Investigating Web Attack

Investigating web attack.. Hah? Attack yg deterjen ituh? Ada varian baru? Pfiuuh.. Bukan lah, gak ada hubungannya. Lha terus apaan dong? Ini niih, lagi mau belajarin serangan yg bisa mengancam server ato halaman web. Berikut juga cara menginvestigasinya.

Wiih, ngeri.. Emang apa aja macam serangannya?

1. XSS (Cross Site Scripting)

Salah satu jenis serangan injeksi code (code injection attack). XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script code lainnya ke suatu situs. Serangan ini akan seolah-olah datang dari situs tersebut. Akibat serangan ini antara lain penyerang dapat mem-bypass keamanan di sisi klien, mendapatkan informasi sensitif, atau menyimpan aplikasi berbahaya.

Sumber: Wikipedia

Alasan kependekan yang digunakan XSS bukan CSS karena CSS sudah digunakan untuk Cascade Style Sheet.

2. SQL Injection

Teknik yang menyalahgunakan sebuah celah keamanan yang terjadi dalam lapisan basis data sebuah aplikasi. Celah ini terjadi ketika masukan pengguna tidak disaring secara benar dari karakter-karakter pelolos bentukan string yang diimbuhkan dalam pernyataan SQL atau masukan pengguna tidak bertipe kuat dan karenanya dijalankan tidak sesuai harapan. Ini sebenarnya adalah sebuah contoh dari kategori celah keamanan yang lebih umum, yang dapat terjadi setiap kali sebuah bahasa pemrograman atau script diimbuhkan di dalam bahasa yang lain.

Sumber: Wikipedia

3. Parameter Tampering

Teknik yang didasarkan pada manipulasi parameter yang dipertukarkan antara client dan server untuk mengubah data aplikasi, seperti kredensial, izin pengguna, harga & kuantitas produk, dll. Biasanya, informasi ini disimpan dalam cookie, form yang tersembunyi, atau string permintaan URL, dan digunakan untuk meningkatkan fungsionalitas dan kontrol aplikasi.

Sumber: OWASP

Cookie = sepotong kecil data yang dibuat dan disimpan di browser pengguna yang melacak informasi penting mengenai informasi sesi mereka untuk situs tertentu

4. Cookie Poisoning

Teknik memanipulasi atau memalsukan cookie untuk tujuan melewati langkah-langkah keamanan atau mengirim informasi palsu ke sebuah server. Penyerang yang menggunakan cookie poisoning dapat memperoleh akses yang tidak sah ke akun pengguna di situs tertentu yang dibuat oleh cookie, atau berpotensi menipu server untuk menerima versi baru dari cookie asli dengan nilai yang dimodifikasi.

Sumber: Radware

5. Buffer Overflow

Buffer overflow adalah kesalahan umum yang dibuat oleh pengembang perangkat lunak yang dapat digunakan oleh penyerang untuk mendapatkan akses ke sistem komputer. Buffer sendiri adalah bagian berurutan dari memori yang kemungkinan berisi apapun, dari array bilangan bulat ke string karakter. 

Dalam buffer overflow, data yang lebih banyak dialokasikan ke buffer dengan panjang tetap dari yang dapat diakomodasi oleh buffer itu sendiri. Kelebihan (overflow) data tersebut menempati ruang memori yang berdekatan, menimpa atau merusak data yang sudah ada di sana. Kerusakan sistem adalah hasil yang umum, tetapi buffer overflow juga menghadirkan peluang bagi penyerang untuk menjalankan kode atau menggunakan kesalahan pengkodean ini untuk memulai tindakan jahat.

Sumber: Veracode

Terus, kalo semisal sebuah website terkena serangan ataupun memang terjadi kesalahn teknis ato konfugrasi, maka ketika diakses, website tersebut akan memunculkan error. Error yg muncul pada halaman web yang diakses tersebut, juga akan muncul pada web log. Error-error yang dapat terjadi antara lain:

  • Error 403 : Forbidden
  • Error 404 : Not Found
  • Error 500 : Internal Server Error
  • Error 502 : Bad Gateway

Selain web log, terdapat juga application log yg terdiri dari semua event yg dicatat oleh program. Event ini ditentukan oleh si pembuat program. Misalnya:

  • Client request & server response
  • Account information
  • Usage information
  • Significant operational actions

Contohnya pada format file log IIS (web server pada Windows Server) yg merekam aktivitas aplikasi web seperti:

  • Connection time
  • IP address
  • User account
  • Browsing pages
  • Actions

Terus balik lagi ke pembahasan forensiknya. Cara untuk menginvestigasi serangan pada web gimana? OK, simak berikut ini ya..

  1. Menganalisis web server, FTP, dan log-log pada sistem lokal untuk mengkonfirmasi adanya serangan web.
  2. Mengecek informasi file log dengan meneliti timestamp, IP address, kode status HTTP, dan sumber yg di-request oleh client.
  3. Mengidentifikasi sifat serangan, misalnya apakah dia DDoS (Distributed Denial of Service) atau yg lainnya.
  4. Melokalisir sumber serangan (titik mana yg pertama kali diserang).
  5. Menggunakan firewall dan IDS (Intrusion & Detection System) untuk mengetahui dari mana serangan berasal.
  6. Memblok serangan.
  7. Jika sudah mengidentifikasi mesin tertentu yg terkena serangan, nonaktifkan mesin tsb dari jaringan sampai mesin tsb dibersihkan dari serangan dan dapat berfungsi dgn normal seperti sedia kala.
  8. Jika serangan teridentifikasi dari luar jaringan, segera blok akses ke jaringan dari IP address luar tsb.
  9. Memulai investigasi serangan dari IP address yg dicurigai tsb.

Berikut adalah beberapa checklist dasar untuk keamanan web:

  • Cek kekuatan password (weak or strong). Biasanya digunakan minimal karakter, dengan kombinasi karakter berupa huruf kecil, kapital, angka, dan simbol.
  • Validasi login menggunakan enkripsi SSL (Secure Socket Layer).
  • Memblok atau menutup port yg tidak digunakan.

Sekian pembahasan, sekarang saatnya.. *drum roll, tarak dung ces*

LATIHAN SOAL

Latihan soal dapat dilihat di sini.

OK, segitu dulu ya.. Semoga bermanfaat. Insya Allah dilanjutin lagi.. ?

Terima kasih.

SUMBER

 

Email Forensics: Latihan Soal

LATIHAN SOAL

  1. Sebut dan jelaskan tahapan-tahapan investigasi forensik email sesuai modul CHFI! Berikan contoh masing-masing tahapannya!
  2. Sebutkan beberapa tools yang sering digunakan untuk forensik email!
  3. Lakukan investigasi email menggunakan beberapa web pendukung forensik email! Buatlah studi kasusnya!

JAWABAN

1. Tahapan-tahapan forensik email sesuai modul CHFI beserta contohnya:

a. Mendapatkan surat izin penggeledahan (search warrant)

  • Investigator harus memiliki izin untuk melakukan investigasi. Dalam hal ini, investigator hanya bisa melakukan investigasi pada barang-barang yang telah diizinkan untuk diinvestigasi, menyita komputer dan akun email yang diduga terlibat dalam tindak kejahatan.
  • Contoh: Mendapatkan search warrant untuk menyita akun email yang dicurigai terlibat dalam suatu kasus kejahatan. Akun email dapat disita dengan mengganti password email tersebut. Password yang ada sekarang dapat ditanyakan langsung kepada korban maupun didapatkan dari server email.

b. Mendapatkan bit-by-bit image dari informasi email

  • Melakukan imaging bit-by-bit untuk memperoleh informasi dari email tersebut. Imaging yang dilakukan haruslah menyeluruh meliputi folder, pengaturan, dan konfigurasi yang ada untuk penyelidikan lebih lanjut.
  • Enkripsi image menggunakan MD5 hashing untuk menjaga integritas barang bukti.
  • Contoh: Membuat image dari semua folder, pengaturan, dan konfigurasi terakhir akun email ke dalam removable disk menggunakan tools seperti Safe Back.

c. Memeriksa header email

  • Melakukan pemeriksaan terhadap header yang terdapat pada email. Dalam kegiatan ini, investigator melakukan upaya untuk menemukan header email melalui berbagai baris perintah, klien berbasis web dan GUI (Graphical User Interface).
  • Membuka header email dan menyalinnya ke dalam dokumen teks.
  • Contoh: Header email mengandung informasi yang penting, seperti waktu pengiriman email (message sent time), unique ID number, dan IP address dari server pengirim.

d. Menganalisis header email

  • Mengumpulkan barang bukti dari header email yang mendukung proses investigasi untuk melacak pelaku.
  • Contoh: Barang bukti yang diperoleh dari header email dapat berupa return path, alamat email penerima (recipient’s email address), tipe layanan pengiriman email (type of sending email service), IP address server pengirim, nama email server, unique message number, tanggal dan waktu email dikirim, dan informasi file yang dilampirkan (attachment file).

e. Melacak dari mana email berasal

  • Melakukan pelacakan terhadap email yang asli untuk mengetahui dari mana email tersebut berasal. Investigator menggunakan tools untuk melacak pengirim email dan IP address Langkah pertama adalah dengan memeriksa informasi pada header email.
  • Header akan menunjukkan mail server asal (originating mail server).
  • Mendapatkan file log dari originating mail server untuk mengetahui siapa yang mengirimkan email dengan menggunakan surat perintah pengadilan melalui penegak hukum maupun pengaduan yang diajukan melalui pengacara.
  • Contoh: Setelah didapatkan originating mail server-nya, perlu diketahui juga mengenai informasi domain dari server tersebut. Informasi mengenai registrasi domain internet dapat dilihat melalui www.arin.net, www.internic.com, www.freeality.com.

f. Mengakuisisi arsip email (email archive)

  • Pengarsipan email merupakan pendekatan sistematis untuk menyimpan dan melindungi data yang terkandung di dalam email, sehingga data tersebut dapat diakses dengan cepat di kemudian hari.
  • Terdapat 2 jenis arsip email, yaitu local archive dan server storage archive.
  • Contoh: Local archive yang memiliki format arsip independen dari mail server. Misalnya:
    • .PST
    • .DBX
    • .MBX
  • Contoh: Server storage archive berupa arsip yang memiliki tempat penyimpanan untuk semua klien yang ada pada server. Misalnya:
    • MS Exchange ~> .STM, .EDB
    • Lotus Notes    ~> .NSF, .ID
    • GroupWise     ~> .DB

g. Melakukan pemulihan (recovery) terhadap email yang telah dihapus (deleted email)

  • Recovery dari deleted email bervariasi tergantung email client yang digunakan.
  • Contoh: Eudora Mail
    • Pesan yang dihapus dilabeli “tagged for deletion” dan tidak terlihat lagi di dalam mailbox.
    • Namun pesan yang dilabeli “tagged for deletion” masih ada di dalam folder Trash sampai folder Trash tersebut dikosongkan.
  • Contoh: Outlook PST
    • Data diambil dari bagian arsip yang aktif kemudian dipindah ke recycle bin.
    • Jika recycle bin dikosongkan, data tersebut akan berpindah ke unallocated space dari arsip email untuk beberapa waktu lamanya, biasanya dalam hitungan minggu.
    • Proses recovery data ini bervariasi lamanya tergantung dari ukuran arsip email-nya.

2. Tools yang sering digunakan untuk forensik email:

a. Stellar Phoenix Deleted Email Recovery

  • Memulihkan email dengan format PST dan DBX yang dihapus secara permanen.
  • Software ini memulihkan item PST, seperti file .pst, .eml dan .msg, serta email DBX, seperti file .dbx dan .eml.

b. Recover My Email

Software untuk email recovery yang digunakan untuk memulihkan deleted email dari file .PST (Outlook) aau file .DBX (Outlook Express).

c. Outlook Express Recovery

Memulihkan email dan item lain dari file .DBX yang rusak atau corrupt pada Outlook Express versi 5.0 ke atas.

d. Zmeil

Software untuk memulihkan pesan email yang terhapus secara tidak sengaja atau pesan dari database email yang corrupt, disebabkan oleh permasalahan pada software atau catu daya yang digunakan.

e. Quick Recovery for MS Outlook

  • Memperbaiki dan memulihkan data file MS Outlook yang rusak atau corrupt.
  • Mendapatkan email dari file .PST yang rusak atau corrupt.
  • Memperbaiki file .PST yang corrupt dan memulihkan semua MS Outlook item, seperti Calendar, Tasks, Notes, Contacts, Journals, dan lain-lain.

f. Email Detective

Tool yang digunakan pada beberapa investigasi dan pemulihan data.

g. Email trace – Email Tracking

Membantu pelacakan terhadap pengirim email dan IP address pengirim tersebut.

h. R-Mail

  • Memulihkan email Outlook yang tidak sengaja terhapus, kontak, catatan, task, dan item
  • Memperbaiki file .PST yang rusak di mana folder dan data Outlook disimpan.

i. FINALeMAIL

  • Memulihkan file database email dan melacak keberadaan email yang hilang yang tidak memiliki informasi lokasi data yang tekait dengan email tersebut.
  • Memulihkan pesan email dan attachment yang dihapus dari folder Deleted Items pada MS Outlook Express, Netscape Mail, Eudora.
  • Memulihkan keseluruhan file database

j. eMailTrackerPro

Menganalisis header email dan menyediakan IP address mesin yang mengirimkan email tersebut.

k. Forensic Tool Kit (FTK)

  • Menganalisis email Outlook, Outlook Express, AOL, Netscape, Yahoo, Earthlink, Eudora, Hotmail, MSN.
  • Fitur menampilkan, mencari, dan mengekspor pesan email dan attachment-nya.
  • Memulihkan email yang terhapus keseluruhan maupun sebagian (deleted & partially deleted email).

l. Paraben’s Email Examiner

  • Memeriksa format email, seperti America Online (AOL), Outlook Exchange (PST), Eudora, dan lain-lain.
  • Memulihkan pesan dan folder yang terhapus.

m. Paraben’s Network E-mail Examiner

Memeriksa penyimpanan email MS Exchange (.EDB), Lotus Notes (.NSF), dan GroupWise.

n. Net

  • Membantu komunitas internet untuk melaporkan dan mengontrol penyalahgunaan jaringan (network abuse) maupun user yang menyalahgunakannya (abusive user).
  • Layanan blacklist maupun spam analysis tidak termasuk di dalamnya.
  • Sekali terdaftar, ketika kita mengirimkan email ke [email protected], di mana domain-name adalah nama domain dari sumber atau junk email yang melakukan tindakan abusive, maka sistem akan otomatis mengirimkan email berisi pesan kita kepada best reporting address(es) milik domain tersebut.

o. Mail Detective Tool

  • Aplikasi monitoring yang didesain untuk mengontrol penggunaan email di jaringan perusahaan.
  • Menganalisis file log dari email server dan menyediakan laporan detail mengenai email pribadi dan email bisnis yang datang ke dan pergi dari jaringan perusahaan, beserta distribusi trafik oleh user dan alamat email.

3. Investigasi email menggunakan beberapa web pendukung forensik email:

a. Studi kasus: Penipuan melalui email (scam email)

Studi kasus yang diambil adalah mengenai scam email yang termasuk ke dalam tindak kejahatan lewat media email.

b. Contoh kasus: Penipuan panggilan kerja melalui email (job scam)

Job scam adalah termasuk ke dalam kategori scam email. Terdapat contoh kasus pada Desember 2012 di mana korban yang tertipu lowongan kerja yang diposkan oleh pelaku, mengirimkan sejumlah uang untuk biaya pemesanan tiket dan transportasi pada saat menghadiri tes penerimaan kerja. Kasus diambil dari:

http://m.beritakotaonline.com/5265/lagi-polisi-ungkap-kasus-cyber-crime-di-makassar/

Pelaku mengiklankan lowongan kerja PT. Adaro Indonesia di http://lowongan-kerja.tokobagus.com/hrd-rekrutmen/lowongan-kerja-adaro-indonesia-14669270.html pada awal Desember 2012. Dan pada tanggal 22 Desember 2012, korban yang masih berstatus pencari kerja mengirimkan surat lamaran kerja, CV, dan pasfoto berwarna ke email [email protected] milik pelaku. Pelaku membalas email dari korban tersebut dengan mengirimkan surat yang isinya panggilan seleksi rekruitmen karyawan yang seakan-akan benar jika surat panggilan tersebut berasal dari PT. Adaro Indonesia. Di dalam surat tersebut dicantumkan waktu tes, syarat-syarat yang harus dipenuhi oleh korban, tahapan & jadwal seleksi, serta nama-nama peserta yang berhak untuk mengikuti tes wawancara PT. Adaro Indonesia.

Di dalam email juga tercantum nama travel agent yaitu OXI TOUR & TRAVEL untuk melakukan reservasi pemesanan tiket serta mobilisasi (penjemputan peserta di bandara menuju ke tempat pelaksanaan tes) dengan penanggung jawab FIRMANSYAH (082341055575).

Selanjutnya korban kemudian menghubungi nomor HP milik Firmansyah dan diangkat oleh pelaku yang mengaku karyawan OXI TOUR & TRAVEL yang mengurus masalah tiket maupun mobilisasi peserta tes. PT. Adaro Indonesia telah bekerja sama dengan OXI TOUR & TRAVEL dalam hal transportasi terhadap peserta yang lulus seleksi penerimaan karyawan. Korban pun kemudian mengirimkan nama lengkap dan alamat email untuk pemesanan tiket melalui SMS ke nomor HP 082341055575 sesuai dengan yang diminta oleh pelaku. Adapun alamat e-mail korban adalah [email protected].

Setelah korban mengirim nama lengkap dan alamat email pribadi, korban kemudian mendapat balasan SMS dari nomor yang sama yang berisi total biaya dan nomor rekening. Isi SMS-nya adalah “Total biaya pembayaran IDR 2.000.000,-. Silakan transfer via BANK BNI no.rek: 0272477663 a/n: MUHAMMAD FARID”. Selanjutnya korban pun mentransfer uang sebesar Rp. 2.000.000,00 (dua juta rupiah) untuk pembelian tiket. Setelah mentransfer uang, korban kembali menghubungi Firmansyah untuk menanyakan kepastian pengiriman tiketnya, namun dijawab oleh tersangka jika kode aktivasi tiket telah hangus. Timbul kecurigaan pada korban setelah tahu jika aktivasinya dilakukan dengan menu transfer. Sehingga pada hari itu juga, Minggu tanggal 23 Desember 2012 korban langsung melaporkan kejadian tersebut di SPKT Polda Sulsel.

c. Simulasi kasus

  • Nama PT fiktif       : PT. Orada Indonesia
  • Travel agent fiktif : Asia Travel Center Indonesia à disebutkan dalam lampiran email
  • Email pelaku         : [email protected]
  • Email korban        : [email protected]
  • Pelaku mengirimkan surat panggilan tes penerimaan kerja PT. Orada kepada korban. Korban tertipu dengan mengirimkan sejumlah uang untuk biaya pemesanan tiket dan transportasi pada saat menghadiri tes penerimaan kerja. Sadar telah ditipu, korban pun melaporkan kasusnya ke polisi.
  • Polisi menurunkan anggota unit cyber crime-nya untuk menginvestigasi kasus penipuan yang melibatkan media email ini. Objek investigasi berupa email pelaku yang dikirimkan kepada korban.
  • Email pelaku diinvestigasi menggunakan beberapa web yang mendukung forensik email, yaitu:

d. Investigasi kasus

Simulasi kasus tersebut melibatkan email sebagai media komunikasi. Langkah yang dilakukan adalah dengan memeriksa header dari email yang dikirimkan oleh pelaku kepada korban.

  • Korban menggunakan email dari provider Yahoo, yaitu [email protected]. Login ke Yahoomail dan buka email yang dikirimkan oleh pelaku.
  • Klik pada tombol drop-down More dan klik opsi View Full Header.

  • Pilih teks header pesan (message header text) dan salin ke teks editor kemudian simpan file tersebut.

  • Sign-out email.
  • Berikut adalah isi header email pelaku.

 

From "HRD PT. Orada Indonesia" Wed Nov 25 06:16:06 2015
X-Apparently-To: [email protected]; Wed, 25 Nov 2015 06:16:10 +0000
Return-Path: <[email protected]>
Received-SPF: pass (domain of gmail.com designates 209.85.215.65 as permitted sender)
 YXJrYW4gaGFzaWwgZXZhbHVhc2kgdGltIHNlbGVrc2kgdGVyaGFkYXAgbGFt
 YXJhbiBrZXJqYSBTYXVkYXJhIHlhbmcga2FtaSB0ZXJpbWEsIGRlbmdhbiBp
 bmkga2FtaSBzYW1wYWlrYW4gYmFod2EgYmVya2FzIGxhbWFyYW4gU2F1ZGFy
 YSBtZW1lbnVoaSBwZXJzeWFyYXRhbiB5YW5nIGRpdGV0YXBrYW4gdW50dWsg
 ZGFwYXQgbWVuZ2lrdXRpIHRlcyByZWtydXRtZW4gY2Fsb24gawEwAQEBAQNt
 dWx0aXBhcnQvYWx0ZXJuYXRpdmUDAzMCA3RleHQvcGxhaW4DAzACA3RleHQv
 aHRtbAMDMgJTdXJhdCBVbmRhbmdhbiBUZXMgUFQuIE9yYWRhIEluZG9uZXNp
 YS5wZGYDYXBwbGljYXRpb24vcGRmAwMw
X-YMailISG: FcUdav0WLDs41WMGaRLBPxGSj101x767DFB0QhS_tSpBmcaO
 o3uzh27qAEX2SC9OQIrc.W18hulNJ7BF8Txxfl8hV9c_QvXEpDXD.aq5wdLV
 U5BHgrraNippjRQeedql9ng4Fr4ly04JkDod33mN3TX_bpsTYRADtwXuRlS1
 EAGssOmJaUGHMhZ8RwmFf8gv5lfbphhbRnswN5e9dU5o8OE5pA8c_yzplg_n
 wHM2_k3_9Aa6dZu5leKP3trcTgexMyFPdmPvaYhp8R.AEQCq47VJLaXYnaWf
 o.dO3nG7iWGDEg4pSmSyN.0sEtxjCS3ANK1ViryetCH8BavrlyuhMDT07gvD
 Q.RkI6_qe3nZulLIx4tw7dbbil58LJgG1SHGyM6pihsXmL7pgF4Mm3yxU2kn
 Q7PDcNuuAMyHfLgSzyxREkkfjQWanv6dnWj8EjlbGhllWkvf6ZITghSY8.kH
 QiE8VuF2_kCT9wQUHk.jGsZTT2Ow3MSoP.qqpr82AiCC8qTc90VjmWQxh6l1
 6hup058ZmEYB7J7e3TLbkXIJT2udJMByE76AfGI2Mt1H0hc7mxHGRewBl9NC
 cAXjMPx5ZTxoxAL04GX63NlYBWzoVLad.pASWubrel7SR1ZiS6pfLo_0iiAV
 dzoVGZVylwbISXtaG0btWRfcXBdXdxXJrsTuN61bN9Fw4s4wjT5b0w1qOL9H
 LD8yj_0Vs9rtn3VVVwDlYNge3zEXYRLErYgVt9o3YJ1V93ciQhnd5tHO1bEo
 AD_XPu_MMm77qTHFrkkkt3yHKIdsOOU.26GDKwb7xoX84zEY6iCJYiEPgf_.
 B21YH8cm61U0BAR4DrxJzgVLx9pQPIj76llmst5MGKub_kUkTVFLzdLNyfOO
 00rd_eYpZTMQH6NZUar2JotkCkPT7.wICrHoBkxWaArJaIwvbIWCYtTLjLn5
 5ZhrkPZixvypDb0dGAGgIgcMkR2EzbnZ2FF44OF04Pr_dZz0M2OFWptEXXzg
 Yc.VfCtFvgv5EC2TuC97nTNwzBAZhsqeftH0zWhZExA2zo5GLkr7FA_MKTG8
 WRwzEvQk07esNbFg44q5soQ76XpMr0zkJp56M9gqrV3QQNWj.ygn3fqNDUtr
 XehHHx0ysh6t8NoGLcW2oSfTjEH7g_.qL2ZeXoqHYlYtuV3x1yYC_T6K9f.n
 eDmDnUAeu9dpPXvovgtnaxNWaz5fHD0NfITxMAE7CWqYP6EH5zBXijULp1sy
 B0dn7l_7tnwr4uTki0gj_o._o9wdgnp.AER3CHSsFZoon2QZ.Sjt2YSIZALC
 aYAH9aGk5vMsSxTV7BYpvkdUx7ZYXOydVlDrZpjHWakt8w9FvK5T3ETo6Nlv
 NIqFZgXcZzkgfYhiVDRe.Jzq9OWuVscK5IlgT4kR4xLv.bC.7xrFq3P45mez
 gQgSAVNEdmHQLFKCZonNxgjO8I297SijNRmPn5Km2Adrdf2NpJTeC269_4Gf
 rhtvG9l9jMGzynebqCURpLgns6cYHOzwIIM-
X-Originating-IP: [209.85.215.65]
Authentication-Results: mta1523.mail.ne1.yahoo.com from=gmail.com; domainkeys=neutral (no sig); from=gmail.com; dkim=pass (ok)
Received: from 127.0.0.1 (EHLO mail-lf0-f65.google.com) (209.85.215.65)
 by mta1523.mail.ne1.yahoo.com with SMTPS; Wed, 25 Nov 2015 06:16:09 +0000
Received: by lfs39 with SMTP id 39so4246787lfs.3
 for <[email protected]>; Tue, 24 Nov 2015 22:16:07 -0800 (PST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
 d=gmail.com; s=20120113;
 h=mime-version:date:message-id:subject:from:to:content-type;
 bh=f6Xid5fFZl8bQuJdMXsdQa5uSFU3DVH1YLvXZK/P7Zs=;
 b=eLuYjxhteyVa452CB99jfYTY6ijZj+yaYNH35ieync6c8WglJuCEJmR3hAZJRYZKcU
 04wyYRBdqB5dzAl3FrGN6uyKoja4rQGBcvOmRwdRjblTfzDl9S7qbMxTsg7k5Q5SsmtA
 nUqpGSq2daKtR8IeWLp143FGYkBWqkyQ0fr2S7rOvRB0qwPWeh2E7BeYAaSwHKhrKSG
 8rmV1hCVfdivEjEsdFFNo2vntQWVHZTFDcSp6RfwkzeLuT/v0YrSK2UgMUebAmGPP7T5
 c7wpc23zSDII+V5HoCPAqRMa3tVCjuHnepCXdZUTqEf07f570ooL0iPKNmV4bG6AzCTQ
 OsYg==
MIME-Version: 1.0
X-Received: by 10.112.99.4 with SMTP id em4mr14329080lbb.87.1448432166908;
 Tue, 24 Nov 2015 22:16:06 -0800 (PST)
Received: by 10.25.214.106 with HTTP; Tue, 24 Nov 2015 22:16:06 -0800 (PST)
Date: Wed, 25 Nov 2015 13:16:06 +0700
Message-ID: <CAFv=qGF+58K65NPO+4=M8HNgQ9SjVq0iWTmO4ZnFuxREY6wTjA@mail.gmail.com>
Subject: Panggilan Tes Rekrutmen PT. Orada Indonesia
From: "HRD PT. Orada Indonesia" <[email protected]>
To: [email protected]
Content-Type: multipart/mixed; boundary=001a11340c9acacdae052557642d
Content-Length: 360642

 

  • Menganalisis header email pelaku.
    • From                  : [email protected]
    • Sender              : HRD PT. Orada Indonesia
    • To                       : [email protected]
    • Date                   : Wed, 25 Nov 2015 13:16:06 +0700
    • Subject              : Panggilan Tes Rekrutmen PT. Orada Indonesia
    • Originating-IP : 85.215.65
    • Received           : pass (domain of gmail.com designates 209.85.215.65 as permitted sender)
    • Message-ID     : <CAFv=qGF+58K65NPO+4=M8HNgQ9SjVq0iWTmO4ZnFuxREY6wTjA@mail.gmail.com>
  • Selanjutnya dilakukan validasi terhadap alamat email pelaku apakah alamat email tersebut benar-benar valid. Untuk mengecek validitas email, buka situs web http://centralops.net dan pilih menu Email Dossier. Isikan alamat email secara lengkap dan benar, kemudian klik tombol go. Hasil yang muncul akan menunjukkan apakah alamat email yang dimasukkan tadivalid atau tidak. Untuk alamat email [email protected] berikut adalah hasil pengecakan validitasnya:

  • Kemudian lakukan pengecekan terhadap originating IP address. Pengecekan ini dapat dilakukan dengan menggunakan online toolis. Buka situs web https://who.is dan isikan IP address yang telah ditemukan pada header email, kemudian klik tombol kaca pembesar (search).

  • Hasil yang muncul nantinya dapat menunjukkan alamat geografis dari penyedia layanan email (email provider) yang digunakan. Untuk IP address 209.85.215.65 adalah milik Google, Inc. dan alamat geografisnya adalah di 1600 Amphitheatre Parkway, Mountain View, California (CA), US. Oleh karena berada di US, maka domain registrant-nya mengikuti milik ARIN (American Registry for Internet Number).

  • Investigator dapat juga melakukan trace back email pelaku untuk mendapatkan informasi berupa email pengirim dan IP address-nya menggunakan situs web http://www.cyberforensics.in/OnlineEmailTracer/index.aspx. Salin header email ke dalam form yang tersedia kemudian klik tombol Start Tracing.

  • Hasil yang muncul adalah berupa IP address dan domain registrant dari IP address tersebut, yaitu sebagai berikut:

  • Dan berikut adalah hasil tracing perjalanan email pelaku untuk sampai ke tujuan (path trace).

  • Selain itu, masih ada tambahan informasi berupa domain registrant dari IP addres email tersebut.

  • Setelah mengetahui informasi tersebut, ada baiknya bagi investigator untuk mengecek juga siapakah email provider dari domain email yang digunakan oleh pelaku dan apakah domain tersebut tidak bermasalah untuk diakses. Hal ini dapat dilakukan menggunakan online tool mxtoolbox.com. Buka situs web http://mxtoolbox.com/ kemudian isikan nama domain dari email milik pelaku. Klik tombol MX Lookup untuk memprosesnya. Hasil yang muncul menunjukkan bahwa domain gmail.com yang digunakan oleh pelaku untuk mengirimkan email kepada korban adalah menggunakan email provider Google.

  • Selain itu, mxtoolbox.com juga dapat digunakan untuk menemukan permasalahan pada domain email. Klik tombol Find Problems. Hasilnya akan muncul sebagai berikut.

  • Untuk melihat detail informasinya, cukup klik pada tombol Errors, Warning, atau Passed.
  • Jadi, kesimpulannya adalah email pelaku menggunakan domain gmail.com yang merupakan domain milik Google dengan IP address-nya adalah 209.85.215.65 berada di US sehingga mengikuti domain registrant ARIN.
  • Langkah selanjutnya yang dapat dilakukan oleh investigator adalah dengan menghubungi pihak email provider gmail.com untuk berkoordinasi agar investigator bisa mendapatkan informasi lebih lanjut mengenai pelaku lewat akun yang digunakannya, yaitu [email protected].

Email Forensics

Hey hey hey.. Apa kabar semua? Udah lama bgt gak apdet blog, due to kemalasan yg melanda. Huhuhuhu.. Baiknya jangan ditiru ya.. Baiklah.. Kalo di postingan terakhir membahas tentang Wireless Forensics, kali ini pembahasannya adalah mengenai Email Forensics. Berbeda dengan Wireless Forensics yg memang punya kategori sendiri di blog ini (Network Forensics ~> Wireless Forensics), Email Forensics ini masuk ke tema pembahasan di kategori Internet Forensics (Network Forensics ~> Internet Forensics).

Bismillah.. Langsung aja ya, kita bahas tentang email..

DEFINISI EMAIL

Email adalah singkatan dari electronic mail atau surat elektronik. Surat elektronik dipertukarkan (dikirim dan diterima) menggunakan media elektronik yang terhubung melalui koneksi jaringan, dalam hal ini adalah internet. Awalnya email digunakan untuk bertukar pesan elektronik yang berbasis file teks, namun dengan perkembangan teknologi, email lebih atraktif terhadap penggunanya, tidak hanya dapat mengirim file teks, tapi juga dapat mengirim file audio, video, foto, dan ektensi file lainnya (Chhabra & Bajwa, 2015).

Menurut penelitian Pasupatheeswaran pada 2008, email terdiri dari dua bagian, yaitu header dan body. Bagian header membawa informasi yang dibutuhkan untuk routing email, baris subjek, dan timestamps, sedangkan body terdiri dari pesan atau data yang hendak disampaikan pada penerima. Namun, dalam artikel

dinyatakan bahwa secara umum sebuah email terdiri dari 3 bagian besar, yaitu:

  • Bagian header
    • Subjek atau topik email
    • Tanggal dan hari
    • Alamat email yang dituju
    • Nama lengkap dan alamat email pengirim
  • Bagian body
    • Artikel dari pengirim
    • Kutipan dari artikel yang terdahulu yang diacu pada isi email saat ini
  • Bagian footer
    • Signature pengirim email
    • Kutipan artikel/email terdahulu
    • Signature tambahan dari provider internet

SEJARAH EMAIL

Email pertama kali dirancang oleh seorang ilmuwan bernama Raymond Tomlinson dari BBN Technologies (Saleh, 2006) yang merupakan perusahaan yang disewa oleh Departemen Pertahanan Amerika Serikat (DoD – Department of Defense) untuk membangun internet pertama di dunia. Jika berbicara tentang sejarah email, maka tidak akan terlepas dari sejarah ARPANET yang akan menjadi cikal bakal dari internet yang dapat dinikmati saat ini.

ARPANET (Advanced Research Project Agency Network) merupakan jaringan komputer yang dibuat oleh ARPA (Advanced Research Project Agency) dari Departemen Pertahanan Amerika pada tahun 1969 sebagai sebuah sistem jaringan komunikasi untuk keperluan militer. Keberadaan email jauh lebih dulu dibandingkan ARPANET, tepatnya pada tahun 1965, email sudah diimplementasikan menggunakan kumpulan mainframe yang terbentuk sebagai jaringan.

Raymond menulis sebuah program transfer file yang disebut CPYNET yang digunakan untuk mentransfer file melalui ARPANET. Program CPYNET digunakan untuk SNDMSG (Send Message) yang merupakan program untuk mengirim pesan antar dua user yang berbeda di komputer yang sama. Dengan menggabungkan program CPYNET dan SNDMSG, Ray berpikir bahwa pesan akan terkirim tidak hanya pada satu komputer saja, melainkan dapat dikirimkan kepada beberapa user dan beberapa komputer. Raymond terus melakukan eksperimen dan berhasil pada tahun 1971 dengan percobaan pengiriman email dari komputer Raymond ke komputer yang berada di sebelahnya dengan jarak 1 meter. Untuk dapat mengirim pesan ke beberapa komputer, Raymond mempelajari struktur keyboard komputer dan memilih karakter “@” sebagai petunjuk alamat pengguna email. Simbol “@” dieja “at” yang merupakan kosakata dalam bahasa Inggris yang memiliki arti “di” yang berfungsi untuk mengidentifikasi alamat penerima dan jaringan yang digunakan.

CARA KERJA EMAIL

Sistem email terdiri dari dua komponen utama yang berperan penting dalam proses pengiriman dan penerimaan email, yaitu Mail User Agent (MUA) dan Mail Transfer Agent (MTA). MUA merupakan komponen yang digunakan oleh user untuk menerima, menjawab, dan menulis pesan, sedangkan MTA berfungsi untuk menghantarkan email yang hendak dikirim, biasanya dikenal dengan sebutan mailer (Wahyudi, 2008).

Untuk lebih jelasnya, perhatikan gambar berikut:

  • Tahap A : Pengirim (sender) menulis dan mengirimkan pesan email
  • Tahap B : Mesin MTA pengirim merutekan pesan email
  • Tahap C : Email masuk ke jaringan perusahaan
  • Tahap D : Email masuk dalam daftar antrean
  • Tahap E : Email dihantarkan dari MTA (server email) pengirim menuju MTA penerima melintasi router-router internet
  • Tahap F : Pesan email masuk pemeriksaan firewall, filter spam dan virus sebelum masuk ke MTA penerima
  • Setelah lolos pemeriksaan firewall, maka email akan disampaikan ke mailbox penerima yang dituju.

Email biasanya banyak menggunakan format ASCII (American Standard Code for Information Interchange) untuk standar teks, sehingga dapat dibaca oleh semua komputer. Teks ASCII biasanya direpresentasikan pada nama-nama dan nilai-nilai field pada header. Sedangkan untuk nilai-nilai non-ASCII akan direpresentasikan menggunakan standar MIME (Multipurpose Internet Mail Extension), yaitu standar protokol untuk mempermudah pengiriman berkas melalui lampiran (attachment) seperti format gambar, video, audio, file doc, dan sebagainya.

ANATOMI EMAIL

Yuk, kita bahas mengenai email’s anatomy *sok2an ikutan Grey’s Anatomy gitu..* 😀 Kita ambil contoh dari alamat email [email protected] ya..

Berikut rinciannya:

  • hoiriyah  : nama pengguna (username) yang ingin dituju dalam mail server
  • uii.ac.id   : nama mail server tujuan (mail server tempat pengguna yang dituju) dengan rincian sebagai berikut
    • students : subdomain, biasanya merujuk kepada suatu komputer dalam lingkungan pemilik domain
    • uii             : nama domain, biasanya menunjukkan nama perusahaan, instansi, organisasi, atau pemerintahan
    • ac             : second level domain, menunjukkan bahwa domain termasuk kategori institusi pendidikan (academic)
    • id              : top level domain, menunjukkan bahwa domain terdaftar di otoritas domain Indonesia (id)

Nah, udah paham kan mengenai penggunaan email ini? Bermanfaat banget ya, tapi gak jarang juga dimanfaatkan untuk melakukan tindak kejahatan *jeng jeng jeng..* Mau tahu apa tempe kejahatan apa saja yg bisa dilakukan dengan menggunakan media email?

1. Spamming

Spamming adalah pesan komersial yang tidak diminta (bulk email). Penjahat yang mengirim spam disebut spammer. Karena pengiriman email sangat murah, spammer dapat mengirim ribuan email sekaligus setiap hari melintasi jaringan internet. Dampak dari spamming adalah dapat menyebabkan overload pada komputer yang sibuk.

2. Email worm

Menggunakan email sebagai jalan untuk menggandakan dirinya ke banyak komputer. Kombinasi spam dan worm dapat sangat mengganggu para pengguna email.

3. Email spoofing

Email spoofing merupakan bagian dari bentuk pemalsuan. Pesan email yang dikirimkan, dengan sengaja dipalsukan supaya tampak seolah-olah dari alamat email yang terpercaya atau dikenal. Spoofing seringkali ditempuh dengan mengubah header email.

4. Email bombing

Email bombing adalah usaha mentransfer email dalam jumlah ekstra besar ke sebuah target alamat email, sehingga account email korban mengalami crash atau tidak dapat digunakan lagi.

Nah, dengan adanya tindak kejahatan menggunakan email tsb, maka dibutuhkan juga tindakan investigasi forensik terhadap email, atau bisa kita sebut Email Forensics.

EMAIL FORENSICS

Banday (2011) dalam penelitiannya menyatakan bahwa:

Email forensics mengacu pada studi tentang sumber dan isi email sebagai alat bukti untuk mengidentifikasi pengirim email yang sebenarnya dan penerima email, tanggal & waktu ketika email ditransmisikan, serta detail record tentang transaksi email.

Sedangkan menurut Karsono (2012):

Email forensics adalah suatu tindakan pengamanan, pengecekan, serta penelusuran terhadap email palsu atau terhadap bukti-bukti kejahatan yang menggunakan email.

Pengertian email forensik juga disampaikan oleh Devendran (2015) bahwa:

Pemeriksaan dan pengungkapan informasi penting yang terdapat pada email merupakan aktivitas e-mail forensics.

Tahapan-tahapan dalam email forensics:

  1. Mendapatkan surat izin penggeledahan (search warrant)
  2. Mendapatkan bit-by-bit image dari informasi email
  3. Memeriksa header email
  4. Menganalisis header email
  5. Melacak dari mana email berasal
  6. Mengakuisisi arsip email (email archive)
  7. Melakukan pemulihan (recovery) terhadap email yang telah dihapus (deleted email)

Jenis-jenis investigasi email forensics:

1. Header Analysis

Header analysis merupakan analisis yang dilakukan pada metadata header email, di mana metadata tersebut mengandung informasi tentang pengirim dan/atau jalur yang dilalui oleh pesan selama dalam perjalanan menuju alamat email yang dituju.

2. Bait Tactic

Investigasi email yang menggunakan bait tactic dengan http <img src> menandai sumber gambar pada beberapa komputer yang kemudian dimonitor oleh investigator dengan mengirim pesan pada si pengirim di bawah investigasi alamat email yang sebenarnya. Investigator akan mengirim email jebakan pada si penipu, jika email tersebut dibuka, maka IP address dari si penipu akan terekam dan dapat dilacak. Investigator dapat menggunakan embedded java applet atau active X object yang digunakan dalam mengirim pesan jebakan. Keduanya dapat mengekstrak IP address dari komputer penerima beserta emailnya kepada investigator.

3. Server Investigation

Dalam investigasi ini, pesan yang terkirim dan log server akan disalin (di-copy) untuk keperluan investigasi, untuk mengidentifikasi sumber email itu sendiri. Log server yang sudah di-copy akan dipelajari untuk melacak alamat komputer yang membuat transaksi menggunakan email. Namun, data log server yang di-copy bersifat terbatas pada suatu periode.

4. Network Investigation

Log yang berada pada alat-alat jaringan seperti router, switch, dan firewall dapat digunakan untuk menginvestigasi sumber email.

5. Software Embedded Indentifiers

Dalam membuat pesan, pengirim kemungkinan memasukkan beberapa informasi tentang pengirim email, file, atau dokumen yang dilampirkan menggunakan software email. Informasi ini bisa terdapat pada header atau di dalam konten MIME, yang bisa saja merupakan informasi vital yang dapat dijadikan barang bukti. Investigasi ini dapat menunjukkan nama file PST (Microsoft Outlook), Windows logon, username, MAC address yang terdapat pada komputer client yang digunakan untuk mengirim email.

6. Sender Mailer Fingerprints

Identifikasi dari software yang menangani email pada server bisa diungkapkan dari halaman received header dan identifikasi software yang menangani email pada client bisa diketahui dengan menggunakan set header yang berbeda, seperti “X-mailer” atau sejenisnya. Header ini menjelaskan tentang aplikasi yang digunakan dan versi yang digunakan oleh client untuk mengirim pesan. Informasi tentang komputer client dapat membantu investigator menemukan rencana yang efektif dan membuktikan dengan tepat.

Sekian pembahasan, sekarang saatnya.. *drum roll, tarak dung ces*

LATIHAN SOAL

Latihan soal dapat dilihat di sini.

OK, segitu dulu ya.. Semoga bermanfaat. Insya Allah dilanjutin lagi.. 🙂

Terima kasih.

SPECIAL THANKS TO:

  • Hoiriyah. (2016). Investigasi forensik pada email spoofing dengan menggunakan metode header analysis. Universitas Islam Indonesia, Yogyakarta, Indonesia.

SUMBER

Log File: Latihan Soal

LATIHAN SOAL

  1. Sebutkan dan jelaskan 3 jenis log yang dapat digunakan dalam proses forensik!
  2. Sebutkan beberapa barang bukti yang dapat dijadikan evidence terkait komukasi data sesuai dengan UU ITE!
  3. Lakukan instalasi windump/tcpdump! Lakukan capture traffic menggunakan software tersebut minimal 15 menit pada posisi download atau ada attack dari temannya! Berikan capture screenshot dan penjelasannya!

JAWABAN

1. 3 jenis log yang dapat digunakan dalam proses forensik:

a. Operating System (OS) Log

Log sistem operasi pada server, workstation, dan perangkat jaringan (networking device), seperti router, switch, dll. Log sistem operasi merupakan log yang paling mudah digunakan untuk mengidentifikasi atau menginvestigasi aktivitas mencurigakan yang berkaitan dengan host tertentu. Dibagi menjadi 2, yaitu:

  • Event Log
Berisi informasi mengenai tindakan operasional yang dilakukan oleh komponen sistem operasi.
  • Audit Log
Berisi informasi kejadian terkait keamanan (security event information), seperti percobaan autentikasi yang sukses/gagal, pengaksesan file, perubahan pada peraturan keamanan (security policy), dan perubahan akun.

b. Application Log

Log aplikasi yang berjalan pada sistem dan server seperti pada email server, database server. Log aplikasi berisi seluruh kejadian (event) yang dicatat oleh program. Event yang dicatatkan ke dalam log aplikasi ditentukan oleh pengembang program/software. Informasi yang biasanya terdapat di dalam log aplikasi adalah sebagai berikut:

  • Permintaan klien (client request) dan respon server (server response)
  • Informasi akun
  • Informasi penggunaan (usage information)
  • Tindakan operasional yang signifikan

c. Security Software Log

Log pada jaringan (network) dan software keamanan berbasis host (host-based security software). Software yang digunakan untuk keperluan pencatatan log jenis ini adalahsebagai berikut:

  • Software anti-malware
  • IDS (Intrusion Detection System) dan IPS (Intrusion Prevention System)
  • Software untuk akses remote
  • Web proxy
  • Software pengaturan celah keamanan (vulnerability management software)
  • Server autentikasi
  • Router
  • Firewall
  • Server karantina jaringan (network quarantine server)

2. Barang bukti yang dapat dijadikan evidence terkait komukasi data sesuai dengan UU ITE:

a. Electronic Data Interchange (EDI)

Metode komunikasi elektronik yang menyediakan standar pertukaran data melalui peralatan elektronik. dengan merujuk kepada standar yang sama, dua atau lebih organisasi bahkan di negara yang berbeda, dapat melakukan pertukaran dokumen secara elektronik, seperti dokumen pemesanan barang (Purchase Order), tagihan (invoice), dan nota pengiriman (shipping notice). EDI dilakukan melalui transmisi jaringan berikut:

  • Jaringan Peer-to-Peer (P2P)
Koneksi langsung antara satu komputer dengan komputer yang lain.
  • Value-Added Network (VAN)
Mengakomodir keterbatasan jaringan P2P, VAN bertindak seperti kantor pos regional yang menerima transaksi, memeriksa informasi pengirim dan tujuan, dan me-routing-kan transaksi tersebut ke penerima terakhir.
  • Internet
Karena banyaknya organisasi yang terlibat dalam penggunaan EDI, maka EDI ditransmisikan melalui internet.

b. Surat elektronik (electronic mail)

Metode pertukaran pesan digital dari satu pengirim pesan kepada satu atau lebih penerima. Electronic mail atau biasa disingkat email, beroperasi melalui internet atau jaringan komputer lainnya.

c. Dokumen elektronik

Informasi Elektronik yang diteruskan atau dikirimkan dan dapat dilihat, ditampilkan, atau didengar melalui komputer atau sistem elektronik lain. Dokumen elektronik meliputi tulisan, suara, gambar, peta, rancangan, foto, huruf, tanda, angka, kode akses, dan simbol.s

d. Nama domain

Alamat internet penyelenggara negara, orang, badan usaha, atau masyarakat, yang dapat digunakan dalam berkomunikasi melalui internet, yang berupa kode atau susunan karakter yang bersifat unik untuk menunjukkan lokasi tertentu dalam internet.

e. Tidak disebutkan penggunaan LOG sebagai barang bukti dalam UU ITE.

3. Skenario capture traffic:

a. Komputer target

  • OS : Kali Linux
  • Aktivitas : download dan capture traffic dengan tcpdump
  • IP address : 192.168.1.131

b. Komputer penyerang

  • OS : Windows 7
  • Aktivitas : menyerang komputer target dengan software LOIC
  • IP address : 192.168.1.130

Langkah-langkah capture traffic:

a. Capture traffic dijalankan sekitar 15 menit (pkl. 09.00 – 09.15 WIB) menggunakan tcpdump yang dijalankan di komputer target yang ber-OS Kali Linux. Hasil capture disimpan di file nfat-eth0.log.

b. Komputer target melakukan aktivitas download file menggunakan aplikasi wget ke https://www.dropbox.com/s/m76ntnhmo8v57dg/CyberJawara2015.zip. Download dilakukan pada pkl. 09.00 WIB.

c. Komputer penyerang ber-OS Windows 7 melakukan attack dengan menggunakan software LOIC. Jalankan LOIC dan isikan informasi IP address target dan metode yang digunakan sebagai berikut:

  • IP           : 192.168.1.131 ~> klik tombol Lock on
  • Method : TCP

Klik tombol IMMA CHARGIN MAH LAZER untuk memulai attack melalui protokol TCP port 80. Attack dilakukan pada pkl. 09.05 WIB dan pada pkl. 09.15 akan di-stop. Berikut adalah screenshot LOIC saat melakukan attack.

Dan berikut adalah screenshot proses download file saat attack berlangsung.

d. Setelah 15 menit atau pada pkl. 09.15 WIB, capture traffic dengan tcpdump dihentikan. Tekan tombol Ctrl+C.

e. Transfer file nfat-eth0.log dari Kali Linux ke Windows 7 untuk lebih memudahkan dalam pembacaan file tersebut. Transfer file dilakukan dengan menggunakan aplikasi winscp. Berikut adalah informasi dari file nfat-eth0.log.

Dapat dilihat ukuran file nfat-eth0.log yang mencapai 79.2 MB dengan durasi capture berkisar 15 menit.

f. Buka file nfat-eth0.log menggunakan aplikasi Notepad++.

Analisis file hasil capture traffic menggunakan tcpdump:

Proses download terjadi pada pkl. 09.00 – 09.15 WIB sedangkan proses attack terjadi pada pkl. 09.05 – 09.15 WIB. Terdapat jeda 5 menit dari pkl. 09.00 – 09.05 WIB, yaitu proses download file tanpa ada attack, yang akan dianalisis perbandingannya dengan proses download file saat ada attack yang berlangsung 10 menit dari pkl. 09.05 – 09.15 WIB.

a. Download file tanpa ada attack

  • Waktu : pkl. 09.00 – 09.05 WIB
  • Durasi : 5 menit
  • Screenshot

  • Penjelasan

Komputer yang melakukan aktivitas download file memiliki detail sebagai berikut:

  • IP address      ~> 168.1.131
  • Port                  ~> random karena menggunakan port klien
  • MAC address ~> 00:0c:29:02fc:1b

Download file dilakukan ke:

  • Website           ~> dropbox.com
  • IP address      ~> 22.227.179
  • Port                  ~> 443 (HTTPS)
  • MAC address ~> MAC address modem (yang bertindak sebagai gateway ke internet) yaitu 78:e8:b6:d5:e7:24

Kesimpulan: IP address yang terbaca adalah source IP address komputer yang download file dan destination IP address www.dropbox.com. Source port yang digunakan oleh komputer adalah port yang random, sedangkan destination port www.dropbox.com menggunakan port 443 (HTTPS). Source MAC address komputer dapat terbaca sedangkan destination MAC address yang terbaca adalah MAC address modem yang bertindak sebagai gateway ke internet.

b. Download file saat ada attack

  • Waktu : pkl. 09.05 – 09.15 WIB
  • Durasi : 10 menit
  • Screenshot

  • Penjelasan

Komputer yang melakukan attack memiliki detail sebagai berikut:

  • IP address      ~> 168.1.130
  • Port                  ~> random karena menggunakan port klien
  • MAC address ~> 00:15:af:be:db:6f

Komputer yang diserang memiliki detail sebagai berikut:

  • IP address      ~> 168.1.131
  • Port                  ~> 80 (HTTP)
  • MAC address ~> 00:0c:29:02fc:1b

Kesimpulan: IP address yang terbaca adalah IP address komputer penyerang dan IP address komputer yang diserang. Source port yang digunakan oleh penyerang adalah port yang random dan serangannya menuju ke destination port 80 dari komputer target. MAC address komputer penyerang dan MAC address komputer yang diserang sama-sama dapat terbaca. Attack dari komputer penyerang cukup berdampak pada proses download yang menjadi tersendat-sendat dan akibatnya jarang ter-record di file log tersebut. Dapat dilihat pada gambar di atas bahwa dalam 1 layar screenshot, MAC address modem yaitu 78:e8:b6:d5:e7:24 hanya muncul 2 baris.

Log File

Yak, masih lanjutan dari pembahasan Internet Forensics, postingan kali ini akan membahas mengenai log file. Log file atau file log merupakan tujuan dilakukannya Internet Forensics. Nah, dari file log itulah diharapkan muncul IP address yang dicari.

Ada bermacam-macam file log yang bisa dikumpulkan, tergantung dari perangkat apa yang sedang diselidiki. File log yang dikumpulkan dari computer security log, mengandung informasi mengenai kejadian (events) yang muncul di dalam sistem & jaringan komputer sebuah organisasi. Kategorinya antara lain:

1. Operating System (OS) log

~ Log dari sistem operasi untuk:

  • Server.
  • Perangkat jaringan, seperti router dan switch.

~ OS log ini dapat “dilemparkan” ke sebuah server syslog sehingga tersentralisasi untuk mempermudah pengecekan log dari beberapa perangkat.

2. Application log

~ Seperti web, email, dan database.

~ Contoh pada web application log, dapat di-capture menggunakan windump (Windows) atau tcpdump (Linux).

3. Security software log

~ Log dari:

  • Network-based security software
  • Host-based security software

~ Contohnya pada honeypot (duplikasi sistem agar tahu behavior-nya) dapat digunakan NFAT (Network Forensics Analysis Tool), seperti Xplico.

YANG DIDAPATKAN DARI FILE LOG

1. Timestamp (tanggal, bulan, tahun, waktu/jam)

Terkait dengan timestamp ini, amat penting untuk memastikan jam pada perangkat/sistem bekerja dengan baik. Lebih baiknya lagi, gunakan NTP server yang terpercaya.

2. IP address

LEGALITAS PENGGUNAAN LOG

  1. Dibuat ketika event berlangsung.
  2. Disimpan di sistem yang bersangkutan.
  3. Seseorang yang mengetahui event berlangsung, harus merekam (record) informasinya.
  4. Recording dengan program.
  5. Log harus bisa disimpan secara reguler.
  6. Simpan log untuk dianalisis.

Rule 803 “Federal Rules of Evidence” ~> Records of regularly conducted activity as evidence

LOG MANAGEMENT

Proses & teknik untuk mengumpulkan, menggabungkan, dan menganalisis log-log. Dapat menggunakan centralized logging yaitu log perangkat dari banyak branch, masuk ke sebuah server.

Bisa juga dengan tools untuk monitoring:

  • Nagios
  • Cacti
  • MRTG
  • PRTG
  • Zabbix

Tantangan dalam log management antara lain:

  • Requirement ~> requirements & goals
  • Approach       ~> policies & procedures
  • Training          ~> log management responsibility
  • Security

Sekian pembahasan, sekarang saatnya.. *drum roll, tarak dung ces*

LATIHAN SOAL

Latihan soal dapat dilihat di sini.

OK, segitu dulu ya.. Semoga bermanfaat. Insya Allah dilanjutin lagi.. 🙂

SUMBER

  • Catatan kuliah & latihan soal Internet Forensics – Magister Informatika UII Yogyakarta

DNS Forensics: Latihan Soal

LATIHAN SOAL

  1. Gambarkan dan jelaskan cara kerja DNS lengkap dengan contohnya!
  2. Tuliskan serangan-serangan yang sering terjadi pada DNS! Berikan contohnya!
  3. Tuliskan tahapan-tahapan investigasi serangan pada DNS (forensik DNS)!

JAWABAN

1. Cara kerja DNS server dan contohnya:

a. Hierarki DNS server

Komputer dan perangkat lain di internet menggunakan IP address untuk berkomunikasi. Manusia tidak dapat mengingat banyak sekali IP address di internet, maka digunakanlah nama domain. DNS server bertugas menerjemahkan (resolve) nama domain ke IP address sehingga dapat membawa user ke website tujuannya.

Sebelum masuk ke cara kerja DNS server, perlu diketahui terlebih dahulu mengenai hierarki DNS server. Berikut adalah hierarkinya:

  • Hierarki paling atas adalah “Root”.
  • Di bawah Root terdapat TLD atau “Top-Level Domain”. Dalam TLD juga terdapat country code atau yang disebut sebagai ccTLD (country code TLD), seperti ID untuk Indonesia, UK untuk United Kingdom, US untuk United States, dan lain-lain.
  • Di bawah TLD, terdapat “Second-Level Domain” yang biasanya adalah nama domain dari suatu host. Contoh pada gambar adalah Microsoft.
  • Di bawah Second-Level Domain terdapat “Subdomain”. Subdomain ini tidak ada batasannya.
  • Hierarki paling bawah adalah “Host”, yang merupakan individual machine.

b. Cara kerja DNS server dan contohnya

Contoh alamat web         : senenkliwon.com

Setelah memahami hierarki DNS server, berikut adalah cara kerja DNS server:

  • Ketika user mengetikkan alamat web com pada web browser, web browser melakukan pencarian di dalam cache-nya. Cache adalah media penyimpanan sementara. Jika tidak ditemukan, web browser akan meminta bantuan sistem operasi untuk melakukan pencarian IP address alamat web yang dimaksud.
  • Jika sistem operasi tidak menemukan IP address web com di dalam cache-nya, maka sistem operasi akan meminta bantuan kepada resolver.
  • Resolver biasanya merupakan server di ISP (Internet Service Provider) yang digunakan oleh user. Semua resolver harus mengetahui 1 hal, yaitu di mana menemukan root server. Resolver melakukan pencarian IP address di dalam cache-nya. Jika tidak ditemukan, resolver akan mengontak root server.
  • Root server tidak mengetahui IP address dari senenkliwon.com, dia hanya mengetahui lokasi (IP address) TLD server .COM. Resolver kemudian menyimpan informasi berupa lokasi (IP address) TLD server .COM di dalam cache-nya, sehingga jika nantinya terdapat permintaan alamat web dengan TLD .COM, resolver tidak perlu menghubungi root server lagi.
  • Resolver kemudian menghubungi TLD server .COM, namun TLD server .COM tidak mengetahui IP address dari com, dia hanya mengetahui authoritative name server (beserta IP address-nya) dari web senenkliwon.com, misalnya ns1.cloudflare.com dan ns2.cloudflare.com. Informasi berupa authoritative name server ns1.cloudflare.com dan ns2.cloudflare.com (beserta IP address-nya) tersebut disimpan di dalam cache si resolver.

NOTE:

TLD server mengetahui banyak sekali authoritative name server dengan bantuan dari domain registrar yang menginformasikan nama domain dan authoritative name server-nya ke TLD server, ketika sebuah domain dibeli.

  • Resolver kemudian menghubungi ns1.cloudflare.com. ns1.cloudflare.com kemudian memberikan IP address dari web com, kemudian disimpan oleh resolver di cache-nya.

NOTE:

Biasanya ada lebih dari 1 authoritative name server dari sebuah domain. Misal pada contoh ini adalah ns1.cloudflare.com dan ns2.cloudflare.com yang dapat me-resolve domain apapun yang dikelola oleh senenkliwon.com. Penggunaan lebih dari 1 authoritative name server ini dimaksudkan untuk membagi load pekerjaan dan sebagai backup apabila salah satu authoritative name server bermasalah. Authoritative name server bertugas untuk menjawab DNS query, seperti IP address sebuah website atau IP address mail-nya. Dapat juga diketahui dengan command/tool whois.

  • Resolver memberikan IP address com kepada sistem operasi untuk disimpan di cache-nya dan akan diteruskan kepada web browser. Web bsrowser menghubungi IP address senenkliwon.com dan menampilkan halaman web-nya.

c. Rangkuman

  • Jika IP address web yang diakses tidak ada di dalam cache dari web browser dan sistem operasi, maka resolver akan dikontak.
  • Jika IP address web yang dimaksud tidak ada di dalam cache dari resolver, maka resolver akan menghubungi root server.
  • Root server tidak akan memberikan IP address web tersebut, namun memberikan informasi mengenai TLD server-nya, kemudian disimpan di dalam cache si resolver.
  • TLD server tidak akan memberikan IP address web tersebut, namun memberikan informasi mengenai authoritative name server-nya, kemudian disimpan di dalam cache si resolver.
  • Authoritative name server akan memberikan IP address web tersebut dan disimpan oleh resolver di dalam cache-nya.
  • Resolver memberikan IP address web yang dimaksud kepada sistem operasi untuk disimpan di dalam cache-nya dan diteruskan ke web browser.
  • Web browser menghubungi IP address tersebut dan menampikan halaman web-nya.

Sumber : https://howdns.works

2. Serangan-serangan yang terjadi pada DNS server:

a. Zero-day Attack

Penyerang memanfaatkan celah keamanan yang belum diketahui pada DNS protocol stack atau software dari DNS server itu sendiri, di saat pengembang software tidak memiliki waktu untuk membuat patch dari celah keamanan tersebut.

b. DDos Attack

Serangan yang dilakukan oleh mesin (botnet) yang men-generate banyak sekali permintaan untuk resolve IP address ke DNS server target.

c. Man in the Middle Attack

Mesin (server) yang telah diinfeksi sehingga menjadi berbahaya (malicious) dan melakukan penetrasi ke jaringan, mengambil alih keseluruhan struktur DNS, dan meneruskan DNS request ke website yang berbahaya (malicious website).

d. DNS Poisoning

Serangan yang juga sering terjadi pada DNS server adalah DNS poisoning yang merupakan teknik untuk menipu DNS server agar percaya bahwa DNS server telah menerima informasi yang autentik. Serangan ini berdampak pada penggantian IP address yang sesungguhnya menjadi IP address palsu pada level layanan DNS di mana alamat web dikonversi menjadi IP address.

Contoh DNS poisoning:

  • Intranet DNS Spoofing (Local Network)
Penyerang terkoneksi ke LAN (Local Area Network) dan dapat menyadap paket. Serangan ini bekerja terhadap switch dengan router yang terkena ARP poisoning.
  • Internet DNS Spoofing (Remote Network)
Penyerang menginfeksi target dengan trojan dan mengganti IP address DNS-nya menjadi IP address penyerang.
  • Proxy Server DNS Poisoning
Penyerang mengirimkan trojan ke komputer target dan mengganti settingan alamat proxy pada web browser target menjadi IP address milik si penyerang.
  • DNS Cache Poisoning
Serangan ini melibatkan penggantian atau penambahan record pada cache milik resolver sehingga bila ada DNS query untuk sebuah domain, maka IP address yang akan dikembalikan (DNS response) adalah berupa IP address dari website palsu milik si penyerang. Jika resolver tidak dapat melakukan validasi terhadap DNS response apakah benar datang dari authoritative name server yang sesungguhnya, maka resolver akan menyimpan record yang salah di dalam cache-nya dan akan memberikan kepada user yang melakukan DNS request yang sama.

3. Tahapan investigasi serangan pada DNS (forensik DNS):

Apabila terjadi serangan pada DNS server berupa DNS poisoning, berikut adalah beberapa tahapan untuk melakukan investigasi terhadap serangan tersebut:

a. Jika diketahui bahwa cache DNS server telah corrupt, maka lakukan dump terhadap isi dari cache DNS server untuk memeriksa baris yang tidak seharusnya ada.

b. Pada sistem Linux, gunakan commandndc dumpdb”.

c. Langkah-langkah investigasi:

  • Jalankan aplikasi packet sniffer, yaitu Wireshark.
  • Capture paket DNS.
  • Identifikasi IP address yang digunakan untuk resolve nama domain.
  • Jika IP address pada langkah sebelumnya bukan merupakan konfigurasi IP address perusahaan (non-company configured IP), maka penyerang menggunakan DNS server yang tidak standar (non-standard DNS server) untuk resolve nama domain.
  • Lakukan investigasi pada IP address yang ditemukan tersebut, siapa yang menggunakannya, dari negara mana, dan lain-lain.
  • Lakukan whois lookup terhadap IP address tersebut. Beberapa tool yang dapat digunakan untuk whois lookup adalah sebagai berikut:

~ https://whois.net/

Whois lookup merupakan online tool dari https://whois.net/ untuk mendapatkan informasi mengenai sebuah website.

~ SmartWhois

Utilitas informasi jaringan yang berguna untuk melihat informasi yang tersedia mengenai IP address, nama host, atau domain. Dan juga menyediakan informasi mengenai negara, provinsi, kota, nama penyedia jaringan, administrator, dan informasi kontak dari technical support-nya.

~ ActiveWhois

Network tool untuk menemukan informasi mengenai IP address atau domain internet, dan juga informasi mengenai negara dan alamat pemilik IP address tersebut.

~ LanWhoIs

Digunakan untuk menemukan informasi mengenai siapa yang melakukan registrasi domain atau situs, di mana, dan kapan, serta informasi mengenai siapa yang bertanggung jawab untuk melakukan support terhadap domain atau situs tersebut.

~ CountryWhois

Utilitas yang digunakan untuk mengidentifikasi lokasi geografis dari sebuah IP address. Mirip dengan SmartWhois yang fokus kegunaannya adalah pada identifikasi IP address ke negara di mana IP address tersebut berada.

DNS Forensics

Melanjutkan postingan di kategori Internet Forensics, postingan kali ini akan membahas mengenai DNS Forensics.

Kita pelajari dulu tentang DNS ya.. 🙂

SEKILAS TENTANG DNS

DNS (Domain Name System) adalah bentuk distribusi database yang digunakan untuk menerjemahkan nama komputer ke IP address (mapping) dan dari IP address ke nama komputer (reverse mapping). Secara sederhana mapping berhubungan dengan dua hal, yaitu nama komputer seperti www.uii.ac.id dan ftp.fti-uii.ac.id serta IP address seperti 192.168.10.1 dan 202.150.76.202.

Untuk melakukan komunikasi dan mengakses komputer yang terhubung dalam jaringan, sebetulnya cukup menggunakan IP address dari masing-masing komputer saja. Tapi akan sangat sulit tentunya apabila harus mengingat IP address dari banyak komputer yang terhubung ke jaringan. Komputer saling berkomunikasi menggunakan IP address bukan menggunakan nama komputer. Untuk itulah diperlukan sebuah mekanisme agar nama komputer tersebut dapat diterjemahkan ke dalam IP address, salah satunya adalah dengan memanfaatkan layanan DNS server, yang menerjemahkan nama komputer ke IP address dan sebaliknya.

Sebagai contoh, komputer dengan IP address 202.162.33.10 memiliki nama www.friendster.com *duh, jadul beud yah.. 😛 *, IP address 203.162.32.1 adalah www.google.com dan lain sebagainya. Sehingga, jika kita akan menghubungi sebuah komputer di internet, misalnya www.friendster.com maka kita cukup menggunakan nama komputer tersebut.

STRUKTUR HIERARKI DNS

DNS mengatur proses penamaan komputer secara hierarkis dalam struktur pohon (tree). Struktur tersebut terbentuk dari sebuah node yang memiliki sub node, masing-masing sub node memiliki lagi sub node di bawahnya dan begitu seterusnya. Node-node tersebut diberi label sehingga disebut domain.

Domain ditentukan berdasarkan tingkatan kemampuan yang ada di struktur hierarki yang disebut dengan level. Level paling atas di hierarki disebut dengan Root Domain. Root domain di ekspresikan dengan lambang ‘ . ’ (dot).

Berikut merupakan ilustrasi sederhana mengenai struktur DNS:

Level kedua setelah root domain disebut Top Level Domain (TLD) yaitu semua node yang tepat berada di bawah root.

Contoh dari top level domain adalah com, edu, net, org, net, gov, dan Country Code Top Level Domain yang berupa dua buah huruf untuk melambangkan kode negara. Misalnya:

  • id : Indonesia
  • uk : United Kingdom (Inggris)
  • au : Australia
  • sg : Singapura

Top level domain dapat berisi second level domain dan host. Sedangkan second level domain dapat berisi host dan domain lain, yang disebut dengan subdomain. Sebagai contoh:

1. Domain CNLAB-UII yang bernama cnlab-uii.net terdapat komputer (host) server1.cnlab-uii.net, subdomain www.cnlab-uii.net dan mail.cnlab-uii.net.

2. pop.mail.yahoo.com

  • Top-level domain   : com
  • Domain                    : yahoo.com
  • Subdomain             : mail.yahoo.com
  • Host                          : pop.mail.yahoo.com

 

KOMPONEN KERJA DNS

Untuk memahami cara kerja DNS terlebih dahulu harus dipahami tentang komponen-komponen yang bekerja di dalamnya. Gambar berikut mengilustrasikan komponen-komponen DNS secara sederhana:

Keterangan:

  • Cache    : media penyimpanan sementara
  • Resolver : bagian dari program aplikasi yang berfungsi menjawab pertanyaan tentang domain (local DNS)

Cara kerja resolver:

Resolver menjawab pertanyaan dari client meliputi dua cara.

Resolver memeriksa cache-nya, jika jawaban yang diminta terdapat di dalam cache-nya, maka resolver kemudian akan memberikan jawaban berupa IP address dari alamat yang dimaksud.

2. Jika tidak terdapat jawaban dalam cache, maka resolver akan bertanya kepada DNS server serta menginterprestasikan hasilnya.

  • Pertanyaan kepada DNS server membuat DNS server yang menjadi default-nya memberikan jawaban atas pertanyaan itu. Jika informasi pada Zona File dari DNS server tidak ditemui, maka DNS server akan mengirimkan message failure kepada client.
  • Kemudian client akan menghubungi DNS server yang lain untuk mencari jawaban atas pertanyaan tersebut. Jika berhasil ditemukan, maka DNS server yang dihubungi client tersebut akan memberikan jawaban berupa IP address dari alamat yang dimaksud kepada DNS server lokal untuk kemudian dikirim ke client yang me-request-nya.

Proses tersebut disebut dengan Forward Lookup Query, yaitu permintaan dari client dengan cara memetakan nama komputer (host) ke IP address.

STUDI KASUS DNS

Pompom ingin mengakses www.friendster.com *frenster maning, frenster maning.. 😀 * Proses yang terjadi agar si Pompom dapat menghubungi komputer www.friendster.com adalah :

Browser diarahkan ke http://www.friendster.com

  1. DNS client menghubungi DNS server lokal untuk mendapatkan IP address dari www.friendster.com
  2. DNS server lokal memeriksa cache-nya, jika akses tersebut sudah pernah dilakukan sebelumnya, maka DNS server lokal akan mengambil IP address www.friendster.com dari data cache-nya.
  3. Jika dalam data cache tidak ditemukan informasi yang dicari, maka kemudian DNS server lokal akan mengirimkan message failure kepada client bahwa IP address dari alamat yang diminta tidak ditemukan.
  4. Kemudian client melakukan request kepada DNS server tertinggi yaitu ‘ . ’ (dot) atau root server. Dan hasilnya akan dikembalikan lagi ke client.
  5. Jika tidak ditemukan lagi, maka client akan menghubungi DNS server .com (Top level Domain). Hasilnya juga akan dikembalikan lagi ke client.
  6. Kemudian jika belum dapat ditemukan, client akan menghubungi DNS server friendster.com
  7. DNS server friendster.com memberikan IP address dari subdomain www.friendster.com
  8. IP address tersebut kemudian dikirimkan kembali ke DNS server lokal untuk diberikan kepada browser dan kemudian dicatat dalam data cache DNS server lokal.
  9. Browser mengarah ke IP address yang dimaksud untuk mengakses komputer pada IP address tersebut.

Yeeey..!!! Pompom akhirnya bisa friendster-friendsteran.

NB:

Ini ada juga yg menarik, pembahasan mengenai cara kerja DNS yang digambarkan dalam komik di https://howdns.works/. Pake bahasa Inggris sih, tapi smoga gak menyurutkan niat untuk belajar DNS. Bisa dicekidot langsung ke TKP ya.. 🙂

SERANGAN PADA DNS

DNS juga rentan terhadap ancaman keamanan. Serangan-serangan yang mungkin terjadi pada DNS adalah sebagai berikut:

1. DNS Spoofing

~ Terdiri dari:

  • Intranet DNS Spoofing (Local Network)
  • Internet DNS Spoofing (Remote Network)

~ Cara mencegah DNS spoofing (DNS spoofing best practice):

  • Resolve semua query DNS ke DNS server lokal.
  • Blok request DNS agar tidak ke server eksternal.
  • Konfigurasi DNS resolver agar menggunakan port yang random.
  • Firewall.
  • Implementasi DNSSEC (DNS Security Extensions).
Teknologi yang dikembangkan antara lain untuk melindungi DNS dari serangan dengan tanda tangan digital pada data agar data tersebut diyakini valid. Tanda tangan digital tidak mengenkripsi data, namun hanya untuk membuktikan keabsahan alamat situs yang dikunjungi.
  • Membatasi user yang dapat akses ke layanan DNS.
  • Secure DNS server (hardening server).
  • Implementasi DNS internal.

2. DNS Poisoning

~ Teknik untuk menipu DNS server agar percaya bahwa DNS telah menerima informasi yang autentik.

~ Memungkinkan attacker untuk mengganti IP address DNS entry pada bagian alamat target.

~ Terdiri dari:

  • Proxy Server DNS Poisoning
Contohnya trojan menuliskan settingan proxy server di web browser.
  • DNS Cache Poisoning
Mengubah/menambah record DNS ke DNS resolver cache sehingga query DNS diteruskan ke situs yang berbahaya (malicious site).

 

Lhaaa.. Terus udah sepanjang ini, forensik-nya di mana? Kan katanya judule DNS Forensics.. 😀 Sabar-sabar.. Coba disimak di latihan soal di bawah ini ya.. 🙂

LATIHAN SOAL

Latihan soal dapat dilihat di sini.

OK, segitu dulu ya.. Semoga bermanfaat. Insya Allah dilanjutin lagi di postingan selanjutnya.. 🙂

SUMBER

Computer Network Fundamental: Latihan Soal

LATIHAN SOAL

  1. Jelaskan ruang lingkup dan perbedaan blok IP address ARIN, APNIC, RIPE, dan LACNIC. Berikan masing-masing contoh IP address-nya!
  2. Jelaskan perbedaan antara bridge & router! Lakukan tracert dari komputer ke web tertentu, kemudian tuliskan detail router yang digunakan!
  3. Jelaskan fungsi DNS dalam internet! Kemudian tuliskan 13 root DNS yang ada di seluruh dunia! Berikan contoh web tersebut (web pada no. 2) ikut area mana?

JAWABAN

1. Ruang lingkup dan perbedaan blok IP address ARIN, APNIC, RIPE, dan LACNIC:

a. ARIN

  • Ruang lingkup
ARIN (American Registry for Internet Number) merupakan RIR (Regional Internet Registry) untuk negara-negara di Amerika Utara, yaitu Kanada & Amerika Serikat, negara-negara di kepulauan Karibia dan Atlantik Utara, serta negara-negara di bagian sub-ekuator Afrika. ARIN mengelola distribusi internet number resources, termasuk di dalamnya adalah alamat IPV4, IPv6, dan AS number (Autonomous System number) yang digunakan oleh routing protocol.
  • Blok IP address

Sesuai informasi yang tertera pada https://www.arin.net/knowledge/ip_blocks.html, blok IP address yang dikelola ARIN adalah:

  • Contoh IP address

Sedangkan contoh IP address yang dikelola ARIN adalah:

~ 64.233.169.101 : google.com

~ 72.246.45.32     : voanews.com

~ 206.190.36.45   : yahoo.com

b. APNIC

  • Ruang lingkup
APNIC (Asia Pacific Network Information Centre) merupakan RIR (Regional Internet Registry) untuk negara-negara di kawasan Asia Pasifik, termasuk di dalamnya adalah Cina, Korea, India, Jepang, dan Australia. APNIC menyediakan number resource allocation dan layanan registrasi yang mendukung operasi global internet.
  • Blok IP address

Sesuai informasi yang tertera pada https://www.apnic.net/publications/research-and-insights/ip-address-trends/apnic-resource-range, blok IP address yang dikelola APNIC adalah:

  • Contoh IP address

Sedangkan contoh IP address yang dikelola APNIC adalah:

~ 202.3.208.158     : telkomsel.com

~ 203.126.100.199 : singtel.com

~ 203.190.242.69   : detik.com

c. RIPE NCC

  • Ruang lingkup
RIPE NCC (Réseaux IP Européens Network Coordination Center) merupakan RIR (Regional Internet Registry) untuk negara-negara di kawasan Eropa, Timur Tengah, Afrika bagian utara, dan Asia Tengah. RIPE NCC mendukung koordinasi teknikal dan administratif dari infrastruktur internet.
  • Blok IP address

Blok IP address yang dikelola RIPE NCC adalah:

~ 062.x.x.x

~ 081.x.x.x – 088.x.x.x

~ 193.x.x.x – 195.x.x.x

~ 212.x.x.x – 213.x.x.x

~ 217.x.x.x

Untuk lebih lengkapnya, dapat dilihat di http://www.compusophia.com/en/ipaddrstat/ipv4_ripencc_pool.html

  • Contoh IP address

Sedangkan contoh IP address yang dikelola RIPE NCC adalah:

~ 46.22.180.91     : nuffic.nl

~ 131.111.150.25  : cam.ac.uk

~ 141.30.2.2         : tu-dresde.de

d. LACNIC

  • Ruang lingkup
LACNIC (Latin America and Caribbean Network Information Centre) merupakan RIR (Regional Internet Registry) untuk negara-negara di kawasan Amerika Latin dan Karibia. LACNIC menyediakan number resource allocation dan layanan registrasi yang mendukung operasi global internet.
  • Blok IP address

Blok IP address yang dikelola LACNIC adalah 200.x.x.x – 201.x.x.x

Untuk lebih lengkapnya, dapat dilihat di http://www.compusophia.com/en/ipaddrstat/ipv4_lacnic_pool.html

  • Contoh IP address
Sedangkan contoh IP address yang dikelola RIPE NCC adalah 161.148.175.40 ~> brasil.gov.br

e. AFRINIC

Update

Pada tanggal 22 Februari 2005, dibentuklah RIR (Regional Internet Registry) untuk kawasan Afrika, yaitu AFRINIC (African Network Information Center). Sebelum AFRINIC ini dibentuk, alokasi IP address untuk kawasan Afrika didistribusikan oleh ARIN, APNIC, dan RIPE NCC.

AFRINIC mengelola blok IP address:

2. Perbedaan antara bridge dan router:

a. Bridge

Bridge digunakan untuk menghubungkan dua atau lebih jaringan komputer yang secara logik sama. Pada pengoperasiannya, bridge tidak melibatkan Layer 3 OSI (Layer Network), tetapi hanya melibatkan Layer 1 dan 2 OSI (Layer Physical dan Layer Data-link). Pada mode bridging, prosesnya tidak perlu memahami protokol komunikasi jaringan seperti IP address, namun hanya perlu memahami sarana fisik, seperti MAC (Media Access Control) address.

b. Router

Router digunakan untuk menghubungkan host di dalam dua atau lebih jaringan komputer yang secara logik berbeda, agar dapat berkomunikasi. Router dapat dikatakan sebagai pintu gerbang host di jaringan komputer yang satu untuk berkomunikasi dengan host di jaringan komputer yang lain.Berbeda dengan bridge, pengoperasian router melibatkan Layer 3 OSI (Layer Network), sehingga dalam prosesnya perlu memahami protocol komunikasi jaringan seperti IP address.

Kesimpulan Bridge vs Router:

  • Bridge menghubungkan dua atau lebih jaringan komputer yang secara logik sama. Sedangkan router menghubungkan host di dalam dua atau lebih jaringan komputer yang secara logik berbeda, agar dapat berkomunikasi.
  • Bridge beroperasi pada Layer 2 OSI (Layer Data-link), sedangkan router beroperasi pada Layer 3 OSI (Layer Network).
  • Bridge tidak perlu memahami keterlibatan IP address, namun cukup MAC address-nya saja karena bekerja di Layer Data-link. Sedangkan router perlu memahami IP address karena bekerja di Layer Network.

Tracert dari komputer ke web tertentu:

Percobaan dilakukan terhadap dua website, yaitu cnn.com dan detik.com. Berikut adalah hasilnya:

~ cnn.com

~ detik.com

Terlihat bahwa hop yang sama muncul sampai 6 kali, yaitu dari hop ke-1 sampai dengan hop ke-6:

Detail dari router milik provider dengan IP public 112.215.36.195 dicek menggunakan domainwhitepages.com adalah sebagai berikut:

Dari informasi di atas diketahui bahwa IP public 112.215.36.195 diregisterkan atas nama PT Exelcomindo Pratama atau yang sekarang dikenal sebagai XL-AXIATA.

3. Fungsi DNS dalam internet:

Fungsi DNS dalam internet adalah menerjemahkan nama domain ke IP address yang dapat dimengerti oleh komputer. Di dalam jaringan komputer, hosthost berkomunikasi menggunakan IP address. Oleh karena sangat banyaknya IP address yang ada di seluruh dunia, adalah tidak mungkin bagi manusia untuk mengingat IP address yang sangat banyak tersebut. Oleh karenanya, dibutuhkan sebuah penamaan IP address ke domain yang berupa string (kata-kata) sehingga manusia bisa lebih mudah mengingatnya. Analoginya sama seperti penyimpanan nomor kontak di ponsel.

13 root DNS di seluruh dunia:

Menurut informasi dari https://www.iana.org/domains/root/servers, terdapat 13 root DNS yang ada di seluruh dunia, yaitu:

Root DNS merupakan server dengan level tertinggi (root) dalam hierarki DNS. Ilustrasinya sebagai berikut:

Jadi, ke-13 root DNS berada pada level root yang ada di hierarki paling atas dari DNS.

Area DNS yang diikuti oleh web pada no. 2 (cnn.com dan detik.com) adalah:

Berdasarkan data yang diperoleh dari domainwhitepages.com, website berikut berada pada area:

~ cnn.com berada di Atlanta, Georgia, Amerika Serikat.

Registrant Name: Domain Name Manager

Registrant Organization: Turner Broadcasting System, Inc.

Registrant Street: One CNN Center

Registrant City: Atlanta

Registrant State/Province: GA

Registrant Postal Code: 30303

Registrant Country: US

 

Menurut informasi yang diperoleh dari http://www.root-servers.org/, terdapat 5 root DNS di sekitar Atlanta, yaitu:

  • root-servers.net   : University of Maryland
  • root-servers.net   : NASA (Ames Research Center)
  • root-servers.net   : Internet Systems Consortium, Inc.
  • root-servers.net   : VeriSign, Inc.
  • l.root-servers.net : ICANN

~ detik.com berada di Jakarta, Indonesia.

Registrant Name: Siberkom, PT. Agranet Multicitra

Registrant Organization:

Registrant Street: Aldevco Octagon Building lt 2

Registrant City: Jakarta

Registrant State/Province: DKI Jakarta

Registrant Postal Code: 12740

Registrant Country: IN

 

Menurut informasi yang diperoleh dari http://www.root-servers.org/, terdapat 4 root DNS di sekitar Jakarta, yaitu:

  • root-servers.net  : University of Maryland
  • root-servers.net  : Internet Systems Consortium, Inc.
  • root-servers.net  : Netnod
  • l.root-servers.net : ICANN

 

Computer Network Fundamental

Sebelum terjun lebih tinggi *apa sih* lebih dalam maksudnya, ke dunia Internet Forensics (Forensika Internet), ada baiknya kita pelajari dulu mengenai hal2 dalam jaringan komputer (computer network) yg mungkin berguna dalam melakukan forensika internet.

Langsung kita bahas aja yaa.. 🙂

KOMPONEN YANG DAPAT DIFORENSIK

Komponen yang dapat diforensik pada forensika internet, antara lain:

1. NIC (Network Interface Card)

  • LAN card
  • Wireless card

2. Modem

3. Web browser & plug-in

IP ADDRESS

Mengingat tujuan dari forensika internet adalah untuk mendapatkan log dan IP address, maka ada baiknya kita flashback ke mata kuliah Jaringan Komputer jaman kuliah S1 dulu 😀

IP address yang masih banyak digunakan adalah IPv4, yaitu penomoran 32 bit untuk identifikasi alamat host & subnet. Ke depannya mungkin akan digunakan IPv6 (128 bit) untuk antisipasi habisnya alokasi IPv4. IPv4 sendiri dibagi ke dalam 5 kelas, yaitu:

  • Kelas A :     0.0.0.0 – 127.255.255.255
  • Kelas B : 128.0.0.0 – 191.255.255.255
  • Kelas C : 192.0.0.0 – 223.255.255.255
  • Kelas D : 224.0.0.0 – 239.255.255.255 (reserved untuk eksperimen)
  • Kelas E  : 240.0.0.0 – 255.255.255.255 (reserved untuk eksperimen)

Sedangkan IP address menurut penggunaannya dibagi ke dalam 2 jenis:

1. IP address public   ~> dikenali di internet dan bersifat unique

2. IP address private ~> IP lokal tidak dikenali di internet

  • IP private kelas A : 10.0.0.0 – 10.255.255.255
  • IP private kelas B : 172.16.0.0 – 172.31.255.255
  • IP private kelas C : 192.168.0.0 – 192.168.255.255

PENGELOLA IP ADDRESS

IP address berdasarkan region-nya (RIR – Regional Internet Registry), dikelola oleh:

  1. ARIN (American Registry for Internet Number)
  2. APNIC (Asia Pacific Network Information Center)
  3. RIPE NCC (Reseaux IP Europeens Network Coordinator Center)
  4. LACNIC (Latin American and Caribbean Network Information Center)
  5. AFRINIC (African Network Information Center)

Indonesia karena berada di kawasan Asia Pasifik, maka ada di bawah APNIC. Di Indonesia sendiri terdapat badan yang mengelola ISP (Internet Service Provider), bernama APJII (Asosiasi Penyedia Jasa Internet Indonesia).

APJII ini telah diakui sebagai National Internet Registry oleh APNIC untuk menyediakan layanan alokasi dan pendaftaran Internet resources (IP address dan AS number) dengan tujuan memungkinkan komunikasi melalui open system network protocols dan untuk membantu perkembangan serta pertumbuhan Internet di Indonesia.

~ Sumber: https://apjii.or.id/gudang/standar ~

CAKUPAN AREA NETWORK

Network berdasarkan cakupan areanya:

  1. LAN     : Local Area Network
  2. MAN   : Metropolitan Area Network
  3. WAN   : Wide Area Network
  4. SAN    : Storage Area Network ~> Cisco proprietary
  5. WLAN : Wireless Local Area Network

KATEGORI KOMPONEN NETWORK

3 kategori komponen network:

1. Device ~> perangkat/host/komputer

2. Media

  • Kabel : UTP (Unshielded Twisted Pair), STP (Shielded Twisted Pair), FO (Fiber Optic)
  • Nirkabel

3. Services ~> layanan

REPRESENTASI & TOPOLOGI NETWORK

Representasi network terdiri dari:

  1. End devices               : laptop, printer, smartphone
  2. Intermediary devices : router, wireless router, switch, firewall
  3. Network media         : LAN media, WAN media, wireless media

Topologi network merupakan pola hubungan di dalam jaringan komputer. Dibagi menjadi 2:

  1. Topologi fisik  ~> gambar topologi secara konseptual atau garis besar
  2. Topologi logik ~> gambar topologi secara detail dilengkapi dengan IP address/subnet

Kira2 begitulah teori fundamental-nya. Gak begitu banyak kan, namanya juga flashback 😀 Oiya, pada postingan sebelumnya saya sudah berniat untuk menuliskan teori beserta latihan soal. Untuk latihan soalnya sendiri di halaman terpisah, maksudnya biar gak kepanjangan sih.. Bisa dicekidot berikut ini ya.. 🙂

LATIHAN SOAL

Latihan soal dapat dilihat di sini.

OK, segitu dulu ya.. Semoga bermanfaat. Insya Allah dilanjutin lagi.. 🙂

SUMBER

 

Internet Forensics

Hey hey hey.. Kembali lagi di blog ini. Masih ingat postingan kemarin tentang Network Forensics? Nah di situ kan udah dijabarkan cabang2 dari Network Forensics yg salah satunya adalah Internet Forensics.

Postingan kali ini akan membahas mengenai Internet Forensics. Yah, sikit2 lah ya.. Internet Forensics ini merupakan mata kuliah pilihan SMT 3 sewaktu saya masih menjabat *ceileeeh* menjadi mahasiswa S2 di Magister Informatika dgn konsentrasi Forensika Digital. Kayaknya sekarang juga masih ada sih matkul ini.. 😀

OK, langsung aja ke pembahasannya ya.. 🙂

SEKILAS TENTANG INTERNET FORENSICS

Internet Forensics atau forensika internet merupakan kombinasi teknik komputasi dan kemampuan manusia dalam melakukan pendeteksian kejahatan internet. Kejahatan internet ini contohnya adalah penipuan berbasis online maupun pencurian identitas.

~ Sumber: http://internetforensics.co.za/ ~

Mereka2 yang memiliki website, menyimpan informasi penting secara online, dan melakukan transaksi di internet akan selalu berada dalam ancaman serangan internet. Oleh karena itu tujuan dilakukannya forensika internet adalah untuk mendapatkan barang bukti digital di internet yang berupa log (rekaman history). Dari log tersebut diharapkan dapat diketahui IP address dari penyerang.

CONTOH INTERNET FORENSICS

Internet Forensics dapat digunakan untuk forensik pada:

1. Email (Email Forensics)

  • Mempelajari sumber dan konten dari email sebagai barang bukti digital.
  • Mengidentifikasi pengirim email yang sebenarnya beserta lokasi fisiknya walaupun email dikirim melalui routing.
  • Mengidentifikasi penerima email.
  • Mengidentifikasi waktu pengiriman dan penerimaan email.
  • Investigasi terhadap banyak email, seperti blacklisting dan spam filter.

2. Web (Web Forensics)

  • Menganalisis hal-hal seperti browsing history dan aktivitas web secara umum pada perangkat untuk mengetahui penggunaan yang mencurigakan atau konten yang telah diakses.
  • Merujuk pada pengamatan trafik (traffic monitoring) dari sebuah halaman web, misalnya berapa jumlah pengunjung (visitor) dan berapa lama mereka berkunjung.

3. DNS (DNS Forensics)

  • Investigasi serangan pada DNS, misalnya DNS poisoning.

Nah, kira2 ada gambaran kan ya mengenai Internet Forensics ini? Yah, walopun cuman sekilas 😀 Next-nya Insya Allah kepengen membahas mengenai teori2 dari email, web, DNS forensics, dan teori2 Internet Forensics yg lain beserta latihan soal sewaktu saya kuliah dulu.

OK, sekian dulu ya.. Semoga bermanfaat.. 🙂

SUMBER