Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Free Powerpoint Templates Digital Forensics Don Anto PRESENTED FOR 23 NOVEMBER 2011
Don Anto? <ul><li>Bachelor Degree on Electrical Engineering </li></ul><ul><li>Involves in Security Field for more than 7 y...
Digital Forensics? <ul><li>Adalah cabang ilmu forensik yang terkait dengan investigasi material pada perangkat digital ber...
Computer Forensics? <ul><li>Adalah cabang ilmu forensik digital berkaitan dengan material pada perangkat komputer dan medi...
Network Forensics? <ul><li>Adalah cabang ilmu forensik digital berkaitan dengan monitoring dan analisis trafik jaringan ko...
Methodology? <ul><li>Mengidentifikasi (Identify) </li></ul><ul><li>Mengumpulkan (Collect) </li></ul><ul><li>Menjaga (Prese...
<ul><li>Apakan permasalahannya? </li></ul><ul><li>Gejala dan efek yang dirasakan dari adanya permasalahan? </li></ul><ul><...
Con’t Identify ? <ul><li>Initial incident handling process ? </li></ul><ul><li>Tersangka (Suspect) ? & Motive ? </li></ul>...
Collect Evidence? <ul><li>Pengumpulan bukti kejahatan digital baik pada media komputer maupun trafik di jaringan </li></ul...
Collect Evidence - Computer?  <ul><li>Memory Acquisition & Imaging </li></ul><ul><li>Hard disk Acquisition & Imaging </li>...
Collect Evidence - Network?  <ul><li>Network Firewall Log ? </li></ul><ul><li>Network Intrusion Detection System ? </li></...
Preserve Evidence ?  <ul><li>Perlu ada mekanisme untuk menjaga bukti digital yang sudah dikumpulkan dari kemungkinan modif...
Con’t - Preserve Evidence ? <ul><li>Putus koneksi perangkat (komputer) yang telah disusupi </li></ul><ul><li>Jangan menggu...
Con’t - Preserve Evidence ? <ul><li>Copy memory dan transfer ke komputer lain sebagai bakup bukti ( windd ,  dd+fmem ,  Qe...
Evidence Analysis? <ul><li>Bukti digital yang telah dikumpulkan kemudian dianalisis untuk memperoleh fakta </li></ul><ul><...
Evidence Analysis?
Media Analysis? <ul><li>Analisis Volume ( Storage ) </li></ul><ul><ul><li>Analisis timeline file system ( autopsy ) </li><...
Network Analysis? <ul><li>Penyusup yang pandai membersihkan jejak di komputer sehingga investigasi menjadi relatif sulit <...
Indicator of Compromise? <ul><li>Ubah data hasil analisis & pengalaman forensik menjadi data intelligence digital   </li>...
Present? <ul><li>Tahap terakhir forensik digital adalah melaporkan dan mempresentasikan temuan-temuan serta bukti digital ...
Forensics - Useful Tools?  <ul><li>Registry Decoder </li></ul><ul><li>Volatility Advanced Memory Forensics </li></ul><ul><...
Forensics - Useful Resources?  <ul><li>computer-forensics.sans.org   </li></ul><ul><li>www.mandiant.com </li></ul><ul><li>...
DEMO FORENSIC
DISKUSI Q&A
THANK YOU
Upcoming SlideShare
Loading in …5
×

Network & Computer Forensic

8,318 views

Published on

Network & Computer Forensic

Published in: Technology
  • Be the first to comment

Network & Computer Forensic

  1. 1. Free Powerpoint Templates Digital Forensics Don Anto PRESENTED FOR 23 NOVEMBER 2011
  2. 2. Don Anto? <ul><li>Bachelor Degree on Electrical Engineering </li></ul><ul><li>Involves in Security Field for more than 7 years </li></ul><ul><li>Currently Works in Telecommunication Company </li></ul><ul><li>GCIA, GCIH, GSEC, JNCIS-SEC, Others </li></ul><ul><li>HTTP://IPSECS.COM </li></ul>
  3. 3. Digital Forensics? <ul><li>Adalah cabang ilmu forensik yang terkait dengan investigasi material pada perangkat digital berhubungan dengan kejahatan komputer </li></ul><ul><li>Forensik Komputer, Forensik Database, Forensik Jaringan (Network), etc </li></ul><ul><li>Presentasi ini akan fokus pada Forensik Komputer dan Jaringan </li></ul>
  4. 4. Computer Forensics? <ul><li>Adalah cabang ilmu forensik digital berkaitan dengan material pada perangkat komputer dan media penyimpanan </li></ul><ul><li>Tujuan forensik komputer adalah mengidentifikasi, mengumpulkan, menjaga, menganalisis, dan menampilkan fakta mengenai opini terkait dengan informasi pada media komputer </li></ul>
  5. 5. Network Forensics? <ul><li>Adalah cabang ilmu forensik digital berkaitan dengan monitoring dan analisis trafik jaringan komputer </li></ul><ul><li>Tujuan forensik jaringan adalah mengidentifikasi, mengumpulkan, menganalisis, dan menampilkan fakta mengenai opini terkait dengan informasi pada lalu lintas trafik jaringan </li></ul><ul><li>Bukti pada komputer dirusak? Forensik jaringan membantu </li></ul>
  6. 6. Methodology? <ul><li>Mengidentifikasi (Identify) </li></ul><ul><li>Mengumpulkan (Collect) </li></ul><ul><li>Menjaga (Preserve) </li></ul><ul><li>Menganalisis (Analyze) </li></ul><ul><li>Menampilkan (Present) </li></ul>
  7. 7. <ul><li>Apakan permasalahannya? </li></ul><ul><li>Gejala dan efek yang dirasakan dari adanya permasalahan? </li></ul><ul><li>Sejak kapan permasalahan itu dirasakan? </li></ul><ul><li>Analogi dokter dan diagnosa awal pasien  </li></ul>Identify ?
  8. 8. Con’t Identify ? <ul><li>Initial incident handling process ? </li></ul><ul><li>Tersangka (Suspect) ? & Motive ? </li></ul><ul><li>Who? </li></ul><ul><ul><li>Outsider </li></ul></ul><ul><ul><li>Insider </li></ul></ul><ul><ul><li>Anonymous </li></ul></ul><ul><li>Aplikasikan pada forensik komputer dan jaringan </li></ul>
  9. 9. Collect Evidence? <ul><li>Pengumpulan bukti kejahatan digital baik pada media komputer maupun trafik di jaringan </li></ul><ul><li>Apa saja yang perlu dikumpulkan dan dijadikan bukti digital? </li></ul>
  10. 10. Collect Evidence - Computer? <ul><li>Memory Acquisition & Imaging </li></ul><ul><li>Hard disk Acquisition & Imaging </li></ul><ul><li>Bukti volatil : proses sistem, koneksi, ...? </li></ul><ul><li>Log file : authentikasi, error sistem, ...? </li></ul><ul><li>Artefak : rootkit, sniffer, ...? </li></ul><ul><li>Registry, etc? </li></ul>
  11. 11. Collect Evidence - Network? <ul><li>Network Firewall Log ? </li></ul><ul><li>Network Intrusion Detection System ? </li></ul><ul><li>Wireless Access Point ? </li></ul><ul><li>Switch or Router Log ? </li></ul><ul><li>Traffic/packet capture ? </li></ul><ul><li>Having Security Information & Event Management (SIEM) ? GREAT! </li></ul><ul><li>DHCP, DNS, etc ? </li></ul>
  12. 12. Preserve Evidence ? <ul><li>Perlu ada mekanisme untuk menjaga bukti digital yang sudah dikumpulkan dari kemungkinan modifikasi dan kerusakan </li></ul><ul><li>Perlu adanya mekanisme duplikasi (backup) terhadap bukti digital tersebut </li></ul><ul><li>Bukti digital ini diperlukan untuk analisis secara lebih mendalam atau dimasa mendatang </li></ul>
  13. 13. Con’t - Preserve Evidence ? <ul><li>Putus koneksi perangkat (komputer) yang telah disusupi </li></ul><ul><li>Jangan menggunakan perangkat (komputer) yang telah disusupi </li></ul><ul><li>Jangan membuka file dengan editor karena berpotensi mengubah date/time stamp </li></ul><ul><li>Amankan secara fisik </li></ul>
  14. 14. Con’t - Preserve Evidence ? <ul><li>Copy memory dan transfer ke komputer lain sebagai bakup bukti ( windd , dd+fmem , Qemu ) </li></ul><ul><li>Copy hard disk pada level bit ke komputer lain sebagai bakup bukti ( dd , Symantec Ghost , others) </li></ul><ul><li>Bakup file log pada komputer yang disusupi ( cp , tar ) </li></ul><ul><li>Kalkulasi hash checksum untuk memastikan integritas bakup tersebut ( md5sum , sha1sum ) </li></ul>
  15. 15. Evidence Analysis? <ul><li>Bukti digital yang telah dikumpulkan kemudian dianalisis untuk memperoleh fakta </li></ul><ul><li>Hasil analisis setidaknya menjawab 5W 1H </li></ul><ul><ul><li>What? Apa yang telah terjadi </li></ul></ul><ul><ul><li>Who? Siapakah pelakunya </li></ul></ul><ul><ul><li>Why? Motif pelaku </li></ul></ul><ul><ul><li>When? Rentang waktu kejadian </li></ul></ul><ul><ul><li>Where? Dari mana dilakukan (IP, ISP, etc) </li></ul></ul><ul><ul><li>How? Bagaimana itu terjadi </li></ul></ul>
  16. 16. Evidence Analysis?
  17. 17. Media Analysis? <ul><li>Analisis Volume ( Storage ) </li></ul><ul><ul><li>Analisis timeline file system ( autopsy ) </li></ul></ul><ul><ul><li>Analisis timeline registry ( mactime ) </li></ul></ul><ul><ul><li>Analisis timeline artefak </li></ul></ul><ul><ul><li>Analisis timeline file log </li></ul></ul><ul><ul><li>Others </li></ul></ul><ul><li>Memory Analysis </li></ul><ul><ul><li>Analisis bukti volatil ( volatility ) </li></ul></ul><ul><ul><li>Contohnya : sistem proses, occupancy, koneksi jaringan </li></ul></ul>
  18. 18. Network Analysis? <ul><li>Penyusup yang pandai membersihkan jejak di komputer sehingga investigasi menjadi relatif sulit </li></ul><ul><li>Analisis berdasarkan pada temuan-temuan di jaringan </li></ul><ul><li>Analisis log perangkat jaringan misalnya : firewall, NIDS, SIEM, proxy, router, switch, access point, DHCP, DNS, others </li></ul><ul><li>Analisis trafik dari hasil capture di jaringan misalnya : tcpdump, wireshark, ngrep, tcpxtract, pcapcat, tshark </li></ul>
  19. 19. Indicator of Compromise? <ul><li>Ubah data hasil analisis & pengalaman forensik menjadi data intelligence digital  </li></ul><ul><li>Pengelompokan logik dari artefak forensik, misalnya hash, proses, listen port, file name, etc. </li></ul><ul><li>Contoh tool OpenIOC (mandiant) </li></ul><ul><ul><li>Open Source </li></ul></ul><ul><ul><li>XML format </li></ul></ul><ul><ul><li>Easy to share </li></ul></ul>
  20. 20. Present? <ul><li>Tahap terakhir forensik digital adalah melaporkan dan mempresentasikan temuan-temuan serta bukti digital </li></ul><ul><li>Pelaporan dan presentasi ini mungkin berguna dalam lingkup hukum dan pengadilan </li></ul><ul><li>Pertimbangan-pertimbangan lainnya?  </li></ul>
  21. 21. Forensics - Useful Tools? <ul><li>Registry Decoder </li></ul><ul><li>Volatility Advanced Memory Forensics </li></ul><ul><li>Sleuth Kit </li></ul><ul><li>EnCase </li></ul><ul><li>Traffic Sniffer : wireshark, ngrep, tcpxtract, pcapcat, others </li></ul><ul><li>Indicator of Compromise (IOC) </li></ul><ul><li>Collection Tools </li></ul><ul><ul><li>E-Fense Helix Linux </li></ul></ul><ul><ul><li>SANS Investigative Forensics Toolkit (SIFT) </li></ul></ul><ul><li>GNU tar, cp, dd, others </li></ul><ul><li>Our brain  </li></ul>
  22. 22. Forensics - Useful Resources? <ul><li>computer-forensics.sans.org </li></ul><ul><li>www.mandiant.com </li></ul><ul><li>www.forensics.nl </li></ul><ul><li>www2.opensourceforensics.org </li></ul><ul><li>Our brain  </li></ul>
  23. 23. DEMO FORENSIC
  24. 24. DISKUSI Q&A
  25. 25. THANK YOU

×