NETWORK FORENSIC

1. DEFINISI FORENSIK JARINGAN

Forensik jaringan (Network forensic) merupakan proses menangkap, mencatat dan menganalisa aktivitas jaringan guna menemukan bukti digital (digital evidence) dari suatu serangan atau kejahatan yang dilakukan terhadap , atau dijalankan menggunakan, jaringan komputer sehingga pelaku kejahatan dapat dituntut sesuai hukum yang berlaku.

Bukti digital dapat diidentifikasi dari pola serangan yang dikenali, penyimpangan dari perilaku normal jaringan ataupun penyimpangan dari kebijakan keamanan yang diterapkan pada jaringan.

2. PROSES FORENSIK JARINGAN

Proses forensik jaringan terdiri dari beberapa tahap, yakni :

1) Akuisisi dan pengintaian (reconnaissance)

Yaitu proses untuk mendapatkan/mengumpulkan data volatil (jika bekerja pada sistem online) dan data non-volatil (disk terkait) dengan menggunakan berbagai tool.

2) Analisa

Yaitu proses menganalisa data yang diperoleh dari proses sebelumnya, meliputi analisa real-time dari data volatil, analisa log-file, korelasi data dari berbagai divais pada jaringan yang dilalui serangan dan pembuatan time-lining dari informasi yang diperoleh.

3) Recovery

Yaitu proses untuk mendapatkan/memulihkan kembali data yang telah hilang akibat adanya intrusi, khususnya informasi pada disk yang berupa file atau direktori.

2.1 Akuisisi dan Pengintaian (Reconnaissance)

Tahap awal proses forensik merupakan hal yang kritis karena menentukan keberhasilan proses forensik. Tahap ini merupakan proses pengumpulan data dan pengintaian.

2.1.1 Pengumpulan Data Volatil

Data volatil dikumpulkan dari berbagai sumber, yakni register proses, memori virtual dan fisik, proses-proses yang sedang berjalan, maupun keadaan jaringan. Sumber informasi tersebut pada umumnya mempunyai informasi dalam periode yang singkat, sehingga waktu pengumpulan bersifat kritis dan harus sesegera mungkin diambil setelah terjadi insiden. Misalnya alamat MAC (Media Access Control) dari computer yang berkomunikasi dengan computer sasaran yang berada pada subnet yang sama , yang tersimpan pada ARP (Address Resolution Protocol) cache, segera dibuang setelah terjalin komunikasi dengan computer lainnya, sehingga data tersebut harus segera diambil.

Sumber informasi volatil yang penting beserta instruksi-instruksi yang digunakan untuk menangkap informasi tersebut diantaranya:

•Proses-proses yang sedang berjalan (ps atau /proc)

•Hubungan jaringan yang aktif (nestat)

•ARP cache (arp)

•List of open file (lsop)

•Memori Fisik dan Virtual (/dev/mem, /dev/kmem)

2.1.2 Melakukan Trap dan Trace

Trap dan trace merupakan proses untuk memonitor header dari trafik internet tanpa memonitor isinya (tidaklah legal untuk memonitor isi dari suatu komunikasi data). Proses ini merupakan cara non intrusif untuk menentukan sumber serangan jaringan atau untuk mendeteksi kelainan trafik karena hanya mengumpulkan header paket TCP/IP dan bukan isinya.

Trap dan trace dapat digunakan oleh analis forensik untuk menjawap beberapa pertanyaan kritis, yakni:

•Apakah alamat IP sumber mencurigakan?

•Apakah alamat IP dan/ atau nomor port tujuan mencurigakan? Misal beberapa port yang sangat dikenal digunakan oleh Trojan adalah 31337 untuk Back Orifice dan 12345 untuk NetBus.

•Apakah terdapat fragmentasi yang aneh? Fragmentasi sering digunakan untuk membingungkan IDS dan firewall.

•Apakah TCP flag mencurigakan? Misal, beberapa flag tidak pernah terjadi bersama-sama, seperti R & F (reset & fin), F alone, dll. Penyerang menggunakan teknik ini untuk menentukan sistem operasi dari computer sasaran.

•Apakah ukuran paket mencurigakan? Paket SYN awal seharusnya membawa data 0 byte.

•Apakah tujuan port merupakan layanan yang valid? Layanan yang valid biasanya ditampilkan dalam dalam file /etc/services pada mesin Linux.

•Apakah trafik mengikuti standar RFC?

2.2 Analisa Data

2.2.1 Log File sebagai Sumber Informasi

Keberhasilan proses forensik sangat ditentukan oleh kualitas dan kuantitas informasi yang terkumpul. Log file dapat merupakan sumber informasi yang penting bagi proses forensik. Log file mengandung informasi tentang berbagai sumber daya sistem, proses-proses dan aktivitas pengguna. Protocol analyzer, sniffer, server SMTP, DHCP, FTP dan WWW, router, firewall dan hampir semua aktivitas sistem atau user dapat dikumpulkan dalam log file. Tetapi jika administrator sistem tidak dapat mencatat, maka fakta yang diperlukan untuk menghubungkan pelaku dengan insiden tidak ada. Sayangnya penyerang dan penjahat yang pintar mengetahui hal ini dan tujuan pertamanya adalah merusak atau mengubah log file untuk menyembunyikan aktivitas mereka.

Hal kedua yang penting tetapi sering dilupakan adalah sistem clock. Pencatatan suatu file berhubungan dengan time stamp dan date stamp yang memungkinkan analis forensik untuk menentukan urutan kejadian. Tetapi jika sistem clock tidak dikoreksi/dikalibrasi secara berkala dapat dimatikan dari mana saja dari beberapa detik sampai beberapa jam. Hal ini menyebabkan masalah karena korelasi antara log file dari computer yang berbeda yang mempunyai sistem clock yang berbeda akan menyulitkan bahkan tidak mungkin mengkorelasikan kejadian. Solusi yang sederhana untuk mensinkronisasi clock adalah seluruh server dan sistem berjalan pada suatu daemon seperti UNIX ntpd daemon, yang mensinkronisasi waktu dan tanggal sistem secara berkala dengan suatu atomic clock yang disponsori pemerintah.

2.2.2 Interpretasi Trafik Jaringan

Untuk dapat mengidentifikasi trafik jaringan yang tidak normal dan mencurigakan, harus dapat mengenali dengan baik pola trafik jaringan yang normal. Jika pola traffic tidak normal indikasinya biasanya alamat IP sumber terlihat tidak lazim (palsu) karena berupa satu set alamat IP cadangan yang biasanya digunakan di dalam jaringan sebagai alamat privat (misalnya dengan NAT) dan tidak pernah muncul di internet. Juga time-stamp terlalu berdekatan, dan port sumber dan nomor urut yang naik secara seragam merupakan petunjuk bahwa hal ini merupakan paket yang tidak normal. Paket ini menjadi SYNflood, suatu jenis DoS (denial of service), suatu serangan terhadap server ini menggunakan port 139 (NETbios).

2.2.3 Pembuatan Time Lining

MAC (Modified Access Creation) time merupakan tool yang sangat berguna untuk menentukan perubahan file, yang dapat digunakan untuk membuat time lining dari kejadian-kejadian.

M-times berisi informasi tentang kapan file dimodifikasi terakhir kali, A-times mengandung informasi waktu akses terakhir (membaca atau mengeksekusi) dan C-times berisi waktu terakhir status file diubah.

Misalnya di mana waktu akses dan waktu modifikasi yang sama serta waktu pengubahan 4 menit kemudian menunjukkan perubahan kepemilikan atau izin setelah file dibuat. Juga ditunjukkan pemilik file, ukuran, perijinan, jumlah blok yang digunakan,nomor inode dan jumlah link ke file.

Materi Yang Lain:
- Rizki Eka Satria --> Log File
- M.Eko Budiarso --> Email
- Ahmad Thantowi --> Server Forensik
- Anugerah Body Yordan --> Socket
View full article and comment >>>

MD5..hmm...SHA?? apa ya itu?? CEKIDOT aja byar tau :)

Sebelum kita masuk ke materi yang "mengasyikkan" ini,lebih baik kita harus tau dulu apa itu HASH.

SIAP?? READY..STEADY..GO!!

Hash adalah suatu teknik "klasik" dalam Ilmu Komputer yang banyak digunakan dalam praktek secara mendalam. Hash merupakan suatu metode yang secara langsung mengakses record-record dalam suatu tabel dengan melakukan transformasi aritmatik pada key yang menjadi alamat dalam tabel tersebut. Key merupakan suatu input dari pemakai di mana pada umumnya berupa nilai atau string karakter. Pelacakan dengan menggunakan Hash terdiri dari dua langkah utama, yaitu:
1. Menghitung Fungsi Hash. Fungsi Hash adalah suatu fungsi yang mengubah key menjadi alamat dalam tabel. Fungsi Hash memetakan sebuah key ke suatu alamat dalam tabel. Idealnya, key-key yang berbeda seharusnya dipetakan ke alamat-alamat yang berbeda juga. Pada kenyataannya, tidak ada fungsi Hash yang sempurna. Kemungkinan besar yang terjadi adalah dua atau lebih key yang berbeda dipetakan ke alamat yang sama dalam tabel. Peristiwa ini disebut dengan collision (tabrakan). Karena itulah diperlukan langkah berikutnya, yaitu collision resolution (pemecahan tabrakan).

2. Collision Resolution. Collision resolution merupakan proses untuk menangani kejadian dua atau lebih key di-hash ke alamat yang sama. Cara yang dilakukan jika terjadi collision adalah mencari lokasi yang kosong dalam tabel Hash secara terurut. Cara lainnya adalah dengan menggunakan fungsi Hash yang lain untuk mencari lokasi kosong tersebut.

Oke..selanjutnya..kita masuk ke materi "sesungguhnya".CEKIDOT!! :D

MD5
Fungsi hash yang paling banyak digunakan dalam keamanan jaringan komputer dan internet adalah MD5 yang dirancang oleh Ron Rivest yang juga merupakan salah satu pengembang algoritma RSA pada tahun 1991. MD5 merupakan kelanjutan daru MD4 yang dirancang dengan tujuan keamanan. Secara perhitungan matetamatis tidak dimungkinkan untuk mendapatkan dua pesan yang memiliki hash yang sama. Tidak ada serangan yang lebih efisien untuk membongkar/mengetahui hash suatu pesan selain brute-force.


CARA KERJA MD5
MD5 mengolah blok 512 bit, dibagi kedalam 16 subblok berukuran 32 bit. Keluaran algoritma diset menjadi 4 blok yang masing-masing berukuran 32 bit yang setelah digabungkan akan membentuk nilai hash 128 bit
Pesan diberi tambahan sedemikian sehingga panjang menjadi k-bit, dimana k = 512n – 64 bit. n merupakan blok masukan. Tambahan ini diperlukan hingga pesan menjadi k bit. Kemudian 64 bit yang masing kosong, dibagian akhir, diisi panjang pesan. Inisiasi 4 variabel dengan panjang 32 bit yaitu a,b,c,d. Variabel a,b,c,d dikopikan ke variabel a,b,c,d yang kemudian diolah melalui 4 tahapan yang sangat serupa. Setiap tahapan menggunakan 16 kali operasi berbeda,
menjalankan fungsi nonlinear pada tiga variabel a,b,c, atau d. Hasilnya ditambahkan ke variabel keempat, subblok pesan dan suatu konstanta. Kemudian dirotasi kekiri beberapa bit yang kemudian ditambahkan ke salah satu dari a,b,c, atau d. Kemudian nilai a,b,c, dan d menggantikan nilai a,b,c, dan d. Kemudian dikeluarkan output yang merupakan gabungan daria,b,c, dan d. Fungsi kompresi yang digunakan oleh algoritma md5 adalah sebagai berikut :

a ← b + (( a + g ( b,c,d) + X[k] + T[i] <<<>,dimana g adalah salah fungsi primitif F,G,H,I
seperti dibawah ini :
dan operasi XOR, AND, OR, dan NOT adalah sebagai berikut :

SHA
SHA dikembangkan oleh National Institute of Standards and Technology ( NIST ) dan National Security Agency ( NSA ) sebagai komponen Digital Signature Standart ( DSS ) . Standart hash adalah Secure Hash Standart ( SHS ) dengan SHA sebagai algoritma yang digunakan. SHS menetapkan SHA yang diperlukan untuk menjamin keamanan Digital Signature Algorithm( DSA ). SHA mempunyai empat spesifikasi, yaitu SHA-1, SHA-256, SHA-384 dan SHA-512. perbedaan dari keempat spesifikasi ini diperlihatkan pada tabel 1. Di sini akan dibahas tentang SHA-1 dan SHA-256. SHA - 1 Sebuah versi revisi dari SHA sebagai FIPS 180-1 pada tahun 1995 dan secara umum dikenal sebagai SHA-1.

CARA KERJA SHA - 1
Pesan diberi tambahan untuk membuat panjangnya menjadi kelipatan 512 bit ( l x 512 ) . Jumlah bit asal adalah k bit. Tambahkan bit secukupnya sampai 64 bit kurangnya dari kelipatan 512( 512 – 64 = 448 ), yang disebut juga kongruen dengan 448 ( mod 512 ). Kemudian tambahkan 64 bit yang menyatakan panjang pesan. Inisiasi 5 md variabel dengan panjang 32 bit yaitu a,b,c,d,e. Pesan dibagi menjadi blok-blok berukuran 512 bit dan setiap blok diolah. Kemudian keluaran setiap blok digabungkan dengan keluaran blok berikutnya, sehingga diperoleh output( diggest ). Fungsi kompresi yang digunakan oleh algoritma sha-1 adalah sebagai berikut : A,b,c,d,e ← ( e + f(t,b,c,d) + s5(a) + wt + kt),a,s30(b),c,d.

Apakah SHA itu aman?? Beberapa orang melemparkan sekitar pernyataan seperti "SHA-1 rusak" banyak, jadi aku mencoba untuk memahami apa sebenarnya yang berarti. Mari kita berasumsi aku punya database SHA-1 hash password, dan penyerang whith keadaan seni algoritma SHA-1 melanggar dan botnet dengan 100.000 mesin mendapat akses ke sana. (Kontrol Memiliki lebih dari komputer rumah 100k berarti yang dapat mereka lakukan 10 ^ 15 operasi per detik.) Berapa banyak waktu yang mereka perlu 1. mengetahui password setiap pengguna satu? 2. mengetahui password pengguna tertentu? 3. mengetahui password dari semua user? 4. menemukan cara untuk log in sebagai salah satu pengguna? 5. menemukan cara untuk login sebagai user tertentu? Bagaimana perubahan yang jika password asin? Apakah metode penggaraman (prefix, postfix, baik, atau sesuatu yang lebih rumit seperti xor-ing) penting?

PERBANDINGAN SHA-1 DAN MD5
Karena SHA-1 dan MD5 dikembangkan atau diturunkan dari MD4 maka keduanya mempunyai kemiripina satu sama lain, baik kekuatan dan karakteristiknya.
1. Keamanan terhadap serangan brute-force. Hal yang paling penting adalah bahwa SHA-1 menghasilkan diggest 32-bit lebih panjang dari MD5. Dengan brute-force maka SHA-1 lebih kuat dibanding MD5.
2. Keamanan terhadap kriptanalisis. Kelemahan MD5 ada pada design sehingga lebih mudah dilakukan kriptanalisis dibandingkan SHA-1
3. Kecepatan. Kedua algoritma bekerja pada modulo 232 sehingga keduanya bekerja baik pada arsitektur 32 bit. SHA-1 mempunyai langkah lebih banyak dibandingkan MD5 ( 80 dibanding MD5 64 ) dan harus memproses 160 bit buffer dibanding DM5 128 bit buffer, sehingga SHA-1 bekerja lebih lambat dibanding MD5 pada perangkat keras yang sama.
4. Simplicity. Kedua algoritma simple untuk dijelaskan dan mudah untuk diiemplementasikan karena tidak membutuhkan program yang besar atau tabel subtitusi yang besar pula.
5. Little-endian Versus Big-endian Arsitektur. Md5 menggunakan skema little-endian, sedangkan sha-1 menggunakan skema big-endian. Keduanya tidak memberikan keuntungan yang signifikan untuk sha-1 maupun md5.

sumber:
http://ryanzz12.multiply.com/journal/item/14/Secure_Hash_Algorithm
http://ilmukomputer.org
http://id.webdiscussion.info/question/2772014/Apakah-SHA-1-aman-untuk-penyimpanan-password View full article and comment >>>