Wednesday, October 24, 2012

Forensik Jaringan Part 4

2.4.2. Analisa Data  
      
      2.4.2.1. Log File sebagai Sumber Informasi 
                   Keberhasilan proses forensik sangat ditentukan oleh kualitas dan kuantitas informasi yang terkumpul. Log file dapat merupakan sumber informasi yang penting bagi proses forensik. Log file mengandung informasi tentang berbagai sumber daya sistem, proses-proses dan aktivitas pengguna. Protocol analyzer, sniffer, server SMTP, DHCP, FTP dan WWW, router, firewall dan hampir semua aktivitas sistem atau user dapat dikumpulkan dalam log file. Tetapi jika administrator sistem tidak dapat mencatat, maka fakta yang diperlukan untuk menghubungkan pelaku dengan insiden tidak ada. Sayangnya penyerang dan penjahat yang pintar mengetahui hal ini dan tujuan pertamanya adalah merusak atau mengubah log file untuk menyembunyikan aktivitas mereka. Hal kedua yang penting tetapi sering dilupakan adalah sistem clock. Pencatatan suatu file berhubungan dengan time stamp dan date stamp yang memungkinkan analis forensik untuk menentukan urutan kejadian. Tetapi jika sistem clock tidak dikoreksi/dikalibrasi secara berkala dapat dimatikan dari mana saja dari beberapa detik sampai beberapa jam. Hal ini menyebabkan masalah karena korelasi antara log file dari computer yang berbeda yang mempunyai sistem clock yang berbeda akan menyulitkan bahkan tidak mungkin mengkorelasikan kejadian. Solusi yang sederhana untuk mensinkronisasi clock adalah seluruh server dan sistem berjalan pada suatu daemon seperti UNIX ntpd daemon, yang mensinkronisasi waktu dan tanggal sistem secara berkala dengan suatu atomic clock yang disponsori pemerintah. 
    
      2.4.2.2. Interpretasi Trafik Jaringan 
                   Untuk dapat mengidentifikasi trafik jaringan yang tidak normal dan mencurigakan, harus dapat mengenali dengan baik pola trafik jaringan yang normal. 
     
      2.4.2.3. Pembuatan Time Lining 
                   MAC (Modified Access Creation) time merupakan tool yang sangat berguna untuk menentukan perubahan file, yang dapat digunakan untuk membuat time lining dari kejadian- kejadian. M-times berisi informasi tentang kapan file dimodifikasi terakhir kali, A-times mengandung informasi waktu akses terakhir (membaca atau mengeksekusi) dan C-times berisi waktu terakhir status file diubah. Ketika file dihapus pada suatu operating sistem, maka yang dihapus hanyalah pointer ke file yang menunjukkan bahwa ruang memori yang digunakan oleh file tersebut bebas untuk digunakan lagi, sedangkan isi file tidak terhapus. TASK atau TCT dapat digunakan untuk mengidentifikasi file yang terhapus, memperoleh kembali file tersebut dan memasukkan file tersebut sebagai bagian dari time line berdasarkan MAC time. Jika MAC time dari file yang terhapus overlap dengan periode waktu seorang penyerang masuk ke sistem, maka perubahan file tersebut dapat dikaitkan dengan orang tersebut. Jika hanya berkaitan dengan MAC time suatu file tunggal, maka instruksi UNIX stat dapat digunakan. Instruksi stat ini menampilkan beberapa jenis informasi tentang file yang mengandung MAC time.

part 1 - http://ngelawak-gan.blogspot.com/2012/10/forensik-jaringan-part-1.html
part 2 - http://kukuhpanjiwidodo.blogspot.com/2012/10/forensik-jaringan-part-2.html
part 3 - http://arifpratama-arif.blogspot.com/2012/10/proses-forensik-jaringan-part-2.html