Network & Computer Forensic

Free Powerpoint Templates Digital Forensics Don Anto PRESENTED FOR 23 NOVEMBER 2011

Don Anto?
Bachelor Degree on Electrical Engineering
Involves in Security Field for more than 7 years
Currently Works in Telecommunication Company
GCIA, GCIH, GSEC, JNCIS-SEC, Others
HTTP://IPSECS.COM

Digital Forensics?
Adalah cabang ilmu forensik yang terkait dengan investigasi material pada perangkat digital berhubungan dengan kejahatan komputer
Forensik Komputer, Forensik Database, Forensik Jaringan (Network), etc
Presentasi ini akan fokus pada Forensik Komputer dan Jaringan

Computer Forensics?
Adalah cabang ilmu forensik digital berkaitan dengan material pada perangkat komputer dan media penyimpanan
Tujuan forensik komputer adalah mengidentifikasi, mengumpulkan, menjaga, menganalisis, dan menampilkan fakta mengenai opini terkait dengan informasi pada media komputer

Network Forensics?
Adalah cabang ilmu forensik digital berkaitan dengan monitoring dan analisis trafik jaringan komputer
Tujuan forensik jaringan adalah mengidentifikasi, mengumpulkan, menganalisis, dan menampilkan fakta mengenai opini terkait dengan informasi pada lalu lintas trafik jaringan
Bukti pada komputer dirusak? Forensik jaringan membantu

Methodology?
Mengidentifikasi (Identify)
Mengumpulkan (Collect)
Menjaga (Preserve)
Menganalisis (Analyze)
Menampilkan (Present)

Apakan permasalahannya?
Gejala dan efek yang dirasakan dari adanya permasalahan?
Sejak kapan permasalahan itu dirasakan?
Analogi dokter dan diagnosa awal pasien 
Identify ?

Con’t Identify ?
Initial incident handling process ?
Tersangka (Suspect) ? & Motive ?
Who?
Outsider
Insider
Anonymous
Aplikasikan pada forensik komputer dan jaringan

Collect Evidence?
Pengumpulan bukti kejahatan digital baik pada media komputer maupun trafik di jaringan
Apa saja yang perlu dikumpulkan dan dijadikan bukti digital?

Collect Evidence - Computer?
Memory Acquisition & Imaging
Hard disk Acquisition & Imaging
Bukti volatil : proses sistem, koneksi, ...?
Log file : authentikasi, error sistem, ...?
Artefak : rootkit, sniffer, ...?
Registry, etc?

Collect Evidence - Network?
Network Firewall Log ?
Network Intrusion Detection System ?
Wireless Access Point ?
Switch or Router Log ?
Traffic/packet capture ?
Having Security Information & Event Management (SIEM) ? GREAT!
DHCP, DNS, etc ?

Preserve Evidence ?
Perlu ada mekanisme untuk menjaga bukti digital yang sudah dikumpulkan dari kemungkinan modifikasi dan kerusakan
Perlu adanya mekanisme duplikasi (backup) terhadap bukti digital tersebut
Bukti digital ini diperlukan untuk analisis secara lebih mendalam atau dimasa mendatang

Con’t - Preserve Evidence ?
Putus koneksi perangkat (komputer) yang telah disusupi
Jangan menggunakan perangkat (komputer) yang telah disusupi
Jangan membuka file dengan editor karena berpotensi mengubah date/time stamp
Amankan secara fisik

Con’t - Preserve Evidence ?
Copy memory dan transfer ke komputer lain sebagai bakup bukti ( windd , dd+fmem , Qemu )
Copy hard disk pada level bit ke komputer lain sebagai bakup bukti ( dd , Symantec Ghost , others)
Bakup file log pada komputer yang disusupi ( cp , tar )
Kalkulasi hash checksum untuk memastikan integritas bakup tersebut ( md5sum , sha1sum )

Evidence Analysis?
Bukti digital yang telah dikumpulkan kemudian dianalisis untuk memperoleh fakta
Hasil analisis setidaknya menjawab 5W 1H
What? Apa yang telah terjadi
Who? Siapakah pelakunya
Why? Motif pelaku
When? Rentang waktu kejadian
Where? Dari mana dilakukan (IP, ISP, etc)
How? Bagaimana itu terjadi

Evidence Analysis?

Media Analysis?
Analisis Volume ( Storage )
Analisis timeline file system ( autopsy )
Analisis timeline registry ( mactime )
Analisis timeline artefak
Analisis timeline file log
Others
Memory Analysis
Analisis bukti volatil ( volatility )
Contohnya : sistem proses, occupancy, koneksi jaringan

Network Analysis?
Penyusup yang pandai membersihkan jejak di komputer sehingga investigasi menjadi relatif sulit
Analisis berdasarkan pada temuan-temuan di jaringan
Analisis log perangkat jaringan misalnya : firewall, NIDS, SIEM, proxy, router, switch, access point, DHCP, DNS, others
Analisis trafik dari hasil capture di jaringan misalnya : tcpdump, wireshark, ngrep, tcpxtract, pcapcat, tshark

Indicator of Compromise?
Ubah data hasil analisis & pengalaman forensik menjadi data intelligence digital 
Pengelompokan logik dari artefak forensik, misalnya hash, proses, listen port, file name, etc.
Contoh tool OpenIOC (mandiant)
Open Source
XML format
Easy to share

Present?
Tahap terakhir forensik digital adalah melaporkan dan mempresentasikan temuan-temuan serta bukti digital
Pelaporan dan presentasi ini mungkin berguna dalam lingkup hukum dan pengadilan
Pertimbangan-pertimbangan lainnya? 

Forensics - Useful Tools?
Registry Decoder
Volatility Advanced Memory Forensics
Sleuth Kit
EnCase
Traffic Sniffer : wireshark, ngrep, tcpxtract, pcapcat, others
Indicator of Compromise (IOC)
Collection Tools
E-Fense Helix Linux
SANS Investigative Forensics Toolkit (SIFT)
GNU tar, cp, dd, others
Our brain 

Forensics - Useful Resources?
computer-forensics.sans.org
www.mandiant.com
www.forensics.nl
www2.opensourceforensics.org
Our brain 

DEMO FORENSIC

DISKUSI Q&A

THANK YOU

http://ipsecs.com	2551
http://webcache.googleusercontent.com	9
http://translate.googleusercontent.com	6
http://o6323lrjru.ih4x1.wa.e	1

Network & Computer Forensic

by Don Anto on Nov 23, 2011

Accessibility

Categories

Tags

Upload Details

Usage Rights

4 Embeds 2,567

Statistics

Network & Computer Forensic — Presentation Transcript