ingin mengakses sistem bank harus lewat VPN. Ini hanya layer keamanan tambahan, selain itu masih digunakan password dan juga token.

VPN juga bisa digunakan untuk berinternet lewat server orang lain. Sebenarnya prinsipnya sama dengan sebelumnya: kita bergabung di jaringan privat dan dari situ mengakses internet. Tujuannya memakai VPN biasanya:

  • Membypass blokir
  • Mendapatkan konten tertentu, misalnya daftar film Netflix di Thailand dan USA sangat berbeda
  • Menyembunyikan IP, misalnya untuk wartawan yang takut dipersekusi

Di VPN seperti ini kita hanya numpang lewat untuk internet saja. Ini tidak beda (dari sisi security) seperti numpang WIFI di tempat publik atau rumah orang: pemilik access point bisa mengakses traffic tertentu (kata kuncinya di sini adalah: tertentu). Akan saya jelaskan lebih lanjut di artikel ini.

Koneksi Lewat VPN seperti numpang WIFI di sebuah tempat

Siapa penyedia layanan VPN ini? untuk perusahaan ya mereka sendiri. Selain itu ada penyedia VPN, baik yang gratis maupun berbayar. Kita juga bisa menyewa sendiri VPS (Virtual Private Server) atau dedicated server, biayanya tidak jauh beda dengan VPN berbayar.

Keamanan Aplikasi Gratis

Ada berbagai catatan dalam keamanan VPN gratis. Pertama adalah keamanan aplikasi itu sendiri, terlepas dari aplikasi VPN atau bukan, sebuah aplikasi bisa melakukan banyak hal di ponsel kita tanpa kita sadari.

Di OS Android yang lama, sebuah aplikasi bisa dengan mudah mendapatkan isi phone book, imei, dsb. Bahkan di Android ataupun iOS terbaru pun jika pengguna memencet “YES” untuk berbagai permission, maka aplikasi tetap bisa mendapatkan banyak informasi dari ponsel Anda.

Bahkan jika tidak mendapatkan informasi apapun, sebuah aplikasi bisa menjalankan coin miner di ponsel Anda. Artinya ponsel Anda akan dipakai untuk mendapatkan uang dari berbagai cryptocurrency. Efek buruk menjalankan coin miner terus menerus adalah: HP jadi panas dan akan mengurangi masa hidup batere ponsel Anda.

Tentunya aplikasi apapun juga bisa menampilkan iklan. Ini adalah salah satu sumber pendapatan VPN gratis. Cara dengan iklan ini walaupun menyebalkan tapi masih lebih baik daripada mencuri data.

Secara umum: menginstall aplikasi tidak dikenal bisa berbahaya. Jika Anda bukan orang teknis: jangan menginstall aplikasi dari luar Play Store atau App Store. Aplikasi dari app store dan play store sudah diverifikasi dan biasanya aman (walau kadang ada juga yang lolos).

Untuk aplikasi atau game dari luar app store, risikonya cukup besar. Semakin tua versi sistem operasi Anda, semakin berbahaya. Jika aplikasi mendapatkan akses “root”, maka aplikasi tersebut bisa melakukan apa saja. Termasuk juga mengganti semua aplikasi Anda (termasuk banking) dengan aplikasi lain yang ada backdoornya.

Jadi sekali lagi: sebuah aplikasi bisa berbahaya, baik itu aplikasi VPN ataupun bukan jika sumbernya tidak jelas.

Keamanan VPN

Khusus untuk aplikasi VPN, ada tambahan bahwa aplikasi tersebut bisa memonitor data yang keluar dan masuk. Dalam hal ini kemampuan sebuah aplikasi VPN untuk memonitor dan memodifikasi data tidak beda dengan access point WIFI yang Anda pakai di publik.

Sekarang ke bagian yang saya sebutkan di atas mengenai traffic tertentu yang bisa diakses oleh VPN atau penyedia WIFI gratis. Sebagai pemilik access point WIFI di rumah saya, saya bisa:

  • mengetahui koneksi ke server mana saja
  • memonitor traffic tertentu
  • mengarahkan koneksi dari satu server ke server lain
  • mengganti isi koneksi yang tidak terenkripsi

Perlu dicatat bahwa ada koneksi ke server yang terenkripsi dan tidak terenkripsi. K0neksi yang tidak dienkripsi bisa dimodifikasi. Ini seperti menulis pesan dengan kartu pos, semua bisa membacanya dan mencoret/mengubah isinya.

Apakah koneksi terenkripsi aman? Tergantung aplikasinya. Koneksi terenkripsi seperti memakai amplop untuk mengirim pesan. Tentunya bisa saja seseorang di tengah untuk membongkar amplopnya dan menggantinya dengan amplop baru. (Catatan teknis: sebenarnya tidak semudah itu, kita perlu menginstall root certificate di ponsel).

Sebuah aplikasi yang tidak aman akan menerima “amplop” dari siapa saja asalkan pesannya masih dalam amplop. Tapi aplikasi yang memakai SSL Pinning akan memeriksa detail dan cap di amplop tersebut dan tidak akan mau melakukan koneksi jika amplopnya berbeda.

Perlu dicatat juga: defaultnya jika kita mengetik alamat saja: bni.co.id, maka defaultnya akan memakai koneksi tidak terenkripsi, lalu kita diforward ke koneksi yang terenkripsi.

Beberapa situs mengijinkan koneksi HTTP lalu memforward ke koneksi HTTPS. Contohnya ketika kita mengetik bni.co.id, maka

Tapi beberapa tidak, misalnya jika kita mencoba ibank.klikbca.com maka koneksi tidak bisa dilakukan. Tapi koneksi awal ini bisa menimbulkan masalah: koneksi yang tidak terenkripsi ini bisa dimodifikasi, misalnya jadi Location: https://bni.co.id.bank-negara-indonesia-secure-connection.com/ dengan bank-negara-indonesia-secure-connection.com adalah server saya.

Jadi ketika mengetik pertama kali secara manual, ada risiko bisa terarahkan ke server lain. Tapi jika koneksinya dilakukan langsung dengan aplikasi ebanking maka ini lebih aman. Karena:

  • alamat sudah di-hardcode ke URL HTTPS
  • Umumnya aplikasi bank sudah mengimplementasikan SSL Pinning (setidaknya yang saya cek)

Secara umum, mengganti SSL sebuah koneksi langsung akan ditolak oleh kebanyakan aplikasi (ini ditolak di level library SSL). Jika ingin agar koneksinya diterima, kita bisa menginstall root certificate. Dengan menginstall root certificate, kebanyakan aplikasi (yang tidak memakai SSL Pinning) akan bisa dimonitor.

Bagaimana memeriksa jika kita menginstall Root Certificate? dari menu ini di Android. Jika Anda menemukan list ini tidak kosong, dan Anda tidak pernah menginstallnya, tandanya ada sesuatu yang tidak beres (Android akan memberi peringatan network monitoring)

Di dalam gambar berikut saya menginstall beberapa certificate saya sendiri dan dari sebuah aplikasi yang saya pakai.

Atau ini di iOS (di About: Certificate Trus Settings)

Saya sudah mengecek beberapa aplikasi perbankan seperti: BCA, Mandiri, BRI, BNI, semuanya sudah memakai SSL Pinning. Jadi secara umum: memakai VPN gratis yang didownload dari play store aman untuk transaksi banking melalui aplikasi banking.

Aplikasi VPN bisa mencatat beberapa hal mengenai browsing Anda meskipun tidak bisa melihat semua traffic:

  • Bisa tahu Anda mengunjungi situs tertentu (terutama jika situs tersebut hanya punya 1 IP)
  • Bisa tahu besarnya data yang lewat (jadi bisa tahu apakah kira-kira Anda mengupload sesuatu atau sekedar mendownload/browsing)
  • Bisa tahu kapan Anda mengakses situs-situs tersebut

Data-data tersebut (beserta IMEI, dsb) bisa dijual ke pihak lain.

Ada satu lagi bahaya aplikasi VPN, ini pernah ketahuan di aplikasi HolaVPN. Perlu diketahui bahwa informasi mengalir dua arah: dari komputer/ponsel ke provider VPN dan sebaliknya. Sebuah aplikasi VPN bisa saja menjual bandwith Anda. Artinya: pengguna layanan VPN lain bisa saja dilewatkan trafficnya melalui ponsel/komputer Anda. Jika ternyata isi trafficnya illegal (misalnya pornografi anak), Anda bisa kena masalah.

Aplikasi Hola VPN pernah tertangkap menjual bandwidth

VPN untuk mengamankan Wifi Publik

VPN yang tidak bisa dipercaya sama bahayanya dengan WIFI publik. VPN yang bisa dipercaya, bisa menambah keamanan ketika memakai WIFI publik. Dengan VPN, seluruh traffic keluar sampai ke server VPN terenkripsi, dan artinya pemilik WIFI publik tidak bisa menguping.

Memakai VPN akan membuat pemilik WIFI publik tidak bisa melihat/memodifikasi traffic jaringan kita

Sekali lagi: dalam kasus ini yang bisa menguping adalah provider VPN. Jadi pilih provider yang terpercaya, atau setup sendiri server VPN Anda.

Mensetup VPN Sendiri

Sulitkah mensetup VPN sendiri? sebenarnya tidak asalkan punya dasar teknis administrasi Linux/Windows. Ada beberapa skrip di Internet yang bisa dijalankan untuk mengotomasi ini. Contoh yang cukup terkenal adalah openvpn road warrior. Cukup butuh semenit untuk membuat sebuah server dedicated ataupun VPS dengan skrip ini:

https://github.com/Nyr/openvpn-install

Skrip tersebut ditujukan untuk mensetup server OpenVPN dan menghasilkan file ovpn yang siap dipakai dari berbagai OS (Linux, Windows, OS X, iOS dan Android). Cara memakai file ovpn yang dihasilkan skrip: copy file tersebut ke device Anda, install software OpenVPN (bisa dicari di app store/play store), lalu buka filenya dan tekan “connect”.

OpenVPN dengan server sendiri

Tentunya ini bukan satu-satunya cara mensetup VPN. Ada banyak software VPN lain, contohnya di blog ini saya pernah membahas cara setup software tinc. Secara umum setup berbagai software VPN cukup memakan waktu.

Dulu saya pernah juga memberikan layanan VPN + Hack supaya bisa menginstall aplikasi secara tidak resmi di Blackberry 10 via OTA (tapi layanannya sudah saya tutup). Ini memakai Openswan dengan skrip custom. Videonya masih ada:


Bagaimana dengan biayanya? Sebuah server dedicated bisa didapatkan dengan harga mulai 10an USD. VPS bisa didapatkan dengan harga mulai 1 USD. Dengan 5 USD kita bisa mendapatkan VPS DigitalOcean yang berlokasi di Singapore yang cukup cepat diakses dari Indonesia. Tentunya satu server (baik dedicated maupun VPS) bisa dipakai beberapa orang, jadi biayanya bisa lebih rendah lagi

DNS alternatif

Sebenarnya jika hanya ingin mengatasi blokir internet, DNS alternatif bisa digunakan. Contohnya yang mudah adalah 1.1.1.1 dari Cloudflare.

Prinsip pemblokiran sebuah situs adalah seperti ini:

  • Ketika akan melakukan koneksi ke facebook.com, kita perlu IPnya, ini ditanyakan ke DNS
  • DNS akan memeriksa apakah ada di daftar blokir, jika ya, maka redirect ke internet positif
  • Jika aman, makan DNS akan memberikan IP yang benar.

Jadi untuk mengatasinya ada beberapa cara:

  • Menggunakan server DNS alternatif. Tapi kadang port 53 diblok ke server lain, sehingga kita hanya bisa memakai DNS milik ISP
  • Memakai DNS over HTTPS (memakai port 443). Ini mudah memakai DNS Cloudflare: https://1.1.1.1/ (silakan download aplikasi yang tersedia di website tersebut)
  • Mengedit sendiri file hosts dan memasukkan kombinasi host name dan IP address secara manual. File ini ada di /etc/hosts (Linux/BSD), di /etc/private/hosts (OS X), atau %SYSTEMROOT%\System32\Drivers\etc\hosts (Windows)

Membuat Software VPN Sendiri

Mensetup dan memakai software VPN tidak membuat Anda jadi ahli dalam soal VPN. Jika ingin benar-benar paham, cobalah membuat software VPN sendiri dengan API yang disediakan oleh berbagai sistem operasi.

Mengapa membuat VPN ini latihan yang bagus:

  • Anda jadi mengerti pemrosesan paket jaringan
  • Anda jadi mengerti bagaimana mengimplementasikan enkripsi paket jaringan
  • Bisa paham jika ingin mengevaluasi security sebuah aplikasi VPN

Software provider VPN akan membuat jalur terenkripsi dari sebuah komputer ke komputer lain. Untuk membuat software VPN sendiri, kita perlu pemahaman yang cukup baik mengenai networking sampai ke level paket jaringan.

Di tahap awal, kita bisa membuat VPN yang tidak terenkripsi sama sekali . Kemudian kita bisa menambah enkripsi sederhana, lalu yang lebih rumit.

Pertama agar software ini bisa menerima dan meneruskan paket jarigan, maka kita perlu membuat sebuah network interface baru untuk menerima dan mengirim paket data. Biasanya ada dua jenis network interface: level paket di layer 3 (Internet Protocol/IP atau protokol lain) dan layer 2 (ethernet frame)

Setelah interface VPN bisa digunakan, kita perlu memberitahu berbagai program agar memakai interface tersebut untuk mengirim dan menerima data. Ini bisa dilakukan dengan mengubah default route agar melalui interface tersebut. Perlu dicatat: program yang memiliki privilege tinggi bisa membypass VPN dengan langsung memakai network interface tertentu.

Ada banyak ide yang bisa dan sudah banyak yang diimplementasikan yang bisa dilakukan dengan mengintersepsi network:

  • Membuat ad blocker berbasis VPN
  • Membuat network sniffer (Contoh yang sudah ada di play store: Packet capture)
  • Membuat protokol VPN yang jika disniff seolah-olah hanya saling mengirimkan gambar (padahal ada datanya di dalam gambar tersebut dengan steganografi).

Dengan membuat sendiri software VPN kita bisa terbebas dari spyware yang mungkin ada di software seperti kasus Onavo dari Facebook.

Network interface virtual: TUN dan TAP

Untuk sistem operasi Linux, ada dua network jenis network adapter virtual TUN dan TAP yang bisa dibuat. Bedanya dengan network interface fisik adalah: jika ada paket jaringan masuk ke interface ini, maka paket tersebut tidak dikirimkan ke hardware, tapi ke sebuah program yang bisa kita buat sendiri (user space program). Program ini yang perlu kita buat yang akan memproses tiap paket jaringan yang lewat.

TUN (Tunel Network) bekerja di layer 3 sedangkan TAP bekerja di layer 2. Dalam kebanyakan aplikasi kita cuma butuh TUN saja karena hanya butuh melewatkan paket network, tidak perlu memproses level ethernet frame.

Untuk mengakses tunnel device ini kita bisa menggunakan API tertentu atau dengan ioctl. Tutorial contohnya bisa dibaca di sini:

Windows tidak memiliki API sederhanya untuk user mode networking. Network driver di Windows perlu diimplementasikan dengan NDIS dan ini cukup kompleks plus butuh code signing yang cukup repot dan mahal. Untungnya sudah ada yang membuatkan driver TUN dan TAP . Kita bisa memakai kedua driver ini (OpenVPN, Tinc, dan berbagai software lain memakai pendekatan ini).

VPN API di Android

Di Android kita tidak bisa dengan mudah membuat interface network ini. Jika kita ingin membuat service VPN baru, kita perlu menggunakan API VPN Service. API ini sebenarnya hanya membungkus interface TUN dan sekaligus mensetup default route agar lewat VPN. Dengan API ini, program kita perlu membaca raw packet, mengenkrip paket tersebut, lalu meneruskannya.

Untuk parsing paket IP, Android tidak menyediakan API-nya. Dalam kasus tertentu kita bisa parsing sendiri header IP-nya (misalnya sekedar membaca destination IP dan port). Untuk kasus kompleks kita perlu library stack IP. Contoh kasus kompleks misalnya jika kita ingin menangani stream SSL lalu mendekrip stream tersebut.

Kebanyakan aplikasi VPN yang saya periksa menggunakan native library untuk parsing dan processing paket jaringan (tidak diparse di Java). Jika ingin mempelajari bagaimana membuat aplikasi VPN sendiri, ada banyak proyek open source Android yang bisa dilihat, misalnya:

https://github.com/M66B/NetGuard

VPN API di iOS dan macOS

Apple menyediakan beberapa API untuk VPN. Secara high level kita bisa memakai protokol VPN yang sudah ada dan sekedar membuat aplikasi untuk mengendalikan koneksinya (misalnya membuat layar login yang lebih bagus atau terkoneksi ke sistem billing). Secara low level, kita bisa membuat protokol kita sendiri

https://developer.apple.com/documentation/networkextension

Untuk memakai ini di iOS kita perlu memakai Network Extension Entitlement, tadinya memakai ini di iOS butuh ijin khusus dari Apple, tapi sekarang sudah tidak perlu lagi. Contoh penggunaan API sudah disediakan Apple di:

https://github.com/ios-sample-code/SimpleTunnel

Penutup

VPN adalah nama sebuah teknologi yang sebenarnya cakupannya cukup luas, tapi sekarang banyak dipersempit jadi sekedar: mengakses internet lewat komputer orang lain. Lalu mulai ada banyak informasi tidak benar berdasarkan penyederhanaan ini.

Semoga informasi yang di tulisan ini bisa memperluas wawasan Anda mengenai VPN. Mungkin ada juga yang jadi ingin mengimplementasikan protokol VPN sendiri.

Saya tidak menyarankan layanan VPN tertentu, karena takut salah:

  • Kadang ada layanan super populer (dulu Hola) yang ternyata kemudian ketahuan tidak aman
  • Ada layanan VPN yang sekarang aman, tapi nanti bisa saja berubah total, entah karena tekanan bisnis atau dibeli pihak lain

Jika butuh VPN:

  • untuk sekedar keamanan pribadi (misalnya ketika memakai WIFI publik) setuplah VPN sendiri
  • Jika ingin mengamankan diri dari pihak berwajib atau orang jahat pakailah TOR anonymity network
  • Jika ingin mengakses konten dari negara lain: silakan pakai layanan berbayar

Hacking di Serial Phantom/Ghost/유령 (bagian 4)

Ini merupakan bagian terakhir dari seri posting ini yang membahas episode 15 sampai 20. Di akhir seri ini adegan hacking yang dilakukan semakin sedikit dan fokus lebih pada cerita. Walau demikian, adegan hackingnya tetap lebih meyakinkan dari “hacker wannabe” dengan tag yang sempat trending di masa setelah pemilu ini.

Fokus akhir cerita masih ke software security/antivirus yang diberi backdoor. Kasus ini sangat mungkin terjadi seperti dalam berita tentang antivirus Kaspersky yang dicurigai dipakai menghack NSA. Sebagai catatan: cerita tentang Kaspersky di dunia nyata bahkan lebih seru dari di film ini.

Ada bagian mereka mengambil rekaman dari dashcam mobil. Setahu saya tidak ada dashcam yang bisa menyimpan video sampai puluhan hari, apalagi yang diakses adalah SD card yang menempel di dash cam. Andaikan ada sistem yang bisa menyimpan jangka panjang, kemungkinan medianya adalah harddisk (atau data ditransmit ke server ketika sampai di garasi).

Ada adegan waktu koneksi internet tiba-tiba mati: program yang dilihat adalah PRTG Traffic Grapher yang cukup masuk akal. Penyebab trafficnya tiba-tiba berhenti agak kurang masuk akal yaitu DDOS, seharusnya tiba2 ada traffic besar. Kecuali ada bug di firewallnya yang justru mematikan koneksi ketika ada serangan.

Di dalam film ini juga digambarkan bahwa tidak semua hal bisa dihack secara remote, tapi harus datang ke tempat langsung. Ini memang benar, tidak semua sistem bisa dihack dari jauh jika tidak terhubung ke jaringan. Di kasus tertentu bahkan kita tidak tahu data apa yang harus diambil, jadi di film ini mereka membuat clone harddisk komputer target.

Di sini juga diceritakan tentang malware yang “tidak meninggalkan jejak”. Ini masuk dalam kategori “fileless malware“. Malware jenis ini memang ada walau masih cukup jarang. Malware jenis ini hanya ada ketika sedang aktif dan ketika komputer direstart/dimatikan, malware hilang, tidak ada jejaknya di disk. Kebanyakan malware ingin tetap ada ketika direstart, jadi biasanya kebanyakan malware adalah file based malware.

You have to catch them in the act

Berikutnya ketika mencari tahu situs terakhir yang dikunjungi, sang tokoh utama melihat ke Event Viewer. Perlu dicatat bahwa informasi di sini memang banyak, tapi jika tidak disetting khusus informasi situs terakhir yang dikunjungi tidak ada di sini. Dalam kasus ini ceritanya di PC ini sudah terinstall program jahat versi beta yang masih melog ke Event Log.

Ada juga kasus pembunuhan oleh gamer karena masalah game online. Kasus seperti ini sudah pernah terjadi beberapa kali di dunia nyata (contohnya ini), jadi cukup masuk akal.

Penggunaan steganografi juga dimunculkan lagi. Kali ini dipakai untuk menjebak seseorang sehingga tanpa password. Sebenarnya agak aneh menyembunyikan file dengan software steganografi tapi tanpa password.

Salah satu tokoh di film ini memiliki 10000 PC Zombie (bagian dari botnet). Definisi Zombie Computer dari wikipedia adalah: a computer connected to the Internet that has been compromised by a hacker, computer virus or trojan horse and can be used to perform malicious tasks of one sort or another under remote direction. Atau intinya: PC yang sudah diinfeksi malware dan bisa dikendalikan dari jauh. PC yang mereka kendalikan ini bisa digunakan untuk menyerang sistem lain.

Ada adegan tokoh jagoan film ini gantian mengirim malware ke tokoh jahat. Ketika menyadari ada yang aneh, si tokoh jahat segera mencabut koneksi internet (hal yang bijaksana) lalu melihat proses yang berjalan. Di sini terlihat nama prosesnya svch0st.exe (dengan angka 0, sedangkan proses Windows asli adalah svchost.exe dengan huruf o). Cara seperti ini sering digunakan oleh malware (variannya misalnya menggunakan spasi ekstra atau nama yang panjang)

Tentunya proses semacam ini perlu di-kill jika sudah ketemu. Software yang digunakan adalah Process Explorer dari Microsoft.

Kadang hacking tidak bisa dilakukan karena alasan teknis dan juga bisa bermasalah dengan hukum. Dalam film ini yang dilakukan adalah: pemerasan. Kadang cara ini memang lebih efektif dari hacking.

Dalam film ini juga beberapa kali tokohnya menghack display reklame LCD (videotron). Seberapa sulitkah ini? tidak sulit jika kita memang tahu targetnya. Contoh kejadian yang pernah ada di Indonesia adalah ketika film porno diputar di sebuah videotron. Intinya hanya perlu remote desktop (atau di kasus Indonesia memakai team viewer). Dan itu yang dilakukan di film ini.

Koneksi ke remote desktop

Sebagai catatan: banyak orang yang menjual akses shell/remote desktop ke berbagai sistem di forum-forum underground.

Hacking videotron

Ada kamera yang berisi SD Card yang memegang bukti penting dalam film ini. Katanya isi SD Cardnya kosong (sudah dihapus), tapi polisi bisa mengembalikan file yang terhapus. Sebenarnya ini masuk akal, yang tidak masuk akal adalah kamera dan SD Cardnya tidak dipakai selama setahun selama kameranya dipegang seseorang (kameranya tidak dipakai mengambil foto sama sekali). Ada banyak software file recovery yang bisa ditemui di internet untuk tujuan ini.

Ada satu bagian adegan yang agak kurang masuk akal dan sedikit mengganggu, tapi saya mengerti mereka membuat ini supaya ada sesuatu yang bisa dikenali penonton (logo H untuk Hades). Tokoh utama mengetik suatu perintah, lalu muncul sederetan teks tidak berguna (supaya keliatan keren, padahal itu hanya sekedar type sesuatu.js). Ini agak mirip tagar konyol yang sedang trending saat ini.

Ceritanya tokoh utamanya memiliki aplikasi (mungkin dengan bug zero day) yang mampu menghentikan segala jenis program (baik itu disk erase atau apapun). Lalu di akhir selalu muncul payload animasi yang sampai akhir film tidak diganti padahal ceritanya penggunaan logo ini mencurigakan sekali karena hacker yang membuatnya dianggap sudah mati.


Demikian akhir dari seri review serial TV Phantom ini. Secara umum ceritanya cukup baik. Ada beberapa bagian yang dibuat terlalu bertele-tele supaya jadi 20 episode. Secara umum ceritanya cukup cerah dan bersih. Tidak seperti Mr Robot yang terlalu gelap ada penggunaan drugs dsb. Bahkan di film ini tidak ada adegan ciuman.

Detail semua yang tampil di layar cukup diperhatikan. Software yang dipakai meyakinkan, dan bahkan listing assembly pun cukup masuk akal. Bahkan detail tanggal di listing program juga benar. Jumlah adegan hacking pun cukup banyak (setidaknya di awal seri ini). Mungkin di masa depan saya akan mencoba menonton ulang film lain untuk mereview adegan hackingnya.

Hacking di Serial Phantom/Ghost/유령 (bagian 3)

Mulai dari episode 7, jumlah hacking dan tool hacking yang muncul semakin sedikit, jadi untuk bagian 3 ini episode yang dibahas lebih banyak: dari 7 sampai 14. Ada laporan teknis yang muncul sekilas, dan dibuat cukup meyakinkan dengan screenshot program di dalamnya.

Ada juga adegan akuisisi data dari ponsel.

Sementara itu ketika mengakses komputer orang lain (secara tidak legal) dan butuh akses browser history, Yoo Kang-mi memakai BrowserHistorySpy.

Ada sedikit omongan teknis tentang ARP attack, tapi tidak detail diceritakan.

Dan software forensik sebelumnya masih muncul lagi

Dalam kecelakaan mobil, ditemukan USB flash drive dengan firmware ECU. Entah kenapa di Flash drive itu ada software WinHex. Tapi bisa saya pahami ini dibuat agar ceritanya berjalan dengan cepat. Tokoh utama membuka file itu dan menemukan kata-kata “ECU”.

Saya tidak tahu jenis mobil dsb, tapi mobil jenis tertentu memang bisa ditamper kontrolnya, bahkan dari jauh (jika mobil itu punya konektivitas wireless. Di Blackhat 2016 bahkan ada sesi Car Hacking Hands On.

Sayangnya waktu melakukan analisis firmware ECU, software yang dipakai masih ollydbg juga dan yang ditampilkan adalah program PE Windows. Ini juga bisa saya mengerti: di tahun tersebut hanya IDA Pro yang cukup bagus untuk melakukan reverse engineering firmware non x86, dan mereka tidak ingin membayar mahal hanya demi film tersebut.

Setelah itu ada aksi remote akses menggunakan software radmin.

Dan ada adegan keylogging juga. Tokoh utamanya melakukan keylogging sambil memonitor hasilnya realtime.

Ketika melakukan analisis cepat terhadap software beta, mereka membuka log file untuk melihat kelakuan program. Ini sangat masuk akal.

Seingat saya sisa film ini tidak banyak lagi hackingnya, jadi kemungkinan bagian berikutnya akan jadi bagian terakhir. Meskipun episode-episode ini kurang banyak hackingnya, tapi mereka tetap berusaha memasukkan program yang akurat jika memungkinkan. Ceritanya sampai titik ini juga masih cukup baik (penuh misteri dan kerja detektif).

Hacking di Serial Phantom/Ghost/유령 (bagian 2)

Meneruskan posting sebelumnya, ini episode 4 sampai 6. Pertama ada program tak bernama yang bisa digunakan untuk SQL injection dsb, fiturnya mirip dengan sqlmap tapi ada GUI-nya. Program ini ternyata namanya HDSI (saya nemu ini karena menemukan tulisan berbahasa korea yang membahas film ini).

EnCase juga muncul lagi beberapa kali di film ini.

Program open source wireshark yang dipakai untuk memonitor traffic jaringan juga muncul di film ini.

Beberapa serial TV tidak pernah menampilkan IP address beneran, tapi serial ini sering sekali memberikan alamat IP.

Walau yang di atas itu bukan alamat IP hong kong

Ada juga tampilan log firewall Cisco

Dan berikutnya adalah bagian yang paling menarik menurut saya. Ada malware yang memiliki tanggal aktivasi. Reverse engineering dilakukan dengan ollydbg. Program dihentikan di instruksi:

CMP DWORD PTR DS:[EDX], 0x4FD68680

Instruksi ini sangat masuk akal (instruksi perbandingan, bukan instruksi yang lain), lalu tokohnya menggunakan konverter time stamp untuk mengubah 0x4FD68680 menjadi tanggal saat ini.

Saya bisa mengkonfirmasi dengan python bahwa angka timestamp yang ditampilkan adalah benar.

Dibahas juga mengenai stuxnet, malware yang sempat merepotkan Iran dalam riset nuklirnya.

Tapi indicator of compromise (IOC)-nya tidak dibuat realistis. Dengan hanya dengan melihat beberapa proses yang normal bisa disimpulkan bahwa ini stuxnet. Padahal mereka bisa membuat seolah-olah ada nama yang lebih masuk akal untuk indikator stuxnet.

Program DDOS Master yang mereka pakai sepertinya custom atau mengubah program yang sudah ada. Tampilannya sangat masuk akal, nama-nama serangan DOS-nya juga masuk akal.

Tampilannya agak mirip dengan botmaster console

Sekarang ke bagian nostalgia masa lalu. Pertama tentang Y2K dan virus CIH yang terkenal di jaman itu.

Ditampilkan debugger mode DOS. Ini bukan virus CIH yang didebug, tapi sekedar program “Hello World” yang memakai interrupt 21 dengan fungsi AH=9. Yang menariknya, dokumen di belakang debugger itu merupakan source code virus CIH yang beneran.

Debugging program hello world, dengan source code CIH di latar belakang
Potongan Virus CIH yang sebenarnya

Untuk virus Melissa, mereka tidak memperlihatkan isi macronya. Hanya adegan mengirimkan dokumen berisi virus ke seseorang.

Demikian pembahasan kali ini. Akan saya teruskan pembahasannya di posting berikutnya. Tapi setelah 6 episode ini jumlah “hacking”-nya semakin menurun dan ceritanya yang semakin banyak.

Hacking di Serial Phantom/Ghost/유령 (bagian 1)

Sebenarnya film drama Phantom ini sudah cukup lama (tahun 2012) dan sudah pernah saya tonton beberapa tahun sebelumnya, tapi karena sekarang Risna lagi rajin nonton drama korea kami jadi nonton lagi film ini. Saya akan membahas mengenai berbagai tool yang dipakai di serial ini. Beberapa konsep yang rumit yang tidak cukup ditulis di posting ini akan saya posting di posting yang lain.

Saya berusaha untuk tidak memberikan spoiler di posting ini, tapi ya mungkin saja tetap ada sedikit. Sebagai catatan: ini sekedar film fiksi, jadi banyak juga hal-hal yang kurang realististis supaya filmya lebih seru. Sama seperti adegan baku tembak atau kejar-kejaran mobil di berbagai film lain yang juga sering tidak masuk akal. Tapi meski demikian film ini cukup realistis dari segi software yang dipakai.

Posting bagian pertama ini hanya membahas Episode 1 sampai 3. Di tiap episode pemakaian komputer/toolnya bervariasi, jadi dalam tiap bagian posting ini saya tidak akan selalu membahas tiap 3 episode, bisa lebih bisa kurang.

Hal pertama yang menarik ketika Kim Woo-hyun mengcompile program custom. Dia secara manual mengetik: gcc -v .. dst. Padahal di situ ada Makefile, harusnya tinggal ketik “make” saja sudah cukup.

Compile program

Sementara itu Park Ki-young memakai metasploit dalam aksinya. Metasploit adalah software standar yang dipakai baik hacker maupun pentester untuk melakukan banyak hal (scanning system, eksploitasi sistem, membuat payload, dsb).

Metasploit

Ketika tim forensik menerima laptop barang bukti mereka tidak langsung mengakses komputernya. Sebelum analisis forensik dilakukan mereka membuat dulu “disk image”. Juga ditunjukkan harddisk laptop bersanding dengan harddisk target.

Cloning/imaging disk

Software yang dipakai adalah Image Master Forensic. Ini software yang benar-benar ada.

Image master forensic

Analisis kemudian dilakukan menggunakan software Encase yang sangat dikenal oleh kalangan Digital Forensik.

Encase

Di episode pertama ada juga beberapa software yang tidak saya kenal, misalnya software untuk mengakses kamera. Ada kemungkinan softwarenya adalah software lokal Korea.

Saya tidak mengenali software ini

Di sana mereka memiliki beberapa software yang lebih umum dibandingkan dengan yang kita pakai sehari-hari. Contohnya format dokumen yang umum bukan DOC tapi HWP (dari software Hangul Office). File dengan ekstensi HWP ini banyak muncul di film ini karena memang terkenal di kalangan pemerintah Korea Selatan.

Saya tidak bisa berbahasa Korea, jadi tidak tahu apakah terjemahannya 100% benar atau tidak, tapi secara umum penjelasanya cukup baik. Misalnya dikatakan bahwa Steganografi digunakan untuk menyembunyikan informasi di file gambar atau musik. Secara teori file apapun bisa, walau di file multimedia (gambar, video, suara) datanya bisa lebih tersembunyi karena ukuran filenya sudah besar.

Sebenarnya file apa saja bisa digunakan untuk steganografi.

Software yang digunakan dalam film ini adalah OpenStego

OpenStego

Beberapa software tampaknya dibuat custom, contohnya ketika Yoo Kang-mi mengedit data pasien, terlihat bahwa ikonnya merupakan ikon standar aplikasi .NET (C#/VB.NET) yang dibuat dengan visual studio.

Software custom

Bisa dibandingkan Ikon HIS di aplikasi tersebut dengan ikon aplikasi yang belum diganti di Visual Studio.

Ikon standar aplikasi dengan Visual Studio

Bukan cuma program GUI itu saja yang dibuat custom, program command line juga dibuat custom. Program pertama yang saya sebutkan ternyata di dalam cerita itu adalah untuk melakukan tracing. Saya agak tersenyum dia mengcompile pakai parameter -v (verbose) cuma supaya layarnya terlihat lebih penuh.

Ternyata program di screen capture pertama adalah REVERSE TRACER (ini tidak beneran ada)

Sebelum melakukan serangan, dilakukan recon dulu dengan nmap (GUI interface untuk nmap)

Scanning dengan GUI Nmap

Outputnya juga diperlihatkan

Ini targetnya server Linux. Nggak tau kenapa ke server itu, karena targetnya adalah user yang memakai Windows.

Yang jadi target port 9929, ini nggak masuk akal (port ini tidak standar digunakan).

bagian ini juga kurang masuk akal

Selain masalah tool, film ini juga kadang menjelaskan konsep tertentu. Misalnya di episode 3 ini dijelaskan tentang konsep Phishing attack. Dijelaskan juga contoh-contoh kenapa orang membuka attachment yang tidak dikenal di email.

Contoh email phishing

Sekian pembahasan kali ini. Saya tidak akan membahas dalam mengenai ceritanya: dari segi cerita, kadang ceritanya agak terlalu ribet/kurang masuk akal, tapi lumayan seru juga. Bagi saya ini cukup menarik karena mereka punya flashback ke tahun 1999/2000 di masa virus CIH, Melissa dan masalah Y2K. Nostalgia kembali ke masa kuliah saya. Bagian mengenai flashback masa lalu ini akan saya bahas di bagian berikutnya.

Mencari bug

Ada yang bertanya ke saya: bagaimana sih caranya mencari bug di aplikasi? Karena jawabannya tidak bisa ditulis singkat di chat, di tulisan kali ini saya akan berusaha menjawab pertanyaan itu.

Apa itu bug?

Kalau Anda disuruh mencari sebuah benda tapi tidak tahu benda itu seperti apa bentuknya maka Anda tidak akan bisa menemukannya (Contoh: tolong ambil logic analyzer di laci saya). Sama halnya dengan bug: pertama pahami dulu berbagai jenis bug yang ada, baru Anda bisa menemukannya.

Contoh-contoh bug web misalnya: SQL Injection, IDOR, XSS, dan command injection. Contoh bug aplikasi misalnya: buffer overflow. Selain tahu apa itu sebuah bug, kita juga perlu tahu bagaimana cara mengeksploitasinya.

Black box testing

Ini testing yang paling umum. Kita coba-coba berbagai input dengan harapan keluar suatu pesan error yang bisa menunjukkan kesalahan di sebuah program. Contoh kecil: jika ada input petik tunggal (‘) dan programnya menampilkan SQL error, maka kemungkinan ada bug SQL injection.

Tentunya coba-coba ini harus yang masuk akal. Ini biasanya tergantung pada: aplikasinya seperti apa, servernya memakai OS apa. Contoh: berusaha melakukan command injection dengan berbagai command Windows di server Linux maka tidak akan berhasil. Berusaha melakukan angular template injection di aplikasi yang tidak memakai Javascript juga tidak akan berhasil.

Intinya: meskipun ini adalah black box testing, yang sepertinya sekeda menebak-nebak, ada hal-hal masuk akal yang bisa kita coba. Jika kita ingin membeli suatu barang, kita bisa mencoba mengganti nilai pembelian, berusaha membypass proses pembayaran, dsb.

White box testing

Jika kita memiliki akses ke source code, maka kita bisa mencari bug dengan membaca source code aplikasinya. Source ini bisa didapat dari beberapa cara:

  • Aplikasinya memang open source (contoh: berbagai aplikasi web seperti WordPress ada source codenya)
  • Dari hasil dekompilasi (contohnya: berbagai game bisa didekompilasi)
  • Dari bug lain (contoh: jika menemukan bug web untuk membaca sebuah file, maka bisa kita manfaatkan untuk membaca source code aplikasi)

Nah di sini kemampuan membaca source code diperlukan. Dengan adanya source code, kita bisa melihat alur program dan menentukan apakah sebuah input dicek atau tidak, dan apakah inputnya bisa dipakai untuk membypass sesuatu atau mengeksekusi apa yang seharusnya tidak boleh dieksekusi.

Memahami Tool

Untuk melakukan testing, kita perlu paham berbagai tool yang sesuai. Contohnya untuk testing aplikasi web, kita sebaiknya memakai intercepting proxy (seperti Burp atau Zaproxy). Dengan memakai tool tersebut, kita bisa mengganti request dari browser atau dari aplikasi baik desktop maupun mobile yang akan berkomunikasi dengan server di internet.

Untuk testing aplikasi mobile, keahlian mengekstrak package, melakuan dekompilasi diperlukan. Berbagai tools yang spesifik juga bisa dipakai (misalnya XPosed Framework di Android, atau Frida di berbagai OS lain).

Fuzzing

Untuk bug jenis tertentu, kita bisa memakai tools untuk melakukan fuzzing. Intinya adalah mencoba-coba berbagai input secara otomatis. Ini bisa diaplikasikan ke aplikasi web, atau bahkan aplikasi desktop (contohnya ada yang namanya AFL). Penggunaan fuzzer ini relatif mudah, tapi hasilnya tetap harus dipahami oleh orang yang memiliki skill.

Otomasi

Sebagian bug bisa ditemukan dengan menggunakan tool otomatis. Saya tidak akan membahas ini secara dalam. Intinya ada beberapa scanner aplikasi web yang bisa menemukan berbagai bug yang umum. Ada juga source code analyzer yang bisa menemukan berbagai masalah di source code.

Penutup

Mencari bug kadang mudah kadang sulit, tergantung program yang kita cari bugnya. Sebagian orang yang meretas web tidak mencari bug khusus, tapi biasanya yang terjadi seperti ini:

  • ada yang menemukan bug di aplikasi tertentu (contoh: Drupal)
  • ada yang membuat exploit untuk bug tersebut
  • script kiddies menggunakan Google untuk mencari website yang memakai Drupal (dengan dorking, misalnya mencari “Powered By …”
  • script kiddies mencoba exploit drupal pada website yang ditemukan

Selamat mencari bug.