Tugas paper keamanan sistem lanjut 23510310

944 views

Published on

paper tugas kemanan sistem lanjut

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
944
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
84
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Tugas paper keamanan sistem lanjut 23510310

  1. 1. Paper Tugas Kuliah Keamanan Sistem Lanjut Anti Komputer Forensik di Mesin GNU/Linux Menggunakan Shred(Studi Kasus : Cyber Crime di Jaringan Komputer) Oleh : I Putu Agus Eka Pratama, S.T. 23510310 Dosen : Dr. Ir. Budi Rahardjo Magister Teknologi Informasi Sekolah Tinggi Elektro dan Informatika (STEI) Institut Teknologi Bandung 2011
  2. 2. Daftar IsiDaftar Isi...................................................................................................................iAbstrak......................................................................................................................iBab I Pendahuluan..................................................................................................ii I.1 Latar Belakang..............................................................................................iii I.2 Tujuan...........................................................................................................iii I.3 Sistematika Penulisan...................................................................................ivBab II Dasar Teori..................................................................................................6 II.1 Struktur Filesystem di GNU/Linux..............................................................6 II.2 Komputer Forensik.......................................................................................9 II.3 Anti Komputer Forensik...............................................................................9Bab III Shred Untuk Anti Forensik.......................................................................11 III.1 Shred..........................................................................................................11 III.2 Pengujian Shred di Komputer Standalone ................................................11 III.3 Pengujian Shred di Komputer Remote......................................................12Bab IV Perancangan Sistem .................................................................................15 IV.1 Skenario Pengujian....................................................................................15 IV.2 Batasan Masalah dan Asumsi....................................................................15 IV.3 Desain Sistem Berdasarkan Skenario........................................................16 IV.4 Kebutuhan Hardware dan Software..........................................................16Bab V Pengujian Sistem........................................................................................18 V.1 Menguasai Kembali Mesin Target.............................................................18 V.2 Anti Komputer Forensik di Komputer Target............................................21 V.3 Komputer Forensik di Komputer Target Oleh Attacker.............................23 V.4 Komputer Forensik di Komputer Target Oleh Ahli Forensik....................24 V.5 Hasil Pengujian...........................................................................................24Bab VI Kesimpulan dan Saran..............................................................................26 VI.1 Kesimpulan...............................................................................................26 VI.2 Saran..........................................................................................................26 i
  3. 3. Abstrak Komputer forensik dan anti komputer forensik adalah dua bidang yangsaling berlawanan. Komputer forensik dilakukan oleh ahli komputer forensik gunamemperoleh data dan bukti akurat dari kasus cyber crime untuk penyelidikan.Anti komputer forensik dilakukan oleh attacker untuk menghilangkan jejaksekaligus menyulitkan ahli komputer forensik dalam melakukan tugasnya.Keduanya dapat dilakukan pada komputer standalone (tidak terhubung jaringan)maupun yang terhubung ke jaringan, dengan banyak pilihan metode dan tool. Bagi attacker, pemilihan tool anti komputer forensik yang default di mesintarget, dinilai lebih efektif dan cepat dibandingkan menginstalasi terlebih dahuludi mesin korban. Untuk itulah penulis memilih shred sebagai aplikasi antikomputer forensik pada mesin GNU/Linux. Jika anti forensik berhasil, ahliforensik akan sulit melakukan komputer forensik terhadap data yang menjadibarang bukti cyber crime. Tulisan ini memaparkan mengenai anti forensik yang dilakukan olehattacker terhadap mesin remote GNU/Linux untuk kasus cyber crime di jaringankomputer. Anti forensik dilakukan menggunakan shred terhadap file syslog untukmenghapus jejak kejahatan sekaligus menyulitkan proses forensik oleh ahlikomputer forensik. Dijelaskan juga mengenai struktur file di GNU/Linux, komputer forensikdan anti forensik, shred, serta metode menyerang dan bertahan dengan konsep 7layer OSI. Pengujian dilakukan pada 3 buah komputer berbasis GNU/Linux padaintranet Lab Sinyal Sistem ITB. Masing - masing bertindak sebagai mesin target(server), mesin firewall, dan mesin attacker. Dilakukan proses anti komputerforensik dan komputer forensik di mesin server. Hasil pengujian dicatat dandianalisa untuk kemudian ditarik kesimpulan.Kata kunci :anti forensik, shred, GNU/Linux, network ii
  4. 4. Bab I PendahuluanI.1 Latar Belakang Kejahatan komputer (cyber crime) di dunia maya, sebagaimana di dunianyata, juga mengenal proses forensik. Ilmu ini disebut komputer forensik, yangmemadukan elemen hukum dan computer science. Pelaku kejahatan, dalam hal iniattacker, berusaha menutupi jejak kejahatannya dan menyulitkan proses komputerforensik. Ilmu ini dikenal sebagai anti komputer forensik. Server umumnya menggunakan sistem operasi dari distribusi (distro)GNU/Linux atau basis UNIX lainnya (misal BSD, Solaris). Pada umumnya, setiapOS GNU/Linux telah dipaketkan dengan aplikasi shred, yang berguna untukmelakukan over write berulang - ulang terhadap isi suatu file atau folder sehinggamenyulitkan proses pembacaan saat recovery. Oleh attacker, tool ini disalah gunakan untuk melakukan anti komputerforensik. Attacker cukup masuk ke mesin target dan menjalankan shred ke fileatau direktori yang berpotensi menjadi barang bukti cyber crime (misal ke/var/log/syslog). Shred amat cepat dan mematikan dalam hal menghapus suatujejak dan bukti kejahatan dunia maya. Tulisan ini membahas mengenai kemampuan shred sebagai salah satu antiforensik tool di mesin remote GNU/Linux pada kasus cyber crime. Dilengkapidengan pengujian sederhana pada 3 buah komputer di intranet Lab Sinyal SistemITB berdasarkan skenario, batasan masalah, dan asumsi yang penulis buat.I.2 Tujuan Pada tulisan ini akan dijelaskan secara detail mengenai komputer forensik,anti komputer forensik, aplikasi shred, struktur file di GNU/Linux, danpenggunaan shred sebagai aplikasi anti komputer forensik. Dilakukan juga PoC (Proof of Concept) pada tiga buah komputer berbasisGNU/Linux yang saling terhubung dalam suatu jaringan. Masing - masingbertindak sebagai komputer target (server), komputer firewall, dan komputerattacker. Dilakukan proses anti komputer forensik menggunakan shred padakomputer korban (/var/log/syslog) secara remote melalui SSH, dilanjutkan iii
  5. 5. dengan proses komputer forensik terhadap file syslog. Parameter sukses tidaknyaproses anti forensik yang dilakukan dilihat dari kemampuan untuk recovery fileyang dihapus dengan shred maupun membaca kembali isi file hasil recoverytersebut. Untuk bisa menguasai komputer target, attacker memiliki rincian metodepenyerangan, sedangkan sysadmin memiliki rincian metode bertahan. Keduanyamenggunakan konsep 7 layer OSI. Penulis akan merinci langkah menyerang danbertahan yang dilakukan oleh sysadmin dan attacker. Hasil pengujian dicatat,dianalisa, lalu ditarik kesimpulan. Dilanjutkan dengan pemberian saran untukperbaikan ke depannya. Diharapkan melalui tulisan ini, penulis dapat menjelaskan kepadapembaca mengenai anti forensik menggunakan shred di jaringan komputer untukkasus cyber crime beserta teori pendukung lainnya.I.3 Sistematika Penulisan Sistematika penulisan memudahkan penulis dalam menyampaikan isitulisan sehingga mudah untuk dipahami oleh pembaca. Adapun sistematika tulisansebagai berikut : Bab II membahas mengenai dasar teori. Meliputi sub bab strukturfilesystem di GNU/Linux, komputer forensik, dan anti komputer forensik.Diharapkan pembaca dapat memahami mengenai filesystem di GNU/Linux secaraumum (/var/, /home, inode), forensik dan anti forensik. Bab III membahas mengenai shred. Meliputi sub bab shred, shred antiforensik komputer standalone, dan shred anti forensik komputer remote.Diharapkan pembaca dapat memahami mengenai perangkat lunak open sourceshred sebagai salah satu tool anti forensik yang ada secara default di setiapdistribusi GNU/Linux, prinsip kerja, serta cara menggunakannya di komputerstandalone dan yang terhubung pada network. Bab IV membahas mengenai perancangan sistem. Meliputi sub babperancangan skenario, batasan masalah pada perancangan skenario, desain sistemberdasarkan skenario, serta kebutuhan perangkat lunak dan perangkat keras.Diharapkan pembaca dapat mengetahui mengenai perancangan eksperimen yang iv
  6. 6. penulis lakukan sendiri berdasarkan skenario yang disusun, dengan beberapabatasan dan asumsi agar pembahasan tidak meluas. Bab V membahas mengenai pengujian sistem. Meliputi sub bab menguasaikembali mesin target, anti komputer forensik di komputer target, dan hasilpengujian. Semua proses dan hasil pengujian dijabarkan disini. Bab VI memuat kesimpulan dan saran berdasarkan hasil pengujian yangpenulis lakukan. v
  7. 7. Bab II Dasar TeoriII.1 Struktur Filesystem di GNU/Linux Filesystem adalah metode dan struktur data yang digunakan oleh sistemoperasi untuk menjaga track suatu file pada disk atau partisi dan merupakan carauntuk mengorganisasikan file pada disk[1]. GNU/Linux memiliki banyak jenisfilesystem, namun yang terkenal adalah ext (ext4, ext3, ext2) dan reiserfs. Filesistem di GNU/Linux ada yang bersifat journaling (ext4, ext3, reiserfs) maupuntidak. Sebagaimana filesystem lainnya di OS berbasis UNIX lainnya,GNU/Linux memiliki struktur direktori hirarki tunggal yang diawali dengan root(dilambangkan dengan /). Di dalam root terdapat sub direktori dengan fungsimasing - masing. Misalkan sebagai berikut (GNU/Linux Ubuntu 9.04) :root@my­machine:/# ls ­latotal 108drwxr­xr­x 2 root root 4096 2010­08­02 08:33 bindrwxr­xr­x 3 root root 4096 2010­08­02 08:34 bootdrwxr­xr­x 17 root root 4320 2011­04­06 17:10 devdrwxr­xr­x 168 root root 12288 2011­04­06 17:08 etcdrwxr­xr­x 5 root root 4096 2010­08­02 17:19 homelrwxrwxrwx 1 root root 33 2010­05­30 01:33 initrd.img ­> boot/initrd.img­2.6.28­11­genericdrwxr­xr­x 21 root root 4096 2010­11­13 12:11 libdrwx­­­­­­ 2 root root 16384 2010­05­30 01:19 lost+founddrwxr­xr­x 3 root root 4096 2011­04­06 17:08 mediadrwxr­xr­x 2 root root 4096 2009­04­13 16:33 mntdrwxr­xr­x 4 root root 4096 2010­07­21 12:13 optdr­xr­xr­x 172  root  root 0 2011­04­06 11:01 procdrwx­­­­­­ 22  root  root 4096  2011­04­02 15:18 rootdrwxr­xr­x 2 root root 4096 2010­08­02 08:33 sbindrwxr­xr­x 3 root root 4096 2010­05­30 22:01 srvdrwxrwxrwt 18 root root 4096 2011­04­06 17:47 tmpdrwxr­xr­x 14  root root 4096 2010­05­30 22:58 usrdrwxr­xr­x 16 root root 4096 2010­07­14 13:11 var 6
  8. 8. 18 sub direktori yang penting dalam root yaitu /bin, /boot, /dev, /etc,/home, /initrd, /lib, /lost+found, /media, /mnt, /opt, /proc, /root, /sbin, /usr, /var,/srv, dan /tmp. Penulis hanya membahas 2 saja yaitu /home dan /var, sesuaidengan cakupan tulisan ini. /home adalah rumah untuk setiap user. GNU/Linux dan OS berbasis UNIXlainnya adalah sistem operasi multi user environment, sehingga setiap usermemiliki /home masing - masing dengan semua privillege (read, write, delete, dansebagainya). Misalkan user putu-shinoda dengan lokasi /home/putu-shinoda. /var berisi variabel data berupa system logging files, mail, printer spooldirectories, serta transient dan temporary file. Berikut isi dari sub direktori /var :root@my­machine:/home/putu­shinoda# cd /varroot@my­machine:/var# ls ­latotal 56drwxr­xr­x 16 root root  4096 2010­07­14 13:11 .drwxr­xr­x 22 root root  4096 2011­04­06 11:01 ..drwxr­xr­x  2 root root  4096 2011­04­05 10:25 backupsdrwxr­xr­x 20 root root  4096 2011­02­22 14:43 cachedrwxr­xr­x  2 root root  4096 2011­04­03 22:16 crashdrwxr­xr­x  2 root root  4096 2009­04­20 21:07 gamesdrwxr­xr­x 71 root root  4096 2011­04­03 22:14 libdrwxrwsr­x  2 root staff 4096 2009­04­13 16:33 localdrwxrwxrwt  3 root root    80 2011­04­06 11:08 lockdrwxr­xr­x 18 root root  4096 2011­04­06 11:08 logdrwxrwsr­x  2 root mail  4096 2009­04­20 20:59 maildrwxr­xr­x  2 root root  4096 2009­04­20 20:59 optdrwxr­xr­x 21 root root   800 2011­04­06 18:10 rundrwxr­xr­x  7 root root  4096 2010­05­30 21:59 spooldrwxrwxrwt  4 root root  4096 2011­04­05 19:50 tmpdrwxrwxrwx 19 root root  4096 2011­02­23 11:56 www Salah satu bagian yang terpenting adalah /var/log/syslog yang merupakantempat sistem mengirimkan log. Dapat dicek secara real time menggunakanperintah tail -f /var/log/syslog. Pada tulisan ini, anti forensik dilakukan di filesyslog. Pada Linux dan OS basis UNIX lainnya, setiap file dan direktori memilikiinfo index node (inode), termasuk juga status dari file atau direktori tersebut. Hal 7
  9. 9. ini penting saat forensik untuk mengetahui keadaan suatu file termasuk jugarecovery jika yang terhapus adalah nomor inode itu, bukan isi file maupun filesecara keseluruhan. Inode merupakan alamat dari sebuah blok disk[1]. Informasidari suatu inode dapat dilihat dengan mengetikkan perintah ls dan stat. Perintah lsakan menampilkan alamat pertama suatu file. File sendiri memiliki komponennama, konten, dan informasi administratif (permission dan waktu modifikasi).Informasi administratif ini disimpan di inode beserta data lainnya. Ada tiga kalipenyimpanan di inode yaitu saat konten terakhir kali dimodifikasi (written),terakhir kali digunakan (read, executed), dan perubahan pada inode itu sendiri(saat mengeset permission). Nomor inode dan keterangan yang lebih lengkapdapat dilihat dengan mengetikkan perintah stat nama_file. Berikut pengujian diGNU/Linux Ubuntu 9.04.Pertama dibuat sebuah file teks bernama manual.txt :putu­shinoda@my­machine:~$ touch manual.txtLalu mengecek keberadaan file manual.txt tersebut :putu­shinoda@my­machine:~$ ls ­l manual.txt ­rw­r­­r­­ 1 putu­shinoda putu­shinoda 0 2011­04­16 00:20 manual.txtDilanjutkan dengan melihat inodenya :putu­shinoda@my­machine:~$ ls ­i manual.txt 3691951 manual.txtKemudian melihat info file keseluruhan :putu­shinoda@my­machine:~$ stat manual.txt   File: `manual.txt  Size: 0   Blocks: 0   IO Block: 4096   file kosong biasaDevice: 801h/2049d  Inode: 3691951   Links: 1Access: (0644/­rw­r­­r­­)  Uid: ( 1000/putu­shinoda)   Gid: ( 1000/putu­shinoda)Access: 2011­04­16 00:20:31.000000000 +0700Modify: 2011­04­16 00:20:31.000000000 +0700Change: 2011­04­16 00:20:31.000000000 +0700Hal yang sama juga bisa dilakukan terhadap suatu direktori dan sub direktori.putu­shinoda@my­machine:~$ mkdir kotakputu­shinoda@my­machine:~$ ls ­di kotak/ 9947429 kotak/ 8
  10. 10. putu­shinoda@my­machine:~$ stat kotak/  File: `kotak/  Size: 4096    Blocks: 8    IO Block: 4096   direktoriDevice: 801h/2049d Inode: 9947429     Links: 2Access: (0755/drwxr­xr­x)  Uid: ( 1000/putu­shinoda)   Gid: ( 1000/putu­shinoda)Access: 2011­04­16 00:22:26.000000000 +0700Modify: 2011­04­16 00:22:16.000000000 +0700Change: 2011­04­16 00:22:16.000000000 +0700Dari info di atas dapat dilihat bahwa untuk file bernama manual.txt dan folderbernama kotak, memiliki nilai inode masing - masing 3691951 dan 9947429. Referensi [1] memberikan penjelasan lebih lanjut dan detail mengenaiGNU/Linux beserta struktur file di dalamnya. Penulis menyarankan untukmembacanya.II.2 Komputer Forensik Komputer forensik adalah ilmu yang menggabungkan hukum dancomputer science untuk mengumpulkan dan menganalisa data dari sistemkomputer, jaringan, wireless communications, dan media penyimpanan, untukdijadikan barang bukti di pengadilan untuk kasus cyber crime.[2]. Integritas dan stabilitas infrastruktur jaringan dapat tetap terjaga denganadanya komputer forensik. Dengan pengetahuan mengenai hukum dan tekniskomputer forensik, capture informasi penting dapat dengan mudah dilakukan dijaringan saat compromize terjadi. Hal ini akan memudahkan menuntut pelakucyber crime yang tertangkap secara hukum. Keuangan perusahaan juga dapatdihemat dari anggaran untuk menyewa jasa computer security jika setiap stafperusahaan paham dan tanggap mengenai komputer forensik. Untuk penjelasan lebih lanjut dan rinci mengenai komputer forensik,penulis menyarankan untuk membaca referensi [8].II.3 Anti Komputer Forensik Berlawanan dengan komputer forensik, anti komputer forensik adalahilmu yang memadukan berbagai teknik untuk menyulitkan proses komputer 9
  11. 11. forensik. Awal mulanya ilmu ini dibentuk sebagai bagian dari proses riset danpembelajaran komputer forensik yang sedang dikembangkan saat itu. Sayangnyailmu ini justru disalah gunakan oleh oknum yang tidak bertanggung jawab untukmenghilangkan jejak dalam kasus cyber crime. Dalam dunia komputer, bukti digital adalah berkas berupa kumpulan dataelektronik. Seorang attacker berusaha menyulitkan pekerjaan ahli forensik dalammengidentifikasi, mengumpulkan, memeriksa, atau melakukan validasi terhadapbukti digital dengan cara menghancurkan, menyembunyikan, memanipulasi, ataumencegah ditemukannya bukti adanya suatu cyber crime. Hal ini dilakukan olehattacker untuk menghapus jejaknya agar terhindar dari tuntutan hukum. Ada banyak tool yang bisa digunakan untuk melakukan anti forensik.Salah satunya shred yang ada secara default di setiap distribusi GNU/Linux.Lebih lanjut mengenai anti forensik dapat dibaca di referensi [4] dan [5].Keduanya referensi tersebut memaparkan mengenai anti forensik dengan baik. Untuk tata cara penggunaan tool shred sebagai tool anti forensik, silahkanmerujuk ke referensi [6] dan [7]. Bisa juga mengetikkan perintah man shred diterminal GNU/Linux. Untuk keluar (quit) dari manual di terminal, ketik q. 10
  12. 12. Bab III Shred Untuk Anti ForensikIII.1 Shred Di GNU/Linux terdapat 2 tool standar untuk menghapus file dan direktoriyaitu rm (remove) dan shred. Perintah rm digunakan untuk menghapus file ataudirektori, namun yang terhapus hanyalah bagian inode saja, sehingga suatu saatdapat dikembalikan (recovery) dan dibaca dengan baik. Shred menghapus filesekaligus mengosongkan atau membuat isi file tidak dapat dibaca, sehingga meskidapat direcovery sekalipun, isi di dalamnya sudah tidak bisa dibaca lagi ataukosong. Shred awalnya diciptakan untuk keamanan dan privasi user itu sendiri.Misal menghapus permanen data di harddisk sebelum dijual atau menghapus filepassword server oleh sysadmin. Ibarat pisau bermata dua, shred menjadi salahsatu tool favorit attacker dalam melakukan anti forensik.III.2 Pengujian Shred di Komputer Standalone Berikut pengujian shred pada komputer standalone GNU/Linux IGOSNusantara 2010.Dibuat sebuah file teks bernama tes.txt di /home. File ini akan dihapusmenggunakan shred pada kasus anti forensik.[igos@lss­67­74 ~]$ touch tes.txtKemudian dilakukan pengecekan apakah file tersebut telah terbentuk.[igos@lss­67­74 ~]$ ls ­l tes.txt­rw­rw­r­­   1 igos igos   30 Apr 15 12:15 tes.txtDilanjutkan dengan mengisikan pesan di dalamnya.[igos@lss­67­74 ~]$ echo "Kemarin malam saya telah memasuki mesin mail server anda tanpa ijin menggunakan exploit." > tes.txt Dilanjutkan dengan mengecek inode[igos@lss­67­74 ~]$ stat tes.txt   File: `tes.txt  Size: 30     Blocks: 8    IO Block: 4096   berkas regularDevice: fd02h/64770d Inode: 2753597     Links: 1Access: (0664/­rw­rw­r­­)  Uid: (500/igos)  Gid: (500/igos)Access: 2011­04­15 12:30:29.396167800 +0700 11
  13. 13. Modify: 2011­04­15 12:30:40.322167736 +0700Change: 2011­04­15 12:30:40.322167736 +0700[igos@lss­67­74 ~]$Diperoleh keterangan nilai inode file tes.txt adalah 2753597 beserta berbagaiketerangan lainnya (size, access, modify, dan sebagainya).III.3 Pengujian Shred di Komputer Remote Pengujian dilakukan di Lab Sinyal Sistem (LSS) ITB menggunakan 2buah komputer. Kedua komputer terhubung melalui switch dengan pengalamatanDHCP dan memiliki spesifikasi yang sama yaitu Intel Pentium 5, RAM 512 MB,VGA Onboard Intel, LAN Card, mouse, keyboard, dan LCD monitor. Skenario sebagai berikut. Komputer lss-67-75 (GNU/Linux IGOSNusantara 2010) diremote melalui SSH oleh komputer lss-67-74 (GNU/LinuxSlackware 13). Kemudian di komputer lss-67-74 dibuat file teks, lalu dihapusmenggunakan shred secara remote dari komputer lss-67-75. Dibuktikan file teksterhapus dengan aman sehingga proses anti forensik berjalan dengan baik. Berikutbagan skenarionya : Gambar 1 : Bagan pengujian shred pada 2 buah komputer di jaringan 12
  14. 14. Pertama, dilakukan remote SSH dari lss-67-74 ke lss-67-75 :[slackie@lss­67­74 ~]$ ssh lss­67­75@167.205.67.114The authenticity   of  host 167.205.67.114  (167.205.67.114)   cant be established.RSA   key   fingerprint   is 08:88:d0:bf:92:a3:4c:72:1f:98:45:b1:da:a1:6a:ca.Are you sure you want to continue connecting (yes/no)? yesWarning: Permanently added 167.205.67.114 (RSA) to the list of known hosts.lss­67­75@167.205.67.114s password: Linux   lss­67­75   2.6.31­14­generic   #48­IGOS   SMP   Fri   Oct   16 14:04:26 UTC 2009 i686Last login: Fri Apr 15 00:35:31 2011 from lss­67­115.ee.itb.ac.idKemudian dibuat sebuah file bernama akunadmin.txtlss­67­75@lss67­75:~$ touch akunadmin.txtMengecek apakah file akunadmin.txt sudah ada.lss­67­75@lss­67­75:~$ ls ­l akunadmin.txt ­rw­r­­r­­   1   lss­67­75   lss­67­75   30   2011­04­15   01:37 akunadmin.txtLalu diisikan data di dalamnya :lss­67­75@lss­67­75:~$   echo   "username   admin   password   12345"   > akunadmin.txt Mengecek nilai inode.lss­67­75@lss­67­75:~$ stat akunadmin.txt   File: `akunadmin.txt  Size: 30         Blocks:   8                     IO   Block:   4096 regular fileDevice: 801h/2049d Inode: 543915      Links: 1Access:   (0644/­rw­r­­r­­)     Uid:   (   1000/lss­67­75)       Gid: ( 1000/lss­67­75)Access: 2011­04­15 01:37:27.672492515 ­0400Modify: 2011­04­15 01:37:46.635992491 ­0400Change: 2011­04­15 01:37:46.635992491 ­0400Melakukan anti forensik menggunakan shred ke file akunadmin.txt :lss­67­75@lss­67­75:~$ shred akunadmin.txtShred melakukan penulisan sekali pada isi file, dalam hal ini file masih tetap adasetelah dilakukan pengecekan. 13
  15. 15. lss­67­75@lss­67­75:~$ ls ­l akunadmin.txt ­rw­r­­r­­   1   lss­67­75   lss­67­75   4096   2011­04­15   01:40 akunadmin.txtInode dari file masih ada setelah dilakukan pengecekan.lss­67­75@lss­67­75:~$ stat akunadmin.txt   File: `akunadmin.txt  Size: 4096  Blocks: 8  IO Block: 4096 regular fileDevice: 801h/2049d Inode: 543915  Links: 1Access: (0644/­rw­r­­r­­)  Uid: (1000/lsslantai3) Gid: (1000/lss­67­75)Access: 2011­04­15 01:37:27.672492515 ­0400Modify: 2011­04­15 01:40:33.448031341 ­0400Change: 2011­04­15 01:40:33.448031341 ­0400Namun isi file berubah dan tidak bisa dibaca akibat penulisan yang dilakukanmenggunakan shred.lss­67­75@lss­67­75:~$ cat akunadmin.txt q�`�#^6�V�q�#Y#X���z��#�,�5#�>��wj���#�#�Q]�­�� ̮‫��ޖ‬E�$�o�b�)_   ��#�#��#S�N�   p�N����� >����m����ӫ9#R����o���4V[r�z��xA+�:}�t�#��$#9l�Dengan menjalankan kembali shred dengan tambahan opsi u, z, dan n (penulisanberulang, dalam kasus ini 25 kali), file akan terhapus secara permanen.lss­67­75@lss­67­75:~$ shred ­u ­z ­n 25 akunadmin.txt lss­67­75@lss­67­75:~$ ls ­l akunadmin.txtls: cannot access akunadmin.txt: No such file or directorylss­67­75 3@lss­67­75 3:~$ stat akunadmin.txtstat: cannot stat `akunadmin.txt: No such file or directoryDalam hal ini recovery bisa mengembalikan file yang dihapus permanen tersebut.Namun isi di dalam file tersebut kosong atau tidak terbaca. Pengujian di babselanjutnya akan membuktikan hal ini secara lebih jelas. 14
  16. 16. Bab IV Perancangan SistemIV.1 Skenario Pengujian Sebelum melakukan pengujian, disusun skenario sebagai berikut : 1. Attacker sebelumnya telah berhasil menguasai mesin target namun lupa menghapus jejak di file syslog. Sysadmin tidak melakukan forensik terhadap file syslog maupun memanggil ahli forensik komputer. 2. Sysadmin melakukan pengamanan pada 7 layer OSI untuk mencegah terulangnya kembali penyerangan tersebut. Penulis merinci langkah pengamanan setiap layer tersebut. 3. Attacker mencoba menguasai kembali mesin target agar dapat melakukan anti forensik terhadap file syslog menggunakan shred yang terdapat secara default di mesin target. Penulis merinci metode yang dilakukan oleh attacker untuk melakukan penyerangan. 4. Ahli forensik datang dan melakukan forensik ke mesin target setelah attacker melakukan anti forensik pada file syslog.Penulis berperan sebagai sysadmin, attacker, sekaligus ahli forensik denganmenggunakan 2 buah komputer GNU/Linux Ubuntu 9.10 dan 1 buah notebookGNU/Linux Ubuntu 9.04 di Lab Sinyal Sistem (LSS) ITB.IV.2 Batasan Masalah dan Asumsi Untuk mencegah pembahasan yang melebar dan di luar topik, keterbatasanhalaman, peralatan untuk pengujian, dan waktu pengujian, maka penulismemberikan asumsi dan batasan masalah sebagai berikut : 1. Tidak terdapat Proof of Concept (pengujian langsung) terhadap semua metode serangan yang dilakukan oleh attacker. Penulis hanya memberikan URL dari setiap metode tersebut sebagai referensi. Penulis menyarankan pembaca membaca referensi tersebut untuk pemahaman lebih lanjut. 2. Diasumsikan attacker memperoleh kembali akses root ke mesin firewall dan mesin target (server) dari salah satu cara yang dijabarkan tersebut. 3. Pada pengujian, dilakukan SSH dari komputer attacker ke komputer firewall, lalu dari komputer firewall dilakukan SSH ke komputer server. Kemudian dijalankan shred pada file syslog (/etc/log/syslog). 15
  17. 17. IV.3 Desain Sistem Berdasarkan Skenario Berikut desain sistem yang penulis rancang berdasarkan skenario yangdisusun untuk pengujian : Gambar 2 : Skema jaringan yang disusun sesuai skenarioKeterangan gambar : Pengujian dilakukan pada subnet yang berbeda di Lab Sinyal Sistem ITBdengan menggunakan intranet. Penulis menggunakan wireless codega dengansubnet 16 sebagai jalur koneksi notebook attacker, sedangkan kedua mesin target(mesin server dan mesin firewall) menggunakan koneksi intranet subnet 67. Attacker melewati router MUCER STEI ITB untuk bisa menuju subnet67, kemudian ke gateway subnet 67, untuk mencapai mesin firewall danmelakukan SSH. Dari mesin firewall dilakukan SSH ke mesin server.IV.4 Kebutuhan Hardware dan Software Untuk melakukan pengujian ini digunakan sejumlah software open sourceberbasis GNU/Linux dan beberapa hardware sebagai berikut : 1. Mesin attacker menggunakan notebook Toshiba M300 dengan spesifikasi Intel P8400, VGA ATI Radeon, RAM 1024 MB, wifi, dan LAN Card. Software berupa GNU/Linux Ubuntu 9.04, shred, terminal, rm, Open SSH Server dan Open SSH Client. 16
  18. 18. 2. Mesin server dan mesin firewall menggunakan komputer dengan spesifikasi Intel Pentium 5, RAM 512 MB, VGA Onboard Intel, dan LAN Card. Software berupa GNU/Linux Ubuntu 9.10, OpenSSH Server dan Open SSH Client, terminal, rm, dan shred.3. Network menggunakan intranet ITB di Lab Sinyal System (LSS) ITB. Mesin attacker menggunakan wireless, mesin server dan mesin firewall menggunakan koneksi wired pada switch 16 port. Pengalamatan berupa DHCP. Rincian pengalamatan pada point 4,5, dan 6 di bawah.4. Pengalamatan mesin attacker : IPV4 167.205.16.119, BCast 167.205.16.255, Subnet Mask 255.255.255.0, Gateway 167.205.67.65.5. Pengalamatan mesin server/target : IPV4 167.205.67.78, Bcast 167.205.67.127, Subnet Mask 255.255.255.192, Gateway 167.205.67.65.6. Pengalamatan mesin firewall : IPV4 167.205.67.107, Bcast 167.205.67.127, Subnet Mask 255.255.255.192, Gateway 167.205.67.65.7. Mouse, keyboard, dan LCD monitor.8. Dokumentasi menggunakan Open Office Writer 3.0 dan Lyx GUI LATEX 1.6.2, desain bagan sistem mengggunakan DIA Diagram 0.96.1. 17
  19. 19. Bab V Pengujian SistemV.1 Menguasai Kembali Mesin Target Sesuai skenario, asumsi, dan batasan masalah yang penulis kemukakan dibab sebelumnya, terlihat bahwa terjadi proses bertahan dan menyerang yangdilakukan oleh sysadmin dan attacker. Ide diperoleh dari tulisanPseudoanonymous di Kecoak Elektronik[4]. Sysadmin menerapkan polapengamanan pada 7 OSI Layer untuk melindungi mesin dan jaringannya dariserangan attacker sebagai berikut : 1. Layer 1 (Physical Layer) : Pengamanan secara fisik pada mesin dan hardware pendukungnya sesuai ISO 27001/2 mengenai keamanan fisik (physical security). 2. Layer 2 (Datalink Layer) : Pengamanan terhadap intranet menggunakan IPS/NIPS (Intrusion Prevention System/Network Intrusion Prevention System). 3. Layer 3 (Network Layer) : Pemasangan firewall, memperbolehkan akses dari IP Address dan Mac Address tertentu saja. 4. Layer 4 (Transport Layer) : Menggunakan IDS (Instrusion Detection System) dan IPS/NIPS. 5. Layer 5 (Session Layer) : Menggunakan VPN dial up dan IPS/NIPS. 6. Layer 6 (Presentation Layer) : Menggunakan SSL dan IPS/NIPS. 7. Layer 7 (Application Layer) : Menggunakan Deny Host pada akses SSH (umum disebut sebagai Preventing SSH Dictionary Attack), dan IPS/NIPS. 8. Selain pengamanan pada ketujuh layer OSI tersebut, dilakukan juga patch dan update terhadap sistem. 9. Untuk topologi jaringannya, sysadmin meletakkan sebuah mesin firewall di depan mesin server, sehingga mesin server hanya bisa terhubung keluar melalui mesin firewall saja. 18
  20. 20. Attacker melakukan penetration testing untuk pemetaan akses setiap layer,termasuk menguasai mesin firewall agar bisa mengakses mesin server. Berikutperinciannya : 1.Pada layer 1 : Social engineering untuk memperoleh akses fisik ke sistem untuk kendali sistem. 2. Pada layer 2 : ARP (Address Resolution Protocol) cache poisoning man in the middle (http://www.infosecwriters.com/text_resources/pdf/Arp_RKoster.pdf, http://www.grc.com/nat/arp.htm), CAM (Content Adressable Memory) table flooding man in the middle (http://www.javvin.com/networksecurity/ NetworkSecurity.html), VLAN (Virtual Local Area Network) hoping attack double tagging (http://www.alliedtelesis.com/solutions/diagram- 22), VTP (VLAN Trunking Protocol) attack (http://www.scribd.com/doc/52741687/10/VLAN-Trunking-Protocol- VTP-attack), RSTP (Rapid Spanning Tree Protocol) attack (http://homepage.cem.itesm.mx/raulm/pub/mimicry/opodis06.pdf). 3. Pada Layer 3 : IP spoofing attack (http://www.cert.org/tadvisories/CA-1995-01.html), IP fragmentation attack/overlapping fragment attack (http://www.ouah.org/fragma.html), ICMP (Internet Control Message Protocol) smurfing pada DOS (Denial Of Service) (http://www.cert.org/advisories/CA-1998-01.html), BGP internet scale man in the middle (http://www.defcon.org/images/defcon-16/dc16- presentations/defcon-16-pilosov-kapela.pdf), BGP NLRI (Border Gateway Protocol Network Layer Reachability Information) injection route poisoning (http://people.scs.carleton.ca/~kranakis/Papers/TR-05- 07.pdf), LDP (Label Distribution Protocol) injection pada overwrite MPLS (Multi Protocol Label Switching) label (http://eprints.utm.my/6115/1/MohdNazriMohdWaripMFKE2007TTT.pdf ), GRE (Generic Routing Encapsulation) traffic tunneling man in the middle (http://www.blackhat.com/presentations/bh-europe-03/bh-europe- 19
  21. 21. 03-valleri.pdf), Loki L3 attack framework dan IPSEC vulnerability attack (http://ernw.de/content/e6/e180/e1561/Blackhat2010_ERNW_Loki_ger.p df).4. Pada layer 4 : SYN (Synchronize) flooding dan IP spoofing pada DoS/DDoS (Denial/Distributed Denial of Service) (http://www.clshack.it/en/python- scapy-dos-attack-syn-flood-ip-spoofing.html), ACK (Acknowledge) flooding dan IP spoofing pada DRDoS (Distributed Reflected Denial Of Service) (http://www.understandingcomputers.ca/articles/grc/drdos_copy.html), UDP (User Datagram Protocol) flooding dan IP spoofing pada DoS/DDoS (http://web2.uwindsor.ca/courses/cs/aggarwal/cs60564/Assignments2Proj ect1/2_XiaomingSejdiniChowdhury_Denial%20of%20Service_UDP %20Flooding%20_Assignment2.doc ), SYN/ACK scanning service dan firewall mapping (http://nmap.org/book/man-port-scanning- techniques.html), TCP (Transmission Control Protocol) session hijacking dengan spoofed RST/FIN packet (http://www.infosecwriters.com/text_resources/pdf/SKapoor_SessionHija cking.pdf), SCTP (Stream Control Transmission Protocol) scanning untuk mengenumerasi SS7/SIGTRAN (Signaling System 7/Signaling Transport) entry point (http://www.roe.ch/Nmap_SCTP).5. Pada layer 5 : L2TP (Layer 2 Tunneling Protocol) attack (http://www.mplsvpn.info/2008/10/l2tp-vulnerability.html), DoS (Denial Of Service) attack (http://citeseerx.ist.psu.edu/viewdoc/download? doi=10.1.1.101.5179&rep=rep1&type=pdf), replay attack (http://all.net/CID/Attack/papers/Replay.html), NetBIOS user enumeration (http://alpha.nyit.edu/som/faculty/khoo/Summer2_2009/MIST757/Hackin g/Password%20Shitz/Netbios%20and%20brute%20force.pdf).6. Pada layer 6 : 20
  22. 22. SSL (Secure Sockets Layer) man in the middle attack (http://www.sans.org/reading_room/whitepapers/threats/ssl-man-in-the- middle-attacks_480). 7.Pada layer 7 : Kaminsky attack pada DNS (Domain Name System) Poisoning (http://www.unixwiz.net/techtips/iguide-kaminsky-dns-vuln.html), HTTP (Hyper Text Transfer Protocol) slowris DoS attack (http://ha.ckers.org/slowloris/), DNS amplification attack (http://www.isotf.org/news/DNS-Amplification-Attacks.pdf), SNMPv3 (Simple Network Management Protocol Version 3) HMAC (Hash-based Message Authentication Code) authentication bypass (http://www.iss.net/ security_center/reference/vuln/SNMP_V3_HMAC_Security_Bypass.htm) , menebak username dan password SSH menggunakan ncrack (http://nmap.org/ncrack/), SNMP guessing/brute force attack (http://www.iphelp.ru/faq/35/0037.html).V.2 Anti Komputer Forensik di Komputer Target Setelah memperoleh kembali akses root di mesin firewall dan mesinserver, attacker segera melakukan anti forensik pada file syslog guna menghapusjejak sekaligus menyulitkan kerja ahli forensik. Pertama, dilakukan remote SSHke mesin firewall :root@my­machine:/home/putu­shinoda# ssh lsslantai3­machine2@167.205.67.107lsslantai3­machine2@167.205.67.107s password: Linux lsslantai3­machine2 2.6.31­14­generic #48­Ubuntu SMP Fri Oct 16 14:04:26 UTC 2009 i686lsslantai3­machine2@lsslantai3­machine2:~$ Dari mesin firewall, dilanjutkan SSH ke mesin target (server) :lsslantai3­machine2@lsslantai3­machine2:~$ ssh lsslantai3­machine1@167.205.67.78The authenticity of host 167.205.67.78 (167.205.67.78) cant be established.RSA key fingerprint is f8:f7:64:b8:9c:b8:bb:cb:38:c2:90:36:ae:a7:86:72. 21
  23. 23. Are you sure you want to continue connecting (yes/no)? yesWarning:   Permanently   added   167.205.67.78   (RSA)   to   the   list   of known hosts.lsslantai3­machine1@167.205.67.78s password: Linux   lsslantai3­machine1   2.6.31­14­generic   #48­Ubuntu   SMP   Fri Oct 16 14:04:26 UTC 2009 i686lsslantai3­machine1@lsslantai3­machine1:~$ Kemudian mengecek file syslog yang menjadi target untuk anti forensik.lsslantai3­machine1@lsslantai3­machine1:~$ tail ­f /var/log/syslogApr 27 12:42:40 lsslantai3­machine1 kernel: [13.210155] CPU1 attaching NULL sched­domain.Apr 27 12:42:40 lsslantai3­machine1 kernel: [13.224075] CPU0 attaching sched­domain:Apr 27 12:42:40 lsslantai3­machine1 kernel: [13.224080] domain 0: span 0­1 level MCApr 27 12:42:40 lsslantai3­machine1 kernel: [13.224084] groups:01Apr 27 12:42:40 lsslantai3­machine1 kernel: [13.224090] CPU1 attaching sched­domain:Apr 27 12:42:40 lsslantai3­machine1 kernel: [13.224093] domain 0: span 0­1 level MCApr 27 12:42:40 lsslantai3­machine1 kernel: [13.224095] groups:10Apr 27 12:42:43 lsslantai3­machine1 kernel: [15.688006] eth0: no IPv6 routers presentlsslantai3­machine1@lsslantai3­machine1:~$Attacker mencari tahu nilai inode file syslog :lsslantai3­machine1@lsslantai3­machine1:~$ stat /var/log/syslog  File: `/var/log/syslog  Size: 252306  Blocks: 496  IO Block: 4096  regular fileDevice: 805h/2053d Inode: 125   Links: 1Access: (0640/­rw­r­­­­­)  Uid: (101/syslog) Gid: (4/ adm)Access: 2011­04­27 13:12:24.127224088 +0700Modify: 2011­04­27 13:17:01.226597858 +0700Change: 2011­04­27 13:17:01.226597858 +0700lsslantai3­machine1@lsslantai3­machine1:~$ diperoleh nilai inode file syslog 125. Attacker lalu menjadi root di mesin serverdan melakukan anti forensik menggunakan shred ke file syslog :lsslantai3­machine1@lsslantai3­machine1:~$ sudo su 22
  24. 24. [sudo] password for lsslantai3­machine1: root@lsslantai3­machine1:/home/lsslantai3­machine1# shred ­­random­source=/dev/urandom ­u /var/log/syslogroot@lsslantai3­machine1:/home/lsslantai3­machine1#Attacker kemudian mengecek apakah file syslog benar – benar terhapus sehinggatidak bisa dikembalikan saat forensik :root@lsslantai3­machine1:/home/lsslantai3­machine1# ls ­la /var/log/syslogls: cannot access /var/log/syslog: No such file or directoryroot@lsslantai3­machine1:/home/lsslantai3­machine1# stat syslogstat: cannot stat `syslog: No such file or directoryroot@lsslantai3­machine1:/home/lsslantai3­machine1# Tampak bahwa file syslog sudah terhapus dengan aman.V.3 Komputer Forensik di Komputer Target Oleh Attacker Setelah anti forensik dilakukan, attacker mencoba mengembalikan(recovery) file syslog menggunakan lsof, tool recovery di GNU/Linux. Hal inidilakukan untuk menguji apakah anti forensik yang dilakukan telah berjalandengan baik atau tidak. Berbekal info nilai inode file syslog di mesin serveradalah 125, proses pemetaan path pun dilakukan oleh attacker sebagai berikut :root@lsslantai3­machine1:/home/lsslantai3­machine1# lsof | grep 125rsyslogd  489  syslog  5w   REG  8,5 0  125 /var/log/0 (deleted)root@lsslantai3­machine1:/home/lsslantai3­machine1# Diperoleh info nilai inode 125, PID (Process ID) 489, dan file descriptor 5 (dari5w). Info ini diperlukan pada proses recovery file syslog. Kemudian attackermencoba melakukan recovery dengan mengkopi kembali syslog dari lokasipseudo-filesystem.root@lsslantai3­machine1:/home/lsslantai3­machine1# cp /proc/489/fd/5 syslogLalu dicek apakah file syslog bisa terbaca setelah proses recovery tersebut :root@lsslantai3­machine1:/home/lsslantai3­machine1# tail ­f /var/log/syslogtail: cannot open `/var/log/syslog for reading: No such file or directorytail: no files remaining 23
  25. 25. root@lsslantai3­machine1:/home/lsslantai3­machine1# tail ­f syslogroot@lsslantai3­machine1:/home/lsslantai3­machine1# file syslogsyslog: emptyTerlihat bahwa file tidak dapat dibaca. Dilanjutkan dengan mengecek prosespenghapusan dgn menggunakan pemetaan path :root@lsslantai3­machine1:/var/log# ls ­l /proc/489/fd/5l­wx­­­­­­ 1 root root 64 2011­04­27 13:23 /proc/489/fd/5 ­> /var/log/0 (deleted)Diperoleh info penghapusan file syslog tanggal 27 april 2011 pkl 13.23.Dilanjutkan dengan pengecekan status file syslog dari /proc.root@lsslantai3­machine1:/var/log# file /proc/489/fd/5/proc/489/fd/5: broken symbolic link to `/var/log/0 (deleted)Lalu dicek isi di dalam file syslog.root@lsslantai3­machine1:/var/log# tail ­f /var/log/syslogroot@lsslantai3­machine1:/var/log# file /var/log/syslogsyslog: empty File syslog hasil recovery isinya kosong. Proses anti forensik berjalansukses. Attacker kemudian keluar dari mesin remote (mesin server dan mesinfirewall). Sampai di sini attacker berhasil melakukan proses anti forensik denganbaik.V.4 Komputer Forensik di Komputer Target Oleh Ahli Forensik Syadmin yang menyadari mesinnya dikuasai kembali akhirnya memanggilahli forensik. Ahli forensik mencoba melakukan proses forensik seperti yangdilakukan oleh attacker di atas, namun tidak berhasil, karena file syslog yang adaisinya kosong sehingga tidak dapat dibaca. Berikut potongan hasil yangditampilkan.root@lsslantai3­machine1:/var/log# tail ­f /var/log/syslogroot@lsslantai3­machine1:/var/log# file /var/log/syslogsyslog: emptyV.5 Hasil Pengujian Dari pemaparan pengujian anti forensik di atas dengan menggunakanshred oleh attacker, dapat dilihat bahwa proses anti forensik berjalan dengan baik. 24
  26. 26. File syslog terhapus dengan baik dan aman. Meski attacker menguji cobakandengan mengembalikan (recovery) file syslog, namun isi di dalamnya kosong atautidak bisa dibaca. Hal ini tentu saja akan menyulitkan ahli forensik dalammelakukan proses komputer forensik. Terbukti bahwa dengan menggunakan shred, bukti forensik dapat dihapusdengan aman dan sulit untuk dikembalikan. Bahkan jika bisa dikembalikandengan langkah di atas, isi di dalamnya kosong atau tidak dapat dibaca. Inimenjadi parameter kesuksesan proses anti forensik. Terbukti bahwa shredmerupakan salah satu tool anti forensik yang ampuh dan praktis untuk digunakankarena sudah ada di setiap mesin GNU/Linux secara default. 25
  27. 27. Bab VI Kesimpulan dan SaranVI.1 Kesimpulan Dari hasil pengujian penulis berdasarkan skenario yang telah disusun,dapat disimpulkan bahwa ternyata : 1. Shred mampu melakukan proses anti forensik dengan baik. Parameter keberhasilan ini dilihat dari kemampuan shred dalam menghapus file dengan cara penulisan berulang isi di dalamnya. Saat file dikembalikan (recovery), isi di dalamnya tidak dapat dibaca dengan baik. 2. Anti forensik dengan menggunakan shred menyulitkan proses komputer forensik yang dilakukan oleh ahli forensik. 3. Shred menjadi tool anti forensik yang baik dilihat dari kemudahan penggunaannya, praktis (ada secara default di setiap mesin GNU/Linux), dan hasil yang baik (lihat point 1).VI.2 SaranBeberapa saran yang penulis berikan terkait anti forensik dengan menggunakanshred antara lain : 1. Uninstall aplikasi shred yang disertakan secara default dalam GNU/Linux dan UNIX lainnya. Untuk distro GNU/Linux Ubuntu cukup menggunakan perintah sudo apt-get remove shred. Sesuaikan command dengan basis distro Linux yang anda gunakan. Jika memerlukan shred atau secure deleted tools lainnya, install saat akan digunakan dan unistall kembali setelah itu. 2. Biarkan shred tetap terinstall dan gunakanlah networked filesystem (NFS, AFS, SMB, FTP, WebDAV). Sehingga saat attacker berhasil menguasai mesin dan remote melalui SSH, swap dan memori sistem tidak dapat dihapus dengan tool anti forensik apapun, termasuk shred. 3. Lakukan konfigurasi RAID (Redundance Array of Independent Disks/Redundance Array of Inexpensive Disks) pada mesin. RAID
  28. 28. stripping akan menyulitkan anti forensik menggunakan tool apapun, karena ada banyak redundant data yang perlu dilacak (trace).4. Lakukan penanganan forensik secepat mungkin baik oleh diri sendiri maupun mendatangkan ahli komputer forensik saat terjadi suatu serangan cyber crime.5. Tingkatkan penanganan keamanan pada setiap layer OSI serta tingkatkan kepedulian user untuk mematuhi peraturan yang berlaku agar sistem bisa berjalan dengan baik. Keamanan tidak akan berjalan sukses 100% jika dari sisi user tidak peduli dengan keamanan tersebut, meskipun pada sisi sistem (hardware dan software) sudah aman 100%.
  29. 29. Daftar Pustaka[1] Nguyen, Binh (2004) : Linux Filesystem Hierarchy.http://tldp.org/LDP/Linux-Filesystem-Hierarchy/Linux-Filesystem-Hierarchy.pdfDiakses 2 Maret 2011 12:15:20 WIB[2] Mathur, A., Cao, M., Bhattacarrya, S., Dilger, A., Tomas, A., dan Vivier, Lauren. (2007) : The New Ext4 Filesystem : Current Status and Future Plan.http://www.linuxsymposium.org/archives/OLS/Reprints-2007/mathur-Reprint.pdfDiakses 2 Maret 2011 12:16:22 WIB[3] Mrshl, Jck. “Anti-forensic, Seek and Destroy”. Echo Community. 2009.http://ezine.echo.or.id/ezine20/e20_0x0c.txtDiakses 3 Maret 2011 21:28:23 WIB[4] Pseudoanonymous. “Network Hack Philosopy”. Kecoak Elektronik. 2009.http://www.kecoak.org/ezine/toket7/0x04-network_hack_philosopy.txtDiakses 3 Maret 2011 21:30:00 WIB[4]Garfinkel, Simson L. “Anti-Forensics: Techniques, Detection and Countermeasures”. Naval Postgraduate School. 2007.http://simson.net/ref/2007/slides-ICIW.pdfDiakses 3 Maret 2011 22:56:00 WIB[5] Peron, Christian S.J. ; Legary, Michael. “Digital Anti-Forensics : EmergingTrends in Data Transformation Techniques”. Seccuris Labs.http://www.seccuris.com/documents/whitepapers/Seccuris-Antiforensics.pdfDiakses 8 Maret 2011 16:30:45 WIB[6] Techthrob. “How To Delete Files Permanently And Sevurely In Linux”.http://techthrob.com/2009/03/02/howto-delete-files-permanently-and-securely-in-linux/Diakses 24 Maret 2011 17:45:45[7]Tech Republic. “Securely Delete Files With Shred”.http://www.techrepublic.com/blog/opensource/securely-delete-files-with- shred/188Diakses 24 Maret 2011 17:56:00[8]US CERT. “Computer Forensics”.www.us-cert.gov/reading_room/forensics.pdfDiakses 5 April 2011 21:58:46

×