Seiring dengan kemajuan teknologi komputer, kemampuan
komputer semakin meningkat. Sayangnya kelebihan ini juga digunakan untuk
hal-hal yang bersifat merugikan, akibatnya kerugian yang diderita akibat
penyalahgunaan atau kejahatan menggunakan komputer/jaringan komputer (cyber
crime) mencapai milyaran dollar setiap tahunnya. Serangan terhadap
komputer/jaringan di seluruh dunia seperti virus, worms, spam dan
DoS semakin meningkat baik dari segi kuantitas maupun kualitas.
Penggunaan alat perlindungan seperti antivirus, firewall dan Intrusion
Detection Systems(IDS) sudah banyak digunakan oleh pengguna pribadi ataupun
perusahaan, akan tetapi para pelaku kejahatan juga semakin cerdas dan canggih
dalam melakukan kegiatannya. Dilain pihak, ketidakmampuan untuk mengetahui dan
menangani pelaku kejahatan secara cepat menjadi titik lemah lainnya. Kebanyakan
para administrator jaringan baru sadar adanya serangan terhadap komputer/jaringannya
lama setelah kejadian berlangsung. Pada saat itu, bukti yang dibutuhkan untuk
melakukan percenggahan kerugian yang lebih banyak atau bahkan tuntutan hukum
bisa saja sudah lenyap atau dirubah oleh pelaku, sehingga banyak serangan yang
tidak diketahui oleh pengguna atau administrator jaringan.
Ketika suatu mekanisme keamanan gagal menangani dan
mengidentifikasi adanya serangan secara cepat, diperlukan suatu pelengkap pada
sistem keamanan yang dapat memonitor, menangkap dan menyimpan bukti digital
sehingga dapat diketahui bagaimana, kenapa dan kapan serangan terjadi. Oleh
karena itu diperlukan mekanisme forensik pada jaringan sehingga bukti-bukti
yang dibutuhkan untuk analisa lebih lanjut tidak hilang atau berubah.
Forensik Digital dan Forensik Jaringan ini dapat digunakan untuk
menemukan kejahatan di dunia maya seperti cyber crime. Karena
meskipun kejahatan itu dilakukan secara digital tetap saja
meninggalkan bukti atau “jejak”. Jadi bagi anda yang ingin
melakukan kejahatan digital, hati-hati terhadap “jejak” yang akan
anda tinggalkan atau anda harus berpikir panjang untuk melakukan
kejahatan tersebut.
Bukti digital dapat diidentifikasi dari pola serangan yang
dikenali, penyimpangan dari perilaku normal jaringan ataupun
penyimpangan dari kebijakan keamanan yang diterapkan pada jaringan.
Internet yang berisi Jaringan Forensik dan proses intersepsi yang
sah menurut hukum adalah tugas-tugas yang penting untuk banyak
organisasi termasuk small medium business, enterprises, industri
banking dan finance, tubuh Pemerintahan, forensik, dan agen intelijen
untuk tujuan-tujuan yang berbeda-beda seperti penarsipan, intersepsi,
dan mengaudit lalu lintas internet untuk referensi masa depan dan
kebutuhan forensik. Penarsipan ini dan pemulihan kembali data
internet dapat digunakan untuk barang bukti hukum dalam beberapa
kasus perselisihan. Pemerintah dan agen-agen intelijen mengunakan
beberapa teknologi untuk melindungi dan mempertahankan keamanan
nasional.
Menurut Vacca, J. R. (2002). Network forensics is the principle of
reconstructing the activities leading to an event and determining the
answer to “What did they do?” and “How did they do it?” Instead of
matching observed activities on a LAN to database of known patterns of
malicious intent, it records all activity on a LAN and provides
centralized tools to analyze the activity in real time, for
surveillance, and historically, for damage assessment and prosecution
Perkakas Forensik (Forensic Tools)
Kakas (tool) yang dipergunakan oleh ahli forensik harus bekerja baik dan
tidak mengubah data. Di samping itu, komunitas komputer forensik harus
menerima kakas dan hasilnya. Kakas yang sama kadang dipergunakan untuk
melakukan pemantauan dan audit pada jaringan.
Tool kit untuk pengujian forensik memungkinkan untuk mengumpulkan dan analisis data, seperti TCPdump, Ethereal, Argus, NFR, tcpwrapper, sniffer, nstat, tripwire, diskcopy (/v pada DOS), DD pada Unix. Karena ahli hukum percaya bit lebih mudah dipalsukan daripada kertas, maka aturan utamanya adalah “preserve then examine” .
Melalui kakas ini beberapa data yang dapat dijadikan bukti adalah : ip address, nomor port, protokol, nama file, waktu akses dan sebagainya.
Tool kit untuk pengujian forensik memungkinkan untuk mengumpulkan dan analisis data, seperti TCPdump, Ethereal, Argus, NFR, tcpwrapper, sniffer, nstat, tripwire, diskcopy (/v pada DOS), DD pada Unix. Karena ahli hukum percaya bit lebih mudah dipalsukan daripada kertas, maka aturan utamanya adalah “preserve then examine” .
Melalui kakas ini beberapa data yang dapat dijadikan bukti adalah : ip address, nomor port, protokol, nama file, waktu akses dan sebagainya.
Forensik Digital dan Forensik Jaringan ini dapat digunakan untuk menemukan kejahatan di dunia maya seperti cyber crime.
Karena meskipun kejahatan itu dilakukan secara digital tetap saja
meninggalkan bukti atau “jejak”. Jadi bagi anda yang ingin melakukan
kejahatan digital, hati-hati terhadap “jejak” yang akan anda tinggalkan
atau anda harus berpikir panjang untuk melakukan kejahatan tersebut.
PROSES FORENSIK JARINGAN
Proses forensik jaringan terdiri dari beberapa tahap, yakni :
- Akuisisi dan pengintaian (reconnaissance)
Yaitu
proses untuk mendapatkan/mengumpulkan data volatil (jika bekerja pada
sistem online) dan data non-volatil (disk terkait) dengan menggunakan
berbagai tool.
- Analisa
Yaitu
proses menganalisa data yang diperoleh dari proses sebelumnya, meliputi
analisa real-time dari data volatil, analisa log-file, korelasi data
dari berbagai divais pada jaringan yang dilalui serangan dan pembuatan
time-lining dari informasi yang diperoleh.
- Recovery
Yaitu
proses untuk mendapatkan/memulihkan kembali data yang telah hilang
akibat adanya intrusi, khususnya informasi pada disk yang berupa file
atau direktori.
Pengumpulan Data Volatil
Data volatil dikumpulkan dari berbagai sumber, yakni register proses,
memori virtual dan fisik, proses-proses yang sedang berjalan, maupun
keadaan jaringan. Sumber informasi tersebut pada umumnya mempunyai
informasi dalam periode yang singkat, sehingga waktu pengumpulan
bersifat kritis dan harus sesegera mungkin diambil setelah terjadi
insiden. Misalnya alamat MAC (Media Access Control) dari computer yang
berkomunikasi dengan computer sasaran yang berada pada subnet yang sama ,
yang tersimpan pada ARP (Address Resolution Protocol) cache, segera
dibuang setelah terjalin komunikasi dengan computer lainnya, sehingga
data tersebut harus segera diambil.
Sumber informasi volatil yang penting beserta instruksi-instruksi yang digunakan untuk menangkap informasi tersebut diantaranya:
- Proses-proses yang sedang berjalan (ps atau /proc)
- Hubungan jaringan yang aktif (nestat)
- ARP cache (arp)
- List of open file (lsop)
- Memori Fisik dan Virtual (/dev/mem, /dev/kmem
Melakukan Trap dan Trace
Trap dan trace merupakan proses untuk memonitor header dari trafik
internet tanpa memonitor isinya (tidaklah legal untuk memonitor isi dari
suatu komunikasi data). Proses ini merupakan cara non intrusif untuk
menentukan sumber serangan jaringan atau untuk mendeteksi kelainan
trafik karena hanya mengumpulkan header paket TCP/IP dan bukan isinya.
Contoh di atas menggunakan panjang default 68 byte.
Trap dan trace dapat digunakan oleh analis forensik untuk menjawap
beberapa pertanyaan kritis, yakni:
- Apakah alamat IP sumber mencurigakan?
- Apakah alamat IP dan/ atau nomor port tujuan mencurigakan? Misal beberapa port yang sangat dikenal digunakan oleh Trojan adalah 31337 untuk Back Orifice dan 12345 untuk NetBus.
- Apakah terdapat fragmentasi yang aneh? Fragmentasi sering digunakan untuk membingungkan IDS dan firewall.
- Apakah TCP flag mencurigakan? Misal, beberapa flag tidak pernah terjadi bersama-sama, seperti R & F (reset & fin), F alone, dll. Penyerang menggunakan teknik ini untuk menentukan sistem operasi dari computer sasaran.
- Apakah ukuran paket mencurigakan? Paket SYN awal seharusnya membawa data 0 byte.
- Apakah tujuan port merupakan layanan yang valid? Layanan yang valid biasanya ditampilkan dalam dalam file /etc/services pada mesin Linux.
- Apakah trafik mengikuti standar RFC?
Analisa Data
Log File sebagai Sumber Informasi
Keberhasilan proses forensik sangat ditentukan oleh kualitas dan
kuantitas informasi yang terkumpul. Log file dapat merupakan sumber
informasi yang penting bagi proses forensik. Log file mengandung
informasi tentang berbagai sumber daya sistem, proses-proses dan
aktivitas pengguna. Protocol analyzer, sniffer, server SMTP, DHCP, FTP
dan WWW, router, firewall dan hampir semua aktivitas sistem atau user
dapat dikumpulkan dalam log file. Tetapi jika administrator sistem tidak
dapat mencatat, maka fakta yang diperlukan untuk menghubungkan pelaku
dengan insiden tidak ada. Sayangnya penyerang dan penjahat yang pintar
mengetahui hal ini dan tujuan pertamanya adalah merusak atau mengubah
log file untuk menyembunyikan aktivitas mereka.
Hal kedua yang penting tetapi sering dilupakan adalah sistem clock.
Pencatatan suatu file berhubungan dengan time stamp dan date stamp yang
memungkinkan analis forensik untuk menentukan urutan kejadian. Tetapi
jika sistem clock tidak dikoreksi/dikalibrasi secara berkala dapat
dimatikan dari mana saja dari beberapa detik sampai beberapa jam. Hal
ini menyebabkan masalah karena korelasi antara log file dari computer
yang berbeda yang mempunyai sistem clock yang berbeda akan menyulitkan
bahkan tidak mungkin mengkorelasikan kejadian. Solusi yang sederhana
untuk mensinkronisasi clock adalah seluruh server dan sistem berjalan
pada suatu daemon seperti UNIX ntpd daemon, yang mensinkronisasi waktu
dan tanggal sistem secara berkala dengan suatu atomic clock yang
disponsori pemerintah.
Interpretasi Trafik Jaringan
Untuk dapat mengidentifikasi trafik jaringan yang tidak normal dan
mencurigakan, harus dapat mengenali dengan baik pola trafik jaringan
yang normal. Jika pola traffic tidak normal indikasinya biasanya alamat
IP sumber terlihat tidak lazim (palsu) karena berupa satu set alamat IP
cadangan yang biasanya digunakan di dalam jaringan sebagai alamat privat
(misalnya dengan NAT) dan tidak pernah muncul di internet. Juga
time-stamp terlalu berdekatan, dan port sumber dan nomor urut yang naik
secara seragam merupakan petunjuk bahwa hal ini merupakan paket yang
tidak normal. Paket ini menjadi SYNflood, suatu jenis DoS (denial of
service), suatu serangan terhadap server ini menggunakan port 139
(NETbios).
Tipe peristiwa dan informasi yang diperlukan
Tipe Kejadian
|
Peristiwa
|
Informasi yang diperlukan
|
Penggunaan illegal dari sumber daya
|
Penggunaan illegal sumber daya proses dan
penyimpanan
|
Host : access log, status proses, penggunaan
CPU dan status dari file dan penyimpanan
|
Penggunaan illegal bandwidth jaringan
|
Network : status jaringan, jumlah paket yang
dikirim dan diterima, alamat IP, protokol used dan status dari port switch
|
|
Relay illegal dari layanan mail dan proxy
|
Host : log aplikasi dan status
proses
Network : alamat IP, protokol yang digunakan
dan isi data
|
|
DoS (Denial of Service)
|
Terhentinya layanan karena penggunaan
resource server
|
Host : status proses, penggunaan
CPU dan paket log yang tidak umum
Network : status jaringan, jumlah paket yang
tidak biasa, alamat IP dan isi paket yang tidak biasa
|
Terhentinya komunikasi karena penggunaan
resource bandwidth jaringan
|
Network : jumlah paket yang dikirim dan
diterima, alamat IP, protokol used dan isi data
|
|
Detruksi data dan pemalsuan
|
Pemalsuan halaman web, file data dan file
program
|
Host : log akses, status file dan penyimpanan
dan isi konfigurasi file
Network : alamat IP, protokol used, isi data
dan status port switch
|
Pencurian informasi
|
Pencurian isi informasi yang rahasia dan
intersepsi komunikasi
|
Host : log akses dan status file dan
penyimpanan
Network : alamat IP, protokol used, isi data
dan status port switch
|
Pembuatan Time Lining
MAC (Modified Access Creation) time merupakan tool
yang sangat berguna untuk menentukan perubahan file, yang dapat
digunakan untuk membuat time lining dari kejadian-kejadian.
M-times
berisi informasi tentang kapan file dimodifikasi terakhir kali, A-times
mengandung informasi waktu akses terakhir (membaca atau mengeksekusi)
dan C-times berisi waktu terakhir status file diubah.
Misalnya
di mana waktu akses dan waktu modifikasi yang sama serta waktu
pengubahan 4 menit kemudian menunjukkan perubahan kepemilikan atau izin
setelah file dibuat. Juga ditunjukkan pemilik file, ukuran, perijinan,
jumlah blok yang digunakan,nomor inode dan jumlah link ke file.
Discription
Sebagai contoh, server web memiliki daftar log file untuk setiap permintaan (request) dari browser yang ditujukan kepada server. Dengan perangkat Log file analizer, dimungkinkan untuk mengetahui berbagai hal seperti dari mana pengunjung berasal, seberapa sering mereka kembali, dan bagaimana mereka menavigasi menuju situs web tersebut. Termasuk didalamnya adalah data cookies(yang termasuk sebuah log-file) yang memungkinkan Webmaster untuk mendapatkan informasi lebih rinci tentang setiap pengguna yang mengakses suatu situs.
Maintenance
Dalam kaitannya dengan suatu Sistem Operasi (Windows) Log-file dihasilkan oleh sistem untuk membantu user dalam usaha mengatasi hal hal yang ber potensi menimbulkan masalah, ataupun melacak dan mengatasi masalah yg sudah atau sedang terjadi, baik itu masalah keamanan atau sesuatu yang lain, karena log-file memuat laporan rinci tentang semua aktivitas computer yang ada.Dari sisi ini Log-file juga memiliki kegunaan, terutama bagi para teknisi computer, dengan mempelajari isi dari log-file, akan dapat diketahui letak suatu permasalahan yang muncul dalam computer.Banyak jenis log-file yang hanya dapat dibaca dengan ijin-masuk (permission access) tertentu. Sebagai contoh, Security Event log file (self) hanya dapat dibaca oleh administrator sistem.Sedangkan Log yang dibuat oleh aplikasi lain, seperti log file dari software seperti HijackThis misalnya, dapat dibaca oleh semua kelompok user.Pada umumnya, Log-file bisa dibuka/ dibaca menggunakan text-editor sederhana seperti NotePad.exe, atau WordPad.exe, sementara beberapa jenis harus menggunakan cara khusus.
Security
Bila Anda terhubung ke Internet, melakukan pencarian, menginstal perangkat lunak, dan sebagainya, Windows mencipta kan banyak file log di root-direktori pada Boot drive [ C\: ] anda, dan juga pada direktori Windows. File-file log berisi banyak informasi tentang kegiatan Anda: tanggal, file, hasil, error/success-note, dll. Ini dikenal dengan temporary internet file (TIF), yang juga akan menjadi sampah didalam computer. Jumlahnya cepat sekali menjadi banyak, sesuai aktivitas kita dalam browsing internet.Dari aspek security, sangat disarankan agar Anda menghapus log-log file, karena siapapun dapat meng-ekstrak informasi yang merupakan catatan aktivitas pribadi anda selama menggunakan sistem/pc. Catatan yang ada didalam log-file ini bisa menjadi sebuah bukti (evidence) dari aktivitas anda.
Performance
Dari aspek performa (kinerja) sistem/pc, karena log-file selalu dibuat, baik oleh sistem operasi (Windows) maupun oleh software aplikasi, maka jumlah nya dari hari ke hari akan menjadi sangat banyak dan menyita ruang drive sistem. Hal ini pasti menjadi sebuah “kerugian” dalam sisi storage (ruang penyimpan/ harddisk).Padahal sebagian besar log file tsb sudah tidak akan berguna lagi pada event berikutnya, alias menjadi sampah digital .Beberapa software (yang baik) akan otomatis menghapus log-file yang telah dibuatnya bila software tersebut di-close, tetapi kebanyakan software tidak demikian, artinya setiap kali software ini digunakan juga akan meninggalkan sampah.Sehubungan dengan hal ini, cermatlah memilih suatu software untuk sistem/pc Anda. Jangan jangan anda hanya meng-koleksitrash-machine belaka.Bisa dibayangkan sebuah rumah yang penuh dengan sampah, pasti tidak nyaman (dan tidak sehat) untuk dihuni, bukan ?.
NAMA : MARWAN
NIM : 13 142 099
KELAS : IF6AI
DOSEN : SURYAYUSRA,M.kom
JURUSAN : TEKNIK INFORMATIKA
FAKULTAS : ILMU KOMPUTER
LOG FILE
Discription
Sebagai contoh, server web memiliki daftar log file untuk setiap permintaan (request) dari browser yang ditujukan kepada server. Dengan perangkat Log file analizer, dimungkinkan untuk mengetahui berbagai hal seperti dari mana pengunjung berasal, seberapa sering mereka kembali, dan bagaimana mereka menavigasi menuju situs web tersebut. Termasuk didalamnya adalah data cookies(yang termasuk sebuah log-file) yang memungkinkan Webmaster untuk mendapatkan informasi lebih rinci tentang setiap pengguna yang mengakses suatu situs.
Maintenance
Dalam kaitannya dengan suatu Sistem Operasi (Windows) Log-file dihasilkan oleh sistem untuk membantu user dalam usaha mengatasi hal hal yang ber potensi menimbulkan masalah, ataupun melacak dan mengatasi masalah yg sudah atau sedang terjadi, baik itu masalah keamanan atau sesuatu yang lain, karena log-file memuat laporan rinci tentang semua aktivitas computer yang ada.Dari sisi ini Log-file juga memiliki kegunaan, terutama bagi para teknisi computer, dengan mempelajari isi dari log-file, akan dapat diketahui letak suatu permasalahan yang muncul dalam computer.Banyak jenis log-file yang hanya dapat dibaca dengan ijin-masuk (permission access) tertentu. Sebagai contoh, Security Event log file (self) hanya dapat dibaca oleh administrator sistem.Sedangkan Log yang dibuat oleh aplikasi lain, seperti log file dari software seperti HijackThis misalnya, dapat dibaca oleh semua kelompok user.Pada umumnya, Log-file bisa dibuka/ dibaca menggunakan text-editor sederhana seperti NotePad.exe, atau WordPad.exe, sementara beberapa jenis harus menggunakan cara khusus.
Security
Bila Anda terhubung ke Internet, melakukan pencarian, menginstal perangkat lunak, dan sebagainya, Windows mencipta kan banyak file log di root-direktori pada Boot drive [ C\: ] anda, dan juga pada direktori Windows. File-file log berisi banyak informasi tentang kegiatan Anda: tanggal, file, hasil, error/success-note, dll. Ini dikenal dengan temporary internet file (TIF), yang juga akan menjadi sampah didalam computer. Jumlahnya cepat sekali menjadi banyak, sesuai aktivitas kita dalam browsing internet.Dari aspek security, sangat disarankan agar Anda menghapus log-log file, karena siapapun dapat meng-ekstrak informasi yang merupakan catatan aktivitas pribadi anda selama menggunakan sistem/pc. Catatan yang ada didalam log-file ini bisa menjadi sebuah bukti (evidence) dari aktivitas anda.
Performance
Dari aspek performa (kinerja) sistem/pc, karena log-file selalu dibuat, baik oleh sistem operasi (Windows) maupun oleh software aplikasi, maka jumlah nya dari hari ke hari akan menjadi sangat banyak dan menyita ruang drive sistem. Hal ini pasti menjadi sebuah “kerugian” dalam sisi storage (ruang penyimpan/ harddisk).Padahal sebagian besar log file tsb sudah tidak akan berguna lagi pada event berikutnya, alias menjadi sampah digital .Beberapa software (yang baik) akan otomatis menghapus log-file yang telah dibuatnya bila software tersebut di-close, tetapi kebanyakan software tidak demikian, artinya setiap kali software ini digunakan juga akan meninggalkan sampah.Sehubungan dengan hal ini, cermatlah memilih suatu software untuk sistem/pc Anda. Jangan jangan anda hanya meng-koleksitrash-machine belaka.Bisa dibayangkan sebuah rumah yang penuh dengan sampah, pasti tidak nyaman (dan tidak sehat) untuk dihuni, bukan ?.
NAMA : MARWAN
NIM : 13 142 099
KELAS : IF6AI
DOSEN : SURYAYUSRA,M.kom
JURUSAN : TEKNIK INFORMATIKA
FAKULTAS : ILMU KOMPUTER
