Definisi Network Forensik
Forensik jaringan
(Network forensic) merupakan proses menangkap, mencatat dan menganalisa
aktivitas jaringan guna menemukan bukti digital (digital evidence) dari suatu
serangan atau kejahatan yang dilakukan terhadap , atau dijalankan menggunakan,
jaringan komputer sehingga pelaku kejahatan dapat dituntut sesuai hukum yang
berlaku.
Bukti digital dapat
diidentifikasi dari pola serangan yang dikenali, penyimpangan dari perilaku
normal jaringan ataupun penyimpangan dari kebijakan keamanan yang diterapkan
pada jaringan.
Forensik Digital dan
Forensik Jaringan ini dapat digunakan untuk menemukan kejahatan di dunia maya
seperti cyber crime. Karena meskipun kejahatan itu dilakukan
secara digital tetap saja meninggalkan bukti atau “jejak”.
Proses forensik jaringan
terdiri dari beberapa tahap, yakni :
1.
Akuisisi dan
pengintaian (reconnaissance)
Yaitu proses untuk
mendapatkan/mengumpulkan data volatil (jika bekerja pada sistem online) dan
data non-volatil (disk terkait) dengan menggunakan berbagai tool.
2.
Analisa
Yaitu proses menganalisa
data yang diperoleh dari proses sebelumnya, meliputi analisa real-time dari
data volatil, analisa log-file, korelasi data dari berbagai divais pada
jaringan yang dilalui serangan dan pembuatan time-lining dari informasi yang
diperoleh.
3.
Recovery
Yaitu proses untuk mendapatkan/memulihkan
kembali data yang telah hilang akibat adanya intrusi, khususnya informasi pada
disk yang berupa file atau direktori.
Tools untuk Network
Forensik
Tools network forensik
adalah aplikasi yang digunakan untuk oleh ahli forensik yang digunakan untuk
melakukan hal-hal yang berhubungan dengan forensik seperti melakukan pemantauan
dan audit pada jaringan. Tool kit untuk pengujian forensik memungkinkan untuk
mengumpulkan dan analisis data seperti E-Detective, NetFlow v5/9, NetCat,
NetDetector, TCPdump, Wireshark/Ethereal, Argus, NFR, tcpwrapper, sniffer,
nstat, dan tripwire. Dalam pengelompokannya untuk tools itu dibagi
menjadi 2 yaitu GUI dan Command Line.
Dibawah ini beberapa
penjelasan tools network forensik yang berbasis GUI :
1.
Wireshark/ethereal merupakan penganalisis
dan monitoring network yang populer. Fitur-fitur pada wireshark yaitu:
·
dapat
memerika ratusan protokol secara mendalam
·
dapat
menangkap langsung dan dianalisis secara offline
· multi platform, dapat
dijalankan pada windows, linux, Mac OS X, Solaris, FreeBSD, NetBSD, dan
lain-lain.
·
data
jaringan yang telah ditangkap dapat ditampilkan melalui GUI atau melalui
TTY-mode pada utilitas Tshark.
·
dapat
memfilter tampilan dengan banyak pilihan filter.
·
dapat
membaca dan menyimpan format yang berbeda.
2.
NetCat merupakan sebuah utiliti
tool yang digunakan untuk berbagai hal yang berkaitan dengan protokol TCP atau
UDP. Yang dapat membuka koneksi TCP, mengirimkan paketpaket UDP, listen pada
port port TCP dan UDP, melakukan scanning port, dan sesuai dengan IPV4 dan
IPV6. Biasanya netcat ini digunakan oleh para hacker atau peretas untuk
melakukan connect back pada sistem target agar hacker mendapatkan akses root
melalui port yg telah di tentukan oleh hacker tersebut.
3. E-Detective adalah sebuah sistem
yang melakukan proses intersepsi internet secara real-time, monitoring, dan
sistem forensik yang menangkap, membaca kode ( dengan menguraikan isi sandi /
kode ), dan memulihkan kembali beberapa tipe-tipe lalu lintas internet. Sistem
ini biasanya digunakan pada perusahan internet dan memantau tingkah laku,
audit, penyimpanan record, analisis forensik, dan investigasi yang sama baiknya
dengan hukum, serta intersepsi yang sah menurut hukum untuk penyenggaraan badan
usaha yang sah menurut hukum seperti Kepolisian Intelijen, Kemiliteran
Intelijen, Departemen Cyber Security, Agen Keamanan Nasional, Departemen
Investigasi Kriminal, Agen Pembasmian Terorisme, dan lainnya. E-Detective mampu
untuk membaca kode ( dengan menguraikan isi sandi / kode ), reassembly, dan
memulihkan kembali berbagai jenis Aplikasi-Aplikasi Internet dan servis-servis
misalnya Email (POP3, IMAP dan SMTP), Webmail (Yahoo Mail, Windows Live
Hotmail, Gmail), Instant Messaging (Yahoo, MSN, ICQ, QQ, Google Talk, IRC, UT
Chat Room, Skype), File Transfer (FTP, P2P), Online Games, Telnet, HTTP (Link,
Content, Reconstruct, Upload dan Download, Video Streaming), VOIP (modul
opsional), dan lain-lainnya.
Terdapat bermacam vendor perangkat lunak forensik. Paket dari The New Technologies
Corporate Evidence Processing Suite menyertakan :
•
CRCND5:
CRC (checksum) yang memvalidasi isi file.
•
DISKSIG:
CRC program yang memvalidasi image backup.
•
FILELIST: Tool katalog disk untuk evaluasi komputer berdasarkan waktu
•
FILTER I: Filter berkecerdasan dengan fuzzy logic.
•
GETFREE:
Tool pengumpulan unallocated data.
•
GETSLACK:
Tool pengumpulan untuk file slack.
•
GETTIME: Program untuk dokumentasi waktu dan tanggal sistem sebagai barang
bukti
•
NTI-DOC:
Program dokumentasi untuk merekam atribut, tanggal dan waktu file.
•
SEIZED: Program untuk mengunci dan mengamankan komputer
•
SHOWFL: Program untuk analisa keluaran daftar file
•
Text
Search Plus: Utility pencarian teks untuk menentukan letak kata kunci dari teks
dan grafik.
Key Computer Service
menawarkan paket:
•
Program
password cracker
•
WIPER/WIPEDRV
- Menghapus keseluruhan informasi secara lojik atau fisik dengan menulis setiap
byte karakter.
•
LISTDRV
- utility yang menguji file FAT12, FAT16, dan FAT32 yang dibatasi koma dan
tanda petik untuk disiapkan diimport ke database atau spreadsheet.
•
CHKSUM
- utility yang mengkalkulasi 64-bit checksum untuk drive fisik
•
DISKIMAG
- membuat copy image floppy untuk analisis
•
FREESECS
- Untuk mencari drive logik spesifik tertentu untuk free space dan
menyimpan informasi yang termuat di unnalocated space ke file..
•
DISKDUPE-
utility berbahasa assembly yang membuat copy forensik dari floppy disk
•
DATASNIFFER-
utility yang memotong file data dari file atau unused space (saat
recovery dengan utility seperti FREESECS).
Meski
terdapat program khusus forensik yang tersedia, program seperti MS-DOS bisa
merupakan tool forensik yang berguna. Misal perintah:
•
DISKCOPY
•
DEBUG
•
UNDELETE
•
UNFORMAT
Tidak ada komentar:
Posting Komentar