NETWORK FORENSIC (FORENSIK JARINGAN)
Network forensik : merupakan proses menangkap, mencatat dan menganalisa
aktivitas jaringan guna menemukan bukti digital (digital evidence) dari suatu
serangan atau kejahatan yang dilakukan terhadap , atau dijalankan menggunakan,
jaringan komputer sehingga pelaku kejahatan dapat dituntut sesuai hukum yang
berlaku.
PROSES FORENSIK JARINGAN
Proses forensik jaringan terdiri dari beberapa tahap,
yakni :
- · Akuisisi dan pengintaian (reconnaissance)
Yaitu proses untuk mendapatkan/mengumpulkan data
volatil (jika bekerja pada sistem online) dan data non-volatil (disk terkait)
dengan menggunakan berbagai tool.
- · Analisa
Yaitu proses menganalisa data yang diperoleh dari
proses sebelumnya, meliputi analisa real-time dari data volatil, analisa
log-file, korelasi data dari berbagai divais pada jaringan yang dilalui
serangan dan pembuatan time-lining dari informasi yang diperoleh.
- · Recovery
Yaitu proses untuk mendapatkan/memulihkan kembali data
yang telah hilang akibat adanya intrusi, khususnya informasi pada disk yang
berupa file atau direktori.
PRODUK-PRODUK JARINGAN FORENSIK
- · E-Detective – Sistem Jaringan Forensik Real-Time dan Proses Intersepsi Yang Sah Menurut Hukum
- · Wireless-Detective – Wireless Forensik Real-Time dan Proses Intersepsi Yang Sah Menurut Hukum
- · HTTPS/SSL Network Packet Forensics Device – Sistem HTTPS/SSL Forensik Real-Time dan Proses Intersepsi Yang Sah Menurut Hukum
- · Honeypot dan Alat Analisis Forensik Berdasarkan Distro KNOPPIX STD dan Tiny Honeypot oleh George Bako
ANALISA DATA
1. Log File sebagai Sumber Informasi
Keberhasilan proses forensik sangat ditentukan oleh kualitas dan
kuantitas informasi yang terkumpul. Log file dapat merupakan sumber informasi
yang penting bagi proses forensik. Log file mengandung informasi tentang
berbagai sumber daya sistem, proses-proses dan aktivitas pengguna. Protocol
analyzer, sniffer, server SMTP, DHCP, FTP dan WWW, router, firewall dan hampir
semua aktivitas sistem atau user dapat dikumpulkan dalam log file. Tetapi jika
administrator sistem tidak dapat mencatat, maka fakta yang diperlukan untuk
menghubungkan pelaku dengan insiden tidak ada. Sayangnya penyerang dan penjahat
yang pintar mengetahui hal ini dan tujuan pertamanya adalah merusak atau
mengubah log file untuk menyembunyikan aktivitas mereka.
Hal kedua yang penting tetapi sering dilupakan adalah sistem clock. Pencatatan
suatu file berhubungan dengan time stamp dan date stamp yang memungkinkan
analis forensik untuk menentukan urutan kejadian. Tetapi jika sistem clock
tidak dikoreksi/dikalibrasi secara berkala dapat dimatikan dari mana saja dari
beberapa detik sampai beberapa jam. Hal ini menyebabkan masalah karena korelasi
antara log file dari computer yang berbeda yang mempunyai sistem clock yang
berbeda akan menyulitkan bahkan tidak mungkin mengkorelasikan kejadian. Solusi yang
sederhana untuk mensinkronisasi clock adalah seluruh server dan sistem berjalan
pada suatu daemon seperti UNIX ntpd daemon, yang mensinkronisasi waktu dan
tanggal sistem secara berkala dengan suatu atomic clock yang disponsori
pemerintah.
2. Interpretasi Trafik Jaringan
Untuk dapat mengidentifikasi trafik jaringan yang tidak normal dan
mencurigakan, harus dapat mengenali dengan baik pola trafik jaringan yang
normal. Jika pola traffic tidak normal indikasinya biasanya alamat IP sumber
terlihat tidak lazim (palsu) karena berupa satu set alamat IP cadangan yang
biasanya digunakan di dalam jaringan sebagai alamat privat (misalnya dengan
NAT) dan tidak pernah muncul di internet. Juga time-stamp terlalu berdekatan,
dan port sumber dan nomor urut yang naik secara seragam merupakan petunjuk
bahwa hal ini merupakan paket yang tidak normal. Paket ini menjadi SYNflood,
suatu jenis DoS (denial of service), suatu serangan terhadap server ini
menggunakan port 139 (NETbios).
3. Pembuatan Time Lining
MAC (Modified Access Creation) time merupakan tool yang sangat
berguna untuk menentukan perubahan file, yang dapat digunakan untuk membuat
time lining dari kejadian-kejadian.
M-times berisi informasi tentang kapan file dimodifikasi terakhir kali, A-times
mengandung informasi waktu akses terakhir (membaca atau mengeksekusi) dan
C-times berisi waktu terakhir status file diubah.
Misalnya di mana waktu akses dan waktu modifikasi yang sama serta waktu
pengubahan 4 menit kemudian menunjukkan perubahan kepemilikan atau izin setelah
file dibuat. Juga ditunjukkan pemilik file, ukuran, perijinan, jumlah blok yang
digunakan,nomor inode dan jumlah link ke file.
Tidak ada komentar:
Posting Komentar