Rabu, 30 November 2016

forensec






Network forensik



Forensik jaringan (network forensic) adalah suatu metode menangkap, menyimpan dan menganalisa data penggunaan jaringan untuk menemukan sumber dari pelanggaran keamanan sistem atau masalah keamanan informasi[Ranum 1997]. Fokus utama dari network forensic adalah mengidentifikasi semua kemungkinan yang dapat menyebabkan pelanggaran keamanan sistem dan membuat mekanisme pendeteksian dan pencegahan yang dapat meminimalisir kerugian yang lebih banyak.
Administrator jaringan tidak bisa seluruhnya bergantung pada IDS untuk menjaga jaringannya. Administrator juga memerlukan proses investigasi dan alat audit untuk melakukan investigasi kejadian secara lengkap dan memulihkan jaringan dari ancaman atau serangan yang terjadi. Forensik jaringan memiliki kemampuan untuk merekontruksi kejadian dengan menggunakan sistem yang menyimpan semua aktifitas lalu lintas data pada jaringan, sehingga investigasi dapat dilakukan dengan melihat kembali kejadian-kejadian yang telah terjadi dan melakukan analisa kejadian yang terjadi di masa lalu. Berdasarkan kebutuhan diatas, maka suatu sistem forensik jaringan setidaknya terdapat beberapa proses, yaitu :
Monitoring dan koleksi data : forensik jaringan pada dasarnya adalah audit terhadap penggunaan jaringan, seperti traffik, bandwidth dan isi data. Oleh karena itu setiap sistem network forensic diperlukan sistem monitoring dan penyimpanan data yang bisa digunakan sebagai bukti digital.
Analisa isi data : dari semua data yang disimpan, tidak semuanya merupakan ancaman bagi keamanan sistem, sehingga diperlukan analisa data yang dapat mendeteksi data mana saja yang menggangu keamanan sistem. Hal ini juga berhubungan dengan masalah privacy, dikarenakan data-data yang dianalisa bisa saja merupakan data pribadi, sehingga diperlukan kebijakan khusus mengenai masalah ini.
Source traceback : untuk pencegahan dari kemungkinan akan adanya serangan terhadap sistem keamanan jaringan yang akan datang diperlukan metode untuk mengetahui sumber dari serangan, sehingga dapat meminimalisir kejadian serupa di masa yang akan datang.

Monitoring dan Koleksi data

Suatu sistem forensik jaringan selalu dilengkapi kemampuan untuk memonitoring, menangkap dan menyimpan semua data lalu lintas pada jaringan. Sistem yang terhubung ke jaringan internet sangat potensial untuk diserang. Oleh karena itu diperlukan suatu mekanisme untuk memonitoring dan mendeteksi serangan terhadap sistem/jaringan dengan menggunakan IDS. IDS adalah alat yang dapat mengumpulkan informasi, menganalisa informasi apakah ada aktifitas yang aneh pada jaringan dan melaporkan hasil analisa dari proses deteksi[1].
Teknik deteksi intrusi dapat dikategorikan menjadi dua. Pertama adalah berdasarkan signature-based detection. Signature-based detection menggunakan contoh pola serangan yang telah diketahui/disimpan sebelumnya untuk mengidentifikasi serangan. Yang kedua adalah deteksi anomali yaitu dengan cara menentukan apakah deviasi dari pola penggunaan normal dapat dikategorikan sebagai intrusi.

Sistem forensik jaringan juga dilengkapi dengan unit penyimpanan data sehingga memungkinkan dilakukannya proses analisa dan investigasi dari data yang dikoleksi sebelumnya apabila terjadi ancaman atau serangan terhadap suatu sistem keamanan. Untuk mengkoleksi data dari jaringan digunakan packet sniffer. Prinsip kerja dari packet sniffer adalah mengintersep setiap bagian dari data yang melewati jaringan dan membuat salinan untuk dianalisa. Hal ini tentu saja memerlukan unit penyimpanan yang tidak sedikit, seiring dengan semakin tingginya tingkat penggunaan jaringan dan makin besar lalu lintas data pada jaringan, makin besar pula penyimpanan yang dibutuhkan. Untungnya dengan semakin murahnya alat penyimpanan data, maka makin murah pula suatu sistem forensik jaringan.

Analisa Data

Forensik jaringan memungkinkan dilakukannya proses analisa dan investigasi data yang telah disimpan sebelumnya. Ada beberapa sumber bukti potensial yang dapat digunakan untuk forensik pada komputer dan jaringan. File adalah salah satu sumber bukti potensial. Output dari aplikasi seperti pengolah kata, spread sheets dan lain-lain dapat menyimpan informasi sejarah, chaces, backup ataupun log aktifitas. Dilain pihak, log aktifitas jaringan dapat menyimpan beberapa informasi yang sangat penting dalam mengungkap terjadinya ancaman atau serangan terhadap jaringan. Aktifitas jaringan yang tercatat dapat mengungkapkan tindakan kriminal dengan sangat detail dibandingkan sumber lainnya. Oleh karena itu sistem log merupakan sumber vital dari bukti potensial.
Suatu perusahaan atau organisasi sudah seharusnya menyimpan informasi tentang segala aktifitas jaringan seperti login computer dan layanan yang menggunakan jaringan seperti remote Telnet atau FTP. Hal ini sangat berguna dalam investigasi dikarenakan rekaman tersebut dapat menyimpan berbagai informasi tentang aktifitas pengguna tertentu, seperti tanggal dan waktu dari aktifitas tersebut. Informasi ini sangat berhubungan dengan kejadian internal seperti email dan akses web ataupun kejadian eksternal yang dapat menunjukan waktu terjadinya aktifitas tersebut(timeline)[2]. Timeline berfungsi sebagai acuan untuk menempatkan peristiwa yang berbeda dalam suatu sistem dan menghubungkan ke suatu sangkaan, membuat suatu alibi dan menentukan bukti-bukti yang tidak tersangkut dengan tindakan kriminal. Dari analisa data paket-paket yang disimpan bisa didapatkan beberapa informasi antara lain :

Ø Informasi tentang file yang ditransfer ke dan dari target

Ø Perintah yang diberikan pada target

Ø Informasi tentang terjadinya waktu aktifitas (timeline)

Ø Output yang dihasilkan dari perintah yang diberikan

Ø Bukti dari paket program scanning yang disembunyikan pada komputer jaringan lokal.

PROSES FORENSIK JARINGAN

Proses forensik jaringan terdiri dari beberapa tahap, yakni :

Akuisisi dan pengintaian (reconnaissance) 

Yaitu proses untuk mendapatkan/mengumpulkan data volatil (jika bekerja pada sistem online) dan data non-volatil (disk terkait) dengan menggunakan berbagai tool.

Analisa 

Yaitu proses menganalisa data yang diperoleh dari proses sebelumnya, meliputi analisa real-time dari data volatil, analisa log-file, korelasi data dari berbagai divais pada jaringan yang dilalui serangan dan pembuatan time-lining dari informasi yang diperoleh.

Recovery 

Yaitu proses untuk mendapatkan/memulihkan kembali data yang telah hilang akibat adanya intrusi, khususnya informasi pada disk yang berupa file atau direktori.

PRODUK-PRODUK JARINGAN FORENSIK


E-Detective – Sistem Jaringan Forensik Real-Time dan Proses Intersepsi Yang Sah Menurut Hukum 
Wireless-Detective – Wireless Forensik Real-Time dan Proses Intersepsi Yang Sah Menurut Hukum 
HTTPS/SSL Network Packet Forensics Device – Sistem HTTPS/SSL Forensik Real-Time dan Proses Intersepsi Yang Sah Menurut Hukum 
Honeypot dan Alat Analisis Forensik Berdasarkan Distro KNOPPIX STD dan Tiny Honeypot oleh George Bako 

LOG FILE FORENSIK

Log file dapat merupakan sumber informasi yang penting bagi proses forensik. Log file mengandung informasi tentang berbagai sumber daya sistem, proses-proses dan aktivitas pengguna. Protocol analyzer, sniffer, server SMTP, DHCP, FTP dan WWW, router, firewall dan hampir semua aktivitas sistem atau user dapat dikumpulkan dalam log file. Tetapi jika administrator sistem tidak dapat mencatat, maka fakta yang diperlukan untuk menghubungkan pelaku dengan insiden tidak ada. Sayangnya penyerang dan penjahat yang pintar mengetahui hal ini dan tujuan pertamanya adalah merusak atau mengubah log file untuk menyembunyikan aktivitas mereka.

Event Log Explorer adalah software gratis untuk melihat, melacak dan menganalisa bahkan merekam log dari aplikasi keamanan, system, dan aplikasi lainnya dari Sistem Operasi Microsoft Windows NT/ 2000/ XP/ 2003.

Rutinitas analisis Event Log dari Windows Event Log adalah tugas yang penting setiap system administrator. Namun masalahnya, Event Viewer standar memiliki fasilitas terbatas, dan tidak memungkinkan Anda untuk melakukan analisis event log secara efektif. Event Log Explorer adalah utilitas sederhana yang bias anda pakai untuk membantu Anda memantau, melihat dan menganalisis catatan Windows Event Log. Software ini bisa dibilang berfungsi untuk memperluas fungsionalitas Event Viewer standard an membawa benyak fitur baru.

Kelebihan: 

Event Log Explorer ini sangat cepat, nyaman dilihat, dengan tools yang mudah digunakan dan dengan fitur-fitur yang mengagumkan yang bisa membuktikan bahwa program ini sangat berguna bagi banyak orang.

SERVER FORENSIK (SAFFA-NG)

pengembangan dari SAFFA.

SAFFA yang awalnya dikembangkan sebagai proyek riset oleh Andreas Vangerow – Universitas Bielefeld – Jerman dibawah bimbingan Prof Peter Ladkin PhD dan I Made Wiryana SSi, SKom, MSc, merupakan aplikasi workflow yang membantu dokumentasi analisis hasil uji forensik komputer (Vengeron,2006). SAFFA juga membantu menarik kesimpulan penyelidikan dengan menerapkan metode WBA yang telah banyak digunakan untuk analisis kecelakaan. SAFFA difokuskan untuk analisis forensik server dan desktop Personal Computer (PC).

SAFFA merupakan perangkat lunak pertama yang tersedia secara bebas yang digunakan untuk sistem pengelolaan bukti digital dan pengelolaan data forensik. Memang telah ada beberapa perangkatlunak forensik seperti:


Tetapi, perangkat lunak tersebut berdiri sendiri dan relatif merupakan forensik aras bawah, yang belum mendukung ke pengambilan runutan kesimpulan.

SAFFA-NG dapat memanfaatkan keluaran dari perangkat lunak aras bawah tersebut, sebagai masukan pengolaan bukti digital. Sehingga, SAFFANG dapat merangkum hasil perolehan berbagai perangkat bantu tersebut. SAFFA-NG ini menggunakan berbagai komponen perangkat lunak Open Source yaitu:

GNU/Linux 
Tomcat Server, sebagai server untuk aplikasiSaffa JSP 
Basis data XML 
OpenOffice sebagai converter berbagai dokumen yang dijalankan dalam modus server 

Log File sebagai Sumber Informasi 

Keberhasilan proses forensik sangat ditentukan oleh kualitas dan kuantitas informasi yang terkumpul. Log file dapat merupakan sumber informasi yang penting bagi proses forensik. Log file mengandung informasi tentang berbagai sumber daya sistem, proses-proses dan aktivitas pengguna. Protocol analyzer, sniffer, server SMTP, DHCP, FTP dan WWW, router, firewall dan hampir semua aktivitas sistem atau user dapat dikumpulkan dalam log file. Tetapi jika administrator sistem tidak dapat mencatat, maka fakta yang diperlukan untuk menghubungkan pelaku dengan insiden tidak ada. Sayangnya penyerang dan penjahat yang pintar mengetahui hal ini dan tujuan pertamanya adalah merusak atau mengubah log file untuk menyembunyikan aktivitas mereka. 

Hal kedua yang penting tetapi sering dilupakan adalah sistem clock. Pencatatan suatu file berhubungan dengan time stamp dan date stamp yang memungkinkan analis forensik untuk menentukan urutan kejadian. Tetapi jika sistem clock tidak dikoreksi/dikalibrasi secara berkala dapat dimatikan dari mana saja dari beberapa detik sampai beberapa jam. Hal ini menyebabkan masalah karena korelasi antara log file dari computer yang berbeda yang mempunyai sistem clock yang berbeda akan menyulitkan bahkan tidak mungkin mengkorelasikan kejadian. Solusi yang sederhana untuk mensinkronisasi clock adalah seluruh server dan sistem berjalan pada suatu daemon seperti UNIX ntpd daemon, yang mensinkronisasi waktu dan tanggal sistem secara berkala dengan suatu atomic clock yang disponsori pemerintah.


Interpretasi Trafik Jaringan



Untuk dapat mengidentifikasi trafik jaringan yang tidak normal dan mencurigakan, harus dapat mengenali dengan baik pola trafik jaringan yang normal. Jika pola traffic tidak normal indikasinya biasanya alamat IP sumber terlihat tidak lazim (palsu) karena berupa satu set alamat IP cadangan yang biasanya digunakan di dalam jaringan sebagai alamat privat (misalnya dengan NAT) dan tidak pernah muncul di internet. Juga time-stamp terlalu berdekatan, dan port sumber dan nomor urut yang naik secara seragam merupakan petunjuk bahwa hal ini merupakan paket yang tidak normal. Paket ini menjadi SYNflood, suatu jenis DoS (denial of service), suatu serangan terhadap server ini menggunakan port 139 (NETbios).

Pembuatan Time Lining

MAC (Modified Access Creation) time merupakan tool yang sangat berguna untuk menentukan perubahan file, yang dapat digunakan untuk membuat time lining dari kejadian-kejadian.

M-times berisi informasi tentang kapan file dimodifikasi terakhir kali, A-times mengandung informasi waktu akses terakhir (membaca atau mengeksekusi) dan C-times berisi waktu terakhir status file diubah.

Misalnya di mana waktu akses dan waktu modifikasi yang sama serta waktu pengubahan 4 menit kemudian menunjukkan perubahan kepemilikan atau izin setelah file dibuat. Juga ditunjukkan pemilik file, ukuran, perijinan, jumlah blok yang digunakan,nomor inode dan jumlah link ke file.


Discription 



Log-File [ file.LOG ] adalah sebuah file yang berisi daftar tindakan, kejadian (aktivitas) yang telah terjadi didalam suatu sistem computer.


Sebagai contoh, server web memiliki daftar log file untuk setiap permintaan (request) dari browser yang ditujukan kepada server. Dengan perangkat Log file analizer, dimungkinkan untuk mengetahui berbagai hal seperti dari mana pengunjung berasal, seberapa sering mereka kembali, dan bagaimana mereka menavigasi menuju situs web tersebut. Termasuk didalamnya adalah data cookies(yang termasuk sebuah log-file) yang memungkinkan Webmaster untuk mendapatkan informasi lebih rinci tentang setiap pengguna yang mengakses suatu situs.

Maintenance 

Dalam kaitannya dengan suatu Sistem Operasi (Windows) Log-file dihasilkan oleh sistem untuk membantu user dalam usaha mengatasi hal hal yang ber potensi menimbulkan masalah, ataupun melacak dan mengatasi masalah yg sudah atau sedang terjadi, baik itu masalah keamanan atau sesuatu yang lain, karena log-file memuat laporan rinci tentang semua aktivitas computer yang ada.

Dari sisi ini Log-file juga memiliki kegunaan, terutama bagi para teknisi computer, dengan mempelajari isi dari log-file, akan dapat diketahui letak suatu permasalahan yang muncul dalam computer.

Banyak jenis log-file yang hanya dapat dibaca dengan ijin-masuk (permission access) tertentu. Sebagai contoh, Security Event log file (self) hanya dapat dibaca oleh administrator sistem.

Sedangkan Log yang dibuat oleh aplikasi lain, seperti log file dari software seperti HijackThis misalnya, dapat dibaca oleh semua kelompok user.

Pada umumnya, Log-file bisa dibuka/ dibaca menggunakan text-editor sederhana seperti NotePad.exe, atau WordPad.exe, sementara beberapa jenis harus menggunakan cara khusus.

Security 

Bila Anda terhubung ke Internet, melakukan pencarian, menginstal perangkat lunak, dan sebagainya, Windows mencipta kan banyak file log di root-direktori pada Boot drive [ C\: ] anda, dan juga pada direktori Windows. File-file log berisi banyak informasi tentang kegiatan Anda: tanggal, file, hasil, error/success-note, dll. Ini dikenal dengan Temporary Internet Files (TIF), yang juga akan menjadi sampah didalam computer. Jumlahnya cepat sekali menjadi banyak, sesuai aktivitas kita dalam browsing internet.

Dari aspek security, sangat disarankan agar Anda menghapus log-file, karena siapapun dapat meng-ekstrak informasi yang merupakan catatan aktivitas pribadi anda selama menggunakan sistem/pc. Catatan yang ada didalam log-file ini bisa menjadi sebuah bukti (evidence) dari aktivitas anda.

Ketika Anda bekerja dengan PC Anda, semua informasi aktivitas disimpan dalam berbagai log-file dan didalam file registry Windows. Semua gambar yang telah Anda lihat di Internet, semua password, dan semua nomor rekening bank yang Anda gunakan, dan informasi rinci lainnya, dapat dengan mudah di-ekstrak (dibongkar) dari PC Anda oleh setiap orang, yang bahkan dengan pengetahuan komputer yang minimal sekalipun. Dan hal ini dapat dengan mudah dilakukan dari luar computer Anda, serta tanpa sepengetahuan Anda.

Barangkali Anda biasa menghapus file Anda menggunakan perintah [Delete], Windows tidak benar-benar menghapus file tapi menempatkan mereka ke folder RECYCLER (bukan RecycleBin) yang tersembunyi (hidden), dan bahkan jika Anda menggunakan perintah Empty Recycle Bin, beberapa file tertentu masih tinggal/ada di folder ini, dan tidak dapat dihapus oleh Windows!

Software Utility ? Dari pengalaman saya, banyak yang tidakmelakukan sampai level ini. Jadi, meskipun anda merasa sudah menghapus tuntas, masih ada kemungkinan bahwa orang lain masih bisa mendapatkan rincian aktivitas pribadi anda didalam sistem/pc. Nah, dari aspek sekuriti cukup rawan, kan ?

Performance 

Dari aspek performa (kinerja) sistem/pc, karena log-file selalu dibuat, baik oleh sistem operasi (Windows) maupun oleh software aplikasi, maka jumlah nya dari hari ke hari akan menjadi sangat banyak dan menyita ruang drive sistem. Hal ini pasti menjadi sebuah “kerugian” dalam sisi storage (ruang penyimpan/ harddisk).

Padahal sebagian besar log file tsb sudah tidak akan berguna lagi pada event berikutnya, alias menjadi sampah digital.

Beberapa software (yang baik) akan otomatis menghapus log-file yang telah dibuatnya bila software tersebut di-close, tetapi kebanyakan software tidak demikian, artinya setiap kali software ini digunakan juga akan meninggalkan sampah.

Sehubungan dengan hal ini, cermatlah memilih suatu software untuk sistem/pc Anda. Jangan jangan anda hanya meng-koleksitrash-machine belaka.

Bisa dibayangkan sebuah rumah yang penuh dengan sampah, pasti tidak nyaman (dan tidak sehat) untuk dihuni, bukan ?.

Menghapus file log Windows

Karena munculnya log-file tidak mungkin dicegah, yang bisa kita lakukan adalah menghapusnya semaksimal mungkin dari computer kita. Yang saya ketahui, paling efisien (murah) dan efektif (tuntas) adalah dengan menghapusnya secara manual, tetapi hal ini memerlukan waktu serta pengetahuan yg cukup tentang sistem (operasi), faktanya kebanyakan dari kita tidak memiliki waktu untuk hal itu. Mempercayakan hal ini pada sebuah software utility (yang baik) adalah sebuah tindakan bijaksana, yang akan sangat menghemat waktu kita.

Beberapa (free) software utility bisa melakukan seperti yang diharapkan, sesuai hasil “test” yang saya lakukan pada berbagaiplatform (Windows). Beberapa diantaranya ada didalam halaman Computer - Software website ini (mastokkenari/admin dan website ini tidak berafiliasi pada satupun dari software yang direview disini).

Program program ini memungkinkan Anda menghancurkan semua informasi aktivitas tersembunyi yang tidak perlu disimpan, dan berpotensi mengandung bukti serta (mungkin) “membahayakan” Anda, dan juga menghapus file temporary yang ditinggalkan oleh sistem anda, sehingga bersih dan computer mampu berjalan lebih cepat.


Nama : Hendri
Nim :13142135
Kelas : IF7BI
Dosen : Suryayusra,M.Kom CCNA
Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)