Log File: Latihan Soal

LATIHAN SOAL

1. Sebutkan dan jelaskan 3 jenis log yang dapat digunakan dalam proses forensik!
2. Sebutkan beberapa barang bukti yang dapat dijadikan evidence terkait komukasi data sesuai dengan UU ITE!
3. Lakukan instalasi windump/tcpdump! Lakukan capture traffic menggunakan software tersebut minimal 15 menit pada posisi download atau ada attack dari temannya! Berikan capture screenshot dan penjelasannya!

JAWABAN

1. 3 jenis log yang dapat digunakan dalam proses forensik:

a. Operating System (OS) Log

Log sistem operasi pada server, workstation, dan perangkat jaringan (networking device), seperti router, switch, dll. Log sistem operasi merupakan log yang paling mudah digunakan untuk mengidentifikasi atau menginvestigasi aktivitas mencurigakan yang berkaitan dengan host tertentu. Dibagi menjadi 2, yaitu:

• Event Log

• Audit Log

b. Application Log

Log aplikasi yang berjalan pada sistem dan server seperti pada email server, database server. Log aplikasi berisi seluruh kejadian (event) yang dicatat oleh program. Event yang dicatatkan ke dalam log aplikasi ditentukan oleh pengembang program/software. Informasi yang biasanya terdapat di dalam log aplikasi adalah sebagai berikut:

• Permintaan klien (client request) dan respon server (server response)
• Informasi akun
• Informasi penggunaan (usage information)
• Tindakan operasional yang signifikan

c. Security Software Log

Log pada jaringan (network) dan software keamanan berbasis host (host-based security software). Software yang digunakan untuk keperluan pencatatan log jenis ini adalahsebagai berikut:

• Software anti-malware
• IDS (Intrusion Detection System) dan IPS (Intrusion Prevention System)
• Software untuk akses remote
• Web proxy
• Software pengaturan celah keamanan (vulnerability management software)
• Server autentikasi
• Router
• Firewall
• Server karantina jaringan (network quarantine server)

2. Barang bukti yang dapat dijadikan evidence terkait komukasi data sesuai dengan UU ITE:

a. Electronic Data Interchange (EDI)

Metode komunikasi elektronik yang menyediakan standar pertukaran data melalui peralatan elektronik. dengan merujuk kepada standar yang sama, dua atau lebih organisasi bahkan di negara yang berbeda, dapat melakukan pertukaran dokumen secara elektronik, seperti dokumen pemesanan barang (Purchase Order), tagihan (invoice), dan nota pengiriman (shipping notice). EDI dilakukan melalui transmisi jaringan berikut:

• Jaringan Peer-to-Peer (P2P)

• Value-Added Network (VAN)

• Internet

b. Surat elektronik (electronic mail)

Metode pertukaran pesan digital dari satu pengirim pesan kepada satu atau lebih penerima. Electronic mail atau biasa disingkat email, beroperasi melalui internet atau jaringan komputer lainnya.

c. Dokumen elektronik

Informasi Elektronik yang diteruskan atau dikirimkan dan dapat dilihat, ditampilkan, atau didengar melalui komputer atau sistem elektronik lain. Dokumen elektronik meliputi tulisan, suara, gambar, peta, rancangan, foto, huruf, tanda, angka, kode akses, dan simbol.s

d. Nama domain

Alamat internet penyelenggara negara, orang, badan usaha, atau masyarakat, yang dapat digunakan dalam berkomunikasi melalui internet, yang berupa kode atau susunan karakter yang bersifat unik untuk menunjukkan lokasi tertentu dalam internet.

e. Tidak disebutkan penggunaan LOG sebagai barang bukti dalam UU ITE.

3. Skenario capture traffic:

a. Komputer target

• OS : Kali Linux
• Aktivitas : download dan capture traffic dengan tcpdump
• IP address : 192.168.1.131

b. Komputer penyerang

• OS : Windows 7
• Aktivitas : menyerang komputer target dengan software LOIC
• IP address : 192.168.1.130

Langkah-langkah capture traffic:

a. Capture traffic dijalankan sekitar 15 menit (pkl. 09.00 – 09.15 WIB) menggunakan tcpdump yang dijalankan di komputer target yang ber-OS Kali Linux. Hasil capture disimpan di file nfat-eth0.log.

b. Komputer target melakukan aktivitas download file menggunakan aplikasi wget ke https://www.dropbox.com/s/m76ntnhmo8v57dg/CyberJawara2015.zip. Download dilakukan pada pkl. 09.00 WIB.

c. Komputer penyerang ber-OS Windows 7 melakukan attack dengan menggunakan software LOIC. Jalankan LOIC dan isikan informasi IP address target dan metode yang digunakan sebagai berikut:

• IP           : 192.168.1.131 ~> klik tombol Lock on
• Method : TCP

Klik tombol IMMA CHARGIN MAH LAZER untuk memulai attack melalui protokol TCP port 80. Attack dilakukan pada pkl. 09.05 WIB dan pada pkl. 09.15 akan di-stop. Berikut adalah screenshot LOIC saat melakukan attack.

Dan berikut adalah screenshot proses download file saat attack berlangsung.

d. Setelah 15 menit atau pada pkl. 09.15 WIB, capture traffic dengan tcpdump dihentikan. Tekan tombol Ctrl+C.

e. Transfer file nfat-eth0.log dari Kali Linux ke Windows 7 untuk lebih memudahkan dalam pembacaan file tersebut. Transfer file dilakukan dengan menggunakan aplikasi winscp. Berikut adalah informasi dari file nfat-eth0.log.

Dapat dilihat ukuran file nfat-eth0.log yang mencapai 79.2 MB dengan durasi capture berkisar 15 menit.

f. Buka file nfat-eth0.log menggunakan aplikasi Notepad++.

Analisis file hasil capture traffic menggunakan tcpdump:

Proses download terjadi pada pkl. 09.00 – 09.15 WIB sedangkan proses attack terjadi pada pkl. 09.05 – 09.15 WIB. Terdapat jeda 5 menit dari pkl. 09.00 – 09.05 WIB, yaitu proses download file tanpa ada attack, yang akan dianalisis perbandingannya dengan proses download file saat ada attack yang berlangsung 10 menit dari pkl. 09.05 – 09.15 WIB.

a. Download file tanpa ada attack

• Waktu : pkl. 09.00 – 09.05 WIB
• Durasi : 5 menit
• Screenshot

• Penjelasan

b. Download file saat ada attack

• Waktu : pkl. 09.05 – 09.15 WIB
• Durasi : 10 menit
• Screenshot

• Penjelasan