1. Network Forensik
Forensik jaringan (Network forensic) merupakan proses menangkap, mencatat dan menganalisa aktivitas jaringan guna menemukan bukti digital (digital evidence) dari suatu serangan atau kejahatan yang dilakukan terhadap , atau dijalankan menggunakan, jaringan komputer sehingga pelaku kejahatan dapat dituntut sesuai hukum yang berlaku.
Forensik Digital dan Forensik Jaringan ini dapat digunakan untuk menemukan kejahatan di dunia maya seperti cyber crime. Karena meskipun kejahatan itu dilakukan secara digital tetap saja meninggalkan bukti atau “jejak”. Jadi bagi anda yang ingin melakukan kejahatan digital, hati-hati terhadap “jejak” yang akan anda tinggalkan atau anda harus berpikir panjang untuk melakukan kejahatan tersebut.
Bukti digital dapat diidentifikasi dari pola serangan yang dikenali, penyimpangan dari perilaku normal jaringan ataupun penyimpangan dari kebijakan keamanan yang diterapkan pada jaringan. Internet yang berisi Jaringan Forensik dan proses intersepsi yang sah menurut hukum adalah tugas-tugas yang penting untuk banyak organisasi termasuk small medium business, enterprises, industri banking dan finance, tubuh Pemerintahan, forensik, dan agen intelijen untuk tujuan-tujuan yang berbeda-beda seperti penarsipan, intersepsi, dan mengaudit lalu lintas internet untuk referensi masa depan dan kebutuhan forensik. Penarsipan ini dan pemulihan kembali data internet dapat digunakan untuk barang bukti hukum dalam beberapa kasus perselisihan. Pemerintah dan agen-agen intelijen mengunakan beberapa teknologi untuk melindungi dan mempertahankan keamanan nasional.2. Proses Forensik Jaringan
Proses forensik jaringan terdiri dari beberapa tahap, yakni :
- Akuisisi dan pengintaian (reconnaissance)
Yaitu proses untuk mendapatkan/mengumpulkan data volatil (jika bekerja pada sistem online) dan data non-volatil (disk terkait) dengan menggunakan berbagai tool.
- Analisa
Yaitu proses menganalisa data yang diperoleh dari proses sebelumnya, meliputi analisa real-time dari data volatil, analisa log-file, korelasi data dari berbagai divais pada jaringan yang dilalui serangan dan pembuatan time-lining dari informasi yang diperoleh.
- Recovery
Yaitu proses untuk mendapatkan/memulihkan kembali data yang telah hilang akibat adanya intrusi, khususnya informasi pada disk yang berupa file atau direktori.2.1 Akuisisi dan Pengintaian (Reconnaissance)
Tahap awal proses forensik merupakan hal yang kritis karena menentukan keberhasilan proses forensik. Tahap ini merupakan proses pengumpulan data dan pengintaian.2.1.1 Pengumpulan Data Volatil
Data volatil dikumpulkan dari berbagai sumber, yakni register proses, memori virtual dan fisik, proses-proses yang sedang berjalan, maupun keadaan jaringan. Sumber informasi tersebut pada umumnya mempunyai informasi dalam periode yang singkat, sehingga waktu pengumpulan bersifat kritis dan harus sesegera mungkin diambil setelah terjadi insiden. Misalnya alamat MAC (Media Access Control) dari computer yang berkomunikasi dengan computer sasaran yang berada pada subnet yang sama , yang tersimpan pada ARP (Address Resolution Protocol) cache, segera dibuang setelah terjalin komunikasi dengan computer lainnya, sehingga data tersebut harus segera diambil.
Sumber informasi volatil yang penting beserta instruksi-instruksi yang digunakan untuk menangkap informasi tersebut diantaranya:
- Proses-proses yang sedang berjalan (ps atau /proc)
- Hubungan jaringan yang aktif (nestat)
- ARP cache (arp)
- List of open file (lsop)
- Memori Fisik dan Virtual (/dev/mem, /dev/kmem)
2.1.2 Melakukan Trap dan Trace
Trap dan trace merupakan proses untuk memonitor header dari trafik internet tanpa memonitor isinya (tidaklah legal untuk memonitor isi dari suatu komunikasi data). Proses ini merupakan cara non intrusif untuk menentukan sumber serangan jaringan atau untuk mendeteksi kelainan trafik karena hanya mengumpulkan header paket TCP/IP dan bukan isinya.
Contoh di atas menggunakan panjang default 68 byte. Trap dan trace dapat digunakan oleh analis forensik untuk menjawap beberapa pertanyaan kritis, yakni:
2.2 Analisa Data
- Apakah alamat IP sumber mencurigakan?
- Apakah alamat IP dan/ atau nomor port tujuan mencurigakan? Misal beberapa port yang sangat dikenal digunakan oleh Trojan adalah 31337 untuk Back Orifice dan 12345 untuk NetBus.
- Apakah terdapat fragmentasi yang aneh? Fragmentasi sering digunakan untuk membingungkan IDS dan firewall.
- Apakah TCP flag mencurigakan? Misal, beberapa flag tidak pernah terjadi bersama-sama, seperti R & F (reset & fin), F alone, dll. Penyerang menggunakan teknik ini untuk menentukan sistem operasi dari computer sasaran.
- Apakah ukuran paket mencurigakan? Paket SYN awal seharusnya membawa data 0 byte.
- Apakah tujuan port merupakan layanan yang valid? Layanan yang valid biasanya ditampilkan dalam dalam file /etc/services pada mesin Linux.
- Apakah trafik mengikuti standar RFC?
2.2.1 Log File sebagai Sumber Informasi
Keberhasilan proses forensik sangat ditentukan oleh kualitas dan kuantitas informasi yang terkumpul. Log file dapat merupakan sumber informasi yang penting bagi proses forensik. Log file mengandung informasi tentang berbagai sumber daya sistem, proses-proses dan aktivitas pengguna. Protocol analyzer, sniffer, server SMTP, DHCP, FTP dan WWW, router, firewall dan hampir semua aktivitas sistem atau user dapat dikumpulkan dalam log file. Tetapi jika administrator sistem tidak dapat mencatat, maka fakta yang diperlukan untuk menghubungkan pelaku dengan insiden tidak ada. Sayangnya penyerang dan penjahat yang pintar mengetahui hal ini dan tujuan pertamanya adalah merusak atau mengubah log file untuk menyembunyikan aktivitas mereka.
Hal kedua yang penting tetapi sering dilupakan adalah sistem clock. Pencatatan suatu file berhubungan dengan time stamp dan date stamp yang memungkinkan analis forensik untuk menentukan urutan kejadian. Tetapi jika sistem clock tidak dikoreksi/dikalibrasi secara berkala dapat dimatikan dari mana saja dari beberapa detik sampai beberapa jam. Hal ini menyebabkan masalah karena korelasi antara log file dari computer yang berbeda yang mempunyai sistem clock yang berbeda akan menyulitkan bahkan tidak mungkin mengkorelasikan kejadian. Solusi yang sederhana untuk mensinkronisasi clock adalah seluruh server dan sistem berjalan pada suatu daemon seperti UNIX ntpd daemon, yang mensinkronisasi waktu dan tanggal sistem secara berkala dengan suatu atomic clock yang disponsori pemerintah.2.2.2 Interpretasi Trafik Jaringan
Untuk dapat mengidentifikasi trafik jaringan yang tidak normal dan mencurigakan, harus dapat mengenali dengan baik pola trafik jaringan yang normal. Jika pola traffic tidak normal indikasinya biasanya alamat IP sumber terlihat tidak lazim (palsu) karena berupa satu set alamat IP cadangan yang biasanya digunakan di dalam jaringan sebagai alamat privat (misalnya dengan NAT) dan tidak pernah muncul di internet. Juga time-stamp terlalu berdekatan, dan port sumber dan nomor urut yang naik secara seragam merupakan petunjuk bahwa hal ini merupakan paket yang tidak normal. Paket ini menjadi SYNflood, suatu jenis DoS (denial of service), suatu serangan terhadap server ini menggunakan port 139 (NETbios).
2.2.3 Pembuatan Time Lining
MAC (Modified Access Creation) time merupakan tool yang sangat berguna untuk menentukan perubahan file, yang dapat digunakan untuk membuat time lining dari kejadian-kejadian.
M-times berisi informasi tentang kapan file dimodifikasi terakhir kali, A-times mengandung informasi waktu akses terakhir (membaca atau mengeksekusi) dan C-times berisi waktu terakhir status file diubah.
Misalnya di mana waktu akses dan waktu modifikasi yang sama serta waktu pengubahan 4 menit kemudian menunjukkan perubahan kepemilikan atau izin setelah file dibuat. Juga ditunjukkan pemilik file, ukuran, perijinan, jumlah blok yang digunakan,nomor inode dan jumlah link ke file.3. Forensik Tools
Kakas (tool) yang dipergunakan oleh ahli forensik harus bekerja baik dan tidak mengubah data. Di samping itu, komunitas komputer forensik harus menerima kakas dan hasilnya. Kakas yang sama kadang dipergunakan untuk melakukan pemantauan dan audit pada jaringan.
Tool kit untuk pengujian forensik memungkinkan untuk mengumpulkan dan analisis data, seperti TCPdump, Ethereal, Argus, NFR, tcpwrapper, sniffer, nstat, tripwire, diskcopy (/v pada DOS), DD pada Unix. Karena ahli hukum percaya bit lebih mudah dipalsukan daripada kertas, maka aturan utamanya adalah “preserve then examine” .
Melalui kakas ini beberapa data yang dapat dijadikan bukti adalah: ip address, nomor port, protokol, nama file, waktu akses dan sebagainya.
4. Server Forensik
4.1 Saffa-NG
Untuk mengatasi kebutuhan penegak hukum dalam melakukan analisis forensik, melakukan dokumentasi, serta menarik kesimpulan secara sistematis dan logis, maka dikembangkan suatu solusi Sistem Manajemen Kasus Forensik. Sistem yang dikembangkan ini dibuat merupakan pengembangan dari SAFFA.
SAFFA yang awalnya dikembangkan sebagai proyek riset oleh Andreas Vangerow – Universitas Bielefeld – Jerman dibawah bimbingan Prof Peter Ladkin PhD dan I Made Wiryana SSi, SKom, MSc, merupakan aplikasi workflow yang membantu dokumentasi analisis hasil uji forensik komputer (Vengeron,2006). SAFFA juga membantu menarik kesimpulan penyelidikan dengan menerapkan metode WBA yang telah banyak digunakan untuk analisis kecelakaan. SAFFA difokuskan untuk analisis forensik server dan desktop Personal Computer (PC).
Sistem yang dikembangkan ini disebut SAFFA NG karena merupakan pengembangan lebih lanjut dan perubahan secara mendasar arsitektur SAFFA dengan menggunakan komponen Open Source untuk menggantikan komponen proprietary yang tadinya digunakan SAFFA. Hanya konsep dan pendekatan SAFFA saja yang tetap masih digunakan. SAFFANG ini merupakan kerjasama riset antara Universitas Gunadarma, peneliti RVS Arbeitsgrupe-Bielefeld University, dan Andreas Vangerow (P3 Consulting GmbH), dengan masukan dari Kepolisian Negara bagian Niedersachsen (LKA Niedersachsen) serta kerja sama dengan badan pemerintahan Indonesia seperti KPK, dan Kepolisian Indonesia.
SAFFA merupakan perangkat lunak pertama yang tersedia secara bebas yang digunakan untuk sistem pengelolaan bukti digital dan pengelolaan data forensik. Memang telah ada beberapa perangkatlunak forensik seperti:
- Encase (http://www.guidancesoftware.com/)
- X-Ways (http://www.x-ways.net)
- Autopsy (http://www.sleuthkit.org/autopsy/)
- PyFLAG (http://www.pyflag.net/)
- TimeCoronerToolkit (http://www.porcupine.org/forensics/tct.html)
Tetapi, perangkat lunak tersebut berdiri sendiri dan relatif merupakan forensik aras bawah, yang belum mendukung ke pengambilan runutan kesimpulan.
SAFFA-NG dapat memanfaatkan keluaran dari perangkat lunak aras bawah tersebut, sebagai masukan pengolaan bukti digital. Sehingga, SAFFANG dapat merangkum hasil perolehan berbagai perangkat bantu tersebut. SAFFA-NG ini menggunakan berbagai komponen perangkat lunak Open Source yaitu:
- GNU/Linux
- Tomcat Server, sebagai server untuk aplikasiSaffa JSP
- Basis data XML
- OpenOffice sebagai converter berbagai dokumen yang dijalankan dalam modus server
Perangkat lunak yang hampir mirip dengan fungsi SAFFA ini adalah Open Computer Forensic Architecture (OSCA) dari kepolisian Belanda (http://ocfa.sourceforge.net). Tetapi OSCA tersebut lebih pada program untuk membangun framework server yang akan digunakan untuk melakukan pekerjaan forensik, bukan memberikan panduan tahapan forensik seperti halnya SAFFA. Dari sisi User Interface, SAFFA memiliki pendekatan lebih ke arah pengguna, jadi pengguna lebih dilibatkan dalam menentukan User Interface.
Untuk penggunaan di Indoensia, tim pengembang SAFFA banyak mendapat masukan dari pihak KPK, serta dicobakan juga di Kepolisian Republik Indonesia.
5. Email Forensik
Dari sudut pandang forensik, e-mail dengan sistem client/server memudahkan dalam menemukan informasi (untuk kepentingan analisis) karena semua pesan di-download, dan disimpan dalam komputer lokal. Dengan mendapatkan akses ke komputer lokal, maka analisis terhadap e-mail akan jauh lebih mudah. Dua bagian e-mail yang dijadikan sumber pengamatan adalah header dan body. Yang paling umum dilihat dari sebuah header adalah From (nama dan alamat pengirim yang mudah untuk dipalsukan), To (tujuan yang juga dengan mudah disamarkan), Subject and Date (terekam dari komputer pengirim, namun menjadi tidak akurat jika tanggal dan jam pada komputer pengirim diubah). Untuk mendapatkan informasi yang lebih detail, header pada e-mail perlu diekstrak. Dari header tersebut bisa didapatkan informasi IP Lokal dari pengirim, ID unik yang diberikan oleh server e-mail, dan alamat server pengirim.
Umumnya, software e-mail client/server (seperti Ms.Outlook, Eudora, atau ThunderBird) telah menyediakan fasilitas untuk melihat header secara lengkap, namun beberapa software forensik mampu membaca dan mengekstraksi header untuk keperluan analisis lebih lanjut seperti EnCase atau FTK. Dengan software forensik ini, analisis untuk melakukan pencarian, ekstrak header, pencetakan ke printer, dan pengelompokkan e-mail menjadi lebih mudah dilakukan.
Lalu, bagaimana dengan investigasi untuk web-based e-mail, seperti Yahoo! atau Gmail? E-mail yang pernah terbaca melalui web browser, tentunya tidak disimpan di komputer lokal seperti halnya e-mail dengan sistem client/server. Ketika e-mail dibaca pada sebah komputer, sistem operasi meng-cache isi website tersebut pada harddisk. Cara terbaik untuk melacak setiap e-mail yang pernah terbaca adalah melalui area temporary file seperti file swap atau file cache, atau jika temporary file telah terhapus, pelacakan dapat difokuskan pada area tempat lokasi file temporary sebelum dihapus.
Ektraksi untuk melakukan ini akan membutuhkan lebih banyak usaha dibandingkan ekstraksi dengan sistem client/server, karena penelusuran difokuskan untuk mencari file HTML di antara kumpulan ratusan atau mungkin ribuan halaman-halaman HTML. Software forensik seperti FTK atau EnCase dapat berguna untuk mempercepat pencarian. Misalkan mencari suatu pesan yang mengandung fadh325@situsku.com, maka teks tersebut dapat dimasukkan sebagai dasar pencarian pada sebuah software forensik, dan diatur agar pencarian dilakukan hanya untuk file HTML. Software forensik akan menjelajah isi harddisk, dan berusaha menemukan file (atau potongan file) dengan kriteria yang telah disediakan.
6. Produk-Produk Jaringan Forensik
6.1 E-Detective – Sistem Jaringan Forensik Real-Time dan Proses Intersepsi Yang Sah
Menurut Hukum
E-Detective adalah sebuah sistem yang melakukan proses intersepsi internet secara real-time, monitoring, dan sistem forensik yang menangkap, membaca kode ( dengan menguraikan isi sandi / kode ), dan memulihkan kembali beberapa tipe-tipe lalu lintas internet. Sistem ini biasanya digunakan pada perusahan internet dan memantau tingkah laku, audit, penyimpanan record, analisis forensik, dan investigasi yang sama baiknya dengan hukum, serta intersepsi yang sah menurut hukum untuk penyenggaraan badan usaha yang sah menurut hukum seperti Kepolisian Intelijen, Kemiliteran Intelijen, Departemen Cyber Security, Agen Keamanan Nasional, Departemen Investigasi Kriminal, Agen Pembasmian Terorisme, dan lainnya. Sistem ini juga menyediakan pemenuhan solusi untuk banyak standard-standard atau berlaku seperti Sarbanes Oxley Act (SOX), HIPAA, GLBA, SEC, NASD, E-Discovery, dan lain-lainnya.
E-Detective mampu untuk membaca kode (dengan menguraikan isi sandi / kode), reassembly, dan memulihkan kembali berbagai jenis Aplikasi-Aplikasi Internet dan servis-servis misalnya Email (POP3, IMAP dan SMTP), Webmail (Yahoo Mail, Windows Live Hotmail, Gmail), Instant Messaging (Yahoo, MSN, ICQ, QQ, Google Talk, IRC, UT Chat Room, Skype), File Transfer (FTP, P2P), Online Games, Telnet, HTTP (Link, Content, Reconstruct, Upload dan Download, Video Streaming), VOIP (modul opsional), dan lain-lainnya.
E-Detective datang dengan variasi yang luas dari fungsi dan keistimewaan managemen dan administrasi. Sistem ini menyediakan kepada Anda berbagai tipe-tipe dari laporan dengan Top-Down View. Laporan-laporan tersebut dapat dibuat termasuk Total Throughput Statistical Report-nya, Network Service Report (basis harian, mingguan), Top Website, dan lain-lainnya. Semua statistik-statistiknya dapat ditampilkan dalam per IP Address atau basis per User Account.
E-Detective juga menyediakan macam-macam fungsi-fungsi pencarian. Sistem ini menyediakan Free Text Search (pencarian Kata Kunci dengan bantuan Boolean), Conditional Search, Similar Search, dan Association dengan Relationship Search. Sistem ini juga datang dengan fungsi-fungsi Alert dan Notification (Throughput, Conditional, dan Key Words Alert) yang mengizinkan network administrator meng-setup aturan-aturan alert dan parameter-parameter yang berbeda. Hal ini mengizinkan alert di-trigger (email dikirim ke administrator) sekali, konten spesifik ditemukan dalam menangkap dan memulihkan kembali konten.
Fungsi backup mengizinkan user untuk mem-backup file data mentah yang ditangkap atau memulihkan kembali konten-konten. User dapat meng-setup Auto Backup untuk meng-Backup file-file ini ke drive eksternal (NAS atau SAN) melalui metode upload FTP. Selain itu, user dapat opsional untuk backup secara manual file-file ini dengan mem-burning file-file tersebut ke CD/DVD atau tetap men-download file-file tersebut ke lokal hard drive/PC.
Fungsi-fungsi tambahan yang tersedia seperti Bookmark, Capture File List (Membandingkan isi dari dua file), Online IP List, Authority Assignment, Syslog Server, dan lain-lainnya. Fungsi-fungsi lainnya termasuk hashed export (backup), file content comparison, dan lain-lainnya.
sumber : http://tikusnkucing.blogspot.com/2011/11/network-forensik-proses-forensik.html
