Wireless Forensics: Latihan Soal

LATIHAN SOAL

  1. Jelaskan tahapan-tahapan investigasi forensik jaringan berbasis wireless! Berikan contohnya!
  2. Lakukan eksperimen deteksi AP menggunakan wifi forensics tools (minimal 5 tools)!
  3. Lakukan eksperimen wifi packet sniffer menggunakan tcpdump untuk paket-paket data ke situs-situs tertentu!

JAWABAN

1. Tahapan investigasi forensik jaringan berbasis wireless:

a. Mendapatkan surat izin penggeledahan (search warrant)

  • Search warrant harus memiliki otorisasi yang tepat dari pihak yang memberikan kewenangan untuk melakukan pemeriksaan peralatan komputer di tempat (on-site), seperti perangkat wireless.
  • Analisis forensik hanya dilakukan pada peralatan yang diizinkan untuk diperiksa.
  • Contoh: Mendapatkan surat izin penggeledahan dari pengadilan.

b. Mengidentifikasi perangkat wireless di TKP

  • Sistem yang terkoneksi ke jaringan wireless menyediakan petunjuk penting untuk pemecahan kasus.
  • Jika perangkat yang terkoneksi ke jaringan wireless dapat dideteksi, investigator harus:
    • Memeriksa jumlah komputer, laptop, atau PDA yang terkoneksi ke Wireless LAN Access Point.
    • Memeriksa IP address dan MAC address menggunakan scanning tools seperti Nmap.
  • Contoh:
    • Mengidentifikasi perangkat wireless yang terkoneksi ke jaringan.
    • Memeriksa lokasi fisik dari perangkat wireless tersebut, seperti lokasi router, Access Point, repeater, laptop, antena, wireless USB network adapter, PDA, PCMCIA/EIAs.

c. Mendokumentasikan TKP dan melakukan pemeliharaan dokumen Chain of Custody

  • Semua perangkat yang terkoneksi ke jaringan wireless harus didokumentasikan.
  • Mengambil gambar (foto) dari barang bukti yang ditemukan.
  • Mendokumentasikan status perangkat selama pengamanan barang bukti.
  • Melakukan pemeliharaan Chain of Custody terhadap dokumen, foto, dan barang bukti.
  • Contoh:
    • Mendokumentasikan laptop dengan mengambil gambar screen laptop, aplikasi yang running, koneksi jaringan, dan lain-lain.
    • Melakukan pemeliharaan Chain of Custody terhadap dokumen, foto, dan barangbukti berupa laptop tersebut.

d. Mendeteksi koneksi wireless

  • Berputar-putar dengan membawa laptop wifi enabled yang ter-install wireless discovery tool dan melakukan mapping jaringan wireless.
  • Untuk menemukan jaringan wireless maka diperlukan perangkat-perangkat berikut:
    • Laptop dengan wifi card.
    • Antena wifi
    • Program wireless discovery.
  • Contoh: Wireless discovery tools di antaranya adalah NetStumbler, inSSIDer, NetSurveyor, Vistumbler, WirelessMon, Kismet, dan lain-lain.

e. Mendeteksi kekuatan sinyal wireless

  • Menggunakan program aplikasi yang dapat melakukan pengukuran dan kalkulasi dari kekuatan sinyal radio atau interferensi di lapangan.
  • Contoh: Penggunaan program aplikasi FSM, produk ZAP Checker, dan melakukan analisis spektrum (spectrum analysis) untuk mengetahui transmisi wifi radio, mengukur amplitudo sinyal radio, dan mengubahnya ke dalam bentuk angka-angka.

f. Melakukan mapping zona wireless & hotspot

  • Mengumpulkan informasi setelah mendeteksi adanya koneksi wireless.
  • Menganalisis informasi yang telah dikumpulkan secara tepat untuk mempersiapkan mapping-nya.
  • Mempersiapkan static map untuk zona wireless & hotspot.
  • Contoh: Penggunaan program aplikasi seperti MS Visio, SmartDraw, EDrawNetDiagram, dan lain-lain untuk melakukan mapping zona wireless & hotspot.

g. Melakukan koneksi ke Wireless Access Point (WAP)

  • Melakukan koneksi langsung dari laptop ke WAP menggunakan kabel.
  • Jika kedua perangkat tersebut DHCP enabled, maka laptop akan otomatis mendapatkan IP address dalam 1 jaringan yang sama dengan WAP.
  • Menjalankan perintah ipconfig pada command prompt untuk melihat IP address default gateway yang biasanya merupakan IP address
  • Login ke IP address WAP tersebut menggunakan web browser.
  • Jika mengetahui merk/brand dari WAP tersebut, cek username dan password default di situs http://www.governmentsecurity.org/articles/default-logins-and-passwords-for-networked-devices.html.
  • Melakukan percobaan login dengan username dan password default yang telah didapatkan dari situs governmentsecurity.com, karena dalam banyak kasus, customer tidak mengganti akun default administrator untuk WAP tersebut.
  • Contoh: Login ke Netgear Wireless Router

h. Melakukan akuisisi dan analisis data wireless

  • Setelah login ke WAP:
    • Melakukan pemeriksaan IP address, device name, dan MAC address dari perangkat yang terkoneksi ke WAP.
    • Melakukan pemeriksaan terhadap settingan LAN TCP/IP.
    • Mendapatkan settingan konfigurasi dan log di dalam WAP.
  • Memeriksa file log pada perangkat wireless yang ditemukan, yaitu analisis registry, log histori koneksi jaringan, log perangkat wireless, footprint perangkat USB.
  • Contoh:
    • Mendapatkan dan menganalisis file log berikut:
      • Log DHCP untuk mengetahui IP address yang di-assign ke MAC address perangkat yang terkoneksi ke WAP tersebut.
      • Log jaringan untuk melihat ada atau tidaknya aktivitas penyusupan (intrusion).
      • Log firewall juga untuk melihat ada atau tidaknya intrusion.
    • Dapat menggunakan tools seperti Firewall Analyzer, Firewall Log Analyzer, dan lain-lain untuk melihat log pada firewall.

i. Membuat laporan

  • Laporan yang dibuat harus memuat:
    • Nama investigator.
    • Daftar barang bukti wireless.
    • Dokumen barang bukti dan hal pendukung lainnya.
    • Daftar tools yang digunakan untuk investigasi.
    • Perangkat dan settingan yang digunakan dalam proses pemeriksaan.
    • Deskripsi yang jelas mengenai langkah-langkah pemeriksaan.
    • Detail mengenai temuan-temuan, seperti informasi file, barang bukti yang internet-related, analisis data dan image.
    • Kesimpulan dari hasil investigasi.
  • Contoh: Membuat laporan untuk investigasi serangan Wireless LAN (WLAN).

2. Deteksi AP menggunakan wifi forensics tools:

a. NetSurveyor

Mengumpulkan informasi mengenai WAP di lingkungan sekitar secara real-time.

  • Download NetSurveyor dari http://nutsaboutnets.com/netsurveyor-wifi-scanner/ dan lakukan instalasi NetSurveyor.
  • Jalankan NetSurveyor dan capture SSID yang di-broadcast oleh WAP. Hasilnya terdapat 4 SSID, yaitu sebagai berikut:
    • PLEMBURAN26 dengan channel 11
    • hotspot dengan channel 6
    • RASELA 2 dengan channel 8
    • UNKNOWN_SSID_9c:c1:72:2c:7f:2e dengan channel 10

b. Vistumbler

Menemukan WAP dan mengumpulkan informasi wireless. Vistumbler mendukung GPS dan live Google Earth tracking.

  • Download Vistumbler dari http://sourceforge.net/projects/vistumbler/ dan lakukan instalasi Vistumbler.
  • Jalankan Vistumbler dan capture SSID yang di-broadcast oleh WAP. Hasilnya terdapat 4 SSID, yaitu sebagai berikut:
    • PLEMBURAN26 dengan status Active
    • hotspot dengan status Dead
    • RASELA 2 dengan status Dead
    • UNKNOWN_SSID_9c:c1:72:2c:7f:2e dengan status Dead

Terlihat Manufacturer dari perangkat yang mem-broadcast SSID-SSID tersebut.

Dan waktu First Active dan Last Updated.

c. inSSIDer

  • Download inSSIDer dari http://inssider.en.softonic.com/download dan lakukan instalasi inSSIDer.
  • Jalankan inSSIDer dan capture SSID yang di-broadcast oleh WAP. Pada saat inSSIDer dijalankan, muncul 1 SSID baru sehingga hasilnya terdapat 5 SSID, yaitu sebagai berikut:
    • PLEMBURAN26 dengan status Active
    • My ASUS dengan status Active
    • hotspot dengan status Active
    • RASELA 2 dengan status Dead
    • UNKNOWN_SSID_9c:c1:72:2c:7f:2e dengan status Dead
  • Yang ter-record menggunakan inSSIDer adalah SSID yang berstatus Active saja, yaitu:
    • PLEMBURAN26 dengan status Active
    • My ASUS dengan status Active
    • hotspot dengan status Active

d. Xirrus Wi-Fi Inspector

  • Download Xirrus Wi-Fi Inspector dari http://www.xirrus.com/free-tools/ dan lakukan instalasi Xirrus Wi-Fi Inspector.
  • Jalankan Xirrus Wi-Fi Inspector dan capture SSID yang di-broadcast oleh WAP. Pada saat Xirrus Wi-Fi Inspector dijalankan, hanya terdapat 1 SSID yang Active, yaitu PLEMBURAN26 dengan channel 11 dan signal -59 dBm.

e. LizardSystems Wifi Scanner

  • Download LizardSystems Wifi Scanner dari http://lizardsystems.com/wi-fi-scanner/ dan lakukan instalasi LizardSystems Wifi Scanner.
  • Jalankan LizardSystems Wifi Scanner dan capture SSID yang di-broadcast oleh WAP. Pada saat LizardSystems Wifi Scanner dijalankan, hasilnya terdapat 3 SSID yang Active, yaitu:
    • PLEMBURAN26 dengan status Active
    • My ASUS dengan status Active
    • hotspot dengan status Active

Kesimpulan:

  • SSID PLEMBURAN26 merupakan SSID yang stabil dengan kekuatan sinyal -59 dBm. Hal ini juga dipengaruhi letak AP yang dekat dengan laptop yang menjalankan program wifi discovery tools.
  • Program yang digunakan berupa NetSurveyor dan Vistumbler dapat me-record SSID yang berstatus Dead. Sedangkan ketiga program lainnya, yaitu inSSIDer, Xirrus Wifi Inspector, dan LizardSystems Wifi Scanner tidak dapat me-record keberadaan SSID yang berstatus Dead tersebut.

3. Wifi packet sniffer menggunakan tcpdump untuk capture paket data ke situs:

a. Spesifikasi komputer yang digunakan dalam skenario packet sniffing menggunakan koneksi wireless ini adalah sebagai berikut:

  • Komputer host yang melakukan pengaksesan situs (browsing):
    • Operating System (OS) : Windows 7 (as host OS)
    • IP address : 192.168.1.130
    • MAC address : 00-15-af-be-db-6f
  • Komputer yang melakukan packet sniffing (sniffer):
  • Virtual Machine (VM) : Yes (as guest OS)
  • Network adapter : bridged DHCP IP address
    • Operating System (OS) : Kali Linux
    • IP address : 192.168.1.131
    • MAC address : 00:0c:29:02:fc:1b

b. Komputer host melakukan aktivitas browsing menggunakan web browser Mozilla Firefox dari Windows 7 ke situs-situs: http://www.kompas.com, http://www.detik.com, dan http://edition.cnn.com.

c. Komputer sniffer yang ada di dalam VM tidak dapat meng-capture paket yang terjadi di komputer host-nya, kecuali paket broadcast dan paket yang menuju ke komputer sniffer, karena network adapter milik komputer sniffer tidak di-assign secara fisik. Oleh karena itu, perlu dilakukan port mirroring menggunakan iptables, sehingga trafik yang ada di komputer host akan di-mirror juga ke komputer sniffer yang ada di dalam VM.

d. Komputer sniffer melakukan capture trafik komputer host yang sedang browsing dan hasil capture di-record ke dalam file log untuk dibaca kemudian.

e. Komputer sniffer selesai melakukan capture trafik komputer host dan menekan tombol Ctrl+C pada terminal untuk menghentikan proses capture. Berikut adalah file browsing.log:

browsing.log

f. Search file tersebut untuk mencari informasi mengenai situs yang diakses, yaitu:

C:\Users\ninkyhade>ping www.kompas.com

Pinging www.kompas.com [202.146.4.100] with 32 bytes of data:
Reply from 202.146.4.100: bytes=32 time=54ms TTL=243
Reply from 202.146.4.100: bytes=32 time=58ms TTL=243
Reply from 202.146.4.100: bytes=32 time=69ms TTL=243
Reply from 202.146.4.100: bytes=32 time=59ms TTL=243

Hasil capture pada file browsing.log

C:\Users\ninkyhade>nslookup www.detik.com

Server:  UnKnown
Address:  192.168.1.1

Non-authoritative answer:
Name:    detik.com
Addresses:  64:ff9b::cbbe:f245
64:ff9c::cbbe:f245
64:ff9b::cbbe:f12b
64:ff9c::cbbe:f12b
203.190.242.69
203.190.241.43            ~> captured IP address

Hasil capture pada file browsing.log

C:\Users\ninkyhade>ping edition.cnn.com

Pinging turner.map.fastly.net [103.245.222.73] with 32 bytes of data:
Reply from 103.245.222.73: bytes=32 time=757ms TTL=55
Reply from 103.245.222.73: bytes=32 time=96ms TTL=55
Reply from 103.245.222.73: bytes=32 time=80ms TTL=55
Reply from 103.245.222.73: bytes=32 time=82ms TTL=55

Hasil capture pada file browsing.log

Kesimpulan:

  • IP address dan situs yang diakses oleh komputer host dapat ter-capture di dalam file browsing.log.
  • Dalam simulasi ini, komputer sniffer adalah sebuah guest OS di dalam Virtual Machine (VM) yang melakukan packet sniffing dan meng-capture paket yang ada di komputer host menggunakan tool
  • Untuk dapat melakukannya, sebelum tcpdump dijalankan, maka perlu dilakukan port mirroring dengan iptables untuk me-mirror trafik dari komputer host ke network adapter milik komputer sniffer.

Wireless Forensics

Hay hay hay.. Kemaren2 kan postingan-nya tentang Internet Forensics melulu ya.. Nah, di postingan kali ini akan membahas dulu mengenai Wireless Forensics. *biar gak jeles dianya.. 😛 *

Seperti yg telah dibahas di postingan awal tentang Network Forensics, di situ diceritakan bahwa Wireless Forensics merupakan salah satu cabang dari Network Forensics. Jadi, lingkup forensiknya nggak seluas network forensics, *ya iya karena lingkupnya jaringan wireless aja*, tapi sifat informasinya sama, yaitu dinamis dan rentan hilang.

BUAT APA ADA WIRELESS FORENSICS?

Menurut artikel yang ditulis oleh Siles di tahun 2007:

Adopsi teknologi wireless oleh banyak organisasi berpotensi menimbulkan permasalahan dari segi kontrol dan keamanan. Wireless forensics yang muncul sebagai hasil dari adanya teknologi wireless difokuskan untuk menangkap (capture) atau mengumpulkan data barang bukti digital di jaringan nirkabel (wireless network), sehingga pada akhirnya barang bukti digital tersebut dapat dipresentasikan sebagai barang bukti yang valid di pengadilan.

Nah, pasti udah pernah pake produk wireless kan? Apa aja emang macamnya? Ya macem2lah ya.. Ada wifi hotspot, bluetooth, infrared, RFID, NFC, dll. yg memungkinkan antar perangkat yg kita pakai, bisa mengkomunikasikan data tanpa kabel. Jadi disebut nirkabel ato wireless dalam bahasa Inggris-nya.

Tapi, di postingan ini ruang lingkup yg dibahas adalah WLAN (Wireless LAN).

Oleh karena komunikasi datanya nirkabel dan tak kasat mata, *ya iyalah, masa’ bisa lihat binary code 01010101 terbang2 di udara 😀 *, intinya mah lebih susah di-trace dibanding yg pake kabel, maka bisa menimbulkan trouble dari sisi keamanan.

Nah, contoh trouble-nya seperti berikut:

  • War Walking
Attackers berjalan membawa laptop dengan wifi yang enabled untuk mendeteksi adanya jaringan wireless terbuka (open wireless network).
  • War Chalking
Sebuah metode menggambarkan simbol di area publik untuk menyebarkan open wireless network.
  • War Driving
Attackers berkendara membawa laptop dengan wifi yang enabled untuk mendeteksi adanya open wireless network.
  • War Flying
Attackers terbang berkeliling membawa laptop dengan wifi yang enabled untuk mendeteksi adanya jaringan wireless terbuka (open wireless network). *niat banget yak.. mungkin bisa pake drone sih.. 😀 *

Terus, wireless forensics-nya ngapain?

Jadi, wireless forensics ini digunakan untuk meng-capture data barang bukti digital yg seliweran di jaringan wireless, dan tujuannya bisa dijadikan barbuk yg valid di pengadilan. Gitu lhooo..

Terus.. Penasaran gak sama lanjutannya? Yuk kita pelajari bersama..

WIRELESS FORENSICS : NGAPAIN AJA?

Menurut penelitian Kipper pada 2007:

Langkah pertama yang harus dilakukan untuk menemukan barang bukti dalam lingkungan jaringan wireless adalah menemukan peralatan yang mengganggu jaringan wireless tersebut. Dan apakah peralatan tersebut merupakan peralatan yang diotorisasi atau tidak. Banyak perangkat wireless yang dapat mengganggu berjalannya jaringan wireless, tidak hanya terbatas pada perangkat wireless tradisional saja, di mana perangkat tersebut digunakan untuk kepentingan konektivitas, seperti Access Point (AP), network adapter dan repeater, namun juga wireless hard drive, kamera, bahkan ponsel dan PDA (Personal Digital Assistant).

Kismet, Netstumbler, dan Airsnort merupakan beberapa tools yang berguna dalam menangkap trafik wireless. Setelah trafik tersebut dikumpulkan dan diverifikasi, analisis trafik wireless dapat dilakukan menggunakan tools forensik tradisional.

Jadi, langkah awalnya.. Temukan dulu perangkat pengganggu dalam jaringan wireless. Itu kalo emang jaringan wireless-nya bermasalah ya.. Kalo nggak, ya ngapain kita cari2 masalah *emangnya mau tesis, kudu nyari masalah dulu 😀 *.. Eh, tapi2, kalo buat precautions ato jaga2 aja sih gpp.. 😀

Terus jangan dipikir perangkat yg mengganggu jalannya jaringan wireless itu cuman kayak Access Point (AP) aja ya.. Ternyata yg printilan2 kayak network adapter dan smartphone pun bisa jadi orang ketiga di antara kalian pengganggu lho.. Fiuh..

Nah, untuk menemukan si pengganggu itu, bisa dengan cek dulu jaringan wireless apa saja yang tersedia menggunakan wireless discovery tools (seperti Netstumbler, NetSurveyor, Vistumbler, WirelessMon, Kismet, InSSIDer), ato langsung capture trafik wireless (wireless sniffing) dgn tools macem Kismet, Netstumbler, ato Airsnort. Habis itu baru dianalisis pake tools macem Wireshark.

Nah, untuk langkah2 selengkapnya, silakan disimak tulisan berikut ya..

LANGKAH-LANGKAH INVESTIGASI WIRELESS FORENSICS

Langkah-langkah yang dilakukan dalam investigasi forensik di lingkungan wireless adalah sebagai berikut (EC-Council, 2010):

1. Mendapatkan search warrant.

Investigator harus memastikan bahwa search warrant tersebut mencakup pemeriksaan on-site semua komputer dan perangkat wireless terkait kasus. Investigator dapat melakukan analisis hanya pada perangkat yang disebutkan di dalam search warrant tersebut.

2. Identifikasi perangkat wireless.

Investigator harus mengidentifikasi semua perangkat wireless yang terkoneksi ke jaringan. Pengecekan lokasi fisik diperlukan untuk mengidentifikasi wireless hardware seperti wireless router, wireless Access Point, wireless modem, wireless network adapter, repeater, hard drive, dan antena.

3. Dokumentasi tempat kejadian dan pemeliharaan Chain of Custody.

Investigator harus melakukan hal-hal berikut di tempat kejadian:

  • Mendokumentasikan semua perangkat yang terkoneksi ke wireless network.
  • Mengambil foto semua barang bukti.
  • Mendokumentasikan status setiap perangkat ketika melakukan pengamanan barang bukti.
  • Melakukan pemeliharaan Chain of Custody dari dokumen, foto, dan barang bukti.

NB: Point no. 3 ini nanti dibahas di bawah ya..

4. Mendeteksi koneksi wireless.

Investigator dapat mendeteksi koneksi wireless menggunakan tools untuk scanning seperti ClassicStumbler, MacStumbler, iStumbler, Airport Signal, Airfart, dan Kismet.

5. Menentukan kekuatan sinyal wireless.

Investigator dapat menggunakan tool Field Strength Meter (FSM) untuk menentukan kekuatan sinyal wireless.

6. Melakukan pemetaan terhadap zona wireless dan hotspot.

Setelah mendeteksi koneksi wireless dan mendapatkan informasi lain mengenai perangkat wireless yang terlibat di dalam kasus, investigator dapat menganalisis informasi tersebut untuk membuat pemetaan terhadap zona wireless dan hotspot.

7. Melakukan koneksi ke wireless network.

Metode untuk mengakses wireless Access Point adalah sebagai berikut:

  • Koneksi langsung ke wireless Access Point.
  • Mengendus (sniff) trafik di antara wireless Access Point dan perangkat yang terkoneksi ke wireless Access Point
  • Melakukan akuisisi dan analisis data.

Investigator dapat menggunakan tools seperti Wireshark dan tcpdump untuk menangkap trafik wireless. Hal lain yang mungkin perlu dilakukan adalah mendapatkan log DHCP, log firewall, dan log jaringan.

8. Melakukan akuisisi dan analisis data.

Investigator dapat menggunakan tools seperti Wireshark dan tcpdump untuk menangkap trafik wireless. Hal lain yang mungkin perlu dilakukan adalah mendapatkan log DHCP, log firewall, dan log jaringan.

9. Membuat laporan.

Laporan investigasi mencakup hal-hal seperti nama investigator, daftar barang bukti wireless, dokumen barang bukti, daftar tool yang digunakan dalam investigasi, perangkat dan setup yang digunakan dalam pemeriksaan, deskripsi singkat langkah pemeriksaan, detail temuan, dan kesimpulan dari investigasi.

WIRELESS FORENSICS BERKAITAN DENGAN CHAIN OF CUSTODY

Seperti yang disebutkan pada point no. 3 di atas, untuk kepentingan bukti di pengadilan, pasti butuh kan yang namanya rantai kepemilikan barang bukti ato disebut Chain of Custody (CoC) *bukan Clash of Clan, yes? 😉 *. Lengkapnya silakan cek di sini.

Nah, barang bukti yang di-acquire harus didokumentasikan ke dalam CoC. Apa saja yang perlu didokumentasikan?

  • Semua device yang terkoneksi ke jaringan wireless, paling tidak dapatkan NetBIOS name-nya. Misal dengan menggunakan command prompt dan menjalankan command net view.
  • Mengambil foto dari barang bukti yang ditemukan.
  • Mendokumentasikan status perangkat barang bukti ketika disita. Misal, menyala (ON) atau tidak (OFF).

Lalu, jangan lupa untuk melakukan pemeliharaan dokumen CoC, foto-foto yang telah diambil, dan barang bukti itu sendiri.

Sekian pembahasan, sekarang saatnya.. *drum roll, tarak dung ces*

LATIHAN SOAL

Latihan soal dapat dilihat di sini.

OK, sekian dulu ya dari saya.. Smoga bermanfaat buat para pembaca sekalian.. Insya Allah ketemu lagi di postingan selanjutnya..

Terima kasih.

SUMBER