Digital Forensic Bagian II


Lanjut tulisan sebelumnya Digital Forensic untuk Tangkap Maling Internet part 1 Penyidikan dilakukan terhadap salinan image dari disk yang asli. Image tersebut harus dikirimkan kepada ahli digital forensik melalui kurir yang dipercaya. Sementara disk yang asli harus disimpan dengan sebaik-baiknya dan pastikan disk tersebut offline, maksudnya tidak terhubung ke dalam sebuah sistem. Jika disk asli tidak dapat dibuat offline untuk dibuatkan image-nya, maka bukti lain dapat dipergunakan. Bukti yang dimaksud termasuk yang bersifat non-computing seperti saksi mata atau logfiles (file catatan aktifitas dari aplikasi) dari :

1. logs pada software pengemanan sistem dari penyusup seperti Intrusion Detection System (IDS) dan Firewall logs dan,
2. logs dari komputer lain yang ikut dipakai membantu proses penyusupan oleh si Maling.

Dibawah ini sebuah log file security sistem pada proses otentifikasi :

192.168.0.16 – – [06/Apr/2009:05:23:11 +0700] “GET /mysql/db_details_importdocsql.php?submit_show=true&do=import&docpath=../../../../../../../etc HTTP/1.0” 404 231
192.168.0.16 – – [06/Apr/2009:05:23:11 +0700] “GET /phpMyAdmin/db_details_importdocsql.php?submit_show=true&do=import&docpath=../../../../../../../etc HTTP/1.0” 404
192.168.0.16 – – [06/Apr/2009:05:23:14 +0700] “GET /.cobalt/sysManage/../admin/.htaccess HTTP/1.0” 404 221
192.168.0.16 – – [06/Apr/2009:05:23:14 +0700] “GET /albums/userpics/Copperminer.jpg.php?cat%20/etc/passwd HTTP/1.0” 404 233
192.168.0.16 – – [06/Apr/2009:05:23:14 +0700] “GET /autohtml.php?op=modload&mainfile=x&name=/etc/passwd HTTP/1.0” 404 210
192.168.0.16 – – [06/Apr/2009:05:23:14 +0700] “GET /atomicboard/index.php?location=../../../../../../../../../../etc/passwd HTTP/1.0” 404 219
192.168.0.16 – – [06/Apr/2009:05:23:14 +0700] “GET /ezhttpbench.php?AnalyseSite=/etc/passwd&NumLoops=1 HTTP/1.0” 404 213
192.168.0.16 – – [06/Apr/2009:05:23:14 +0700] “GET /index.php?download=/winnt/win.ini HTTP/1.0” 302 –
192.168.0.16 – – [06/Apr/2009:05:23:14 +0700] “GET /index.php?download=/windows/win.ini HTTP/1.0” 302 –
192.168.0.16 – – [06/Apr/2009:05:23:14 +0700] “GET /index.php?download=/etc/passwd HTTP/1.0” 302 –
192.168.0.16 – – [06/Apr/2009:05:23:14 +0700] “GET /index.php?|=../../../../../../../../../etc/passwd HTTP/1.0” 302 –
192.168.0.16 – – [06/Apr/2009:05:23:14 +0700] “GET /index.php?page=../../../../../../../../../../etc/passwd HTTP/1.0” 302 –
192.168.0.16 – – [06/Apr/2009:05:23:14 +0700] “GET /index.php?page=../../../../../../../../../../boot.ini HTTP/1.0” 302 –
192.168.0.16 – – [06/Apr/2009:05:23:14 +0700] “GET /nph-showlogs.pl?files=../../../../../../../../etc/passwd&filter=.*&submit=Go&linecnt=500&refresh=0 HTTP/1.0” 404 213

Bagi seorang administrator wajib hukumnya untuks selalu menganalisa setiap log file pada sistem yang dia kelola, jika lalai mungkin pekerjaan membaca log file sangat membosankan karena ratusan ribu baris harus dia analisa, maka akan berakibat buruk terhadap sistemnya, seperti catatan sistem web server di atas, dimana sang penyusup ingin mencuri informasi berhaga tentang webserver, bisa berupa file konfigurai maupun username dan password.

2.1.3 Data Sistem Operasi

Data dari sistem operasi komputer merupakan sumber informasi detail tentang apa yang telah dilakukan user di komputernya. Hal ini, ahli forensik dapat mengambil informasi penting seperti ; web site apa saja yang telah dikunjungi user, email yang dikirim atau email yang diterima, dan lain-lain.

Ketika mengakses internet, browser seperti internet explorer maupun mozilla firefox merekam penggunanya website apa saja yang telah dikunjungi, jika user menyimpan cookie karena memasukan username dan password di website yang meminta proses otentifikasi,maka cookie menjadi sumber data yang sangat penting karena cookie menyimpan informasi tentang password user tersebut.
Temporary Files

Ketika seorang pengguna atau user menjalankan program seperti pemutar musik, data yang dihasilkan program tersebut disimpan ke dalam hardisk. Contohnya, Aplikasi Microsoft Word secara otomatis menyimpan perubahan dokumen yang sedang diketik dalam beberapa selang waktu jika fitur AutoRecover aktif. Data yang tidak disimpan oleh pengguna ini dapat digunakan sumber penyelidikan para ahli digital forensik. Tempat folder temporary files Windows di C://Windows/temp sedangkan di Linux /tmp.

Komunikasi Data

Setiap orang yang menggunakan komputer, telepon selular atau perangkat lain yang bisa digunakan untuk berkomunikasi, jalur digital terbentuk dari komunikasi tersebut maka terciptanya sebuah informasi mengenai si pemakai yang saling berkomunikasi mengenai percakapan yang terjadi, siapa dan dimana komunikasi tersebut terjadi, dokumen apa yang dikirimkan atau diterima, dan percobaan untuk menghapus rekaman dari komunikasi tersebut oleh pengguna. Semua itu tersimpan secara elektronik, dan memungkinkan untuk dicari rekaman dari komunikasi data tersebut.

Beberapa data yang menyimpan informasi aktifitas pengguna seperti yang dijelaskan diatas tersimpan di dalam komputer pengguna sendiri, tetapi data tetap mempunyai kaitan dengan data yang tersimpan di beberapa arsitektur jaringan komputer selain komputer pengguna sendiri, contohnya seperti router atau intrusion detection systems.

Dibawah ini kita bisa melihat apa yang dilakukan seorang digital forensik sedang menganalisa aktifitas seorang penyusup (dengan ip 192.168.0.6) dan korban dengan ip (192.168.0.16) melewati jaringan komputer dengan aplikasi ettercap di Linux :

root@slacker:/media/ITS MINE/Tools# ettercap -T -M arp:remote /192.168.0.16/ /192.168.0.6/

ettercap NG-0.7.3 copyright 2001-2004 ALoR & NaGA

Listening on eth0… (Ethernet)

eth0 ->       00:1E:EC:C4:86:67       192.168.0.2     255.255.255.0

SSL dissection needs a valid ‘redir_command_on’ script in the etter.conf file
Privileges dropped to UID 65534 GID 65534…

0 plugins
39 protocol dissectors
53 ports monitored
7587 mac vendor fingerprint
1698 tcp OS fingerprint
2183 known services

Scanning for merged targets (2 hosts)…

* |==================================================>| 100.00 %

2 hosts added to the hosts list…

ARP poisoning victims:

GROUP 1 : 192.168.0.16 00:D0:09:BE:8B:81

GROUP 2 : 192.168.0.6 00:40:B4:11:12:44
Starting Unified sniffing…

Text only Interface activated…
Hit ‘h’ for inline help

Wed Jun 17 02:17:49 2009
TCP  192.168.0.6:25 –> 192.168.0.16:54650 | AP

214-2.0.0 This is sendmail version 8.12.8.
214-2.0.0 Topics:.
214-2.0.0       HELO    EHLO    MAIL    RCPT    DATA.
214-2.0.0       RSET    NOOP    QUIT    HELP    VRFY.
214-2.0.0       EXPN    VERB    ETRN    DSN     AUTH.
214-2.0.0       STARTTLS.
214-2.0.0 For more info use “HELP <topic>”..
214-2.0.0 To report bugs in the implementation send email to.
214-2.0.0       sendmail-bugs@sendmail.org..
214-2.0.0 For local information send email to Postmaster at your site..
214 2.0.0 End of HELP info.

Wed Jun 17 02:17:49 2009
TCP  192.168.0.16:54650 –> 192.168.0.6:25 | A

Wed Jun 17 02:17:49 2009
TCP  192.168.0.16:51695 –> 192.168.0.6:80 | AP

GET %2E%2E%2F%2E%2E%2F%2E%2E%2F%2E%2E%2F%2E%2E%2F%2E%2E%2F%2E%2E%2F%2E%2E%2F%2E%2E%2F%2E%2E%2Fetc%2Fpasswd HTTP/1.1.
User-Agent: Nmap NSE.
Connection: close.
Host: 192.168.0.6.
.
136.
<!DOCTYPE HTML PUBLIC “-//IETF//DTD HTML 2.0//EN”>
<HTML><HEAD>
<TITLE>404 Not Found</TITLE>
</HEAD><BODY>
<H1>Not Found</H1>
The requested URL ../../../../../../../../../../etc/passwd was not found on this server.<P>
<HR>
<ADDRESS>Apache/1.3.27 Server at server.slackware.lan Port 80</ADDRESS>
</BODY></HTML>
.
0.
.
214-2.0.0 This is sendmail version 8.12.8.
214-2.0.0 Topics:.
214-2.0.0       HELO    EHLO    MAIL    RCPT    DATA.
214-2.0.0       RSET    NOOP    QUIT    HELP    VRFY.
214-2.0.0       EXPN    VERB    ETRN    DSN     AUTH.
214-2.0.0       STARTTLS.
214-2.0.0 For more info use “HELP <topic>”..
214-2.0.0 To report bugs in the implementation send email to.
214-2.0.0       sendmail-bugs@sendmail.org..
214-2.0.0 For local information send email to Postmaster at your site..
214 2.0.0 End of HELP info.

Wed Jun 17 02:13:19 2009
TCP  192.168.0.16:39191 –> 192.168.0.6:80 | AP

GET /themes/Gillette/images/cap-left.gif HTTP/1.1.
User-Agent: Mozilla/5.0 (compatible; Konqueror/3.5; Linux) KHTML/3.5.9 (like Gecko).
Referer: http://server.slackware.org/setuser.php?user=slackware.
If-None-Match: W/”524e1-b3-34aaa508″.
If-Modified-Since: Wed, 31 Dec 1997 16:12:55 GMT.
Accept: image/png, image/jpeg, video/x-mng, image/jp2, image/gif;q=0.5,*/*;q=0.1.
Accept-Encoding: x-gzip, x-deflate, gzip, deflate.
Accept-Charset: iso-8859-1, utf-8;q=0.5, *;q=0.5.
Accept-Language: en.
Host: server.slackware.org.
Cookie: phpbb3_pja9v_sid=b4f76926308f6fcbcb4ffe3c2af52b3c; phpbb3_pja9v_k=; phpbb3_pja9v_u=1.
Connection: Keep-Alive.
.
Wed Jun 17 02:13:19 2009
TCP  192.168.0.6:80 –> 192.168.0.16:39191 | AP

Wed Jun 17 02:13:19 2009
TCP  192.168.0.16:39188 –> 192.168.0.6:80 | AP

GET /themes/Gillette/images/cap-right.gif HTTP/1.1.
User-Agent: Mozilla/5.0 (compatible; Konqueror/3.5; Linux) KHTML/3.5.9 (like Gecko).
Referer: http://server.slackware.org/setuser.php?user=slackware.
If-None-Match: W/”524e2-b3-34aaa508″.
If-Modified-Since: Wed, 31 Dec 1997 16:12:56 GMT.
Accept: image/png, image/jpeg, video/x-mng, image/jp2, image/gif;q=0.5,*/*;q=0.1.
Accept-Encoding: x-gzip, x-deflate, gzip, deflate.
Accept-Charset: iso-8859-1, utf-8;q=0.5, *;q=0.5.
Accept-Language: en.
Host: server.slackware.org.
Cookie: phpbb3_pja9v_sid=b4f76926308f6fcbcb4ffe3c2af52b3c; phpbb3_pja9v_k=; phpbb3_pja9v_u=1.
Connection: Keep-Alive.
.
.
Huruf yang dicetak tebal adalah aktifitas yang merugikan bagi pihak si korban. Hal seperti di atas bisa digunakan saat bukti penyusupan saat persidangan, dan bisa digunakan untuk mempermudah dalam penelusuran keberadaan si penyusup.

Sisa Data-data yang tertinggal

Kebanyak orang tidak mengetahui saat menghapus file dari komputer mengira file tersebut benar-benar hilang dikomputernya, tetapi file tersebut masih disimpan oleh sistem operasi di setiap lokasi direktorinya.

Ketika pengguna menghapus file, sistem operasi tidak benar-benar menghapus datanya. File yang terhapus tetap berada di tempatnya sampai program tertentu menimpa file yang terhapus tadi. Seseorang yang tahu bagaimana cara mengakses file yang terhapus, dan orang yang mempunyai alat bantu menemukan file yang terhapus dapat mengembalikan data yang sudah terhapus.

Sumber Data Lainnya

Satu sumbe data atau informasi adalah pengguna komputer itu sendiri, data digital yang ada di komputer tidak selalu hal yang penting dalam digital forensik. Ketika digital data penting ada di hardisk komputer, disket, backup tape, dan kartu memori maka bersamaan juga adanya chache (memori sementara yang dihasilkan sebuah program) memori di komputer.

Data juga berlokasi di shared drives, juga hard disk yang di-share di dalam sebuah network. harddrive tersebut melakukan pusat pelayanan tempat penyimpanan data. Dalam lingkungan bisnis, pengguna menyimpan hasil kerjanya, beriku dokumen pengolah kata, email , akunting dan lembar kerjanya id shared drive.

Data juga bisa ditemukandi beberapa lokasi lainnya seperti :

  • Smart card berisi informasi berharga yang digunakan untuk kriminil dengan bantuan komputer.
  • PDA digunakan untuk menyimpan password dan data penting lainnya.
  • Telepon selular mengidentifikasikan si pemilik
  • Setiap orang yang masuk ke dalam gedung yang memiliki sistem security seperti kamera cctv dapat merekam setiap aktifitas pengunjungnya

References :
* en.wikipedia.org/wiki/Computer_forensics
* http://www.tandf.co.uk/15567281
* ComputerForensics Part 1. Information Security and Forensics Society (ISFS), April 2004, http://www.isfs.org.hk

7 thoughts on “Digital Forensic Bagian II

  1. gak ngerti ama listing tulisan diatas, klo bisa dijelaskan satu persatu, maksudnya, kapan terjadi penetrasi, trus …, trus…

    arti “log” filenya dijelaskan juga donk….

    pengen belajar …

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s