Investigating Network Intrusion and Computer Forensic

1
Investigating Network Intrusion and Computer
Forensic

• Budi Rahardjobudi_at_insan.co.idhttp//budi.insan.c
  o.id
• one day seminar on security solutionorganized
  by Telkom Professional Development Center7
  April 2008

2
Pentingnya Jaringan

• Dahulu komputer (server, sistem) standalone,
  namun sekarang semua terhubung ke jaringan
• Jaringan (network) merupakan cara masuk ke sistem
  (server)
• Itulah sebabnya jaringan perlu diamankan dan
  dipantau

3
Pengamanan Sistem

• Preventif
• Sebelum terjadinya serangan
• Contoh perangkat pengamanan pagar, firewall
• Reaktif
• Setelah penyusup berhasil masuk
• Contoh perangkat pengamanan CCTV, Intrusion
  Detection System (IDS), Intrusion Prevention
  System (IPS)

4
Pengamanan Berlapis
IDS/IPSdetectintrusions
Customer(with authentication device)
coreapplications
Internet
applicationgateway
Web server(s)
Firewalprotect accessto web server
Firewallprotect accessto SQL
5
Mendeteksi Penyusupan

• Dilakukan dengan menggunakan IDS
• Jenis IDS
• Network-based IDS
• Host-based IDS
• Sensor dipasang di titik tertentu
• Aturan (rules) dibuat sesuai dengan definisi dari
  penyusupan yang kita buat
• Misal, definisikan anomali di jaringan

6
Hasil IDS

• Menunjukkan penyusupan atau pelanggaran aturan
  (rules)
• Harus dipilah lagi untuk menghindari false
  positives
• Menjadi jejak untuk melakukan investigasi lebih
  lanjut

7
Memahami Paket

• Perlu dikembangkan kemampuan untuk memahami paket
• root tcpdump -n -i lo0
• tcpdump verbose output suppressed, use -v or -vv
  for full protocol decode
• listening on lo0, link-type NULL (BSD loopback),
  capture size 96 bytes
• 034622.758381 IP 127.0.0.1 gt 127.0.0.1 ICMP
  echo request, id 204, seq 0, length 64
• 034622.758450 IP 127.0.0.1 gt 127.0.0.1 ICMP
  echo reply, id 204, seq 0, length 64
• 034623.758607 IP 127.0.0.1 gt 127.0.0.1 ICMP
  echo request, id 204, seq 1, length 64
• 034623.758674 IP 127.0.0.1 gt 127.0.0.1 ICMP
  echo reply, id 204, seq 1, length 64
• Latihan lain cari 3-way handshaking di TCP/IP

8
Latihan, latihan, latihan

• Perlu banyak berlatih untuk memahami dan
  mendapatkan sense dari traffic yang ada
• Banyak (networking) tools dan data yang bisa
  digunakan

9
Packet Capture / Dump

• tcpdump, wireshark, tshark
• Tangkap paket dan simpan dalam berkas
• Ada koleksi packet dump (dari berbagai kegiatan,
  seminar, kumpulan hacker)
• tcpreplay
• Memainkan ulang paket di jaringan
• Dan lain-lain

10
etherape
11
Sumber Data Lainnya

• Kadang data dari IDS belum cukup untuk menarik
  kesimpulan mengenai penyusupan
• Dibutuhkan sumber data lainnya
• Log dari perangkat jaringan lainnya (router)
• Log dari server yang ditargetkan, misal data
  syslog, log web server
• Catatan di komputer penyusup (bila bisa
  diperoleh)
• Catatan daftar hadir
• dan lain-lain

12
Analisis

• Melakukan korelasi terhadap berbagai data
• Membuat time line beserta fakta
• Kadang sulit sinkronisasi waktu (itulah
  manfaatnya ntp)
• Membuat beberapa skenario
• Melakukan analisis
• Mengambil (beberapa) kesimpulan

13
Langkah Berikutnya

• Penyusup masuk ke/melalui jaringan untuk
  mentargetkan sebuah server (komputer)
• Penyusup menggunakan komputer untuk melakukan
  kegiatannya
• Ada banyak data dari komputer yang dapat
  dimanfaatkan untuk membangun kasus penyidikan

14
Computer Forensic

• ... is the art and science of applying computer
  science to aid the legal process. Although plenty
  of science is attributable to computer forensics,
  most successful investigators possess a nose for
  investigations and for solving puzzles, which is
  where the art comes in.Chris L.T. Brown,
  Computer Evidence Collection and Preservation,
  2006

15
Penyidikan di Komputer

• Menggunakan data yang tersedia di komputer
• Harddisk
• Memory
• Masalah
• Data digital mudah berubah (volatile) dan hilang
• Penyidikan dapat mengubah data (misal time stamp,
  content)

16
Penyidikan di Komputer

• Keuntungan
• Data digital mudah diduplikasi
• Log bisa dicatat secara tersebar
• Adanya data tercecer (misal delete file
  sebetulnya masih ada berkasnya hanya daftar di
  direktori yang hilang)

April 2008
16
BR - Net Intrusion Computer Forensic
17
Cloning Disk

• Salah satu kegiatan investigasi
• Membuat duplikasi disk (cloning)
• Investigasi dilakukan pada disk duplikat sehingga
  tidak merusak data aslinya
• Harus dapat dipastikan bahwa duplikat sama persis
  seperti aslinya
• Status hukum?

18
Software Forensic

• Secara teknis ada beberapa tools yang dapat
  digunakan
• Encase
• Helix, http//www.e-fense.com/helix/

19
Data Yang Lazim Digunakan

• Catatan berkas log dari aplikasi
• Direktori sementara (temporary directory)
• Registry

April 2008
19
BR - Net Intrusion Computer Forensic
20
Status Hukum

• Harus berhati-hati dalam melakukan penyidikan
  karena bisa jadi barang bukti menjadi tercemar
• Adanya berbagai sumber data dapat mendukung
  kesimpulan dari penyidikan
• Penegak hukum harus diberi wawasan (dan skill)
  teknologi agar lebih arif dalam menegakkan hukum

21
Lain-lain

• Kadang perlu dibuat jebakan (honeypot) untuk
  menangkap penyusup
• Adanya kesulitan kordinasi untuk mendapatkan data
  (beda pengelola, lintas negara, dll.)

April 2008
21
BR - Net Intrusion Computer Forensic
22
Penutup

• Melakukan investigasi penyusupan (melalui
  jaringan) dan computer forensic merupakan sebuah
  bidang yang relatif baru
• Masih dibutuhkan waktu agar ilmunya menjadi lebih
  matang
• Masih dibutuhkan banyak SDM yang menguasai bidang
  ilmu ini