Akses Log
NETWORK
FORENSIK
Forensik
jaringan (Network forensic) merupakan proses menangkap, mencatat dan
menganalisa aktivitas jaringan guna menemukan bukti digital (digital evidence)
dari suatu serangan atau kejahatan yang dilakukan terhadap , atau dijalankan
menggunakan, jaringan komputer sehingga pelaku kejahatan dapat dituntut sesuai
hukum yang berlaku.
Forensik
Digital dan Forensik Jaringan ini dapat digunakan untuk menemukan kejahatan di
dunia maya seperti cyber crime. Karena meskipun kejahatan itu dilakukan secara
digital tetap saja meninggalkan bukti atau “jejak”. Jadi bagi anda yang ingin
melakukan kejahatan digital, hati-hati terhadap “jejak” yang akan anda
tinggalkan atau anda harus berpikir panjang untuk melakukan kejahatan tersebut.
Bukti digital
dapat diidentifikasi dari pola serangan yang dikenali, penyimpangan dari
perilaku normal jaringan ataupun penyimpangan dari kebijakan keamanan yang
diterapkan pada jaringan.
Internet yang
berisi Jaringan Forensik dan proses intersepsi yang sah menurut hukum adalah
tugas-tugas yang penting untuk banyak organisasi termasuk small medium
business, enterprises, industri banking dan finance, tubuh Pemerintahan,
forensik, dan agen intelijen untuk tujuan-tujuan yang berbeda-beda seperti
penarsipan, intersepsi, dan mengaudit lalu lintas internet untuk referensi masa
depan dan kebutuhan forensik. Penarsipan ini dan pemulihan kembali data
internet dapat digunakan untuk barang bukti hukum dalam beberapa kasus
perselisihan. Pemerintah dan agen-agen intelijen mengunakan beberapa teknologi
untuk melindungi dan mempertahankan keamanan nasional.
Administrator
jaringan tidak bisa seluruhnya bergantung pada IDS untuk menjaga jaringannya.
Administrator juga memerlukan proses investigasi dan alat audit untuk melakukan
investigasi kejadian secara lengkap dan memulihkan jaringan dari ancaman atau
serangan yang terjadi. Forensik jaringan memiliki kemampuan untuk merekontruksi
kejadian dengan menggunakan sistem yang menyimpan semua aktifitas lalu lintas
data pada jaringan, sehingga investigasi dapat dilakukan dengan melihat kembali
kejadian-kejadian yang telah terjadi dan melakukan analisa kejadian yang
terjadi di masa lalu. Berdasarkan kebutuhan diatas, maka suatu sistem forensik
jaringan setidaknya terdapat beberapa proses, yaitu :
Monitoring dan koleksi data : forensik jaringan pada
dasarnya adalah audit terhadap penggunaan jaringan, seperti traffik, bandwidth
dan isi data. Oleh karena itu setiap sistem network forensic diperlukan sistem
monitoring dan penyimpanan data yang bisa digunakan sebagai bukti digital.
PROSES FORENSIK JARINGAN
Proses forensik jaringan terdiri dari beberapa tahap, yakni
:
1) Akuisisi dan pengintaian (reconnaissance)
Yaitu proses untuk mendapatkan/mengumpulkan data volatil
(jika bekerja pada sistem online) dan data non-volatil (disk terkait) dengan menggunakan berbagai
tool.
2) Analisa
Yaitu proses menganalisa data yang diperoleh dari proses
sebelumnya, meliputi analisa real-time dari data volatil, analisa log-file,
korelasi data dari berbagai divais pada jaringan yang dilalui serangan dan
pembuatan time-lining dari informasi yang diperoleh.
3) Recovery
Yaitu proses untuk mendapatkan/memulihkan kembali data yang
telah hilang akibat adanya intrusi, khususnya informasi pada disk yang berupa
file atau direktori.
MONITORING DAN KOLEKSI DATA
Suatu sistem
forensik jaringan selalu dilengkapi kemampuan untuk memonitoring, menangkap dan
menyimpan semua data lalu lintas pada jaringan. Sistem yang terhubung ke
jaringan internet sangat potensial untuk diserang. Oleh karena itu diperlukan
suatu mekanisme untuk memonitoring dan mendeteksi serangan terhadap sistem/jaringan
dengan menggunakan IDS. IDS adalah alat yang dapat mengumpulkan informasi,
menganalisa informasi apakah ada aktifitas yang aneh pada jaringan dan
melaporkan hasil analisa dari proses deteksi[1].
Teknik deteksi intrusi dapat dikategorikan menjadi dua.
Pertama adalah berdasarkan signature-based detection. Signature-based detection
menggunakan contoh pola serangan yang telah diketahui/disimpan sebelumnya untuk
mengidentifikasi serangan. Yang kedua adalah deteksi anomali yaitu dengan cara
menentukan apakah deviasi dari pola penggunaan normal dapat dikategorikan
sebagai intrusi.
Sistem forensik
jaringan juga dilengkapi dengan unit penyimpanan data sehingga memungkinkan
dilakukannya proses analisa dan investigasi dari data yang dikoleksi sebelumnya
apabila terjadi ancaman atau serangan terhadap suatu sistem keamanan. Untuk
mengkoleksi data dari jaringan digunakan packet sniffer. Prinsip kerja dari
packet sniffer adalah mengintersep setiap bagian dari data yang melewati
jaringan dan membuat salinan untuk dianalisa. Hal ini tentu saja memerlukan
unit penyimpanan yang tidak sedikit, seiring dengan semakin tingginya tingkat
penggunaan jaringan dan makin besar lalu lintas data pada jaringan, makin besar
pula penyimpanan yang dibutuhkan. Untungnya dengan semakin murahnya alat
penyimpanan data, maka makin murah pula suatu sistem forensik jaringan.
Analisa Data
Forensik
jaringan memungkinkan dilakukannya proses analisa dan investigasi data yang
telah disimpan sebelumnya. Ada beberapa sumber bukti potensial yang dapat
digunakan untuk forensik pada komputer dan jaringan. File adalah salah satu
sumber bukti potensial. Output dari aplikasi seperti pengolah kata, spread
sheets dan lain-lain dapat menyimpan informasi
sejarah, chaces, backup ataupun log aktifitas. Dilain pihak, log aktifitas
jaringan dapat menyimpan beberapa informasi yang sangat penting dalam
mengungkap terjadinya ancaman atau serangan terhadap jaringan. Aktifitas
jaringan yang tercatat dapat mengungkapkan tindakan kriminal dengan sangat
detail dibandingkan sumber lainnya. Oleh karena itu sistem log merupakan sumber
vital dari bukti potensial.
Suatu
perusahaan atau organisasi sudah seharusnya menyimpan informasi tentang segala
aktifitas jaringan seperti login computer dan layanan yang menggunakan jaringan
seperti remote Telnet atau FTP. Hal ini sangat berguna dalam investigasi
dikarenakan rekaman tersebut dapat menyimpan berbagai informasi tentang
aktifitas pengguna tertentu, seperti tanggal dan waktu dari aktifitas tersebut.
Informasi ini sangat berhubungan dengan kejadian internal seperti email dan
akses web ataupun kejadian eksternal yang dapat menunjukan waktu terjadinya
aktifitas tersebut(timeline)[2]. Timeline berfungsi sebagai acuan untuk
menempatkan peristiwa yang berbeda dalam suatu sistem dan menghubungkan ke
suatu sangkaan, membuat suatu alibi dan menentukan bukti-bukti yang tidak
tersangkut dengan tindakan kriminal. Dari analisa data paket-paket yang
disimpan bisa didapatkan beberapa informasi antara lain :
- Informasi tentang file yang ditransfer ke dan dari target
- Perintah yang diberikan pada target
- Informasi tentang terjadinya waktu aktifitas (timeline)
- Output yang dihasilkan dari perintah yang diberikan
- Bukti dari paket program scanning yang disembunyikan pada komputer jaringan lokal.
Akses
Log
Apa itu log?
Log adalah catatan
segala aktivitas yang dilakukan atau diakses oleh user, semua data apa saja
yang di akses oleh user maka akan tersimpan atau tercatat di log server log juga bisa dikatakan sebagai database.
Contohnya pada topologi
diatas misalkan saja sebuah universitas dengan mahasiswa sebanyak 6000 orang
dan karyawan serta dosen sebanyak 500 orang maka akan banyak pula log yang
dicatat dalam gateway, dengan adanya log sangat membantu bagi para penyelidik karena
setiap gerakan atau apa saja yang diakses user maka akan tercatat di log serta
mempermudah dalam melakukan pelacakan jika ada user yang coba-coba membobol
atau merusak suatu sistem dengan menggunakan ip universitas tersebut.
Katakanlah Jika suatu kejadian yang tidak di inginkan terjadi misalkan seuorang mahasiswa dengan menggunakan jaringan binadarma mencoba menerobos masuk ke sebuah bank katakanlah bank BNI kemudian berhasil. Kemudian pihak bank BNI melapor ke polisi maka apa yang harus dilakukan untuk melacak tersangka tersebut?
- Pertama-tama pihak bank BNI harus memutuskan koneksi dengan pihak binadarma ini bertujuan untuk mencegah agar tidak terjadi lagi serangan yang tidak diinginkan.
- Kemudian penyelidik bisa mendatangi universitas binadarma untuk melakukan pelacakan siapa yang telah membobol ke pihak bank BNI.
- Disinilah Log sangat dibutuhkan dengan melihat log kita bisa mengetahui apa saja yang diakses oleh user dengan melacak ini kita juga bisa mengetahui user tersebut login dengan menggunakan nim siapa dan jika kita sudah mengetahui nim dari user tersebut maka kita bisa tahu identitas orang tersebut.
Begitu juga dengan perusahaan provider yang ada di seluruh dunia dimana mereka juga mempunyai dan menyimpan semua log panggilan dan pesan yang dikirim oleh para user, Log ini akan disimpan dan jika suatu saat dibutuhkan oleh penegak hukum cukup dengan membawa surat perintah dan nomer handphone yang lognya diinginkan maka log akan diberikan namun jika seorang costumer atau user yang meminta log tersebut maka tidak akan di berikan, log biasanya kan disimpan untuk beberapa tahun di cina penghapusan log dilakukan selama lima tahun sekali sedangkan di indonesi penghapusan log dilakukan selama 3 tahun sekali.
Bagaimana dengan aplikasi chatting seperti BBM,WA,LINE dan lainnya?
Aplikasi tersebut bekerja pada layer aplication yang diman jika mengirimkan pesan maka harus meleawati layer network dan hardware penyimpanan log dilakukan pada layer hardware oleh perusahaan yang memeliki aplikasi diatas, sama halnya dengan perusahaan provider log akan diberikan jika diminta oleh penegak hukum dengan syarat membawa surat perintah dan id orang yang lognya akan diambil.
Nama : Rizki Pratama
Nim : 13142122
MK : Komputer forensik
Dosen : Suryayusra, M.kom
Prodi : Informatika
Universitas Bina Darma
Komentar
Posting Komentar