Cacing-cacing
di Internet (Worms) adalah autonomous
intrusion agents yang mampu melakukan penggandaan-diri dan menyebar dengan
memanfaatkan kelemahan-kelemahan sekuriti (security
flaws) pada services yang umum digunakan. Worm bukanlah sebuah fenomena baru, ditemukan
pertama kali penyebarannya pada tahun 1988. Worms telah menjadi sebuah ancaman
yang mematikan di Internet, walaupun sebagian besar kasus yang terjadi secara
spesifik adalah pada sistim berbasis Windows. Beberapa jenis worms terbaru memanfaatkan
electronic mail (e-mail) sebagai
medium penyebarannya.
Perbedaan
mendasar antara worm dan virus terletak pada bagaimana mereka membutuhkan
intervensi user untuk melakukan penggandaandiri dan menyebar menginfeksi sistim
komputer. Virus lebih lambat dalam melakukan penyebaran jika dibandingkan
dengan worm. Namun virus mempunyai kemampuan lebih untuk menghindari deteksi
program anti-virus yang berusaha mengidentifikasi dan mengontrol penyebaran virus
pada sistim komputer. Namun pada praktek penyebarannya sebuah virus dapat
menjadi sebuah worm. Untuk memudahkan pembahasan, kita membatasi terminologi
antara worm dan virus dengan mempertimbangkan metode aktivasi yang dilakukan
oleh sebuah worm proses yang dilakukan sebuah worm untuk mengeksekusi pada
sebuah sistim komputer dan mekanisme penyebaran proses yang memungkinkansebuah
worm berkelana dari satu host ke host yang lain.
Pengertian
bagaimana worm dapat aktif pada sebuah host berhubungan erat dengan kemampuan
worm untuk menyebarkan diri, sejumlah worms dapat diatur untuk aktif secara
langsung (activated nearly immediately), sementara yang lain dapat menunggu
beberapa hari, minggu atau bahkan bulan untuk dapat teraktivasi dan kemudian
menyebarkan-dirinya.
a. Aktivasi dengan intervensi user
Merupakan
proses aktivasi paling lambat karena membutuhkan intervensi user untuk
mengeksekusi worm tersebut, baik disadari maupun tidak oleh user tersebut.
Namun karena sosialisasi yang gencar dilakukan mengenai bahaya worm dan virus, user
dapat lebih cermat dengan tidak mengeksekusi program asing atau membuka
attachment e-mail dari orang yang tidak dikenalnya, hal ini tentu akan
memperlambat proses aktivasi worm.
b. Aktivasi terjadwal
Metode
aktivasi worm yang lebih cepat adalah dengan menggunakan proses terjadwal pada
sistim (scheduled system proces). Ada banyak program yang berjalan pada
lingkungan desktop maupun server untuk melakukan proses sesuai dengan jadwal
yang diberikan. Metode ini tetap membutuhkan intervesi manusia namun kali ini
intervensi attacker yang dibutuhkan. Sebagai contoh, program auto-update dari
sistim yang melakukan proses updating ke server vendor. Dengan melakukan update
ke remote host sebagai master, seorang attacker yang cerdik dapat memanfaatkan
proses tersebut untuk menyebarkan worm dengan terlebih dahulu menguasai remote
host atau gateway pada network maupun di Internet dan mengganti atau menginfeksi
file yang dibutuhkan pada proses update dengan kode program worm.
c. Aktivasi mandiri
Metode
aktivasi mandiri adalah metode tercepat worm dalam menggandakandiri, menyebar,
dan menginfeksi host korban. Metode ini paling populer digunakan oleh para
penulis worm. Umumnya worm yang menggunakan metode ini memanfaatkan kelemahan
sekuriti (security flaw) pada service yang umum digunakan. Sebagai contoh, worm
CodeRed yang mengeksploitasi webserver IIS. Worm akan menyertakan dirinya pada
service daemon yang sudah dikuasainya atau mengeksekusi perintah-perintah lain
dengan privilege yang sama dengan yang digunakan oleh daemon tersebut. Proses eksekusi
tersebut akan berlangsung ketika worm menemukan vulnerable service dan
melakukan eksploitasi terhadap service tersebut.
Worm
menginfeksi host korban dan memasukkan kode program sebagai bagian dari program
worm ke dalamnya. Kode program tersebut dapat berupa machine code, atau routine
untuk menjalankan program lain yang sudah ada pada host korban. Dalam proses penyebarannya,
worm harus mencari korban baru dan menginfeksi korban dengan salinan dirinya.
Proses pendistribusian tersebut dapat berlangsung sebagai proses distribusi
satuan (dari satu host ke host yang lain) atau sebagai proses distribusi masal
(dari satu host ke banyak host). Terdapat beberapa mekanisme
penyebaran yang digunakan worm untuk menemukan calon korban yaitu dengan
melakukan scanning, mencari korban berdasarkan target list yang sudah
dipersiapkan terlebih dahulu oleh penulis worm atau berdasarkan list yang
ditemukan pada sistim korban maupun di metaserver, serta melakukan monitoring
secara pasif.
a.
Scanning
Metode
scanning melibatkan proses probing terhadap sejumlah alamat di Internet dan
kemudian mengidentifikasi host yang vulnerable. Dua format sederhana dari
metode scanning adalah sequential (mencoba mengidentifikasi sebuah blok alamat
dari awal sampai akhir) dan random (secara acak). Penyebaran worm dengan metode
scanning baik sequential maupun random, secara komparatif dapat dikatakan
lambat, namun jika dikombinasikan dengan aktivasi secara otomatis, worm dapat
menyebar lebih cepat lagi. Worm yang menggunakan metode scanning biasanya
mengeksploitasi security holes yang sudah teridentifikasi sebelumnya sehingga
secara relatif hanya akan menginfeksi sejumlah host saja. Metode scanning lainnya yang dinilai cukup
efektif adalah dengan menggunakan
bandwidth-limited routine (seperti yang digunakan oleh CodeRed, yaitu dengan membatasi target dengan
latensi koneksi dari sistim yang sudah terinfeksi dengan calon korban yang baru), mendefinisikan target yang hanya terdapat pada local
address (seperti dalam sebuah LAN maupunWAN), dan permutasi pada proses pencarian. Scanning yang dilakukan worm tidaklah
spesifik terhadap aplikasi sehingga attacker dapat menambahkan sebuah exploit baru pada sebuah worm yang sudah dikenal. Sebagai contoh,
worm Slapper mendapatkan muatan exploit baru dan menjadikannya sebuah worm baru yaitu Scalper.
b. Target lists
Sebuah
worm dapat memiliki target list yang sudah ditentukan sebelumnya oleh penulis
worm tersebut. Dengan target list yang sudah ditentukan terlebih dahulu membuat
sebuah worm lebih cepat dalam menyebar, namun tentu saja penyebaran tersebut
akan sangat terbatas karena target berdasarkan sejumlah alamat di Internet yang
sudah ditentukan. Selain itu, worm dapat menemukan list yang dibutuhkan pada
host korban yang sudah dikuasainya, list ini umumnya digunakan oleh worm yang
metode penyebarannya berdasarkan topologi network. Informasi yang didapat
contohnya adalah IP address sistim tersebut dan worm mengembangkannya menjadi
sebuah subnet pada LAN atauWAN.
c. Monitoring secara pasif
Worm pasif
tidak mencari korbannya, namun worm tersebut akan menunggu calon korban
potensial dan kemudian menginfeksinya. Walaupun metode ini lebih lambat namun worm
pasif tidak menghasilkan anomalous traffic patterns sehingga keberadaan mereka
akan sulit diketahui. Sebagai contoh, "antiworm" CRClean tidak
membutuhkan aktivasi user, worm ini menunggu serangan worm CodeRed dan
turunannya, kemudian melakukan respon dengan melakukan counter-attack. Jika
proses counter-attack berhasil, CRClean akan menghapus CodeRed dan menginfeksi
korban dengan menginstal dirinya pada mesin. Sehingga CRClean dapat menyebar
tanpa melakukan proses scanning.
