Network & Computer Forensic

Free Powerpoint TemplatesPage 1

Free Powerpoint Templates

Digital ForensicsDon Anto

PRESENTED FOR

23 NOVEMBER

2011


Don Anto? Bachelor Degree on Electrical Engineering Involves in Security Field for more than 7 years Currently Works in Telecommunication Company GCIA, GCIH, GSEC, JNCIS-SEC, Others HTTP://IPSECS.COM


Digital Forensics? Adalah cabang ilmu forensik

yang terkait dengan investigasi material pada perangkat digital berhubungan dengan kejahatan komputer

Forensik Komputer, Forensik Database, Forensik Jaringan (Network), etc

Presentasi ini akan fokus pada Forensik Komputer dan Jaringan


Computer Forensics? Adalah cabang ilmu forensik

digital berkaitan dengan material pada perangkat komputer dan media penyimpanan

Tujuan forensik komputer adalah mengidentifikasi, mengumpulkan, menjaga, menganalisis, dan menampilkan fakta mengenai opini terkait dengan informasi pada media komputer


Network Forensics? Adalah cabang ilmu forensik

digital berkaitan dengan monitoring dan analisis trafik jaringan komputer

Tujuan forensik jaringan adalah mengidentifikasi, mengumpulkan, menganalisis, dan menampilkan fakta mengenai opini terkait dengan informasi pada lalu lintas trafik jaringan

Bukti pada komputer dirusak? Forensik jaringan membantu


Methodology?

Mengidentifikasi (Identify) Mengumpulkan (Collect) Menjaga (Preserve) Menganalisis (Analyze) Menampilkan (Present)


Apakan permasalahannya? Gejala dan efek yang

dirasakan dari adanya permasalahan?

Sejak kapan permasalahan itu dirasakan?

Analogi dokter dan diagnosa awal pasien

Identify ?


Con’t Identify ? Initial incident handling

process ? Tersangka (Suspect) ? &

Motive ? Who?

• Outsider• Insider• Anonymous

Aplikasikan pada forensik komputer dan jaringan


Collect Evidence? Pengumpulan bukti

kejahatan digital baik pada media komputer maupun trafik di jaringan

Apa saja yang perlu dikumpulkan dan dijadikan bukti digital?


Collect Evidence - Computer? Memory Acquisition &

Imaging Hard disk Acquisition &

Imaging Bukti volatil : proses sistem,

koneksi, ...? Log file : authentikasi, error

sistem, ...? Artefak : rootkit, sniffer, ...? Registry, etc?


Collect Evidence - Network? Network Firewall Log ? Network Intrusion Detection

System ? Wireless Access Point ? Switch or Router Log ? Traffic/packet capture ? Having Security Information &

Event Management (SIEM) ? GREAT!

DHCP, DNS, etc ?


Preserve Evidence ?

Perlu ada mekanisme untuk menjaga bukti digital yang sudah dikumpulkan dari kemungkinan modifikasi dan kerusakan

Perlu adanya mekanisme duplikasi (backup) terhadap bukti digital tersebut

Bukti digital ini diperlukan untuk analisis secara lebih mendalam atau dimasa mendatang


Con’t - Preserve Evidence ? Putus koneksi perangkat

(komputer) yang telah disusupi

Jangan menggunakan perangkat (komputer) yang telah disusupi

Jangan membuka file dengan editor karena berpotensi mengubah date/time stamp

Amankan secara fisik


Con’t - Preserve Evidence ? Copy memory dan transfer ke

komputer lain sebagai bakup bukti (windd, dd+fmem, Qemu)

Copy hard disk pada level bit ke komputer lain sebagai bakup bukti (dd, Symantec Ghost, others)

Bakup file log pada komputer yang disusupi (cp, tar)

Kalkulasi hash checksum untuk memastikan integritas bakup tersebut (md5sum, sha1sum)


Evidence Analysis?

Bukti digital yang telah dikumpulkan kemudian dianalisis untuk memperoleh fakta

Hasil analisis setidaknya menjawab 5W 1H• What? Apa yang telah

terjadi• Who? Siapakah pelakunya• Why? Motif pelaku• When? Rentang waktu

kejadian• Where? Dari mana

dilakukan (IP, ISP, etc)• How? Bagaimana itu terjadi


Evidence Analysis?


Media Analysis? Analisis Volume (Storage)

• Analisis timeline file system (autopsy)

• Analisis timeline registry (mactime)

• Analisis timeline artefak• Analisis timeline file log• Others

Memory Analysis• Analisis bukti volatil

(volatility)• Contohnya : sistem proses,

occupancy, koneksi jaringan


Network Analysis? Penyusup yang pandai

membersihkan jejak di komputer sehingga investigasi menjadi relatif sulit

Analisis berdasarkan pada temuan-temuan di jaringan

Analisis log perangkat jaringan misalnya : firewall, NIDS, SIEM, proxy, router, switch, access point, DHCP, DNS, others

Analisis trafik dari hasil capture di jaringan misalnya : tcpdump, wireshark, ngrep, tcpxtract, pcapcat, tshark


Indicator of Compromise? Ubah data hasil analisis &

pengalaman forensik menjadi data intelligence digital

Pengelompokan logik dari artefak forensik, misalnya hash, proses, listen port, file name, etc.

Contoh tool OpenIOC (mandiant)• Open Source• XML format• Easy to share


Present? Tahap terakhir forensik digital

adalah melaporkan dan mempresentasikan temuan-temuan serta bukti digital

Pelaporan dan presentasi ini mungkin berguna dalam lingkup hukum dan pengadilan

Pertimbangan-pertimbangan lainnya?


Forensics - Useful Tools? Registry Decoder Volatility Advanced Memory

Forensics Sleuth Kit EnCase Traffic Sniffer : wireshark, ngrep,

tcpxtract, pcapcat, others Indicator of Compromise (IOC) Collection Tools

• E-Fense Helix Linux• SANS Investigative Forensics

Toolkit (SIFT) GNU tar, cp, dd, others Our brain


Forensics - Useful Resources? computer-forensics.sans.org www.mandiant.com www.forensics.nl www2.opensourceforensics.org Our brain


DEMO FORENSIC


DISKUSIQ&A


THANK YOU

Technology

Network & Computer Forensic