Pidana, UU No 44 Tahun 2008 tentang pornografi UU ITE No 11 Tahun 2008 Tentang informasi dan transaksi elektronik 1.5 Aturan tentang Bukti digital Syarat agar suatu alat bisa dijadikan alat bukti digital adalah alat-alat bukti digital tersebut dapat memenuhi unsur-unsur keterpercayaan, yaitu pada bukti digital tersebut kondisinya dihadirkan dipersidangan harus sama persis ketika disita, tidak boleh ada data yang sedikitpun dirubah. Analisa Pada kasus ini sama seperti kasus yang menimpa Ariel dan Luna maya, posisi Firza husain sama peperti Luna maya, sebagai korban dan bukan penyebar, maka kemungkinan firza tidak akan dihukum meskipun sudah ditetapkan sebagai tersangka. Pada kasus ini , kemungkinan yang bisa dihukum adalah penyebar/ pembuat website atau chat tersebut. Foto-foto di HP adalah private tidak memiliki hukum yang bisa menjeratnya, baru ada hukum ketika sudah disebarkan. 1.6 Kesimpulan Dilihat dari kasus diatas,bahwa barang bukti yang beredar di situs website tersebut masih diragukan keasliannya, karena ketika foto dan screenshort percakapan mesra rizieq dengan firza beredar disitus website, barang bukti yaitu HP milik Firza sudah di sita oleh pihak penyidik dalam keadaan HP mati jadi kecil kemungkinan kalau dilakukan penyadapan terhadap barang bukti tersebut. Barang bukti digital merupakan barang yang sangat penting dalam sebuah pengungkapan kasus kejahatan cyber, barang bukti yang layak dipresentasikan di dalam persidangan adalah barang bukti yang asli, dan untuk membuktikan keasliannya dibutuhkan seseorang yang memiliki keahlian khusus didalam bidang tersebut serta tersertifikasi untuk mengimplementasikan sebuat toolskit digital forensik. Referensi : https://ayokuliahbareng.wordpress.com/2018/01/25/94/
PERTEMUAN 7 1. Malware Analysis Malicious software atau malware adalah segala bentuk software yang membahayakan baik bagi pengguna, komputer, atau jaringan. Malware merupakan sebab utama terjadinya banyak kasus penyusupan dalam sistem dan insiden-insiden keamanan. Malware bisa berupa virus, kuda trojan, worm, rootkit, scareware, dan spyware. Malware berupa sebuah set instruksi yang berjalan pada sebuah komputer dan mengakibatkan komputer tersebut melakukan sesuatu yang diinginkan oleh penyerang. Perkembangan malware yang pesat mengharuskan para pengguna sistem komputer waspada, terutama yang bekerja dengan platform Windows dan Mac. Kewaspadaan ini bermanfaat bukan hanya untuk sistem dan jaringan komputernya saja, tetapi juga untuk menjaga privasi yang mungkin bocor ke tangan orang yang tidak berhak. Selain menggunakan software antivirus, bagi perusahaan atau organisasi yang menggantungkan bisnisnya dengan sistem komputer, sangat penting untuk melakukan analisis malware demi pencegahan dan antisipasi serangan keamanan komputer. Menurut Sikorski, Malware dapat dibedakan menurut perilaku dan sasaran serangannya. Menurut perilakunya, malware dibagi menjadi 9 kelompok sedangkan menurut sasaran serangannya, malware dibagi menjadi dua kelompok. 1. Backdoor: kode jahat (malicious) yang menginstal dirinya sendiri ke dalam komputer untuk membuka akses bagi penyerang. Backdoor biasanya membiarkan penyerang untuk terhubung ke komputer dengan sedikit atau bahkan tanpa autentifikasi. Dengan demikian, penyerang dapat mengeksekusi perintah pada sistem lokal komputer korban.
2. Botnet: serupa dengan backdoor dalam hal membuka akses sistem bagi penyerang, tetapi semua komputer yang terinfeksi dengan botnet yang sama akan menerima instruksi yang sama dari sebuah server pengendali milik penyerang. 3. Downloader: kode jahat yang tugasnya hanya untuk men-download kode jahat lainnya. Downloader biasanya diinstal penyerang ketika dia mendapatkan akses ke sebuah sistem. Program downloader akan men-download dan menginstal kode jahat tambahan. 4. Information-stealing malware: malware yang mengumpulkan informasi dari komputer korban dan biasanya mengirimkannya ke penyerang. Contohnya meliputi sniffer, pencuri password, dan keylogger. Malware jenis ini biasa dipakai untuk mendapatkan akses sebuah akun online seperti email atau internet banking. 5. Launcher: program jahat yang dipakai untuk menjalankan program jahat lainnya. Biasanya launcher menggunakan teknik non-tradisional untuk menjalankan program jahat lainnya agar tidak terdeteksi dan bisa mendapat akses lebih ke dalam sistem. 6. Rootkit: kode yang didesain untuk menyembunyikan keberadaan kode lainnya. Rootkit biasanya dipasangkan dengan malware lainnya, seperti backdoor, untuk membuat akses jarak jauh dari penyerang serta membuat kode sulit terdeteksi oleh korban. 7. Scareware: malware yang didesain untuk menakuti korban agar mau membeli sesuatu. Scareware biasanya memiliki antarmuka yang menyerupai antivirus atau program keamanan lainnya. Scareware memberi informasi ke pengguna bahwa ada kode jahat dalam sistemnya dan satu-satunya cara adalah membeli software-nya. Pada kenyataannya, software yang dijual itu hanya menghapus scareware tersebut. 8. Spam-sending malware: malware yang menginfeksi mesin pengguna dan kemudian menggunakan mesin itu untuk mengirim spam. Malware ini menghasilkan uang bagi penyerang dengan menjual layanan pengiriman spam. 9. Worm atau virus: kode jahat yang dapat menduplikasikan diri dan menginfeksi komputer lainnya. Sebuah malware bisa masuk ke dalam beberapa jenis malware di atas, tergantung perilaku atau serangan apa saja yang dilakukannya. Malware juga dapat diklasifikasikan berdasar tujuan si penyerang, yaitu malware masal dan malware tertarget. Malware masal, misalnya berupa scareware, didesain untuk menyerang sebanyak mungkin komputer korban (serangan masif). Biasanya malware masal yang paling banyak dijumpai dan biasanya pula model ini lebih mudah dideteksi karena kebanyakan software keamanan mengantisipasi jenis malware masal.
Malware tertarget, seperti misalnya backdoor, dibuat khusus untuk organisasi tertentu. Malware kelas ini merupakan ancaman yang lebih berbahaya daripada malware masal, karena tidak disebarluaskan dan produk keamanan yang dipakai korban biasanya tidak melindungi dari malware tertarget ini. Tanpa analisis malware, hampir tidak mungkin untuk melindungi jaringan terhadap malware tertarget serta menghilangkan infeksinya. Terlebih, malware tertarget biasanya sangat canggih, bahkan analis kadang perlu keahlian dan keterampilan tingkat tingg. 1.1 Tujuan Analisis Malware Analisis malware pada dasarnya untuk mendapatkan informasi dalam rangka mengatasi serangan dalam sistem korban. Dari informasi tersebut, kita dapat mengembangkan signature agar dapat mendeteksi infeksi malware. Tujuan akhirnya adalah menggambarkan dengan tepat bagaimana sebuah malware bekerja. Signature host-based, atau indikator, dipakai untuk mendeteksi kode jahat pada komputer korban. Indikator ini mengidentifikasi file-file yang dibuat atau diubah oleh malware. Bisa juga mendeteksi perubahan pada registri yang dilakukan oleh kode jahat. Indikator malware fokus tentang apa yang dilakukan malware terhadap sistem, bukan pada ciri-ciri malware. Dengan indikator ini deteksi malware menjadi lebih efektif. Signature jaringan dipakai untuk mendeteksi kode jahat dengan cara memantau lalu lintas jaringan. Signature jaringan dapat dibuat tanpa analisis malware, tetapi signature yang dibuat dengan bantuan analisis malware biasanya lebih efektif, dan menawarkan tingkat deteksi tinggi serta kemungkinan kecil terjadi false positive (terdeteksi sebagai malware padahal bukan). 1.2 Teknik Analisis Malware Ada dua langkah dasar pendekatan dalam analisis malware: statis dan dinamis. Analisis statis meliputi pemeriksaan malware tanpa menjalankannya. Analisis dinamis harus menjalankan malware tersebut. Kedua teknik tersebut dikelompokkan menjadi dasar atau lanjut. Menurut tingkat kerumitannya, keempat teknik tersebut dapat digambarkan secara sekuensial sebagai berikut. Gambar urutan teknik analisis malware
1.2.1 Analisis Statis Dasar Proses analisis statis dasar memeriksa file malware tanpa melihat instruksi yang sebenarnya. Melalui analisis dasar ini kita dapat mengkonfirmasi apakah sebuah file itu berbahaya, memberikan informasi fungsionalitasnya, dan kadang memberikan informasi yang dapat membawa pada signature jaringan yang sederhana. Analisis dasar dapat dilakukan secara cepat, tetapi kadang tidak cukup untuk malware yang canggih, karena perilaku-perilaku penting malware bisa terlewat. Inti dari analisis ini adalah menganalisis kode atau struktur program untuk menentukan atau mengetahui apa fungsinya tanpa menjalankan malware tersebut. Ada beberapa cara untuk mendapatkan informasi tersebut, yaitu: 1. Dengan program antivirus. Antivirus bekerja mengandalkan database virus (signature file), analisis perilaku, serta pencocokan pola file. Persoalannya adalah bahwa malware sangat mudah dimodifikasi oleh pembuatnya sehingga kadang antivirus menjadi tidak akurat. Menggunakan kombinasi beberapa antivirus sangat bermanfaat. 2. Dengan metode hashing. Hashing merupakan metode yang umum dipakai untuk mengidentifikasi malware dengan memeriksa integritas file. Program hashing akan menghasilkan kode hash unik setiap file yang berbeda. Fungsi hash yang biasa dipakai adalah message-digest algorithm 5 (md5) dan secure hash algorithm 1 (SHA-1). 3. Dengan memeriksa string dalam malware. String dalam program merupakan sekuens karakter (huruf, angka, atau lainnya). Sebuah program biasanya mengandung string jika melakukan fungsi seperti mencetak pesan, koneksi ke URL, atau mengkopi file ke lokasi tertentu. 4. Deteksi wrapper malware. Beberapa malware dibuat dengan cara dipaket dan dikaburkan dengan bantuan wrapper. Artinya, pada kasus tertentu malware menjadi tidak terdeteksi fungsi-fungsi di dalamnya. Akibatnya, tool analisis statis tidak dapat mendeteksi keanehan string pada malware tersebut. Gambar Proses pemaketan pada sebuah program exe
Pada gambar di atas, pembuat malware dapat menyembunyikan string dan informasiinformasi lainnya dengan menggunakan program wrapper. Hasilnya, selain malware menjadi lebih kecil ukurannya, berbagai informasi penting menjadi tersembunyi. 5. Menggali fungsi-fungsi dalam malware. Program malware terdiri atas fungsi-fungsi yang perlu kita gali informasinya, seperti fungsi import. Import adalah fungsi yang dipakai oleh program tetapi disimpan dalam program lain, seperti misalnya librari pada Windows. Library code dapat dihubungkan ke program utama dengan cara linking 6. Memeriksa informasi header file. Header file sebuah portable executable (PE) –program yang dapat berjalan portabel, tanpa diinstal—biasanya menyimpan informasi lebih dari sekadar fungsi yang diimpor. Header file sebuah PE berisi header (metadata tentang file) yang diikuti oleh beberapa seksi/bagian. 1.2.2 Analisis Dinamis Dasar Analisis ini mencakup menjalankan malware dan mengamati perilakunya pada sistem dalam rangka membuang infeksinya, memproduksi signature yang efektif, atau keduanya. Analisis dinamis meliputi segala pemeriksaan yang dilakukan setelah kita mengeksekusi malware. Untuk melakukan analisis ini kita harus menggunakan laboratorium malware, baik fisik maupun virtual. Menimbang kelebihan dan kekurangan masing-masing, untuk saat ini lebih baik menggunakan yang virtual. Dalam analisis dinamis dasar kita dapat memanfaatkan teknologi Sandbox. Sandbox merupakan sebuah mekanisme keamanan untuk menjalankan program yang belum dikenali dalam lingkungan yang aman tanpa takut merusak sistem sesungguhnya. Sandbox terdiri atas lingkungan tervirtualisasi yang sering dipakai untuk simulasi layanan jaringan untuk memastikan bahwa software atau malware yang diuji berfungsi normal. Monitoring proses merupakan bagian dari analisis dinamis dasar di mana kita dapat mengamati proses apa saja yang dilakukan oleh malware. Bahkan, untuk mengantisipasi malware yang melakukan koneksi ke jaringan internet, seorang analis dapat membuat domain name server (DNS) palsu untuk menangkap ke arah mana koneksi yang dilancarkan malware. Masih pada tahap analisis dinamis dasar ini adalah pemantauan lalu lintas data dalam jaringan ketika malware dijalankan. Paket data yang melalui jaringan komputer direkam dan diperiksa oleh analis malware.
1.2.3 Analisis Statis Lanjut Analisis tahap ini terdiri atas proses reverse-engineering terhadap malware dengan cara meload file executable melalui program disassembler. Dari hasil proses ini seorang analis dapat melihat instruksi program sehingga dapat mengetahui apa yang dilakukan program malware. Reverse engineering secara sederhana dapat dijelaskan sebagai berikut. Malware tersimpan dalam media penyimpanan biasanya dalam bentuk binary dengan level kode mesin. Kode mesin adalah bentuk kode yang dapat dieksekusi komputer secara cepat dan efisien. Jika malware di-disassemble, berarti kode binary malware tersebut dikonversi menjadi bahasa Assembly yang bisa dipahami oleh seorang analis. Gambar kompilasi kode sumber menjadi kode binary dan proses disassembler menjadi bahasa Assembly. Pembuat malware memprogram malware-nya menggunakan bahasa pemrograman tingkat tinggi kemudian mengkompilasinya dengan kompiler menjadi bahasa mesin. Selanjutnya, proses reverse-engineering dilakukan dengan bantuan software disassembler menjadi bahasa program lagi tetapi dengan tingkat rendah, yakni bahasa Assembly. 1.2.4 Analisis Dinamis Lanjut Pada analisis ini yang dilakukan adalah melakukan debugging alias menganalisis berbagai state/kondisi internal sebuah program yang sedang berjalan. Proses ini dilakukan menggunakan debugger. Secara umum debugger dapat berupa software atau hardware yang dipakai untuk memeriksa eksekusi program lain. Pada dasarnya debugger dipakai dalam proses pengembangan software, untuk mendeteksi error (bug) yang muncul ketika pertama kali dibuat. Pembuat software hanya dapat melihat input dan output tanpa bisa melihat bagaimana program memproses input terrsebut.
Dengan debugger pembuat program bisa melihat apa yang dilakukan oleh program ketika program tersebut berjalan. Debugger dirancang agar pengembang dapat mengukur dan mengontrol kondisi internal serta proses eksekusinya. Debugger memberikan informasi dinamis ketika program sedang berjalan, seperti alamat memori yang diubah selama proses eksekusi. Referensi : https://pusdiklat.bps.go.id/index.php?r=artikel/view&id=248
PERTEMUAN 9 1. Pendahuluan Network Forensic 1.1 Pengertian Network Forensic Network Forensic (forensik jaringan) merupakan cabang dari forensik digital yang akan membahas pemantauan dan analisis lalu lintas jaringan komputer untuk tujuan pengumpulan informasi, bukti hukum, atau deteksi intrusi., sehingga kejahatan komputer (cybercrime) dengan pemanfaatan sistem jaringan dapat dideteksi dan diantisipasi (Incident Response). Forensic dalam arti umum, berarti terkait atau digunakan di penegakan hukum atau bisa dikatan untuk debat pada diskusi formal. Kata forensic juga digunakan dalam teknologi informasi termasuk : Komputer Forensic (disebut juga cyber forensic) : Penerapan investigasi komputer dan tehnik analisis untuk mengumpulkan bukti yang sesuai yang digunakan untuk presentasi pada di pengadilan. Animasi Forensic : Digunakan untuk membuat grafik yang dimana untuk membuat ulang sebuah peristiwa seperti kecelakaan mobil, runtuhnya gedung, dan lain – lain. Watermark Forensic (bisa dikatakan watermark digital) : urutan karakter atau kode yang tertanam dalam dokumen digital, seperti foto, video atau program komputer yang dimana berfungsi untuk mengidentifikasi identitas pembuat dan pengguna resminya Jadi, Network forensic merupakan proses menangkap, mencatat dan menganalisa aktivitas jaringan guna menemukan bukti digital (digital evidence) dari suatu serangan atau kejahatan yang dilakukan terhadap atau dijalankan menggunakan, jaringan komputer sehingga pelaku kejahatan dapat dituntut sesuai hukum yang berlaku. Network Forensic bukanlah sebuah TOOLS tetapi suatu proses yang diawali dengan mengumpulkan data dan dilanjutkan dengan analisis data investigasi serta bagaimana kemampuan analisis terhadap data yang diperoleh. 1.2 Keuntungan Network Forensic Kebutuhan bisnis dan aktivitas yang banyak dan besar terhadap operasional yang dilakukan secara online. Kegiatan yang bertujuan jahat seperti; deface atau pencurian data yang dilakukan oleh orang yang tidak bertangung semakin meningkat.
Teknik akses kesistem atau perusakan sistem dengan tools yang digunakan semakin canggih, dapat menghapus log data pada sistem yang telah di injeksi. Berdasarkan kebutuhan diatas, maka suatu sistem forensik jaringan setidaknya terdapat beberapa proses, yaitu : Monitoring dan koleksi data : forensik jaringan pada dasarnya adalah audit terhadap penggunaan jaringan, seperti traffik, bandwidth dan isi data. Oleh karena itu setiap sistem network forensic diperlukan sistem monitoring dan penyimpanan data yang bisa digunakan sebagai bukti digital. Analisa isi data : dari semua data yang disimpan, tidak semuanya merupakan ancaman bagi keamanan sistem, sehingga diperlukan analisa data yang dapat mendeteksi data mana saja yang menggangu keamanan sistem. Hal ini juga berhubungan dengan masalah privacy, dikarenakan data yang dianalisa bisa saja merupakan data pribadi, sehingga diperlukan kebijakan khusus mengenai masalah ini. Source traceback : untuk pencegahan dari kemungkinan akan adanya serangan terhadap sistem keamanan jaringan yang akan datang diperlukan metode untuk mengetahui sumber dari serangan, sehingga dapat meminimalisir kejadian serupa di masa yang akan datang. 1.3 Bidang pada Network Forensic Terdapat 3 bidang pada Network Forensic yaitu : 1. Digital Forensic 2. Cyber Forensic 3. Incident Response 1.3.1 Pengertian Digital Forensic Menurut Benni Mutiara (2007), Digital forensic adalah suatu aplikasi dari ilmu pengetahuan untuk mengidentifikasi, mengoleksi, menganalisa dan menguji bukti-bukti digital pada saat pemeliharaan sifat integritasnya. Di mana informasi menjadi bukti pemeliharaan integritas tersebut. Analisa komputer dan jaringan juga hampir sama dengan digital forensic yang sama-sama menggunakan teknik-teknik dan tools, tetapi analisa data tidak harus meliputi semua tindakan penting untuk pemeliharaan integritas informasi yang dimiliki. 1.3.2 Pengertian Cyber Forensic Cyber Forensic atau Komputer Forensik adalah suatu disiplin ilmu turunan keamanan komputer yang membahas tentang temuan bukti digital setelah suatu peristiwa terjadi.
Cyber Forensic sendiri yaitu untuk mengidentifikasi atau menganalisa dan mempergunakan bukti digital menurut hukum yang berlaku. 1.3.2.1 Tujuan Cyber Forensic Tujuan utama dari kegiatan forensik IT adalah untuk mengamankan dan menganalisa bukti digital dengan cara menjabarkan keadaan terkini dari suatu artefak digital. Istilah artefak digital dapat mencakup sebuah sistem komputer, media penyimpanan (harddisk, flashdisk, CD-ROM), sebuah dokumen elektronik ( misalnya sebuah email atau gambar),atau bahkan sederetan paket yang berpindah melalui jaringan komputer. 1.3.2.2 Bukti Digital Bukti digital ini bias berupa bukti riil maupun abstrak (perlu diolah terlebih dahulu sebelum menjadi bukti yang riil). Beberapa contoh bukti digital antara lain : E-mail Spreadsheet file Source code software File bentuk image (Foto) Video Audio Web browser bookmark, cookies Deleted file Windows registry Chat logs 1.3.2.3 Kunci Utama Cyber Forensic Identifikasi dalam bukti digital (Identification/Collecting Digital Evidence) Merupakan tahapan paling awal dalam teknologi informasi. Pada tahapan ini dilakukan identifikasi dimana bukti itu berada, dimana bukti itu disimpan, dan bagaimana penyimpanannya untuk mempermudah penyelidikan. Penyimpanan bukti digital (Preserving Digital Evidence) Bentuk, isi, makna bukti digital hendaknya disimpan dalam tempat yang steril. Untuk benar-benar memastikan tidak ada perubahan-perubahan, hal ini vital untuk diperhatikan. Karena sedikit perubahan saja dalam bukti digital, akan merubah juga hasil penyelidikan. Bukti digital secara alami bersifat sementara (volatile), sehingga keberadaannya jika tidak teliti akan sangat mudah sekali rusak, hilang, berubah, mengalami kecelakaan.
Analisa bukti digital (Analizing Digital Evidence) Barang bukti setelah disimpan, perlu diproses ulang sebelum diserahkan pada pihak yang membutuhkan. Pada proses inilah skema yang diperlukan akan fleksibel sesuai dengan kasus-kasus yang dihadapi. Barang bukti yang telah didapatkan perlu diexplore kembali beberapa poin yang berhubungan dengan tindak pengusutan, antara lain: (a) Siapa yang telah melakukan. (b) Apa yang telah dilakukan (Ex. Penggunaan software apa) (c) Hasil proses apa yang dihasilkan. (d) Waktu melakukan. Presentasi bukti digital (Presentation of Digital Evidence) Kesimpulan akan didapatkan ketika semua tahapan tadi telah dilalui, terlepas dari ukuran obyektifitas yang didapatkan, atau standar kebenaran yang diperoleh, minimal bahan-bahan inilah nanti yang akan dijadikan “modal” untuk ke pengadilan. Proses digital dimana bukti digital akan dipersidangkan, diuji otentifikasi dan dikorelasikan dengan kasus yang ada. Pada tahapan ini menjadi penting, karena disinilah proses-proses yang telah dilakukan sebelumnya akan diurai kebenarannya serta dibuktikan kepada hakim untuk mengungkap data dan informasi kejadian. Alat yang digunakan dalam Cyber Forensic Safe Back. Dipasarkan sejak tahun 1990 untuk penegakan Hukum dan Kepolisian. Digunakan oleh FBI dan Divisi Investigasi Kriminal IRS. Berguna untuk pemakaian partisi tunggal secara virtual dalam segala ukuran. File Image dapat ditransformasikan dalam format SCSI atau media storage magnetik lainnya. EnCase. Seperti SafeBack yang merupakan program berbasis karakter, EnCase adalah program dengan fitur yang relatif mirip, dengan Interface GUI yang mudah dipakai oleh tekhnisi secara umum. Dapat dipakai dengan Multiple Platform seperti Windows NT atau Palm OS. Memiliki fasilitas dengan Preview Bukti, Pengkopian target,Searching dan Analyzing. Pro Discover. Aplikasi berbasis Windows yang didesain oleh tim Technology Pathways forensics. Memiliki kemampuan untuk merecover file yang telah terhapus dari space storage yang longgar, menganalisis Windows 2000/NT data stream untuk data yang terhidden, menganalisis data image yang diformat dan menghasilkan laporan kerja
Contoh Kasus Cyber Forensic Digital forensik bisa dimanfaatkan untuk ruang lingkup yang lebih luas. Tak hanya untuk 'membedah' isi komputer dan ponsel, namun juga untuk melacak lalu lintas rekening bank seperti di kasus Bank Century. Pakar digital forensik, Ruby Alamsyah menjelaskan, digital forensik adalah menganalisa barang bukti digital secara ilmiah dan bisa dipertanggung jawabkan di depan hukum. Jadi digital forensik ini juga tak harus membahas soal cyber crime (kejahatan di internet). Kasus Century juga bisa diperiksa dengan digital forensik. Pemeriksaan bisa dilacak dari rekaman elektronik transfer dana di bank bermasalah tersebut karena saat ini pembukuan di bank tak lagi manual. Kemampuan lain dari digital forensik juga bisa 'membedah' kasus Intelectual Property seperti pembajakan cakram digital bajakan serta tindak penculikan dan perampokan dengan memafaatkan rekaman CCTV. Jadi tak hanya komputer yang bisa 'dibedah'. Maka dari itu, istilah digital forensik sempat diubah dari sebelumnya menggunakan sebutan komputer forensik. 1.4 Pengertian Incident Response Pada bidang Teknologi Informasi (IT Risk Management), incidents dipahami sebagai events (kejadian) yang mengganggu, menyela, menginterupsi aktivitas normal suatu sistem, dan akan dapat menciptakan/menyebabkan suatu level of crisis sebagai akibat lanjutnya. Incident responses tidak sekedar berhubungan dengan masalah teknis dan detail, tapi juga menyangkut masalah policy, management dan pengorganisasian. Incidents dalam bidang security and network adalah gangguan pada komputer, penolakan layanan atau jaringan, pencuri informasi penting dan setiap aktifitas yang tidak sah atau melanggar hukum. Incidents ini membutuhkan respons dari system administrator ataupun seorang investigator profesional. Incidents ditandai dengan serangan dari dalam, batasan waktu dan sumber daya. Biasanya, sebuah incidents akan mempengaruhi sumber daya kritis dan cenderung akan membesar pengaruhnya. Menurut SANS Institute, Ada 6 Fase pada perencanaan terhadap Incident Response; a. Preparation b. Identification (Detection & Analysis) c. Containment d. Eradication e. Recovery f. Post Incident Activity
a) Preparation Tahap persiapan, sebagai langkah pertama dalam respon insiden ini harus sudah dilaksanakan jauh hari sebelum terjadinya insiden. Dalam tahap persiapan disusun rencana penanganan insiden organisasi (organization’s incident response plans). Dalam rencana ini mencakup berbagai hal mulai dari kebijakan penanganan insiden, hubungan dengan pihak lain, sampai dengan implementasi pengendalian pada sistem dan penetapan baseline dan pelaksanaan penilaian risiko. b) Identification (Detection & Analysis) Dalam tahap pendeteksian dan analisis akan diidentifikasi threat yang dihadapi organisasi. Threat dapat dideteksi dari laporan end user, administrator, atau pihak lain, dan dapat pula berasal dari IDS (Intrusion Detection System). Threat kemudian dianalisis agar dapat ditentukan apakah itu hanya sekedar event atau merupakan insiden dengan menggunakan baseline yang sudah ditetapkan pada tahap persiapan. Dalam hal melibatkan forensik, maka perlu diperhatikan chain of custody yang mendokumentasikan setiap pihak yang terkait dengan bukti forensik. c) Containment Pengisolasian (containment) dimaksudkan agar kerusakan yang ditimbulkan oleh insiden dapat dilokalisir dan untuk menjaga bahan bukti. Misalnya; dengan memutuskan koneksi jaringan pada server yang diserang, data forensik seringkali dikumpulkan pada tahapan ini sebelum dianalisis lebih lanjut. d) Eradication Tahapan eradication atau pemusnahan ini dimaksudkan untuk menghilangkan root cause penyebab terjadinya insiden. Sistem dibersihkan dari berbagai penyebab insiden dan diteliti apakah vulnerability-nya masih ada. e) Recovery Aktivitas pemulihan atau recovery dimaksudkan untuk memastikan bahwa sistem atau layanan yang terdampak dipulihkan sesuai dengan target yang ditentukan oleh Recovery Time Objective dan Recovery Point Objective (RTO dan RPO). Dalam tahapan ini operasi akan dipulihkan seperti dalam kondisi normal. f) Post Incident Activity Dalam tahapan ini bisa juga dikatakan dengan tahapan pembelajaran, tim penanganan insiden harus mendokumentasikan dan menelaah hasil investigasi terjadinya insiden, proses penanganan, dan kinerja tim sebagai bahan dari proses perbaikan yang berkelanjutan.
1.4.1 CERT, CSIRT, dan Id-SIRTII CERT (Computer Emergency Response Team) yang digagas oleh Carnegie Mellon Software Engineering Institute bertanggung jawab atas penerimaan, pemantauan, dan penanganan laporan dan aktivitas insiden keamanan komputer. Tujuan pembentukan lembaga ini adalah untuk secara bersama menganalisis dan merespon ancaman kemanan komputer agar meminimalisir kerusakan dan memungkinkan pemulihan yang efisien. CSIRT (Computer Security Incident Respon Team) merupakan kemampuan oleh individu atau suatu organisasi, yang tujuannya untuk menangani ketika terjadi permasalahan pada aset informasi. ID-SIRTII, singkatan dari “Indonesia Security Incident Response Team on Internet Infrastructure” bertujuan untuk mensosialisasikan kepada seluruh pihak yang terkait untuk melakukan kegaitan pengamanan pemanfaatan jaringan telekomunikasi berbasis protokol internet. 1.4.2 Kategori Incident dan Impactnya Low Level Incident : kehilangan password personal, menggunakan account secara bersama sama ( sharing account), adanya aktifitas scanning network illegal, adanya virus, worm. Medium Level Incident : hack terhadap suatu komputer, penyimpanan dan pengolah data ilegal, perusakan perangkat komputer dengan nilai kurang dari 100.000 USD, pencurian identitas,pembangunan ilegal, virus atau worm yang memiliki impact jaringan. High Level Incident : perusakan perangkat dengan nilai lebih dari 100.000 USD, pemindahan dana dari dan ke satu rekening lain, pornography, perjudian , Trojan backdoor, ilegal akses melalui backdoor, perubahan hardware, firmware tanpa pemberitahuan Referensi : – https://sahabatfdku.wordpress.com/digital-forensic/network-forensic/ – https://www.slideshare.net/sanisahidaha/cyber-crime-komputerforensik?qid=91511984-9234-41e2-b273-678a293cf0c4&v=&b=&from_search=1
PERTEMUAN 10 1. Tools pada Network Forensic Tools network forensik adalah aplikasi yang digunakan untuk oleh ahli forensik yang digunakan untuk melakukan hal-hal yang berhubungan dengan forensik seperti melakukan pemantauan dan audit pada jaringan. Tool kit untuk pengujian forensik memungkinkan untuk mengumpulkan dan analisis data seperti E-Detective, NetFlow v5/9, NetCat, NetDetector, TCPdump, Wireshark/Ethereal, Argus, NFR, tcpwrapper, sniffer, nstat, dan tripwire. Dalam pengelompokannya untuk tools itu dibagi menjadi 2 yaitu GUI dan Command Line. 1.1 Tools network forensik yang berbasis GUI a. Wireshark Merupakan penganalisis dan monitoring network yang populer. Fitur-fitur pada wireshark yaitu: • Dapat memerika ratusan protokol secara mendalam • Dapat menangkap langsung dan dianalisis secara offline • Multi platform, dapat dijalankan pada windows, linux, Mac OS X, Solaris, FreeBSD, NetBSD, dan lain-lain. • Data jaringan yang telah ditangkap dapat ditampilkan melalui GUI atau melalui TTY-mode pada utilitas Tshark. • Dapat memfilter tampilan dengan banyak pilihan filter. • Dapat membaca dan menyimpan format yang berbeda. b. NetCat Merupakan sebuah utiliti tool yang digunakan untuk berbagai hal yang berkaitan dengan protokol TCP atau UDP. Yang dapat membuka koneksi TCP, mengirimkan paket-paket UDP, listen pada port -port TCP dan UDP, melakukan scanning port, dan sesuai dengan IPV4 dan IPV6. Biasanya netcat ini digunakan oleh para hacker atau peretas untuk melakukan connect back pada sistem target agar hacker mendapatkan akses root melalui port yg telah di tentukan oleh hacker tersebut
c. E-Detective Sebuah sistem yang melakukan proses intersepsi internet secara real-time, monitoring, dan sistem forensik yang menangkap, membaca kode (dengan menguraikan isi sandi / kode ), dan memulihkan kembali beberapa tipe-tipe lalu lintas internet. Sistem ini biasanya digunakan pada perusahan internet dan memantau tingkah laku, audit, penyimpanan record, analisis forensik, dan investigasi yang sama baiknya dengan hukum, serta intersepsi yang sah menurut hukum untuk penyenggaraan badan usaha yang sah menurut hukum seperti, Kepolisian Intelijen, Kemiliteran Intelijen, Departemen Cyber Security, Agen Keamanan Nasional, Departemen Investigasi Kriminal, Agen Pembasmian Terorisme, dan lainnya. E-Detective mampu untuk membaca kode ( dengan menguraikan isi sandi / kode ), reassembly, dan memulihkan kembali berbagai jenis Aplikasi-Aplikasi Internet dan servisservis misalnya Email (POP3, IMAP dan SMTP), Webmail (Yahoo Mail, Windows Live Hotmail, Gmail), Instant Messaging (Yahoo, MSN, ICQ, QQ, Google Talk, IRC, UT Chat Room, Skype), File Transfer (FTP, P2P), Online Games, Telnet, HTTP (Link, Content, Reconstruct, Upload dan Download, Video Streaming), VOIP (modul opsional), dan lainlainnya 1.2 Tools network forensik yang berbasis Command Line a. TCPdump TCPdump sering digunakan sebagai paket sniffer yang digunakan untuk OS yang mirip seperti UNIX, contohnya Linux, BSD, dan lain-lain. TCPdump menghasilkan deskripsi dari konten paket network yang sesuai dengan ekspresi boolean yang dapat ditentukan oleh user. b. ARP Address Resolution Protocol disingkat ARP adalah sebuah protokol dalam TCP/IP Protocol Suite yang bertanggungjawab dalam melakukan resolusi alamat IP ke dalam alamat Media Access Control (MAC Address). ARP adalah protocol yang berfungsi memetakan ipaddress menjadi MAC address. Dia adalah penghubung antara datalink layer dan ip layer pada TCP/IP. Semua komunikasi yang berbasis ethernet menggunakan protocol ARP ini. Intinya setiap komputer atau device yang akan berkomunikasi pasti akan melakukan transaksi atau tukar menukar informasi terkait antara IP dan MAC address. Setiap transaksi akan disimpan di dalam cache OS bisa dilihat menggunakan perintah arp (baik di Windows atau Linux).
c. Ifconfig Ifconfig atau Interfacae Configurator adalah sebuah perintah pada linux yang digunakan untuk mengkonfigurasi interface jaringan. Ifconfig banyak dipakai untuk initialize antarmuka jaringan dan untuk mengaktifkan atau menonaktifkan antarmuka. Digunakan untuk melihat alamat IP dan MAC. d. Ping Ping adalah sebuah utilitas yang digunakan untuk memeriksa konektivitas antar jaringan melalui sebuah protokol Transmission Control Protocol/Internet Protocol (TCP/IP) dengan cara mengirim sebuah paket Internet Control Message Protocol (ICMP) kepada alamat IP yang hendak diuji coba konektivitasnya. Ping digunakan untuk mengirim paket untuk menyelidiki mesin remote. e. Snoop Snoop digunakan untuk menangkap paket dari jaringan dan menampilkan isinya (Solaris). f. Gnetcast – GNU Berfungsi untuk menulis ulang dari netcat. g. Nmap (Network Mapper) Nmap adalah sebuah aplikasi atau tool yang berfungsi untuk melakukan port scanning. Nmap dibuat oleh Gordon Lyon, atau lebih dikenal dengan nama Fyodor Vaskovich. Aplikasi ini digunakan untuk meng-audit jaringan yang ada. Dengan menggunakan tool ini, kita dapat melihat host yang aktif, port yang terbuka, Sistem Operasi yang digunakan, dan feature-feature scanning lainnya. Nmap digunakan untuk utilitas untuk eksplorasi jaringan dan audit keamanan. h. Xplico Xplico memiliki fungsi utama untuk isi data yang dikirim melalui jaringan dari suatu aplikasi. Xplico dapat menangkap email yang dikirip menggunakan protokol POP dan SMTP. Xplico juga dapat menangkap semua data yang dikirim menggunakan protokol HTTP 2. Jenis Serangan pada Jaringan Komputer Dengan berkembangnya teknologi keamanan jaringan ternyata tidak bisa menjamin sepenuhnya untuk melindungi sistem anda dari serangan attacker. Berbagai cara akan dilakukan attacker untuk dapat mengganggu sistem anda, seperti dengan cara membanjiri trafik pada jaringan sehingga dapat menghabiskan resource pada server anda dan server anda tidak bisa menjalankan fungsinya dengan baik.
Berikut adalah jenis-jenis serangan pada jaringan komputer yang biasa dilakukan oleh attacker 2.1 Spoofing Teknik serangan yang dilakukan attacker dengan cara memalsukan data sehingga attacker dapat terlihat seperti host yang dapat dipercaya. Terdapat 3 jenis spoofing • IP spoofing adalah teknik yang digunakan dengan cara memalsukan source IP address sehingga ip address aslinya tidak dapat dilacak ketika pengiriman paket • DNS Spoofing adalah teknik yang digunakan untuk mengambil alih DNS server sehingga DNS dan IP address sebuah situs akan dialihkan ke server sang pelaku • Identity Spoofing adalah teknik penyusupan menggunakan identitas secara resmi untuk mengakses segala sesuatu dalam jaringan secara illegal 2.2 DDoS (Distributed Denial of Service) DOS (Denial of Service) Merupakan jenis serangan terhadap server pada suatu jaringan dengan metode menghabiskan resource yang dimiliki server sampai server tersebut tidak dapat menjalankan fungsinya untuk memberikan akses layananya. Ada beberapa cara yang biasanya dilakukan attacker yaitu • Dengan cara membanjiri trafik dengan banyak data sehingga data dari host yang terdaftar tidak dapat masuk kedalam sistem • Dengan cara membanjiri trafik dengan banyaknya request terhadap server sehingga request dari host yang terdaftar tidak dapat dilayani oleh server • Mengganggu komunikasi antara server dengan host yang terdaftar dengan berbagai cara seperti salah satunya bisa dengan mengubah informasi konfigurasi sistem DDOS (Distributed Denial of Service) merupakan jenis serangan DOS yang menggunakan banyak host sekaligus untuk menyerang satu server sehingga dapat mengakibatkan server tidak dapat berfungsi bagi klien. 2.3 Packet Sniffing Paket Sniffing merupakan teknik pencurian data dengan cara memonitoring dan menganalisis setiap paket data yang ditransmisikan dari klien ke server. biasanya attacker
melakukan serangan ini menggunakan tools wireshark dan netcut untuk mencuri password dan pengambilan data-data penting lainya. Berikut merupakan tahap-tahap cara kerja paket sniffing • Collecting -> merubah interface yang digunakan menjadi promicius code dan kemudian mengelompokan paket data yang lewat melalui jaringan dalam bentuk raw binary • Conversion -> mengkonveriskan data binary kedalam data yang mudah dibaca/dipahami • Analysis -> setelah itu data diklasifikasikan kedalam blok protokol sesuai dengan sumber data tersebut • Pencurian Data-> Setelah data dikasifikasikan, maka attacker dapat mencuri datanya 2.4 DNS Poisoning Merupakan jenis serangan dengan cara memberikan informasi IP address yang palsu untuk mengalihkan trafik pada paket data dari tujuan yang sebenarnya. biasanya cara ini dipakai attacker untuk menyerang situs-situs ecommerce dan banking. Attacker juga dapat membuat server palsu yang memiliki tampilan yang sama dengan situs yg sebenarnya. oleh karena itu diperlukan adanya digital certificate untuk mengamankanya agar server palsu tersebut dapat dibedakan dengan server aslinya yang memiliki digital certificate. 2.5 Trojan Horse Merupakan salah satu jenis Malicious software/malware yang dapat merusak sebuah sistem. Trojan ini dapat digunakan untuk memperoleh informasi dari target seperti password, system log dll, dan dapat memperoleh hak akses dari target. Trojan merupakan software yang berbeda dengan virus atau worm karena trojan ini bersifat stealth dalam beroperasi dan seolah-olah seperti program biasa yang tidak mencurigakan dan trojan juga bisa dikendalikan dari komputer lain (attacker). ada beberapa jenis trojan dan 3 diantaranya yaitu: • Pencuri Password -> jenis trojan ini dapat mencuri password yang disimpan didalam sistem dengan cara membuat tampilan seolah-olah tampilan login dengan menunggu host memasukan passwordnya pada saat login kemudian password tersebut akan dikirimkan ke attacker
• Keylogger -> Jenis Trojan akan merekam semua yang diketikan oleh host dan mengirimkanya ke attacker. • RAT (Remote Administration Tools)-> Jenis trojan ini mampu mengambil alih kontrol secara penuh terhadap sistem dan dapat melakukan apapun yang attacker mau dari jarak jauh seperti memformat hardisk, mengedit dan menghapus data dll 2.6 SQL Injection Sebuah teknik serangan yang memanfaatkan celah keamanan dimana website mengijinkan user untuk menginput data tetapi tanpa adanya filter terhadap malicious character sehingga attacker bisa mendapatkan akses kedalam basis data sebuah aplikasi. inputan tersebut biasanya dimasukan kedalam bagian-bagian tertentu pada website yang berhubungan dengan database dari situs tersebut. attacker biasanya memasukan data link yang mengarahkan korban menuju website yang digunakan attacker untuk mengambil informasi/data pribadi dari korban. 3. Contoh Kasus Kejahatan dengan Jaringan Komputer Kasus Pembobolan Bank Negara Indonesia di New York Kasus pembobolan BNI New York, ialah kasus seorang pegawai yang pernah bekerja di BNI Cabang New York sejak tahun 1980 sampai dengan September 1986. Pada waktu masih bekerja yang bersangkutan bertugas sebagai operator komputer untuk mengakses City Bank New York atau Mantrust New York, oleh karenanya yang bersangkutan memegang password dengan kode tertentu. Pada tanggal 31 Desember 1986 yang bersangkutan bekerjasama dengan orang lain berhasil mengoperasikan komputer di sebuah hotel untuk melakukan transfer ke rekening bank tertentu, ialah dengan menggunakan USER ID dan password enter dengan melawan hukum. Proses tersebut dimulai dengan memerintahkan City Bank New York untuk mentransfer dana atas beban rekening BNI kepada rekening BNI di Mantrust. Dari sini kemudian yang bersangkutan mentransfer dana ke beberapa bank lainnya untuk keuntungan sendiri. Yang menarik dalam kasus ini ternyata penggunaan landasan hukum mengenai pasal pencurian (Pasal 363 KUH Pidana) tidak dapat diterima, demikian juga Undang-undang Pemberantasan Tindak Pidana Korupsi tidak dapat diterapkan karena unsur melawan hukum yang dituduhkan tidak termasuk kriterium Undangundang tersebut. Hal ini karena tidak terbukti adanya kerjasama dengan pegawai negeri, atau lebih tepatnya tidak
terbukti adanya penggunaan kekuasaan atau pengaruh yang melekat pada seorang pegawai negeri. Pertimbangan hakim untuk membebaskan terdakwa dari dakwaan primer, subsidair, lebih subsidair tidak tepat, karena korupsi yang memakai penggunaan kekuasaan atau pengaruh yang melekat justru terdapat pada rumusan pasal 1 ayat (1) sub b Undang-undang Pemberantasan Tindak Pidana Korupsi, yang justru oleh Jaksa tidak digunakan dalam menyusun dakwaan. Jadi aspek hukum pidana yang digunakan untuk dakwaan primer adalah Pasal 1(1)a jo. Pasal 28 UU No. 3/1971 jo. Pasal 55 (1) ke 1 KUH Pidana. Dakwaan subsidair adalah Pasal 1(2) jo. Pasal 1(1) sub a jo. Pasal 28 UU No. 3/1971 jo. Pasal 55 (1) ke KUH Pidana. Dakwaan lebih subsidair lagi adalah pasal 363 (1) KUH Pidana, dan yang lebih subsidair lagi adalah pasal 363 (1) ke 4 jo. Pasal 53 KUH Pidana. Kasus ini menyebabkan kerugian BNI yang cukup besar (US$ 9.100.000) dan dilakukan oleh orang-orang yang cukup ahli di bidang komputer, ialah pembobolannya dilakukan dengan menggunakan Personal Komputer Apple IIC,Keyboard , dan Smart Modem, dan berbekal password dan code yang pernah diketahui. Ini suatu peringatan jika suatu perusahaan melakukan mutasi pada petugas operator komputer yang berhak mengakses operasi komputer yang rawan terhadap terjadinya penyalahgunaan, harus diikuti dengan penggantian kode password , sehingga tidak ada pihak lain yang dapat mengakses Penangkapan Pembobol Website Partai Golkar Oleh Mabes Polri Unit Cyber Crime Badan Reserse dan Kriminal (Bareskrim) Mabes Polri menangkap pembobol website (situs) Partai Golkar, Isra Syarat (26) di Warnet Belerang, Jl Raden Patah No 81, Batam, pada 2 Agustus 2006. Tersangka pembobol website Partai Golkar pada Juli 2006.Dikatakan,penangkapan tersangka berkat hasil penyelidikan, analisa data dan penyamaran dari petugas unit cyber sehingga menemukan keberadaan tersangka. Petugas belum mengetahui latar belakang tersangka membobol situs Partai Golkar. Tersangka diduga kuat membobol website Partai Golkar dari pulau itu. Tersangka dijerat dengan Undangundang No. 36/1999 tentang Telekomunikasi dengan ancaman hukuman enam tahun penjara dan Pasal 406 KUHP tentang perusakan barang. Serangan terhadap situs partai berlambang pohon beringin itu terjadi pada 9 hingga 13 Juli 2006 hingga menyebabkan tampilan halaman berubah.Pada 9 Juli 2006, tersangka mengganti tokoh Partai Golkar yang termuat dalam situs dengan gambar gorilla putih tersenyum dan di bagian bawah halaman dipasangi gambar artis Hollywood yang seronok, Pada 10 Juli 2006, tersangka mengubah halaman situs Partai Golkar menjadi foto artis Hollywood yang seronok dan mencantumkan tulisan “Bersatu Untuk Malu”. Serangan pada 13 Juli 2006 lalu, halaman depan diganti dengan foto gorilla putih yang
tersenyum dan mencantumkan tulisan “bersatu untuk malu”.Saat serangan pertama terjadi, Partai Golkar sudah berusaha memperbaiki namun diserang lagi hingga terjadi beberapa kali perbaikan sampai akhirnya Partai Golkar melaporkan kasus ini ke Mabes Polri (Faris, 2009). Referensi : https://fingersings.wordpress.com/2014/11/16/network-forensik/ https://netsec.id/jenis-serangan-jaringan-komputer/ https://fingersings.wordpress.com/2014/11/16/network-forensik/ http://imyudha.blogspot.com/2013/11/studi-kasus-di-bidang-jaringan-komputer.html
PERTEMUAN 11 1. Packet Capture Kestabilan sebuah jaringan komputer sangat diperlukan untuk menjaga jaringan tersebut agar tetap berfungsi dengan maksimal. Salah satu cara untuk mengatasi atau memantau kestabilan sebuah jaringan komputer dengan dilakukan monitoring dengan mengambil data dari proses komunikasi data disebuah jaringan komputer. Adapun selain untuk menjaga kestabilan, monitoring biasanya juga dilakukan pengambilan data untuk sebuah penelitian dan pengembangan teknologi dari sebuah jaringan tersebut. Wireshark merupakan salah satu dari software monitoring jaringan yang biasanya banyak digunakan oleh para administrator jaringan untuk mengcapture dan menganalisa kinerja jaringan. Salah satu alasan kenapa Wireshark banyak dipilih oleh seorang administrator adalah karena interface nya menggunakan Graphical User Unit (GUI) atau tampilan grafis Software 1.1 Wireshark Wireshark adalah network packet analyzer yang berguna untuk meng-capture paket yang lewat di jaringan dan menampilkannya sedetail mungkin. Dalam kategori network packet analyzer wireshark adalah salah satu yang terbaik. Dalam berbagai kalangan praktisi Wireshark berguna antara lain untuk : - Network Administrator, untuk Troubleshooting. - Teknisi keamanan jaringan memakainya untuk mengawasi jaringan. - Developer, untuk debug implementasi protocol. - Awam memakainya untuk belajar protocol jaringan. Fitur-Fitur Wireshark - Tersedia untuk Windows dan UNIX. - Capturing paket data secara live dari suatu jaringan. - Menampilkan informasi paket secara sangat detail. - Membuka dan menyimpan paket data yang sudah di-capture. - Import dan Export paket data dari program capturing lain. - Paket Filter dalam berbagai kriteria. - Mencari paket dalam berbagai kriteria. - Membuat Statistik data.
Menu Wireshark : - File : Open, Merge, Save, Print, export, capture, quit. - Edit : Mencari Paket, Referensi Waktu, Menandai Paket, Konfigurasi Profil, Set Preferences - View : Menangani tampilan data yang dicapture termasuk pewarnaan, zooming, dll. - Go : Untuk menuju ke paket tertentu. - Capture : Memulai dan Stop Capturing, dan mengedit Filter. - Analyze : Memanipulasi Filter, Enable atau Disable Protokol yang diinginkan, dll. - Statistics : Menampilkan berbagai statistic, termasuk garis besar paket yang ditampilkan. Protokol Wireshark bisa lakukan analisa pada beberapa protokol paket data jaringan. Hingga wireshark versi 1.12.6, udah mensupport 1.482 protokol, seperti tampak pada gambar di bawah ini: Pada gambar di atas, wireshark udah mensupport 1.482 protokol, pastinya jumlah protokol yang di dukung wireshark akan jadi bertambah lagi pada setiap versinya. Capture Paket Data 1. Pertama-tama jalankan program Wireshark. Lalu pilih Interface List untuk memilih interface.
2. Pilih capture interface lalu Start 3. Setelah itu Wireshark mulai melakukan capture paket data 4. Berikut ini adalah bagian-bagian pada tampilan Wireshark.
5. Kita coba menganalisa salah satu paket data 6. Pada No. 105 terlihat source dari 192.168.169.3 yang merupakan IP dari PC. Sedangkan pada destination berisi 53.255.79.3. Pada protocol berisi HTTP. Panjang paket 971 bytes.
7. Berikut adalah hasil dari detail packet data. Pada detail Transmission Control Protocol menunjukkan pada Source menggunakan Port 50761 sedangkan Destination menggunakan Port 80.
Pada Hypertext Transfer Protocol kita terlihat website yang diakses 8. Fitur Follow TCP Stream juga dapat digunakan untuk melihat informasi packet data.
Referensi : https://docplayer.info/60919410-Wireshark-proses-capture-packet-data.html http://heric.web.id/2009/02/26/menggabungkan-hasil-capture-wireshark/ https://www.kompasiana.com/adinewa/54f39e8b745513a02b6c7ba7/tutorialcapture-paket-data-pada-wireshark https://seruni.id/cara-menggunakan-wireshark/
PERTEMUAN 12 1. Packet Dumps Packet dump atau Sniffing merupakan proses pengendusan paket data pada sistem jaringan komputer, yang diantaranya dapat memonitor dan menangkap semua lalu lintas jaringan yang lewat tanpa peduli kepada siapa paket itu di kirimkan. Contoh dampak negatif sniffing, seseorang dapat melihat paket data informasi seperti username dan password yang lewat pada jaringan komputer. Contoh dampak positif sniffing. Seorang admin dapat menganalisa paketpaket data yang lewat pada jaringan untuk keperluan optimasi jaringan, seperti dengan melakukan penganalisaan paket data, dapat diketahui dapat membahayakan performa jaringan atau tidak, dan dapat mengetahui adanya penyusup atau tidak. Bahaya yang mengancam dari proses sniffing yaitu hilangnya sifat privacy dan confidentiality seperti tercurinya informasi penting dan rahasia seperti username dan password. Selama data itu tidaklah penting seperti berkomunikasi data menggunakan email, pesan ke “wall” facebook, tidak masalah menggunakan koneksi HTTP. Karena mungkin dampak maupun resiko yang terjadi apabila ada yang mengintipnya tidak akan berpengaruh. Namun bagaimana jika data yang dikirimkan adalah password email, komunikasi bisnis yang sifatnya rahasia dan lain sebagainya. Network Sniffing adalah suatu aktifitas menyadap yang di lakukan dalam jaringan yang sangat sulit untuk di cegah, walaupun kita telah menginstall berbagai macam software untuk mencegah serangan dalam jaringan. ini adalah permasalahan dari komunikasi atau protokol jaringan dan tidak ada hubungannya dengan sistem operasi. Wireshark merupakan Network Protocol Analyzer, juga termasuk salah satu network analysis tool atau packet sniffer. Wireshark memungkinkan pengguna mengamati data dari jaringan yang sedang beroperasi atau dari data yang ada di disk, dan langsung melihat dan mensortir data yang tertangkap, mulai dari informasi singkat dan detail bagi masing-masing paket termasuk full header dan porsi data, dapat diperoleh. 1.1 Bagaimana Sniffing Bekerja Dalam menentukan bagaimana menyetting sniffer, topologi dan tipe jaringan harus menjadi pertimbangan. Secara lebih detail, perbedaan antara jaringan berbasis switch dan hub menjadi penentu trafik yang visible ketika sniffing dilakukan. Ketika satu host butuh untuk berkomunikasi dengan host lain, host tersebut akanmengirim ARP request secara broadcast ke seluruh host dalam jaringan baik switch dan hub. Hanya host yang dicari akan menjawab dengan ARP reply yang berisi MAC address host tersebut. Pada jaringan berbasis switch,
ketika komunikasi berjalan antara dua host, trafik diantaranya akan diisolasi oleh switch pada link fisik. Namun, pada jaringan berbasis hub, komunikasi antara kedua host dapat didengar oleh semua host yang lain pada jaringan tersebut, walaupun tidak diperhatikan 1.2 Pasif dan Aktif Sniffing Passive sniffing menempatkan NIC host pada mode promiscuous mode, yang artinya menangkap semua trafik yang dapat dilihat, termasuk trafik antara host yang berbeda terutama pada jaringan berbasis hub. Pada jaringan berbasis switch, passive sniffing dapat dilakukan pada switch yang melakukan SPAN atau mirror port dimana trafik secara dapat dikopikan dengan meletakkan sniffer pada port yang dimirror. Jika yang diinginkan adalah trafik yang masuk dan keluar jaringan, maka sniffer dapat diletakkan pada gateway. Active Sniffing adalah alternatif metode sniffing. Aktif sniffer mencoba mencari celah dari protocol ARP dengan melakukan ARP spoofing dengan menjawab request ARP dari host. Aktif sniffing secara aktif akan berusaha agar pemilik MAC address asli diabaikan atau dibuang dalam proses komunikasi antara host dan sniffer. Salah satu metode yang digunakan untuk active sniffing adalah MAC flooding. 1.3 Langkah-langkah Sniffing Berikut langkah-langkah untuk melakukan sniffing pada wireshark: 1. Jalankan Wireshark memantau akses browser yang dijalankan menggunakan wireshark dan mencoba memonitor jaringan wi-fi, seperti pada gambar dibawah ini. 2. Memilih interface yang akan dimonitor, disini kita pilih wireless lalu tekan start, seperti pada gambar
3. Membuka website, masukan username dan password. Misalkan website Universitas BSI Bandung
4. Selanjutnya dari hasil capture wireshark kita analisa Hasil capture-an seperti pada gambar diatas belum dilakukan pemfilteran, sehingga semua data yang lewat pada jaringan tersebut direkam sehingga menyulitkan untuk dilakukan analisa. Selanjutnya kita akan melakukan pemfilteran dengan memilih protokol HTTP seperti yang ditunjukkan pada gambar di bawah ini.
5. Setelah melakukan capture pada protokol HTTP, selanjutnya lakukan analisa pada paket yang berisikan data POST seperti pada gambar di bawah 6. Pada data POST ada beberapa informasi seperti, alamat IP 192.168.43.208 source dan 103.20.91.11 destination, lalu terdapat HTTP yang berisi POST, connection, contentlength, origin, user-agent, dan yang paling penting HTML for URL yang berisi username dan password seperti gambar di bawah Sniffing username dan password menggunakan Wireshark berhasil. Dengan hasil capture yang di analisa melalui jaringan terpilih bisa diketahui username dan password pada paket data POST.
Dengan menggunakan wireshark memudahkan proses capture paket data secara langsung dari sebuah network interface, mampu menampilkan informasi yang sangat detail mengenai hasil informasi penting dan rahasia seperti username dan password. Dari percobaan diatas, sniffing merupakan suatu yang cukup sulit untuk dicegah. Untuk sekarang ini sudah ada beberapa cara pencegahan sniffing seperti menggunakan enkripsi pada data rahasia (username, password), HTTPS (Hypertext Transport Protocol Secure) pada Port 811. Saran lebih ditunjukan pada kehati-hatian ketika melakukan aktivitas seperti mangakses halaman web email, e-banking, social media, pada jaringan internet yang belum dikenal walaupun itu menawarkan secara gratis. Referensi : - https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&ve d=2ahUKEwjkh_So6K7rAhUPfisKHZDWA3YQFjACegQIARAB&url=http s%3A%2F%2Fmedia.neliti.com%2Fmedia%2Fpublications%2F172890-IDnone.pdf&usg=AOvVaw21E6GFaEewZ-IpuYjT5_vz - http://resgianto.blogspot.com/2014/06/analisa-paket-dengan-wiresharkdan.html
PERTEMUAN 13 1. STUDI KASUS 1.1 Studi Kasus 1 1.1.1 Perancangan Skenario Pada tahap ini dilakukan persiapan kebutuhan dan perancangan topologi jaringan yang akan digunakan untuk penelitian. Kedua komputer yang saling terhubung dengan internet menggunakan interface wireless pada jaringan yang sama, komputer sebelah kiri akan melakukan pengiriman paket ICMP ke server, kemudian komputer sebelah kanan akan merekam aktifitas jaringan menggunakan wireshark Konfigurasi Wireshark Konfigurasi dilakukan pada pemilihan interface network yang digunakan, pada kasus ini adalah interface wireless, kemudian start untuk memulai merekam aktifitas jaringan.
Pada tahap selanjutnya dilakukan teknik penyerangan Sniffing dengan merekam aktifitas jaringan pada interface wireless menggunakan wireshark. Sniffing dilakukan pada pengiriman paket ICMP secara terus menerus sampai mendapatkan informasi berupa IP Source dan Destination. Dari percobaan sniffing yang dilakukan berulang kali pada aktifitas jaringan, berhasil didapatkan informasi sebagai berikut.
Sniffing pada pengiriman paket ICMP yang dilakukan pada interface wireless menggunakan software wireshark, berhasil mendapatkan informasi berupa tabel diatas. Informasi ini dinilai krusial karena menyangkut IP dari pengirim dan tujuan, IP ini dapat dimanfaatkan oleh pihak ketiga untuk mendapatkan informasi lebih lanjut yang ada pada komputer yang memiliki IP tersebut. Untuk meningkatkan keamanan jaringan komputer dapat menerapkan mirror server menggunakan Honeypot, agar penyerang tertipu dengan server palsu dengan IP yang sama akan tetapi tidak memiliki folder apapun didalamnya. Cara ini dapat mencegah penyerang yang telah mengetahui IP dari server, yang didapatkan dari teknik Sniffing. 1.2 Studi Kasus 2 Kali ini dilakukan pada linux ubuntu Step ke 1: Buka terminal dan jalankan command arp –a pada host anda masing-masing, catat dan amati hasilnya. Apa maksud output yang dihasilkan command arp –a. Hasilnya akan menampilkan alamat ip address dengan mac addressnya.
Step ke 2: Lakukan command ping no_ip , pilih no_ip yang tidak terdaftar pada hasil percobaan 1 tapi masih dalam satu jaringan. saya coba ping dengan alamat ip 192.168.0.13, hasilnya reply karena ada dalam satu jaringan. Step ke 3: Jalankan perintah arp –a sekali lagi. Amati pada perbedaan output dibanding waktu percobaan no 1. Hasilnya akan menampilkan ip yang diping tadi
Step ke 4: Lakukan command ping no_ip , pilih no_ip yang sudah terdaftar pada percobaan no1 Step ke 5: dikarenakan pc baru terhubung ke alamat ip baru pada percobaan ke 2, maka terjadi perbedaan dengan hasil step no 1. Step ke 6:
Step ke 7: hasilnya akan disconnect Step ke 8: hasilnya unreachable, dikarenakan sudah disconnect.
Step ke 9: pada step berikut akan melakukan konfigurasi untuk mengkoneksi ulang alamat ip kembali ip yang down tadi. Step ke 10: hasilnya akan terkoneksi kembali
Step ke 11: melakukan penambahan arp cache Step ke 12 tcpdump:
Step ke 13 tcpdump –i eth0: Step ke 14 tcpdump –n
Step ke 15 tcpdump –n -t: Step ke 16 tcpdump –n –t -e:
Step ke 17 tcpdump x-i eth0:
Hasil ketika melakukan perintah “ping” ke komputer lain yang terhubung dengan komputer kita. Dari gambar di atas bisa kita lihat ketika perintah “ping” kita jalankan dan berhasil, wireshark memunculkan pesan “reply” dan wireshark juga menampilkan berapa lama waktu yang dibutuhkan dalam menerima paket data dari komputer lain. Sedangkan untuk proses “ping” yang gagal bisa dilihat dari gambar di bawah ini, wireshark hanya menampilkan pesan “request” dan tidak ada pesan “reply”, maksudnya adalah komputer kita telah melakukan sebuah request paket data ke komputer dengan IP 192.168.0.100 yang dimana IP tersebut bukan dalam 1 jaringan dengan komputer kita. Dikarenakan IP tersebut tidak dalam 1 jaringan dengan komputer kita, maka pesan request dari komputer kita tidak akan sampai. Oleh karena itu wireshark tidak memunculkan pesan “reply”. Referensi : - https://www.researchgate.net/publication/331050238_Analisa_Sniffing_Paket_ICM P_menggunakan_Wireshark - https://nurlailatulrmd.wordpress.com/2015/11/30/percobaan-arp-tcpdump-wireshark/
PERTEMUAN 14 1. Analisis Paket Jaringan Sebelum kita melakukan proses analisa paket dalam jaringan komputer, kita harus memiliki pengetahuan mengenai karakteristik protocol-protokol jaraingan komputer. Protokol merupakan bahasa dan tata cara bahasa yang digunakan untuk berkomunikasi dan setiap bahasa tentunya mempunyai tata cara yang berbeda antara yang satu dengan yang lainnya. Protokol adalah aturan agar antar host dapat saling berkomunikasi. 1.1 Address Resolution Protocol (ARP) ARP adalah sebuah protokol dalam TCP/IP Protocol Suite yang bertanggungjawab dalam melakukan resolusi alamat IP ke dalam alamat Media Access Control (MAC Address). Ketika sebuah aplikasi yang mendukung teknologi protokol jaringan TCP/IP mencoba untuk mengakses sebuah host TCP/IP dengan menggunakan alamat IP, maka alamat IP yang dimiliki oleh host yang dituju harus diterjemahkan terlebih dahulu ke dalam MAC Address agar frame-frame data dapat diteruskan ke tujuan dan diletakkan di atas media transmisi (kabel, radio, atau cahaya), setelah diproses terlebih dahulu oleh Network Interface Card (NIC). Hal ini dikarenakan NIC beroperasi dalam lapisan fisik dan lapisan data-link pada tujuh lapis model referensi OSI dan menggunakan alamat fisik daripada menggunakan alamat logis (seperti halnya alamat IP atau nama NetBIOS) untuk melakukan komunikasi data dalam jaringan. Jika memang alamat yang dituju berada di luar jaringan lokal, maka ARP akan mencoba untuk mendapatkan MAC address dari antarmuka router lokal yang menghubungkan jaringan lokal ke luar jaringan (di mana komputer yang dituju berada). Arsitektur ARP
Cara kerja ARP • ARP berasosiasi antara alamat fisik dan alamat IP. Pada LAN, setiap device, host, station dll diidentifikasi dalam bentuk alamat fisik yang didapat dari NIC. • Setiap host atau router yang ingin mengetahui alamat fisik daripada host atau router yang terletak dalam jaringan lokal yang sama akan mengirim paket query ARP secara broadcast,sehingga seluruh host atau router yang berada pada jaringan lokal akan menerima paket query tersebut. • Kemudian setiap router atau host yang menerima paket query dari salah satu host atau router yang mengirim maka akan diproses hanya oleh host atau router yang memiliki IP yang terdapat dalam paket query ARP. • Host yang menerima respons akan mengirm balik kepada pengirim query yang berisi paket berupa informasi alamat IP dan alamat fisik. Format Protokol ARP