Upload
don-anto
View
7.451
Download
2
Embed Size (px)
DESCRIPTION
Network & Computer Forensic
Citation preview
Free Powerpoint TemplatesPage 1
Free Powerpoint Templates
Digital ForensicsDon Anto
PRESENTED FOR
23 NOVEMBER
2011
Free Powerpoint TemplatesPage 2
Don Anto? Bachelor Degree on Electrical Engineering Involves in Security Field for more than 7 years Currently Works in Telecommunication Company GCIA, GCIH, GSEC, JNCIS-SEC, Others HTTP://IPSECS.COM
Free Powerpoint TemplatesPage 3
Digital Forensics? Adalah cabang ilmu forensik
yang terkait dengan investigasi material pada perangkat digital berhubungan dengan kejahatan komputer
Forensik Komputer, Forensik Database, Forensik Jaringan (Network), etc
Presentasi ini akan fokus pada Forensik Komputer dan Jaringan
Free Powerpoint TemplatesPage 4
Computer Forensics? Adalah cabang ilmu forensik
digital berkaitan dengan material pada perangkat komputer dan media penyimpanan
Tujuan forensik komputer adalah mengidentifikasi, mengumpulkan, menjaga, menganalisis, dan menampilkan fakta mengenai opini terkait dengan informasi pada media komputer
Free Powerpoint TemplatesPage 5
Network Forensics? Adalah cabang ilmu forensik
digital berkaitan dengan monitoring dan analisis trafik jaringan komputer
Tujuan forensik jaringan adalah mengidentifikasi, mengumpulkan, menganalisis, dan menampilkan fakta mengenai opini terkait dengan informasi pada lalu lintas trafik jaringan
Bukti pada komputer dirusak? Forensik jaringan membantu
Free Powerpoint TemplatesPage 6
Methodology?
Mengidentifikasi (Identify) Mengumpulkan (Collect) Menjaga (Preserve) Menganalisis (Analyze) Menampilkan (Present)
Free Powerpoint TemplatesPage 7
Apakan permasalahannya? Gejala dan efek yang
dirasakan dari adanya permasalahan?
Sejak kapan permasalahan itu dirasakan?
Analogi dokter dan diagnosa awal pasien
Identify ?
Free Powerpoint TemplatesPage 8
Con’t Identify ? Initial incident handling
process ? Tersangka (Suspect) ? &
Motive ? Who?
• Outsider• Insider• Anonymous
Aplikasikan pada forensik komputer dan jaringan
Free Powerpoint TemplatesPage 9
Collect Evidence? Pengumpulan bukti
kejahatan digital baik pada media komputer maupun trafik di jaringan
Apa saja yang perlu dikumpulkan dan dijadikan bukti digital?
Free Powerpoint TemplatesPage 10
Collect Evidence - Computer? Memory Acquisition &
Imaging Hard disk Acquisition &
Imaging Bukti volatil : proses sistem,
koneksi, ...? Log file : authentikasi, error
sistem, ...? Artefak : rootkit, sniffer, ...? Registry, etc?
Free Powerpoint TemplatesPage 11
Collect Evidence - Network? Network Firewall Log ? Network Intrusion Detection
System ? Wireless Access Point ? Switch or Router Log ? Traffic/packet capture ? Having Security Information &
Event Management (SIEM) ? GREAT!
DHCP, DNS, etc ?
Free Powerpoint TemplatesPage 12
Preserve Evidence ?
Perlu ada mekanisme untuk menjaga bukti digital yang sudah dikumpulkan dari kemungkinan modifikasi dan kerusakan
Perlu adanya mekanisme duplikasi (backup) terhadap bukti digital tersebut
Bukti digital ini diperlukan untuk analisis secara lebih mendalam atau dimasa mendatang
Free Powerpoint TemplatesPage 13
Con’t - Preserve Evidence ? Putus koneksi perangkat
(komputer) yang telah disusupi
Jangan menggunakan perangkat (komputer) yang telah disusupi
Jangan membuka file dengan editor karena berpotensi mengubah date/time stamp
Amankan secara fisik
Free Powerpoint TemplatesPage 14
Con’t - Preserve Evidence ? Copy memory dan transfer ke
komputer lain sebagai bakup bukti (windd, dd+fmem, Qemu)
Copy hard disk pada level bit ke komputer lain sebagai bakup bukti (dd, Symantec Ghost, others)
Bakup file log pada komputer yang disusupi (cp, tar)
Kalkulasi hash checksum untuk memastikan integritas bakup tersebut (md5sum, sha1sum)
Free Powerpoint TemplatesPage 15
Evidence Analysis?
Bukti digital yang telah dikumpulkan kemudian dianalisis untuk memperoleh fakta
Hasil analisis setidaknya menjawab 5W 1H• What? Apa yang telah
terjadi• Who? Siapakah pelakunya• Why? Motif pelaku• When? Rentang waktu
kejadian• Where? Dari mana
dilakukan (IP, ISP, etc)• How? Bagaimana itu terjadi
Free Powerpoint TemplatesPage 16
Evidence Analysis?
Free Powerpoint TemplatesPage 17
Media Analysis? Analisis Volume (Storage)
• Analisis timeline file system (autopsy)
• Analisis timeline registry (mactime)
• Analisis timeline artefak• Analisis timeline file log• Others
Memory Analysis• Analisis bukti volatil
(volatility)• Contohnya : sistem proses,
occupancy, koneksi jaringan
Free Powerpoint TemplatesPage 18
Network Analysis? Penyusup yang pandai
membersihkan jejak di komputer sehingga investigasi menjadi relatif sulit
Analisis berdasarkan pada temuan-temuan di jaringan
Analisis log perangkat jaringan misalnya : firewall, NIDS, SIEM, proxy, router, switch, access point, DHCP, DNS, others
Analisis trafik dari hasil capture di jaringan misalnya : tcpdump, wireshark, ngrep, tcpxtract, pcapcat, tshark
Free Powerpoint TemplatesPage 19
Indicator of Compromise? Ubah data hasil analisis &
pengalaman forensik menjadi data intelligence digital
Pengelompokan logik dari artefak forensik, misalnya hash, proses, listen port, file name, etc.
Contoh tool OpenIOC (mandiant)• Open Source• XML format• Easy to share
Free Powerpoint TemplatesPage 20
Present? Tahap terakhir forensik digital
adalah melaporkan dan mempresentasikan temuan-temuan serta bukti digital
Pelaporan dan presentasi ini mungkin berguna dalam lingkup hukum dan pengadilan
Pertimbangan-pertimbangan lainnya?
Free Powerpoint TemplatesPage 21
Forensics - Useful Tools? Registry Decoder Volatility Advanced Memory
Forensics Sleuth Kit EnCase Traffic Sniffer : wireshark, ngrep,
tcpxtract, pcapcat, others Indicator of Compromise (IOC) Collection Tools
• E-Fense Helix Linux• SANS Investigative Forensics
Toolkit (SIFT) GNU tar, cp, dd, others Our brain
Free Powerpoint TemplatesPage 22
Forensics - Useful Resources? computer-forensics.sans.org www.mandiant.com www.forensics.nl www2.opensourceforensics.org Our brain
Free Powerpoint TemplatesPage 23
DEMO FORENSIC
Free Powerpoint TemplatesPage 24
DISKUSIQ&A
Free Powerpoint TemplatesPage 25
THANK YOU