Cyberthreat.id – Sistem penamaan domain (domain name system/DNS) layaknya “buku telepon”. Ia berisi alamat interent yang memudahkan pengguna mengakses internet.

Masing-masing alamat tersebut memiliki identitas unik dan berbeda satu dengan yang lain—inilah yang disebut IP address.

Lantaran, IP address berupa angka-angka yang sulit diingat bagi pengguna, DNS menerjemahkan angka-angka tadi menjadi nama. Dan, nama-nama inilah yang kemudian muncul, sepreti google.com, cyberthreat.id, dan lain-lain.

Namun bagi sistem internet dampak dari DNS itu jauh lebih kompleks, termasuk terhadap keamanan dari internet itu sendiri.

“Di satu sisi, sistem penamaan tersebut memberikan peluang kepada hacker untuk melakukan kegiatan hacking, tapi juga memberikan peluang kepada pihak pengaman jaringan untuk melakukan tindakan pengamanan,” ujar Dosen Teknik Informatika Universitas Muhammadiyah Malang, Eko Budi Cahyono, S.Kom., M.T. kepada Cyberthreat.id, Senin (22 Juni 2020).

Bagaimana ancaman siber terhadap DNS?

Ada banyak sekali. Bagi hacker, DNS merupakan media untuk melakukan mediasi terhadap serangan siber, seperti DNS spoofing, DNS poisoning, DNS tunneling, DNS Hijacking, dan lain-lain.

Bahayanya berlipat, bisa serangan terhadap DNS itu sendiri, tetapi bisa juga serangan DNS sebagai mediasi. Yang lebih berbahaya itu sebenarnya serangan DNS sebagai mediasi karena penyerangan dilakukan secara tidak langsung ke sasaran.

Ambil contoh, malware yang ditanamkan ke sebuah aplikasi akan menjadi aktif ketika DNS sudah tidak dapat mengendalikan aliran dari kueri DNS (DNS query—permintaan informasi ke basis data yang disimpan server). Hal ini terjadi karena DNS tidak bisa membedakan mana yang asli mana yang tidak; mana normal, mana yang abnormal.

Selain itu, bisa juga DNS dijadikan sebagai “kuda troya”. Serangan sebenarnya tersembunyi, dan baru muncul ketika DNS dalam kondisi tidak dapat mengendalikan dengan baik kueri DNS, maka serangan tersebut menjadi nyata.

Namun, yang paling mengkhawatirkan, kita tidak tahu apa sebenarnya makna dari setiap kueri DNS; sebagian memang kueri normal, tetapi tidak sedikit kueri tersebut tidak normal, seperti botnet.

Jika kueri tersebut tidak normal, seperti botnet, maka kekuatan serangan tergantung pada kapasitas dari malware, bisa saja akan memicu serangan yang lain seperti ransomware, phishing, dan sebagainya.

Lalu, bagaimana menanggulanginya?

Perlu ada perlakuan khusus agar DNS menjadi cerdas, bisa membedakan kueri normal, kueri tidak normal. Salah satunya, teknik yang disebut Intelligent DNS.

Intelligent DNS memanfaatkan Passive DNS untuk bahan pemaknaan terhadap kueri DNS. Passive DNS bisa diibaratkan seperti akuntansi terhadap log DNS, tetapi dilakukan dengan cara packet capture, yaitu langsung ke trafik jaringan sehingga lebih efektif dan efisien dibandingkan log monitoring.

Selain itu, mekanisme dari Intelligent DNS ada mekanisme untuk pengenalan terhadap pola kueri, identifikasi, pengelompokan, rekomendasi, dan pada akhirnya ada suatu keputusan makna dari kueri tersebut: apakah mengarah pada kueri normal atau tidak normal, kueri biasa atau justru membahayakan.

Jadi, jaringan akan menjadi cerdas karena parameter-parameter teridentifikasi dengan baik pada saat awal kueri itu diberikan ke DNS.

Makanya, saya antusias kalau kita bersama-sama membangun big data dari Passive DNS ini secara lebih luas.

Apa itu big data dari Passive DNS?

Big data di sini merupakan koleksi dari data Passive DNS yang didapat dari berbagai sumber, misal mobile broadband dan fixed broadband.

Indonesia mempunyai pengguna mobile dan fixed broadband yang sangat besar. Ini dapat menjadi upaya untuk membangun benteng terhadap serangan siber langsung di bagian akhir dari jaringan (end user/edge).

Sebenarnya sasaran dari serangan siber itu adalah end user/edge, maka perlu diperkuat pada bagian itu. Untuk itu, setiap end user/edge perlu dipersenjatai dengan intelligent DNS.

Berarti memanfaatkan kercedasan buatan, ya...

Iya. Ada artificial intelligence (AI) untuk pemaknaan terhadap maksud yang terkandung pada kueri. AI ini akan menemukan pola serangan dan mengidentifikasi serangan tersebut.

AI juga bisa dimanfaatkan untuk mengenali kondisi anomali jaringan sebagai indikasi dari serangan siber. Ada satu lagi yang penting yaitu dengan AI yang diterapkan pada Passive DNS, serangan siber yang tersembunyi bisa diidentifikasi.

Perkembangan AI terkini seperti unsupervised learning dan GAN (generative adversarial network) mampu untuk melakukan deteksi dini terhadap serangan siber. Paling tidak memberikan indikasi dan sinyal-sinyal bahwa telah terjadi sesuatu yang tidak biasanya, atau tidak normal pada jaringan.

Sebelumnya, saya sudah pernah melakukan penelitian pendahuluan dengan AI sederhana, yaitu kmeans clustering. Saya menemukan ada sebuah pola yang unik pada kueri normal dengan kueri yag tidak normal.

Ada perbedaan mencolok dari beberapa parameter Passive DNS yang membedakan antara kueri normal dengan kueri tidak normal. Seperti gambar berikut ini:

---

---

Jika penelitian ini dilanjutkan dengan metode yang lebih baik, misal, dengan membangun big data, menerapkan berbagai pendekatan AI, hasil dari deteksi dini serangan siber jauh lebih akurat.

Tak hanya itu, berdasarkan dari hasil penelitian kunci dari deteksi serangan siber ternyata ada pada DNS. Di mana, DNS mampu mendekteksi kelainan (anomali) dari kueri, hal yang mencurigakan, dan bahkan sampai membahayakan dari kuerinya, dengan penafsiran AI itu.

Berarti DNS ini mampu mendeteksi serangan siber?

Betul. DNS ada di bagian terdepan dalam deteksi serangan. Setiap kueri internet dari pengguna singgah dulu di DNS untuk query resolved. Demikian juga sebaliknya, setiap kueri yang menuju ke pengguna juga singgah dulu di DNS.

Pada saat singgah di DNS ada beberapa parameter jaringan yang bisa di-capture untuk merepresentasikan sifat kueri. Sifat kueri inilah dengan hidden value yang ada di dalamnya akan membantu dalam mendeteksi adanya suatu serangan.

Tidak hanya membantu deteksi serangan DNS saja, tetapi juga bersifat sebagai Firewall untuk melindungi jaringan yang ada di dalamnya. Jadi, bisa juga untuk membantu mencegah adanya serangan, ini yang disebut sebagai DNS Firewall.

Singkatnya, jika sudah diketahui data serangan, maka filtering bisa dilakukan oleh DNS dan di end user.

Contohnya, pada kasus backdoor, DNS dapat mendeteksi dan mencegah kueri tidak diteruskan ke internet, tapi berhenti pada DNS. Demikian pula pada kebanyakan kasus botnet bisa dideteksi dan dicegah untuk tidak mengaktifkan serangan yang sebenarnya.

Selain itu dengan dipasangnya DNS Firewall di end user, maka lalu lintas internet menjadi lebih bersih tidak lagi terkontaminasi dengan banyak sekali hal yang sebenarnya tidak diperlukan oleh pengguna.

Apakah ancaman terhadap DNS sangat berbahaya? Pencurian data, misalnya?

Iya memang bisa sampai ke sana, tetapi itu itu tergantung pada kapasitas malware-nya dan privasi yang diterapkan pada DNS.

Saya sepakat kalau DNS ini bisa menjadi media yang andal untuk melindungi data pengguna dari pencurian data dan penipuan. Ini bisa dilakukan dengan menerapkan DNS encryption. Meskipun, penerapan DNS encryption masih polemik sebenarnya tidak ada yang dirugikan, kecuali hacker. Hacker akan kesulitan untuk memonitor aktivitas internet dengan kueri DNS yang teracak.

Sepanjang data terlindungi dengan baik, apalagi dengan bantuan DNS untuk menyamarkan data yang ada dalam jaringannya, peluang pencurian data dan penipuan ini jadi kecil. Namun, yang perlu diingat, bisa juga karena kebocoran dari DNS, membuka peluang terjadinya phishing yang kemudian berkembang menjadi pencurian data dan penipuan.

Jadi, setiap pemilik aplikasi harus mengamankan DNS, ya...

Pada kueri DNS yang tidak terenkripsi kueri bisa dengan mudah dibaca oleh siapa saja di dalam dan di luar jaringan.

Padahal, kueri DNS ini yang berlanjut pada eksekusi suatu layanan internet, sehingga sangat perlu mengamankan yang menjadi hal vital dari suatu bagian dari layanan internet.

Perlu diingat, dalam kondisi normal kueri ini tidak terenkripsi sehingga pihak-pihak tertentu memanfaatkannya untuk kepentingan tertentu. Bagi hacker, kueri DNS ini adalah sumber daya yang sangat vital untuk melakukan skenario rancangan berikutnya.

Jadi, serangan siber itu dilakukan secara bertahap; pada tahap awal bisa dimulai dari membaca kueri DNS, sehingga sangat penting untuk mengamankan DNS.[]

Redaktur: Andi Nugroho