• Like
Network & Computer Forensic
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

Network & Computer Forensic

  • 7,477 views
Published

Network & Computer Forensic

Network & Computer Forensic

Published in Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
7,477
On SlideShare
0
From Embeds
0
Number of Embeds
2

Actions

Shares
Downloads
130
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Free Powerpoint Templates Digital Forensics Don Anto PRESENTED FOR 23 NOVEMBER 2011
  • 2. Don Anto?
    • Bachelor Degree on Electrical Engineering
    • Involves in Security Field for more than 7 years
    • Currently Works in Telecommunication Company
    • GCIA, GCIH, GSEC, JNCIS-SEC, Others
    • HTTP://IPSECS.COM
  • 3. Digital Forensics?
    • Adalah cabang ilmu forensik yang terkait dengan investigasi material pada perangkat digital berhubungan dengan kejahatan komputer
    • Forensik Komputer, Forensik Database, Forensik Jaringan (Network), etc
    • Presentasi ini akan fokus pada Forensik Komputer dan Jaringan
  • 4. Computer Forensics?
    • Adalah cabang ilmu forensik digital berkaitan dengan material pada perangkat komputer dan media penyimpanan
    • Tujuan forensik komputer adalah mengidentifikasi, mengumpulkan, menjaga, menganalisis, dan menampilkan fakta mengenai opini terkait dengan informasi pada media komputer
  • 5. Network Forensics?
    • Adalah cabang ilmu forensik digital berkaitan dengan monitoring dan analisis trafik jaringan komputer
    • Tujuan forensik jaringan adalah mengidentifikasi, mengumpulkan, menganalisis, dan menampilkan fakta mengenai opini terkait dengan informasi pada lalu lintas trafik jaringan
    • Bukti pada komputer dirusak? Forensik jaringan membantu
  • 6. Methodology?
    • Mengidentifikasi (Identify)
    • Mengumpulkan (Collect)
    • Menjaga (Preserve)
    • Menganalisis (Analyze)
    • Menampilkan (Present)
  • 7.
    • Apakan permasalahannya?
    • Gejala dan efek yang dirasakan dari adanya permasalahan?
    • Sejak kapan permasalahan itu dirasakan?
    • Analogi dokter dan diagnosa awal pasien 
    Identify ?
  • 8. Con’t Identify ?
    • Initial incident handling process ?
    • Tersangka (Suspect) ? & Motive ?
    • Who?
      • Outsider
      • Insider
      • Anonymous
    • Aplikasikan pada forensik komputer dan jaringan
  • 9. Collect Evidence?
    • Pengumpulan bukti kejahatan digital baik pada media komputer maupun trafik di jaringan
    • Apa saja yang perlu dikumpulkan dan dijadikan bukti digital?
  • 10. Collect Evidence - Computer?
    • Memory Acquisition & Imaging
    • Hard disk Acquisition & Imaging
    • Bukti volatil : proses sistem, koneksi, ...?
    • Log file : authentikasi, error sistem, ...?
    • Artefak : rootkit, sniffer, ...?
    • Registry, etc?
  • 11. Collect Evidence - Network?
    • Network Firewall Log ?
    • Network Intrusion Detection System ?
    • Wireless Access Point ?
    • Switch or Router Log ?
    • Traffic/packet capture ?
    • Having Security Information & Event Management (SIEM) ? GREAT!
    • DHCP, DNS, etc ?
  • 12. Preserve Evidence ?
    • Perlu ada mekanisme untuk menjaga bukti digital yang sudah dikumpulkan dari kemungkinan modifikasi dan kerusakan
    • Perlu adanya mekanisme duplikasi (backup) terhadap bukti digital tersebut
    • Bukti digital ini diperlukan untuk analisis secara lebih mendalam atau dimasa mendatang
  • 13. Con’t - Preserve Evidence ?
    • Putus koneksi perangkat (komputer) yang telah disusupi
    • Jangan menggunakan perangkat (komputer) yang telah disusupi
    • Jangan membuka file dengan editor karena berpotensi mengubah date/time stamp
    • Amankan secara fisik
  • 14. Con’t - Preserve Evidence ?
    • Copy memory dan transfer ke komputer lain sebagai bakup bukti ( windd , dd+fmem , Qemu )
    • Copy hard disk pada level bit ke komputer lain sebagai bakup bukti ( dd , Symantec Ghost , others)
    • Bakup file log pada komputer yang disusupi ( cp , tar )
    • Kalkulasi hash checksum untuk memastikan integritas bakup tersebut ( md5sum , sha1sum )
  • 15. Evidence Analysis?
    • Bukti digital yang telah dikumpulkan kemudian dianalisis untuk memperoleh fakta
    • Hasil analisis setidaknya menjawab 5W 1H
      • What? Apa yang telah terjadi
      • Who? Siapakah pelakunya
      • Why? Motif pelaku
      • When? Rentang waktu kejadian
      • Where? Dari mana dilakukan (IP, ISP, etc)
      • How? Bagaimana itu terjadi
  • 16. Evidence Analysis?
  • 17. Media Analysis?
    • Analisis Volume ( Storage )
      • Analisis timeline file system ( autopsy )
      • Analisis timeline registry ( mactime )
      • Analisis timeline artefak
      • Analisis timeline file log
      • Others
    • Memory Analysis
      • Analisis bukti volatil ( volatility )
      • Contohnya : sistem proses, occupancy, koneksi jaringan
  • 18. Network Analysis?
    • Penyusup yang pandai membersihkan jejak di komputer sehingga investigasi menjadi relatif sulit
    • Analisis berdasarkan pada temuan-temuan di jaringan
    • Analisis log perangkat jaringan misalnya : firewall, NIDS, SIEM, proxy, router, switch, access point, DHCP, DNS, others
    • Analisis trafik dari hasil capture di jaringan misalnya : tcpdump, wireshark, ngrep, tcpxtract, pcapcat, tshark
  • 19. Indicator of Compromise?
    • Ubah data hasil analisis & pengalaman forensik menjadi data intelligence digital 
    • Pengelompokan logik dari artefak forensik, misalnya hash, proses, listen port, file name, etc.
    • Contoh tool OpenIOC (mandiant)
      • Open Source
      • XML format
      • Easy to share
  • 20. Present?
    • Tahap terakhir forensik digital adalah melaporkan dan mempresentasikan temuan-temuan serta bukti digital
    • Pelaporan dan presentasi ini mungkin berguna dalam lingkup hukum dan pengadilan
    • Pertimbangan-pertimbangan lainnya? 
  • 21. Forensics - Useful Tools?
    • Registry Decoder
    • Volatility Advanced Memory Forensics
    • Sleuth Kit
    • EnCase
    • Traffic Sniffer : wireshark, ngrep, tcpxtract, pcapcat, others
    • Indicator of Compromise (IOC)
    • Collection Tools
      • E-Fense Helix Linux
      • SANS Investigative Forensics Toolkit (SIFT)
    • GNU tar, cp, dd, others
    • Our brain 
  • 22. Forensics - Useful Resources?
    • computer-forensics.sans.org
    • www.mandiant.com
    • www.forensics.nl
    • www2.opensourceforensics.org
    • Our brain 
  • 23. DEMO FORENSIC
  • 24. DISKUSI Q&A
  • 25. THANK YOU