Presentasi oleh Don Anto pada 23 November 2011 membahas tentang forensik digital, khususnya komputer dan jaringan, serta tujuan dan metodologi dalam mengidentifikasi, mengumpulkan, menganalisis, dan menyajikan bukti digital. Dokumen ini menguraikan proses pengumpulan dan pelestarian bukti serta analisis yang diperlukan untuk memahami insiden kejahatan digital. Alat dan sumber daya penting dalam forensik digital juga dibahas untuk membantu dalam investigasi dan pelaporan temuan.

1. Free Powerpoint Templates Digital Forensics Don Anto PRESENTED FOR 23 NOVEMBER 2011

2. Don Anto? Bachelor Degree on Electrical Engineering Involves in Security Field for more than 7 years Currently Works in Telecommunication Company GCIA, GCIH, GSEC, JNCIS-SEC, Others HTTP://IPSECS.COM

3. Digital Forensics? Adalah cabang ilmu forensik yang terkait dengan investigasi material pada perangkat digital berhubungan dengan kejahatan komputer Forensik Komputer, Forensik Database, Forensik Jaringan (Network), etc Presentasi ini akan fokus pada Forensik Komputer dan Jaringan

4. Computer Forensics? Adalah cabang ilmu forensik digital berkaitan dengan material pada perangkat komputer dan media penyimpanan Tujuan forensik komputer adalah mengidentifikasi, mengumpulkan, menjaga, menganalisis, dan menampilkan fakta mengenai opini terkait dengan informasi pada media komputer

5. Network Forensics? Adalah cabang ilmu forensik digital berkaitan dengan monitoring dan analisis trafik jaringan komputer Tujuan forensik jaringan adalah mengidentifikasi, mengumpulkan, menganalisis, dan menampilkan fakta mengenai opini terkait dengan informasi pada lalu lintas trafik jaringan Bukti pada komputer dirusak? Forensik jaringan membantu

6. Methodology? Mengidentifikasi (Identify) Mengumpulkan (Collect) Menjaga (Preserve) Menganalisis (Analyze) Menampilkan (Present)

7. Apakan permasalahannya? Gejala dan efek yang dirasakan dari adanya permasalahan? Sejak kapan permasalahan itu dirasakan? Analogi dokter dan diagnosa awal pasien  Identify ?

8. Con’t Identify ? Initial incident handling process ? Tersangka (Suspect) ? & Motive ? Who? Outsider Insider Anonymous Aplikasikan pada forensik komputer dan jaringan

9. Collect Evidence? Pengumpulan bukti kejahatan digital baik pada media komputer maupun trafik di jaringan Apa saja yang perlu dikumpulkan dan dijadikan bukti digital?

10. Collect Evidence - Computer? Memory Acquisition & Imaging Hard disk Acquisition & Imaging Bukti volatil : proses sistem, koneksi, ...? Log file : authentikasi, error sistem, ...? Artefak : rootkit, sniffer, ...? Registry, etc?

11. Collect Evidence - Network? Network Firewall Log ? Network Intrusion Detection System ? Wireless Access Point ? Switch or Router Log ? Traffic/packet capture ? Having Security Information & Event Management (SIEM) ? GREAT! DHCP, DNS, etc ?

12. Preserve Evidence ? Perlu ada mekanisme untuk menjaga bukti digital yang sudah dikumpulkan dari kemungkinan modifikasi dan kerusakan Perlu adanya mekanisme duplikasi (backup) terhadap bukti digital tersebut Bukti digital ini diperlukan untuk analisis secara lebih mendalam atau dimasa mendatang

13. Con’t - Preserve Evidence ? Putus koneksi perangkat (komputer) yang telah disusupi Jangan menggunakan perangkat (komputer) yang telah disusupi Jangan membuka file dengan editor karena berpotensi mengubah date/time stamp Amankan secara fisik

14. Con’t - Preserve Evidence ? Copy memory dan transfer ke komputer lain sebagai bakup bukti ( windd , dd+fmem , Qemu ) Copy hard disk pada level bit ke komputer lain sebagai bakup bukti ( dd , Symantec Ghost , others) Bakup file log pada komputer yang disusupi ( cp , tar ) Kalkulasi hash checksum untuk memastikan integritas bakup tersebut ( md5sum , sha1sum )

15. Evidence Analysis? Bukti digital yang telah dikumpulkan kemudian dianalisis untuk memperoleh fakta Hasil analisis setidaknya menjawab 5W 1H What? Apa yang telah terjadi Who? Siapakah pelakunya Why? Motif pelaku When? Rentang waktu kejadian Where? Dari mana dilakukan (IP, ISP, etc) How? Bagaimana itu terjadi

16. Evidence Analysis?

17. Media Analysis? Analisis Volume ( Storage ) Analisis timeline file system ( autopsy ) Analisis timeline registry ( mactime ) Analisis timeline artefak Analisis timeline file log Others Memory Analysis Analisis bukti volatil ( volatility ) Contohnya : sistem proses, occupancy, koneksi jaringan

18. Network Analysis? Penyusup yang pandai membersihkan jejak di komputer sehingga investigasi menjadi relatif sulit Analisis berdasarkan pada temuan-temuan di jaringan Analisis log perangkat jaringan misalnya : firewall, NIDS, SIEM, proxy, router, switch, access point, DHCP, DNS, others Analisis trafik dari hasil capture di jaringan misalnya : tcpdump, wireshark, ngrep, tcpxtract, pcapcat, tshark

19. Indicator of Compromise? Ubah data hasil analisis & pengalaman forensik menjadi data intelligence digital  Pengelompokan logik dari artefak forensik, misalnya hash, proses, listen port, file name, etc. Contoh tool OpenIOC (mandiant) Open Source XML format Easy to share

20. Present? Tahap terakhir forensik digital adalah melaporkan dan mempresentasikan temuan-temuan serta bukti digital Pelaporan dan presentasi ini mungkin berguna dalam lingkup hukum dan pengadilan Pertimbangan-pertimbangan lainnya? 

21. Forensics - Useful Tools? Registry Decoder Volatility Advanced Memory Forensics Sleuth Kit EnCase Traffic Sniffer : wireshark, ngrep, tcpxtract, pcapcat, others Indicator of Compromise (IOC) Collection Tools E-Fense Helix Linux SANS Investigative Forensics Toolkit (SIFT) GNU tar, cp, dd, others Our brain 

22. Forensics - Useful Resources? computer-forensics.sans.org www.mandiant.com www.forensics.nl www2.opensourceforensics.org Our brain 

23. DEMO FORENSIC

24. DISKUSI Q&A

25. THANK YOU