Thursday, May 27, 2010

Analisis Forensik pada Kasus Mesin Nakula dan Antareja


Seperti yang telah disebutkan pada posting sebelumnya, salah satu peran penting analisis forensik di bidang teknologi informasi adalah mencari jejak dan bukti mengenai pelanggaran yang terjadi dalam sebuah sistem.

Berikut adalah salah satu contoh penerapan IT Forensic.

Pada tanggal 18 January 2002, Universitas Bielefeld mendapat peringatan keamanan bahwa terjadi serangan massal terhadap mesin Nakula. Nakula dan Antareja adalah sebuah mesin percobaan yang digunakan untuk melakukan beberapa proyek riset di RVS Arbeitsgruppe - Universitas Bielefeld. Nakula telah dioperasikan sejak 1997 dan Antareja baru dioperasikan sejak Desember 2001. Kedua mesin ini memiliki beberapa layanan yang fungsi utamanya untuk publikasi web, mailing list, dan firewall untuk workstation internal.

Mesin Nakula digunakan sebagai platform kolaborasi untuk menyediakan informasi scientific, publikasi buku kepada masyarakat dan pelajar di Indonesia. Mesin Nakula sendiri hanya mempunyai tidak lebih dari 10 user aktif yang dapat mengakses sistem tersebut. Kebanyakan adalah mahasiswa doctoral di Universitas Jerman.

Mesin Antareja akan digunakan untuk melakukan uji coba koneksi video conference antara Bielefeld - Jakarta, dan juga beberapa aplikasi pengukuran. Tidak banyak orang yang tahu keberadaan mesin mesin ini, karena mesin ini baru dipasang dan dikonfigurasi. Pada saat terjadi insiden ini, sedang dilakukan pemasangan beberapa prgram untuk Video Voice Appication.

Pada awalnya serangan diduga dilakukan oleh orang Indonesia, karena publikasi dan artikel-artikel mengenai Nakula banyak dilakukan di Indonesia. Namun berdasarkan laporan riset yang ditulis oleh I Made Wiryana dan Avinanta Tarigan, diketahui bahwa penyerang bukan berasal dari Indonesia.

Dalam melacak asal serangan ini dibutuhkan ilmu forensik. Dalam usaha menemukan jejak dan bukti terhadap pelanggaran yang dilakukan pada mesin Nakula dan Antareja, dibuat terlebih dahulu skenario-skenario yang memungkinkan mengenai bagaimana sistem dapat ditembus, bagaimana penyerang dapat mengakses kedua mesin ini, niat dari penyerang, bagaimana si penyerang tau dan tertarik dengan Nakula, melacak file log dan firewall, dan banyak hal lainnya.

Hal ini tentunya bukan suatu hal yang mudah, Dibutuhkan keahlian khusus serta perangkat hardware dan software tertentu untuk melakukan investigasi dan melacak ulang jejak si penyerang. I Made Wiryana dan Avinanta Tarigan menuliskan semua tindakan yang dilakukan dalam rangka melakukan investigasi ini dalam sebuah laporan riset. 

Mereka melakukan serangkaian tes dan pemeriksaan, mengembangkan skenario-skenario dan mengumpulkan bukti-bukti kemudian melakukan cross check hingga pada akhirnya didapatkan urutan kronologis terjadinya pelanggaran serta skenario akhir yang dilakukan oleh si pelanggar. 

Pada akhirnya, tindakan terakhir yang dilakukan adalah melacak identitas si penyerang. Berdasarkan alamat IP yang didapat, diketahui bahwa penyerang berasal dari Rumania, namun ketika tim investigasi berusaha mendapatkan informasi mengenai dirinya, si penyerang sadar bahwa jejaknya dapat dilacak dan telah menghapus script yang digunakan. Tim investigasi juga dapat mengidentifikasi alamat email penyerang.

Dengan melakukan forensik terhadap sistem, juga dapat diketahui motif penyerang melakukan penyerangan terhadap mesin Nakula Antareja, diantaranya adalah mengambil nomer kartu kredit, melancarkan serangan massal, dan mendapatkan akses root ke banyak sasaran.


Dari contoh ini, dapat terlihat betapa besarnya peranan IT Forensik pada saat ini. Kemajuan teknologi yang berkembang pesat menyebabkan seluruh aspek kehidupan sangat tergantung pada teknologi. Dengan melakukan forensik kita dapat melacak kembali jejak dan identitas pelaku. Hal ini tentunya berbeda dengan forensik dunia kedokteran yang memiliki wujud  mayat yang akan diinvestigasi asal-muasal penyebab kematiannya. Mayat dalam dunia IT adalah jejak-jejak pelaku yang ditinggalkan dalam  suatu jaringan yang amat besar, sehingga sangat susah untuk dilacak walau bukan berarti tidak mungkin. Oleh karena itu, dibutuhkan keahlian khusus untuk melakukan forensik di bidang IT ini. Makin maraknya kejahatan dalam dunia maya membutuhkan banyak pula orang-orang yang ahli di bidang ini.




Referensi : Forensic Analysis on Nakula and Antareja Machine Incidents on 18th january 2002
Posted by at No comments:

Wednesday, May 26, 2010

IT Forensic - Introduction


Menurut Kamus Besar Bahasa Indonesia, forensik berarti cabang ilmu kedokteran yg berhubungan dng penerapan fakta-fakta medis pada masalah-masalah hukum; atau ilmu bedah yg berkaitan dengan penentuan identitas mayat seseorang yg ada kaitannya dng kehakiman dan peradilan. Namun seiring dengan perkembangan zaman, istilah forensik tidak lagi menjadi hak milik khusus dunia kedokteran. Kini, bidang IT pun memiliki suatu metode yang dikenal dengan nama IT Forensik.

IT Forensik adalah sebuah cabang ilmu forensik yang bertujuan untuk mendapatkan bukti-bukti legal dari komputer dan media penyimpanan digital lainnya mengenai penyimpangan dan pelanggaran sistem 
informasi. Berdasarkan definisi tersebut, IT Forensik memiliki prinsip-prinsip yang sama dengan forensik yang dikenal dalam dunia kedokteran, antara lain meneapkan fakta-fakta pada masalah serta berkaitan dengan penentuan identitas yang ada kaitannya dengan kehakiman dan peradilan. IT Forensik bersama dengan forensik jaringan, forensik database, dan forensik perangkat genggam merupakan bagian dari ilmu forensik komputer.

IT Forensik bertujuan untuk mendapatkan fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi. Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti(evidence) yang akan digunakan dalam proses hukum.

Dalam melakukan forensik IT, terdapat beberapa standar yang harus diterapkan agar tercapai hasil yang diinginkan. Salah satu ukuran paling penting adalah memastikan bahwa bukti-bukti dikumpulkan secara akurat dan adanya dokumentasi kronologis mengenai kejadian dari investigator. 

Demi menjaga integritas data, ACPO (Association of Chief Police Officers) mengeluarkan beberapa panduan mengenai forensik IT.
  1. Data tidak boleh dirubah oleh siapapun.
  2. Investigator harus dapat bertanggung jawab apabila ia ingin mengakses data asli dan dapat memberikan bukti yang menjelaskan relevansi penggunaan data tersebut dan implikasi dari tindakan mereka.
  3. Jejak audit atau record lainnya dari seluruh proses yang diterapkan di komputer harus didokumentasikan. Pihak ketiga akan memeriksa dokumentasi tersebut.
  4. Terdapat satu orang yang bertanggung jawab atas keseluruhan proses untuk memastikan prinsip-prinsip dan hukum dipatuhi.
Metodologi umum dalam proses pemeriksaan insiden sampai proses hukum:
  1. Pengumpulan data/fakta dari sistem komputer (harddisk, usb-stick, log, memory-dump, internet, dll) – termasuk di dalamnya data yang sudah terhapus.
  2. Mendokumentasikan fakta-fakta yang ditemukan dan menjaga integritas data selama proses forensik dan hukum dengan proteksi fisik, penanganan khusus, pembuatan image, dan menggunakan algoritma HASH untuk pembuktian / verifikasi.
  3. Merunut kejadian (chain of events) berdasarkan waktu kejadian.
  4. Memvalidasi kejadian2 tersebut dengan metode “sebab-akibat”.
  5. Dokumentasi hasil yang diperoleh dan menyusun laporan.
  6. Proses hukum (pengajuan delik, proses persidangan, saksi ahli, dll).
Prinsip:
  • Forensik bukan proses Hacking
  • Data yang didapat harus dijaga jgn berubah
  • Membuat image dari HD / Floppy / USB-Stick / Memory-dump adalah prioritas tanpa merubah isi, kadang digunakan hardware khusus
  • Image tsb yang diotak-atik (hacking) dan dianalisis – bukan yang asli 
  • Data yang sudah terhapus membutuhkan tools khusus untuk merekonstruksi
  • Pencarian bukti dengan: tools pencarian teks khusus, atau mencari satu persatu dalam image
Dibutuhkan beberapa peralatan untuk melakukan forensik di bidang IT, antara lain:

Hardware:
  1. Harddisk IDE & SCSI kapasitas sangat besar, CD-R, DVR drives
  2. Memori yang besar (1-2GB RAM)
  3. Hub, Switch, keperluan LAN
  4. Legacy hardware (8088s, Amiga, …)
  5. Laptop forensic workstations
Software
  1. Viewers (QVP http://www.avantstar.com/, http://www.thumbsplus.de/)
  2. Erase/Unerase tools: Diskscrub/Norton utilities
  3. Hash utility (MD5, SHA1)
  4. Text search utilities (dtsearch http://www.dtsearch.com/)
  5. Drive imaging utilities (Ghost, Snapback, Safeback,…)
  6. Forensic toolkits
Unix/Linux: TCT The Coroners Toolkit/ForensiX

Windows: Forensic Toolkit 
  1. Disk editors (Winhex,…)
  2. Forensic acquisition tools (DriveSpy, EnCase, Safeback, SnapCopy,…)
  3. Write-blocking tools (FastBloc http://www.guidancesoftware.com) untuk memproteksi bukti.
Beberapa jenis software yang dapat digunakan untuk proses forensik:



Disk Imaging
No
Nama
Keterangan
1.
Data Compass
http://www.salvationdata.com/
2.
MacQuisition Boot CD
1.       OS : Mac
2.     http://www.blackbagtech.com/products/macquisition.htm
3.
Access Data
1.       OS : Windows
2.       http://www.accessdata.com/

Data Recovery
No
Nama
Keterangan
1.
Partition Table Doctor
Partition Recovery
FAT16/FAT32/NTFS/NTFS5/EXT2/EXT3/SWAP
2.
HD Doctor Suite
Data Recovery
http://www.salvationdata.com/data-recovery-equipment/hd-doctor.htm
3.
Simple Carver Suite
Carving
http://www.simplecarver.com/

File Analysis
No.
Nama
Keterangan
1.
SurfRecon LE Rapid Image Analysis Tools
Image Analysis
Menganalisis gambar didesain untuk responden pertama, petugas investigasi, tim forensic, dan agen hukum lainnya yang bertanggung jawab untuk memproses pornography anak dan kasus criminal seksual. Dapat digunakan di Windows, Apple dan Linux.
http://www.surfrecon.com
2.
CodeSuite
Software Forensic
Membandingkan dan menganalisa kode untuk menemukan pelanggaran hak cipta dan pencurian rahasia dagang.
http://www.safe-corp.biz
3.
PDF Miner
Open Source
Menganalisis data PDF.
http://www.unixuser.org/~euske/python/pdfminer/index.htm
4.
P2P Marshal
File Sharing Analysis Tools
Menganalisis file peer-to-peer dalam Windows
http://p2pmarshal.com/

Document Metadata Extraction
No.
Nama
Keterangan
1.
wvWare
Office Files
Mengekstrak data dari berbagai file Ms. Word.
http://wvware.sourceforge.net/
2.
Xpdf
PDF Files
Menampilkan metadata dari file PDF
http://www.foolabs.com/xpdf/
3.
Adroid Photo Forensic
Images
Menampilkan metadata dari sebuah image
http://digital-assembly.com/products/adroit-photo-forensics/
4.
Metadata Extraction Pro
General
Menampilkan metadata dari berbagai format file
http://meta-extractor.sourceforge.net/

Memory Imaging
No.
Nama
Keterangan
1.
Firewire
Memory Imaging Technique
http://www.storm.net.nz/projects/16
2.
winen.exe (Guidance Software - included with Encase 6.11 and higher)
Windows
http://forensiczone.blogspot.com/2008/06/winenexe-ram-imaging-tool-included-in.html

LogFile Analysis
No.
Nama
Keterangan
1.
Log Parser 2.2
General Tools
http://www.microsoft.com/downloads/details.aspx?FamilyID=890cd06b-abf8-4c25-91b2-f8d975cf8c07&displaylang=en
2.
Open Web Analytic
Web LogFile Analytyc
http://wiki.openwebanalytics.com/index.php?title=Main_Page


Kesimpulan :
Dewasa ini, dikarenakan tingkat perkembangan taknologi yang semakin cepat, dibutuhkan suatu cabang ilmu forensik yang dapat digunakan untuk mencari penyimpangan dan pelanggaran dalam media digital. Selain itu, IT forensik juga dapat digunakan untuk memulihkan data-data yang disebabkan karena kegagalan software maupun hardware. Seorang IT forensik dapat menentukan kronologis kejadian sebuah pelanggaran sistem.




referensi :
1. http:// en.wikipedia.org/wiki/Computer_Forensics
2. http://www.forensicwiki.org
3. http://avinanta.staff.gunadarma.ac.id/Downloads/files/8049/ITAuditForensic.pdf
Posted by at No comments:
Subscribe to: Posts (Atom)