1. Network Forensik
Forensik jaringan (Network forensic) merupakan proses menangkap, mencatat dan menganalisa aktivitas jaringan guna menemukan bukti digital (digital evidence) dari suatu serangan atau kejahatan yang dilakukan terhadap , atau dijalankan menggunakan, jaringan komputer sehingga pelaku kejahatan dapat dituntut sesuai hukum yang berlaku.
Forensik jaringan (Network forensic) merupakan proses menangkap, mencatat dan menganalisa aktivitas jaringan guna menemukan bukti digital (digital evidence) dari suatu serangan atau kejahatan yang dilakukan terhadap , atau dijalankan menggunakan, jaringan komputer sehingga pelaku kejahatan dapat dituntut sesuai hukum yang berlaku.
Forensik Digital dan
Forensik Jaringan ini dapat digunakan untuk menemukan kejahatan di dunia maya
seperti cyber crime. Karena meskipun kejahatan itu dilakukan secara digital
tetap saja meninggalkan bukti atau “jejak”. Jadi bagi anda yang ingin melakukan
kejahatan digital, hati-hati terhadap “jejak” yang akan anda tinggalkan atau
anda harus berpikir panjang untuk melakukan kejahatan tersebut.
Bukti digital dapat
diidentifikasi dari pola serangan yang dikenali, penyimpangan dari perilaku
normal jaringan ataupun penyimpangan dari kebijakan keamanan yang diterapkan
pada jaringan.
Internet yang berisi
Jaringan Forensik dan proses intersepsi yang sah menurut hukum adalah
tugas-tugas yang penting untuk banyak organisasi termasuk small medium
business, enterprises, industri banking dan finance, tubuh Pemerintahan,
forensik, dan agen intelijen untuk tujuan-tujuan yang berbeda-beda seperti
penarsipan, intersepsi, dan mengaudit lalu lintas internet untuk referensi masa
depan dan kebutuhan forensik. Penarsipan ini dan pemulihan kembali data
internet dapat digunakan untuk barang bukti hukum dalam beberapa kasus
perselisihan. Pemerintah dan agen-agen intelijen mengunakan beberapa teknologi
untuk melindungi dan mempertahankan keamanan nasional.
2. Proses Forensik
Proses forensik jaringan terdiri dari beberapa tahap,
yakni :
1) Akuisisi dan pengintaian (reconnaissance)
Yaitu proses untuk mendapatkan/mengumpulkan data
volatil (jika bekerja pada sistem online) dan data non-volatil (disk terkait)
dengan menggunakan berbagai tool.
2) Analisa
Yaitu proses menganalisa
data yang diperoleh dari proses sebelumnya, meliputi analisa real-time dari
data volatil, analisa log-file, korelasi data dari berbagai divais pada
jaringan yang dilalui serangan dan pembuatan time-lining dari informasi yang
diperoleh.
3) Recovery
Yaitu proses untuk
mendapatkan/memulihkan kembali data yang telah hilang akibat adanya intrusi,
khususnya informasi pada disk yang berupa file atau direktori.
Akuisisi
dan Pengintaian (Reconnaissance)
Tahap awal proses
forensik merupakan hal yang kritis karena menentukan keberhasilan proses
forensik. Tahap ini merupakan proses pengumpulan data dan pengintaian.
2.1.1
Pengumpulan Data Volatil
Data volatil dikumpulkan
dari berbagai sumber, yakni register proses, memori virtual dan fisik,
proses-proses yang sedang berjalan, maupun keadaan jaringan. Sumber informasi
tersebut pada umumnya mempunyai informasi dalam periode yang singkat, sehingga
waktu pengumpulan bersifat kritis dan harus sesegera mungkin diambil setelah
terjadi insiden. Misalnya alamat MAC (Media Access Control) dari computer yang
berkomunikasi dengan computer sasaran yang berada pada subnet yang sama , yang
tersimpan pada ARP (Address Resolution Protocol) cache, segera dibuang setelah
terjalin komunikasi dengan computer lainnya, sehingga data tersebut harus
segera diambil.
Sumber informasi volatil
yang penting beserta instruksi-instruksi yang digunakan untuk menangkap informasi
tersebut diantaranya:
Proses-proses yang
sedang berjalan (ps atau /proc)
Hubungan jaringan yang
aktif (nestat)
ARP cache (arp)
List of open file (lsop)
Memori Fisik dan Virtual
(/dev/mem, /dev/kmem)
2.1.2
Melakukan Trap dan Trace
Trap dan trace merupakan
proses untuk memonitor header dari trafik internet tanpa memonitor isinya
(tidaklah legal untuk memonitor isi dari suatu komunikasi data). Proses ini
merupakan cara non intrusif untuk menentukan sumber serangan jaringan atau untuk
mendeteksi kelainan trafik karena hanya mengumpulkan header paket TCP/IP dan
bukan isinya.
2.2
Analisa Data
2.2.1
Log File sebagai Sumber Informasi
Keberhasilan proses
forensik sangat ditentukan oleh kualitas dan kuantitas informasi yang
terkumpul. Log file dapat merupakan sumber informasi yang penting bagi proses
forensik. Log file mengandung informasi tentang berbagai sumber daya sistem,
proses-proses dan aktivitas pengguna. Protocol analyzer, sniffer, server SMTP,
DHCP, FTP dan WWW, router, firewall dan hampir semua aktivitas sistem atau user
dapat dikumpulkan dalam log file. Tetapi jika administrator sistem tidak dapat
mencatat, maka fakta yang diperlukan untuk menghubungkan pelaku dengan insiden
tidak ada. Sayangnya penyerang dan penjahat yang pintar mengetahui hal ini dan
tujuan pertamanya adalah merusak atau mengubah log file untuk menyembunyikan
aktivitas mereka.
Hal kedua yang penting
tetapi sering dilupakan adalah sistem clock. Pencatatan suatu file berhubungan
dengan time stamp dan date stamp yang memungkinkan analis forensik untuk
menentukan urutan kejadian. Tetapi jika sistem clock tidak
dikoreksi/dikalibrasi secara berkala dapat dimatikan dari mana saja dari
beberapa detik sampai beberapa jam. Hal ini menyebabkan masalah karena korelasi
antara log file dari computer yang berbeda yang mempunyai sistem clock yang
berbeda akan menyulitkan bahkan tidak mungkin mengkorelasikan kejadian. Solusi
yang sederhana untuk mensinkronisasi clock adalah seluruh server dan sistem
berjalan pada suatu daemon seperti UNIX ntpd daemon, yang mensinkronisasi waktu
dan tanggal sistem secara berkala dengan suatu atomic clock yang disponsori
pemerintah.
2.2.2
Interpretasi Trafik Jaringan
Untuk dapat
mengidentifikasi trafik jaringan yang tidak normal dan mencurigakan, harus
dapat mengenali dengan baik pola trafik jaringan yang normal. Jika pola traffic
tidak normal indikasinya biasanya alamat IP sumber terlihat tidak lazim (palsu)
karena berupa satu set alamat IP cadangan yang biasanya digunakan di dalam
jaringan sebagai alamat privat (misalnya dengan NAT) dan tidak pernah muncul di
internet. Juga time-stamp terlalu berdekatan, dan port sumber dan nomor urut
yang naik secara seragam merupakan petunjuk bahwa hal ini merupakan paket yang
tidak normal. Paket ini menjadi SYNflood, suatu jenis DoS (denial of service),
suatu serangan terhadap server ini menggunakan port 139 (NETbios).
2.2.3
Pembuatan Time Lining
MAC (Modified Access
Creation) time merupakan tool yang sangat berguna untuk menentukan perubahan
file, yang dapat digunakan untuk membuat time lining dari kejadian-kejadian.
M-times berisi informasi
tentang kapan file dimodifikasi terakhir kali, A-times mengandung informasi
waktu akses terakhir (membaca atau mengeksekusi) dan C-times berisi waktu
terakhir status file diubah.
Misalnya di mana waktu
akses dan waktu modifikasi yang sama serta waktu pengubahan 4 menit kemudian
menunjukkan perubahan kepemilikan atau izin setelah file dibuat. Juga
ditunjukkan pemilik file, ukuran, perijinan, jumlah blok yang digunakan,nomor
inode dan jumlah link ke file.
0 komentar:
Posting Komentar