Free Powerpoint Templates Digital Forensics Don Anto PRESENTED FOR 23 NOVEMBER 2011
Don Anto? <ul><li>Bachelor Degree on Electrical Engineering </li></ul><ul><li>Involves in Security Field for more than 7 y...
Digital Forensics? <ul><li>Adalah cabang ilmu forensik yang terkait dengan investigasi material pada perangkat digital ber...
Computer Forensics? <ul><li>Adalah cabang ilmu forensik digital berkaitan dengan material pada perangkat komputer dan medi...
Network Forensics? <ul><li>Adalah cabang ilmu forensik digital berkaitan dengan monitoring dan analisis trafik jaringan ko...
Methodology? <ul><li>Mengidentifikasi (Identify) </li></ul><ul><li>Mengumpulkan (Collect) </li></ul><ul><li>Menjaga (Prese...
<ul><li>Apakan permasalahannya? </li></ul><ul><li>Gejala dan efek yang dirasakan dari adanya permasalahan? </li></ul><ul><...
Con’t Identify ? <ul><li>Initial incident handling process ? </li></ul><ul><li>Tersangka (Suspect) ? & Motive ? </li></ul>...
Collect Evidence? <ul><li>Pengumpulan bukti kejahatan digital baik pada media komputer maupun trafik di jaringan </li></ul...
Collect Evidence - Computer?  <ul><li>Memory Acquisition & Imaging </li></ul><ul><li>Hard disk Acquisition & Imaging </li>...
Collect Evidence - Network?  <ul><li>Network Firewall Log ? </li></ul><ul><li>Network Intrusion Detection System ? </li></...
Preserve Evidence ?  <ul><li>Perlu ada mekanisme untuk menjaga bukti digital yang sudah dikumpulkan dari kemungkinan modif...
Con’t - Preserve Evidence ? <ul><li>Putus koneksi perangkat (komputer) yang telah disusupi </li></ul><ul><li>Jangan menggu...
Con’t - Preserve Evidence ? <ul><li>Copy memory dan transfer ke komputer lain sebagai bakup bukti ( windd ,  dd+fmem ,  Qe...
Evidence Analysis? <ul><li>Bukti digital yang telah dikumpulkan kemudian dianalisis untuk memperoleh fakta </li></ul><ul><...
Evidence Analysis?
Media Analysis? <ul><li>Analisis Volume ( Storage ) </li></ul><ul><ul><li>Analisis timeline file system ( autopsy ) </li><...
Network Analysis? <ul><li>Penyusup yang pandai membersihkan jejak di komputer sehingga investigasi menjadi relatif sulit <...
Indicator of Compromise? <ul><li>Ubah data hasil analisis & pengalaman forensik menjadi data intelligence digital   </li>...
Present? <ul><li>Tahap terakhir forensik digital adalah melaporkan dan mempresentasikan temuan-temuan serta bukti digital ...
Forensics - Useful Tools?  <ul><li>Registry Decoder </li></ul><ul><li>Volatility Advanced Memory Forensics </li></ul><ul><...
Forensics - Useful Resources?  <ul><li>computer-forensics.sans.org   </li></ul><ul><li>www.mandiant.com </li></ul><ul><li>...
DEMO FORENSIC
DISKUSI Q&A
THANK YOU
Upcoming SlideShare
Loading in...5
×

Network & Computer Forensic

7,761

Published on

Network & Computer Forensic

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
7,761
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
159
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Network & Computer Forensic

  1. 1. Free Powerpoint Templates Digital Forensics Don Anto PRESENTED FOR 23 NOVEMBER 2011
  2. 2. Don Anto? <ul><li>Bachelor Degree on Electrical Engineering </li></ul><ul><li>Involves in Security Field for more than 7 years </li></ul><ul><li>Currently Works in Telecommunication Company </li></ul><ul><li>GCIA, GCIH, GSEC, JNCIS-SEC, Others </li></ul><ul><li>HTTP://IPSECS.COM </li></ul>
  3. 3. Digital Forensics? <ul><li>Adalah cabang ilmu forensik yang terkait dengan investigasi material pada perangkat digital berhubungan dengan kejahatan komputer </li></ul><ul><li>Forensik Komputer, Forensik Database, Forensik Jaringan (Network), etc </li></ul><ul><li>Presentasi ini akan fokus pada Forensik Komputer dan Jaringan </li></ul>
  4. 4. Computer Forensics? <ul><li>Adalah cabang ilmu forensik digital berkaitan dengan material pada perangkat komputer dan media penyimpanan </li></ul><ul><li>Tujuan forensik komputer adalah mengidentifikasi, mengumpulkan, menjaga, menganalisis, dan menampilkan fakta mengenai opini terkait dengan informasi pada media komputer </li></ul>
  5. 5. Network Forensics? <ul><li>Adalah cabang ilmu forensik digital berkaitan dengan monitoring dan analisis trafik jaringan komputer </li></ul><ul><li>Tujuan forensik jaringan adalah mengidentifikasi, mengumpulkan, menganalisis, dan menampilkan fakta mengenai opini terkait dengan informasi pada lalu lintas trafik jaringan </li></ul><ul><li>Bukti pada komputer dirusak? Forensik jaringan membantu </li></ul>
  6. 6. Methodology? <ul><li>Mengidentifikasi (Identify) </li></ul><ul><li>Mengumpulkan (Collect) </li></ul><ul><li>Menjaga (Preserve) </li></ul><ul><li>Menganalisis (Analyze) </li></ul><ul><li>Menampilkan (Present) </li></ul>
  7. 7. <ul><li>Apakan permasalahannya? </li></ul><ul><li>Gejala dan efek yang dirasakan dari adanya permasalahan? </li></ul><ul><li>Sejak kapan permasalahan itu dirasakan? </li></ul><ul><li>Analogi dokter dan diagnosa awal pasien  </li></ul>Identify ?
  8. 8. Con’t Identify ? <ul><li>Initial incident handling process ? </li></ul><ul><li>Tersangka (Suspect) ? & Motive ? </li></ul><ul><li>Who? </li></ul><ul><ul><li>Outsider </li></ul></ul><ul><ul><li>Insider </li></ul></ul><ul><ul><li>Anonymous </li></ul></ul><ul><li>Aplikasikan pada forensik komputer dan jaringan </li></ul>
  9. 9. Collect Evidence? <ul><li>Pengumpulan bukti kejahatan digital baik pada media komputer maupun trafik di jaringan </li></ul><ul><li>Apa saja yang perlu dikumpulkan dan dijadikan bukti digital? </li></ul>
  10. 10. Collect Evidence - Computer? <ul><li>Memory Acquisition & Imaging </li></ul><ul><li>Hard disk Acquisition & Imaging </li></ul><ul><li>Bukti volatil : proses sistem, koneksi, ...? </li></ul><ul><li>Log file : authentikasi, error sistem, ...? </li></ul><ul><li>Artefak : rootkit, sniffer, ...? </li></ul><ul><li>Registry, etc? </li></ul>
  11. 11. Collect Evidence - Network? <ul><li>Network Firewall Log ? </li></ul><ul><li>Network Intrusion Detection System ? </li></ul><ul><li>Wireless Access Point ? </li></ul><ul><li>Switch or Router Log ? </li></ul><ul><li>Traffic/packet capture ? </li></ul><ul><li>Having Security Information & Event Management (SIEM) ? GREAT! </li></ul><ul><li>DHCP, DNS, etc ? </li></ul>
  12. 12. Preserve Evidence ? <ul><li>Perlu ada mekanisme untuk menjaga bukti digital yang sudah dikumpulkan dari kemungkinan modifikasi dan kerusakan </li></ul><ul><li>Perlu adanya mekanisme duplikasi (backup) terhadap bukti digital tersebut </li></ul><ul><li>Bukti digital ini diperlukan untuk analisis secara lebih mendalam atau dimasa mendatang </li></ul>
  13. 13. Con’t - Preserve Evidence ? <ul><li>Putus koneksi perangkat (komputer) yang telah disusupi </li></ul><ul><li>Jangan menggunakan perangkat (komputer) yang telah disusupi </li></ul><ul><li>Jangan membuka file dengan editor karena berpotensi mengubah date/time stamp </li></ul><ul><li>Amankan secara fisik </li></ul>
  14. 14. Con’t - Preserve Evidence ? <ul><li>Copy memory dan transfer ke komputer lain sebagai bakup bukti ( windd , dd+fmem , Qemu ) </li></ul><ul><li>Copy hard disk pada level bit ke komputer lain sebagai bakup bukti ( dd , Symantec Ghost , others) </li></ul><ul><li>Bakup file log pada komputer yang disusupi ( cp , tar ) </li></ul><ul><li>Kalkulasi hash checksum untuk memastikan integritas bakup tersebut ( md5sum , sha1sum ) </li></ul>
  15. 15. Evidence Analysis? <ul><li>Bukti digital yang telah dikumpulkan kemudian dianalisis untuk memperoleh fakta </li></ul><ul><li>Hasil analisis setidaknya menjawab 5W 1H </li></ul><ul><ul><li>What? Apa yang telah terjadi </li></ul></ul><ul><ul><li>Who? Siapakah pelakunya </li></ul></ul><ul><ul><li>Why? Motif pelaku </li></ul></ul><ul><ul><li>When? Rentang waktu kejadian </li></ul></ul><ul><ul><li>Where? Dari mana dilakukan (IP, ISP, etc) </li></ul></ul><ul><ul><li>How? Bagaimana itu terjadi </li></ul></ul>
  16. 16. Evidence Analysis?
  17. 17. Media Analysis? <ul><li>Analisis Volume ( Storage ) </li></ul><ul><ul><li>Analisis timeline file system ( autopsy ) </li></ul></ul><ul><ul><li>Analisis timeline registry ( mactime ) </li></ul></ul><ul><ul><li>Analisis timeline artefak </li></ul></ul><ul><ul><li>Analisis timeline file log </li></ul></ul><ul><ul><li>Others </li></ul></ul><ul><li>Memory Analysis </li></ul><ul><ul><li>Analisis bukti volatil ( volatility ) </li></ul></ul><ul><ul><li>Contohnya : sistem proses, occupancy, koneksi jaringan </li></ul></ul>
  18. 18. Network Analysis? <ul><li>Penyusup yang pandai membersihkan jejak di komputer sehingga investigasi menjadi relatif sulit </li></ul><ul><li>Analisis berdasarkan pada temuan-temuan di jaringan </li></ul><ul><li>Analisis log perangkat jaringan misalnya : firewall, NIDS, SIEM, proxy, router, switch, access point, DHCP, DNS, others </li></ul><ul><li>Analisis trafik dari hasil capture di jaringan misalnya : tcpdump, wireshark, ngrep, tcpxtract, pcapcat, tshark </li></ul>
  19. 19. Indicator of Compromise? <ul><li>Ubah data hasil analisis & pengalaman forensik menjadi data intelligence digital  </li></ul><ul><li>Pengelompokan logik dari artefak forensik, misalnya hash, proses, listen port, file name, etc. </li></ul><ul><li>Contoh tool OpenIOC (mandiant) </li></ul><ul><ul><li>Open Source </li></ul></ul><ul><ul><li>XML format </li></ul></ul><ul><ul><li>Easy to share </li></ul></ul>
  20. 20. Present? <ul><li>Tahap terakhir forensik digital adalah melaporkan dan mempresentasikan temuan-temuan serta bukti digital </li></ul><ul><li>Pelaporan dan presentasi ini mungkin berguna dalam lingkup hukum dan pengadilan </li></ul><ul><li>Pertimbangan-pertimbangan lainnya?  </li></ul>
  21. 21. Forensics - Useful Tools? <ul><li>Registry Decoder </li></ul><ul><li>Volatility Advanced Memory Forensics </li></ul><ul><li>Sleuth Kit </li></ul><ul><li>EnCase </li></ul><ul><li>Traffic Sniffer : wireshark, ngrep, tcpxtract, pcapcat, others </li></ul><ul><li>Indicator of Compromise (IOC) </li></ul><ul><li>Collection Tools </li></ul><ul><ul><li>E-Fense Helix Linux </li></ul></ul><ul><ul><li>SANS Investigative Forensics Toolkit (SIFT) </li></ul></ul><ul><li>GNU tar, cp, dd, others </li></ul><ul><li>Our brain  </li></ul>
  22. 22. Forensics - Useful Resources? <ul><li>computer-forensics.sans.org </li></ul><ul><li>www.mandiant.com </li></ul><ul><li>www.forensics.nl </li></ul><ul><li>www2.opensourceforensics.org </li></ul><ul><li>Our brain  </li></ul>
  23. 23. DEMO FORENSIC
  24. 24. DISKUSI Q&A
  25. 25. THANK YOU
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×