Forensik jaringan (Network forensic) merupakan proses menangkap, mencatat dan menganalisa aktivitas jaringan guna menemukan bukti digital (digital evidence) dari suatu serangan atau kejahatan yang dilakukan terhadap , atau dijalankan menggunakan, jaringan komputer sehingga pelaku kejahatan dapat dituntut sesuai hukum yang berlaku.
Forensik Digital dan Forensik Jaringan ini dapat digunakan untuk menemukan kejahatan di dunia maya seperti cyber crime. Karena meskipun kejahatan itu dilakukan secara digital tetap saja meninggalkan bukti atau “jejak”. Jadi bagi anda yang ingin melakukan kejahatan digital, hati-hati terhadap “jejak” yang akan anda tinggalkan atau anda harus berpikir panjang untuk melakukan kejahatan tersebut.
Bukti digital dapat diidentifikasi dari pola serangan yang dikenali, penyimpangan dari perilaku normal jaringan ataupun penyimpangan dari kebijakan keamanan yang diterapkan pada jaringan.
Bagaimana Proses Network Forensic ?
Proses forensik jaringan terdiri dari beberapa tahap, yakni :
1) Akuisisi dan pengintaian (reconnaissance)
Yaitu proses untuk mendapatkan/mengumpulkan data volatil (jika bekerja pada sistem online) dan data non-volatil (disk terkait) dengan menggunakan berbagai tool.
2) Analisa
Yaitu proses menganalisa data yang diperoleh dari proses sebelumnya, meliputi analisa real-time dari data volatil, analisa log-file, korelasi data dari berbagai divais pada jaringan yang dilalui serangan dan pembuatan time-lining dari informasi yang diperoleh.
3) Recovery
Yaitu proses untuk mendapatkan/memulihkan kembali data yang telah hilang akibat adanya intrusi, khususnya informasi pada disk yang berupa file atau direktori.
Akuisisi dan Pengintaian (Reconnaissance)
Tahap awal proses forensik merupakan hal yang kritis karena menentukan keberhasilan proses forensik. Tahap ini merupakan proses pengumpulan data dan pengintaian.
Pengumpulan Data Volatil
Data volatil dikumpulkan dari berbagai sumber, yakni register proses, memori virtual dan fisik, proses-proses yang sedang berjalan, maupun keadaan jaringan. Sumber informasi tersebut pada umumnya mempunyai informasi dalam periode yang singkat, sehingga waktu pengumpulan bersifat kritis dan harus sesegera mungkin diambil setelah terjadi insiden.
Sumber informasi volatil yang penting beserta instruksi-instruksi yang digunakan untuk menangkap informasi tersebut diantaranya:
- Proses-proses yang sedang berjalan (ps atau /proc)
- Hubungan jaringan yang aktif (nestat)
- ARP cache (arp)
- List of open file (lsop)
- Memori Fisik dan Virtual (/dev/mem, /dev/kmem)
Melakukan Trap dan Trace
Trap dan trace merupakan proses untuk memonitor header dari trafik internet tanpa memonitor isinya (tidaklah legal untuk memonitor isi dari suatu komunikasi data). Proses ini merupakan cara non intrusif untuk menentukan sumber serangan jaringan atau untuk mendeteksi kelainan trafik karena hanya mengumpulkan header paket TCP/IP dan bukan isinya.
Analisa Data
Log File Keberhasilan proses forensik sangat ditentukan oleh kualitas dan kuantitas informasi yang terkumpul. Log file dapat merupakan sumber informasi yang penting bagi proses forensik. Log file mengandung informasi tentang berbagai sumber daya sistem, proses-proses dan aktivitas pengguna. Protocol analyzer, sniffer, server SMTP, DHCP, FTP dan WWW, router, firewall dan hampir semua aktivitas sistem atau user dapat dikumpulkan dalam log file.
Tetapi jika administrator sistem tidak dapat mencatat, maka fakta yang diperlukan untuk menghubungkan pelaku dengan insiden tidak ada. Hal kedua yang penting tetapi sering dilupakan adalah sistem clock. Pencatatan suatu file berhubungan dengan time stamp dan date stamp yang memungkinkan analis forensik untuk menentukan urutan kejadian. Tetapi jika sistem clock tidak dikoreksi/dikalibrasi secara berkala dapat dimatikan dari mana saja dari beberapa detik sampai beberapa jam. Hal ini menyebabkan masalah karena korelasi antara log file dari computer yang berbeda yang mempunyai sistem clock yang berbeda akan menyulitkan bahkan tidak mungkin mengkorelasikan kejadian.
Interpretasi Trafik Jaringan
Untuk dapat mengidentifikasi trafik jaringan yang tidak normal dan mencurigakan, harus dapat mengenali dengan baik pola trafik jaringan yang normal.
Jika pola traffic tidak normal indikasinya biasanya alamat IP sumber terlihat tidak lazim (palsu) karena berupa satu set alamat IP cadangan yang biasanya digunakan di dalam jaringan sebagai alamat privat (misalnya dengan NAT) dan tidak pernah muncul di internet. Juga time-stamp terlalu berdekatan, dan port sumber dan nomor urut yang naik secara seragam merupakan petunjuk bahwa hal ini merupakan paket yang tidak normal. Paket ini menjadi SYNflood, suatu jenis DoS (denial of service), suatu serangan terhadap server ini menggunakan port 139 (NETbios).
Pembuatan Time Lining
MAC (Modified Access Creation) time merupakan tool yang sangat berguna untuk menentukan perubahan file, yang dapat digunakan untuk membuat time lining dari kejadian-kejadian.M-times berisi informasi tentang kapan file dimodifikasi terakhir kali, A-times mengandung informasi waktu akses terakhir (membaca atau mengeksekusi) dan C-times berisi waktu terakhir status file diubah.
Misalnya di mana waktu akses dan waktu modifikasi yang sama serta waktu pengubahan 4 menit kemudian menunjukkan perubahan kepemilikan atau izin setelah file dibuat. Juga ditunjukkan pemilik file, ukuran, perijinan, jumlah blok yang digunakan,nomor inode dan jumlah link ke file.
NEXT ARTICLE
PART 2 (IHKSAN PRAGATAMA)
PART 3 (IRHAM HIDAYAT)
PART 4 (ARI ARIEF HIDAYAT)