T1__Full text Institutional Repository | Satya Wacana Christian University: Network Forensic pada Jaringan Berbasis Awan T1 Full text
Network Forensic Pada Jaringan Berbasis Awan
Artikel Ilmiah
Diajukan kepada
Fakultas Teknologi Informasi
untuk Memperoleh Gelar Sarjana Komputer
Peneliti:
Yakub Pratama (672011212)
Dr. Irwan Sembiring, S.T., M.Kom.
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
Mei 2017
i
ii
iii
iv
1.
Pendahuluan
Penggunaan internet untuk keperluan berbagi data sangat memberikan
kemudahan dari sisi pengguna. Hal ini terlihat semakin banyaknya layanan
penyimpanan data berbasi awan, seperti ownCloud. Tetapi kemudahan ini sematamata belum tentu sepadan dengan keamanan yang diberikan. Banyaknya
kejahatan yang terjadi didunia maya kerap kali mejadi masalah dan juga
menimbulkan kerugian yang sangat besar bagi penggunanya, salah satu kejahatan
didunia maya yang sering ditemukan adalah Unauthorized Access dengan
menggunakan teknik Brute-Force Attack. Dengan metode ini, penyerang akan
mencoba mendapatkan username dan password secara ilegal untuk masuk
kedalam sebuah sistem, terutama sistem pada sebuah situs. Brute-force attack
merupakan teknik penyerangan berdasarkan pada kemungkinan-kemungkinan
yang ditulis kedalam sebuah daftar. Teknik penyerangan ini bertujuan untuk
mendapatkan username dan password secara ilegal supaya dapat mengakses
kedalam sistem yang diinginkan penyerang.
Ketika sebuah kasus unauthorized access terjadi pada sebuah sistem, maka
akan lebih baik dilakukan penyelidikan lebih dalam terhadap lalu lintas jaringan,
setelah itu digunakan teknik Network Forensic untuk merekonstruksi kejahatan
unautorized access. Teknik network forensic pada dasarnya adalah melakukan
rekonstruksi kejahatan yang terjadi dalam sebuah sistem jaringan. Selanjutnya
akan dilakukan langkah-langkah sesuai dengan proses forensik dari National
Institute of Standard and Technology yang dijelaskan pada Bab 3.
Untuk itu, diperlukan sebuah sistem pada sisi server yang dapat merekam
dan mencatat setiap aktifitas jaringan frame by frame. Selain itu didalam sistem
juga harus ada beberapa aplikasi forensic untuk dapat melakukan evidence
acquisition seperti Snort, Wireshark dan Autopsy. Aplikasi Snort digunakan untuk
membantu proses menangkap dan merekam aliran data yang terjadi pada sistem
jaringan secara menyeluruhdan menghasilkan file log untuk proses analisis.
Aplikasi Wireshark digunakan pada saat proses analisa file log dari Snort. Dan
yang terakhir adalah aplikasi Autopsy yang digunakan untuk melakukan akuisisi
pada file .vhd, setelah itu dihasilkan report berupa time line rekonstruksi
kejahatan pencurian username dan password.
2.
Tinjauan Pustaka
Rashmi Hebbar dan Mohan K membahas tentang bagaimanan
memanfaatakan aplikasi Snort dan Wireshark untuk keperluan analisa paket
jaringan [1]. Snort yang difungsikan sebagai Network Intrusion Detection System
untuk menangkap (capturing) dan merekam (logging) secara real-time aktifitas
pada jaringan kabel ataupun nirkabel. Selanjutnya, aliran data yang terekam akan
digunakan sebagai bahan untuk analisa secara lebih lengkap dengan menggunakan
aplikasi Wireshark.
Pada penelitian Richard Carbone membahas tentang Transmission Control
Protocol (TCP) yang dimana merupakan salah satu protokol yang dimengerti atau
dapat dibaca oleh aplikasi Wireshark [2]. Protokol TCP akan digunakan sebagai
bukti untuk mewakili informasi waktu karena flag TCP menyerupai Modified,
1
Access, Metadata Change, and Birth (MACB). Sehingga data dari flag TCP ini
dapat dirumuskan kedalam payload dari paket TCP. Timeline Analysis sendiri
dapat membantu investigator dalam menyusun kerangan kejadian yang
sebenarnya, sehinggaa dapat diketahui setiap aktifitas yang dilakukan oleh
pengguna didalam sistem jaringan.
Digital Forensic merupakan sebuah proses mengungkapkan dan
menafsirkan data digital dengan cara mengkoleksi, mengidentifikasi dan
memvalidasi informasi digital dari olah tempat kejadian perkara guna rekonstruksi
sebuah kejahatan cyber. Data digital yang diperoleh dari proses ini nantinya akan
digunakan sebagai bukti yang legal didalam persidangan. Sedangkan Network
Forensic adalah cabang dari digital forensic yang menangani barang bukti digital
yang ada pada sistem jaringan.
Berdasarkan penelitian yang sudah dilakukan tentang bagaimana proses
network forensic berjalan pada sebuah investigasi ketika terjadi serangan terhadap
jaringan, maka akan digunakan dua Network Forensic Analysis Tool (NFAT) yang
berbasis open source. Yang pertama digunakan adalah Snort yang akan berfungsi
sebagai monitoring dan logging seluruh aktifitas jaringan. Dan yang kedua adalah
tool untuk keperluan analisa paket jaringan dari log file, yaitu Wireshark (lebih
dikenal Ethereal). Kedua tools ini sudah sangat terkenal dalam dunia forensic dan
lebih lagi kedua aplikasi ini merupakan aplikasi tidak berbayar karena berbasis
open source. Selain itu untuk keperluan ekstraksi data digunakan Autopsy dari
SleuthKit.
3.
Metode Penelitian
Pada penelitian ini akan menggunakan proses forensik dari National Institute
of Standard and Technology (NIST) seperti ditunjukan pada Gambar 1.
Identification
Analysis
Acquisition
Presentation
Gambar 1. Proses forensik [3]
Dalam investigasi network forensic terdapat empat tahapan utama yang
digunakan untuk mencari bukti digital dalam sebuah kasus, yaitu : 1)
Identification, pada tahap pertama mencari tahu kemungkinan sumber yang
dijadikan barang bukti dan diselidiki, seperti komputer server. Selanjutnya
menganalisa barang bukti prioritas yang masih berkaitan dengan kasus di
penelitian ini, setelah itu mengamankan semua barang bukti dari dengan cara
mematikan setiap network adapter yang masih terhubung dan yang terakhir adalah
memverifikasi keaslian barang bukti denan cara melakukan perbandingan kunci
hash MD5 dan SHA1. 2) Acquisition, pada proses ini barang bukti yang telah
teridentifikasi dilakukan imaging untuk menjaga keaslian dari barang bukti yang
sesungguhnya. Selanjutnya proses ekstrasi data menggunakan Autopsy dengan
melakukan pencarian terhadap data-data prioritas yang sudah ditetapkan. Pada
penelitian ini terdapat sebuah file yang menjadi fokus utama yaitu log file dari
2
Snort yang nantinya di ekstrak dari sumber data menggunakan Autopsy dan
disimpan kedalam PC analis. Setelah itu dilakukan verifikasi kunci hash untuk
membuktikan keaslian dari log file. 3) Analysis, pada log file dianalisa
menggunakan aplikasi Wireshark dengan tujuan mencari tahu aktifitas-aktifitas
yang terjadi selama server berjalan. Hasil dari Wireshark nanti berupa timeline
activity yang akan digunakan sebagai barang bukti pendukung. Selain itu proses
analisa juga dilakukan menggunakan apalikasi Autopsy, dengan tujuan ekstrasi
data (terutama pada web activity) dan analisa timeline. Proses analisa timeline
dilakukan dengan menggunakan dua aplikasi supaya kredibilitas dari timeline
tersebut valid dan dapat disajikan di pengadilakn melalui reporting. 4)
Presentation, proses ini setelah semua analisa selesai dilakukan makan suatu
kewajiban sebagai analis adalah memberikan report sebagai hasil. Proses
reporting dilakukan dengan mengumpulkan setiap hasil dari analisa dan
menyusun hasil tersebut dengan runtut dan menjelaskan tiap runtutan dengan
jelas. Proses reporting dilakukan menggunakan aplikasi Autopsy.
Selain proses forensik diatas, juga terdapat alat-alat yang digunakan untuk
mendukung penelitian ini antara lain adalah aplikasi forensik seperti Autopsy dan
Wireshark untuk proses analisa, selain itu juga terdapat Oracle VM VirtualBox
yang digunakan untuk proses virtualisasi. Untuk server virtual digunakan beberpa
aplikasi sepereti ownCloud, Apache, Bind, MariaDB, PHP, Snort dan MD5
Checksum NoThanksVirus.
Penelitian ini dilakukan bermula dari laporan seorang pengguna pada
tanggal 27 Januari 2017 pukul 09:00 WIB dengan akun bernama “client” yang
merupakan salah satu pengguna layanan penyimpanan awan ownCloud pada situs
www.awansekawan.camp, laporan tersebut berupa hilangnya file snort (.log) yang
terletak di folder photos dan Network Forensics 2012 (.pdf) yang terletak di folder
Private tanpa diketahui sebabnya. Setelah menerima laporan tersebut, admin
langsung mematikan server agar tidak ada kejahatan selanjutnya. Guna
menelusuri dan menganalisa lebih lanjut mengenai kejadian yang telah dilaporkan,
maka admin menyerahkan kasus ini kepada investigator untuk dilakukan analisa
secara forensik, karena kejadian ini sudah termasuk dalam kategori kejahatan
cyber.
Terdapat beberapa batasan masalah seperti, pada penelitian ini hanya akan
dilakukan pencarian pada berkas-berkas yang berkaitan dengan apa saja yang
terjadi pada cloud selama server dan client dijalankan. Selain itu server
mempunyai log file berupa catatan dan rekaman dari komunikasi jaringan dari
aplikasi Snort untuk dianalisa menggunakan Wireshark, tetapi proses pencarian
log file tersebut dibantu menggunakan aplikasi Autopsy yang berfungsi untuk
melakukan ekstraksi data pada file image dari server. Tujuan dari penelitian ini
adalah mendapatkan hasil berupa timeline rekonstruksi kejadian yang telah terjadi
selama rentang waktu sesuai dengan laporan. Timeline tersebut didapatkan melalui
analis paket jaringan menggunakan aplikasi Wireshark, karena fokus pada
penelitian ini ada network forensic sehingga analisa tidak lepas dari komunikasi
didalam jaringan.
3
4.
Pembahasan
Pada bab ini akan diuraikan lebih jauh mengenai proses dan hasil dari
identifikasi, akuisisi, analisa dan menghasilkan report yang digunakan untuk
presentasi.
1.
Pertama proses identifikasi, proses ini dilakukan oleh analis untuk mencari
tahu kejadian yang terjadi melalui laporan yang telah diterima, dengan
laporan tersebut analis akan mendapatakan petunjuk mengenai
kemungkinan-kemungkinan barang bukti tersebut berada. Pada penelitian ini
setelah analis mempelajari laporan dari pelapor maka dapat diidentifikasikan
berkas-berkas yang masih berhubungan dengan kejadian perkara, seperti
aplikasi Oracle VM VirtualBox yang digunakan untuk menjalankan virtual
server beserta layanannya (cloud storage). Ketika membuat virtual server
maka secara otomatis file image dari VirtualBox tersimpan didalam default
directory VirtualBox VMs. Selanjutnya dilakukan identifikasi mengenai
tools yang digunakan, pada penelitian ini kasus berkaitan dengan jaringan
yang dimana harus menggunakan Network Forensic Analysis Tool dan
digunakan aplikasi Wireshark sebagai alat untuk menganalisa paket jaringan.
Selain itu aplikasi Autopsy yang digunakan untuk ekstrasi data, timeline
analysis dan reporting. Setelah masalah dan kebutuhan teridentifikasi,
selanjutnya dilakukan proses perencanaan mengakuisisi barang bukti
dilakukan melalui tiga tahapan yaitu dengan mengidentifikasi barang bukti
prioritas, mencari sumber dari barang bukti prioritas dan melakukan
verifikasi kunci hash terhadap temuan-temuan yang didapatkan [3].
Gambar 2. Barang bukti berupa virtual server
Tabel 1. Hasil scanning kunci hash menggunakan MD5 Checksum Tool
Nama
ownCloud
Server.vhd
ownCloud
Server.vhd
Lokasi Folder
C:\Users\YKBPRTM\VirtualBox
VMs\ownCloud Server\
D:\Proposal
Skripsi\Evidence\ownCloud
Server\
MD5
901A12D7D35CDBC61
A758B8321270C61
901A12D7D35CDBC61
A758B8321270C61
4
SHA1
89646747FCB9B9610355D
0291A541C8EBB91E5B4
89646747FCB9B9610355D
0291A541C8EBB91E5B4
Gambar 3. Proses pengecekan kunci hash pada barang bukti ownCloud Server.vhd
Gambar 4. Penanganan terhadap barang bukti dengan memutuskan koneksi jaringan
2.
Selanjutnya dilakukan proses akuisisi yang meliputi imaging dan ekstrasi
data. Proses imaging digunakan untuk memperbanyak barang bukti yang ada
dengan kaidah yang berlaku. Ketika kasus digital forensic dihadapkan
dengan barang bukti berupa image file dari VirtualBox atau VMware,
terdapat dua pilihan untuk melakukan imaging virtual disks yaitu dengan
cara menjalankan ulang sistem yang sudah dimatikan lalu melakukan
penyalinan bit-by-bit atau langsung menggunakan file VirtualBox .vhd dan
snapshot files sebagai barang bukti untuk diakuisisi dan dianalisa [4]. Proses
penyalinan pada penelitian ini menggunakan fitur dari VirtualBox dengan
cara image cloning. Setalah proses image cloning selasai maka selanjutnya
dilakukan verifikasi terhadap barang bukti asli dan barang bukti cloning
menggunakan aplikas MD5 Checksum Tool.
5
Gambar 5. Proses image clonning pada ownCloud Server.vhd menggunakan VirtualBox
Gambar 6. Verifikasi kunci hash terhadap barang bukti asli dan cloning
Selanjutnya proses ekstraksi data dilakukan dengan menggunakan aplikasi
Autopsy yang merupakan salah satu aplikasi digital forensik dari SleuthKit
dengan graphical interface yang sangat user friendly dan terlebih lagi
mampu mengekstrak file dari virtual machine secara efektif. Pada penelitian
ini proses ekstraksi file memakan waktu yang cukup lama, karena ukuran file
yang diakuisisi cukup besar yaitu rata-rata 5-8 Gb. Pada poroses ini
diperiksa history dari browser masing-masing pengguna sehingga dapat
diketahui
aktifitas
mereka
selama
mengakses
laman
www.awansekawan.camp.
Tabel 2. Hasil ekstrasi tiap image file menggunakan Autopsy
Image
Videos
Audio
ownCloud Server
772
3
6
6
Client
20870
8
109
Client 2
14897
7
108
Bad Client
21532
4
101
Archieves
HTML
Office
PDF
Plain Text
Rich Text
Deleted Files
EXIF Metadata
Encryption Detected
Extention Mismatch Detected
Web Bookmark
Web Cookies
Web Download
Web History
Web Search
Email Addresses
6168
240
12
25
821
0
113357
40
12
6242
9256
362
9
18
524
0
57279
32
12
335
40
1489
9242
362
9
22
490
0
57118
31
12
336
22
280
22
1661
10085
404
6
23
2242
0
59815
14
5
6
18
339
6
233
11
27500
Setelah proses ekstraksi data selesai selanjutnya dilakukan pencarian
terhadap barang bukti potensial yaitu mencari log file dari aplikasi Snort
yang dipakai oleh server.
Gambar 7. Server menjalankan Snort dengan mode as a packet logger
Snort sendiri mempunyai tiga mode capturing, seperti Snort as a sniffer,
snort as a Packet Logger dan Snort as a NIDS. Pada penelitian Snort
difungsikan sebagai Packet Logger yang dimana output dari snort dianalisa.
Dengan menuliskan query “snort -vde
-l /var/log/snort/26jan/ -h
192.168.1.0/24” pada console server [1].
7
Gambar 8. Proses ekstrasi barang bukti prioritas (log file) pada ownCloud Server.vhd
Setelah
proses
ekstrasi
pada
file
snort.log.145399750
dan
snort.log.1485401144 selesai diekspor maka dilakukan analisa terhadap
paket jaringan menggunakan aplikasi Wireshark pada kedua file tersebut.
Tetapi sebelumnya dilakukan verifikasi terhadap barang bukti supaya setiap
file yang diekspor dari ownCloud Server.vhd layak disajikan dipengadilan.
Tabel 3. Verifikasi kunci MD5 pada barang bukti log file.
Nama
Lokasi Folder
snort.log.1453 /img_ownCloud
99750
Server.vhd/vol_vol2/var/log/snort/26jan/snort.log.1485
399750
snort.log.1485 /img_ownCloud
401144
Server.vhd/vol_vol2/var/log/snort/26jan/snort.log.
1485401144
snort.log.1453 D:\Evidence\snort.log.145399750
99750
snort.log.1485 D:\Evidence\snort.log.1485401144
401144
3.
MD5
11e453f503983b217c3f24e7fd
d7ecae
901A12D7D35CDBC61A758
B8321270C61
11e453f503983b217c3f24e7fd
d7ecae
901A12D7D35CDBC61A758
B8321270C61
Setelah barang bukti log file berhasil di ekspor dan diverifikasi keasliannya
maka selanjunya dilakukan tahap ke tiga, yaitu analisa.
Proses analisa, pada proses ini dilakukan dengan membagi menjadi dua
bagian. Pertama proses analisa pada log file dari aplikasi Snort dianalisa
menggunakan Wireshark dengan melakukan pengamatan secara detil pada
tiap paket data yang telah terekam di log file, terutama pada timeline dan
protokol http stream. Selanjutnya dari hasil pengamatan paket-paket yang
masih berkaitan dengan kasus diklasifikasikan dan disusun kedalam sebuah
timeline activity untuk rekonstruksi kejadian seperti terlihat pada tabel-tabel
dibawah ini.
8
Tabel 4. Timeline rekonstruksi kejadian dari pengguna "Client.vhd"
Waktu
10:03:03
10:04:02
10:04:40
10:04:56
10:05:14
10:06:14
10:06:53
10:07:02
10:07:54
10:11:03
TCP Stream
Kejadian
ke 6
Pengguna dengan alamat IP 192.168.1.102 melakukan login kedalam
website www.awansekawan.camp menggunakan username “client” dan
password “password”
15
Client membuat folder baru dengan nama “Private”
17
Client mengunggah file “Network Forensics 2012.pdf” ke dalam folder
“Private”
20
Client mengunggah file “Bloosom.jpg” ke dalam folder “Private”
22
Client mengunggah file “puisi.docx” ke dalam folder “Private”
23 – 28
Client membuat file “readme.txt” ke dalam folder “Private”
30
Client membuka folder “Photos”
33
Client mengunggah file “snort.log” ke dalam folder “Photos”
27 – 40
Client membagikan folder “Photos”
49
Client logout dari www.awansekawan.camp
Tabel 5. Timeline rekonstruksi kejadian dari pengguna "Client 2.vhd"
Waktu
(GMT +7)
10:23:41
TCP Stream
Kejadian
ke 59
Pengguna dengan alamat IP 192.168.1.103 melakukan login kedalam
website www.awansekawan.camp menggunakan username “client1”
10:24:34
58
Client1 membuat folder baru dengan nama “Share”
10:25:11
71
Client1 mengunggah file “nonono.pdf” ke dalam folder “Share”
10:25:37
74
Client1 mengunggah file “ufonet.tar.gz” ke dalam folder “Share”
TCP Stream ke 75 merupakan tcp stream dari output file pertama dan analisa dilanjutkan di
file ke dua, maka dari itu urutan Tcp Stream kemabali ke 0.
10:25:35
75 & 0
Client1 mengunggah file “Pokemon Go.apk” ke dalam folder
“Documents”
10:26:30
3
Client1 membuat file “blackhole.py” ke dalam folder “Documents”
10:26:45 s/d
4
Client1 membagikan folder “Share” ke dalam grup “sekawan”
10:27:07
10:27:11
6
Client1 membuka folder “Photos” dan mengunduh file “snort.log”
10:28:23
11
Client1 logout dari www.awansekawan.camp
Dari Tabel 4 dan Tabel 5 menunjukkan bahwa pengguna dengan alamat IP
192.168.1.102 dan 192.168.1.103 tidak didapati hal-hal aneh dan
mencurigakan yang mengarah pada kejahatan cyber. Selanjutnya diperiksa
paket jaringan pengguna dengan alamat IP 192.168.1.104, seperti yang
terlihat pada Gambar xx, graph menunjukkan adanya komunikasi yang
padat antara pengguna dengan alamat IP 192.168.1.104 dengan server.
9
Gambar 9. I/O Graph lalu lintas jaringan alamat IP 192.168.1.104.
Setelalah dilakukan pengamatan pada paket TCP Stream maka didapatkan
paket-paket mencurigakan yang tercatat di log file dari pengguna dengan
alamat IP 192.168.1.104, sebagai berikut.
1. Pada paket TCP Stream ke 1023 analis menduga bahwa pengguna
dengan alamat IP 192.168.1.104 mengetahui alamat IP dari server dan
mengakses situs www.awansekawan.camp. Kemungkinan pengguna
dengan alamat IP 192.168.1.104 menjalankan fungsi nmap untuk
mnelakukan network mapping supaya dapat diketahui host yang aktif
pada jaringan terhubung.
10
2. Pada paket TCP Stream 1071 sampai dengan paket TCP Stream 2827
didapati pengguna dengan alamat IP 192.168.1.104 menggunakan
aplikasi Hydra yang merupakan salah satu aplikasi untuk melakukan
kejahatan cyber. Diduga aplikasi Hydra digunakan untuk melakukan
brute force attack pada situs www.awansekawan.camp. Query yang
diguanakan adalah dengan menyertakan wordlist sebagai parameter
untuk melakukan serangan.
Hydra -L /home/client/Desktop/user.usr –P
/home/client/Desktop/pass.pwd www.awansekawan.camp http-post-form
“/index.php/login:user=^USER^&password=^PASS^:Wrong password.
Reset it?” -t 50 -w 50 -o /home/client/Desktop/hydraresultscan.txt
Penyerangan menggunakan metode http-post-form pada website yang
mempunyai form login. Penyerangan ini menggunakan kemungkinan
melalui file user.usr dan pass.pwd yang berisikan wordlist username dan
password yang digunakan oleh admin. Setelah proses penyerangan
selesai didapakan file output berupa hydraresultscan.txt, file ini berisi
kemungkinan-kemungkinan yang dapat dicoba untuk masuk kedalam
sistem website.
Gambar 10. Proses penyerangan menggunakan aplikasi Hydra
3. Pada paket TCP Stream 2855 penyerang berhasil login kedalam situs
dengan menggunakan akun admin dari hasil mencoba satu per satu
kemungungkinan dari serangan menggunakan hydra. Setalah itu
pengguna dengan alamat IP 192.168.1.104 mengakses lokasi yang
berisikan daftar user situs www.awansekawan.camp
4. Pengguna dengan alamat IP 192.168.1.104 logout dari akun admin dan
melakukan login menggunakan akun „client‟. Hal tersebut terlihat dari
paket TCP Stream ke 2871 dan TCP Stream 2872.
5. Aktifitas pengunduhan file snort.log dan Network Forensic 2012.pdf
oleh pengguna dengan alamat IP 192.168.1.104 terekam dan terlihat
pada TCP Stream 2882 dan TCP Stream 2889.
6. Pengguna dengan alamat IP 192.168.1.104 melakukan aktifitas
pengehapusan beberapa file yang terlihat pada TCP Stream 2883 dan
TCP Stream 2890.
Setalah dilakukan pengamatan dan pengelompokan aktifitas pada kedua
barang bukti berupa log file makan dapat disusun timeline activity pengguna
dengan alamat IP 192.168.1.104 yang dapat dilihat di Tabel 6.
11
Tabel 6. Timeline rekonstruksi kejadian dari pengguna "Bad Client.vhd"
Waktu
(GMT +7)
10:48:39
TCP Stream
ke 1015
10:49:09
1023
10:50:14
1030 - 1070
10:50:18
1071 – 2829
11:00:37
2838 – 2854
11:05:18
2855
11:05:56
2868
11:06:41
2871
11:06:57
2872
11:07:52
2881
11:08:00
2882
11:08:02
2882
11:08:24
2884
11:09:26
2889
11:09:40
2890
11:10:08
2893
Kejadian
Pengguna dengan alamat IP 192.168.1.104 mengakses situs
awansekawan dengan menggunakan IP webserver (192.168.1.101)
Pengguna dengan alamat IP 192.168.1.104 menambahkan IP
webserver (192.168.1.101) ke dalam list trusted domain supaya
dapat mengakses situs awansekawan
Pengguna dengan alamat IP 192.168.1.104 terdeteksi
menggunakan aplikasi Hydra untuk menyerang situs
Pengguna dengan alamat IP 192.168.1.104 terdeteksi
menggunakan metode http-post-form Brute Force pada aplikasi
Hydra untuk menyerang situs awansekawan
Pengguna dengan alamat IP 192.168.1.104 mencoba menggunakan
kemungkinan yang dihasilkan melalui serangan brute force
Pengguna dengan alamat IP 192.168.1.104 berhasil masuk
kedalam situs awansekawan dengan menggunakan akun admin
Pengguna dengan alamat IP 192.168.1.104 mengakses daftar
pengguna untuk mencari informasi pengguna resmi yang telah
terdaftar di situs awansekawan
Pengguna dengan alamat IP 192.168.1.104 telah keluar dari situs
awansekawan
Pengguna dengan alamat IP 192.168.1.104 kembali masuk
kedalam situs awansekawan menggunakan akun „client‟
Pengguna dengan alamat IP 192.168.1.104 mengakses folder
“Photos” dengan menggunakan akun „client‟
Pengguna dengan alamat IP 192.168.1.104 mengunduh file
“snort.log” yang ada didalam folder “Photos”
Pengguna dengan alamat IP 192.168.1.104 menghapus file
“snort.log” yang terletak di folder “Photos”
Pengguna dengan alamat IP 192.168.1.104 mengakses folder
“Private”
Pengguna dengan alamat IP 192.168.1.104 mengunduh file
“Network Forensics 2012.pdf” yang terletak di folder “Private”
Pengguna dengan alamat IP 192.168.1.104 menghapus file
“Network Forensics 2012.pdf” yang terletak di folder “Private”
Pengguna dengan alamat IP 192.168.1.104 keluar dari situs
awansekawan menggunakan akun “client”
12
Selanjutnya proses analisa pada file image ownCloud Server.vhd akan
dilakukan menggunakan aplikasi network forensic yaitu Autopsy. Hasil dari
analisa menggunakan Autopsy analis menemukan temuan yang dapat
dijadikan alat penguat barang bukti yang sudah ada. Proses analisa
menggunakan Autopsy dibagi menjadi beberapa bagian:
1. File carving, pada bagian ini analis mencoba mencari database pada
aplikasi ownCloud yang digunakan untuk layanan cloud storage. Pada
saat proses pencarian telah ditemukan beberapa file yang masih
berkaitan dengan kasus ini,
Gambar 11. Artifact dari barang bukti ownCloud Server.vhd
2. Data Recovery, pada proses file carving ditemukan beberapa file yang
telah dihapus dan file tersebut merupakan file snort.log dan Network
Forensics 2012.pdf yang telah dilaporkan oleh user „client‟. Pada
proses ini analis akan melakukan recovery pada ke dua file tersebut.
Gambar 12. Hasil recovery file menggunakan Autopsy
13
Tabel 7. Verifikasi keaslian dari artifact yang telah ditemukan pada barang bukti
File
.bash_history
MD5 Chekcsum Tools
AA9FC5F78FB4256AC513F8BD8C
AE06B6
oc_filecache
725D03F8841B842DE550A592E11B
0A1B
BC2BABACB35CE3148CABB0F8A
940D893
59BE495EE497442FF3AC19F14EA5
D614
01C8C62C3E4DB28B97BE8907DB5
5ACCB
8A9D3B17FDC33F988A1351C343E
9E1B7
8CE396896AB35A6518ECDCA998D
C16E1
8B01A84CFC974B257503EAF77B1
B8D90
98235DEC578711D17D2308D8FEEF
4EF9
7A3AF34E6A5AB6A187D90C33B37
7C420
oc_group_user
oc_groups
oc_share
oc_users
oc_files_trash
oc_activity
oc_activity_mq
Network Forensics
2012.pdf.d1485403
781
snort.log.d1485403
698
993136F7FF7C3E4FD163DFEF960A
DA46
Metadata
aa9fc5f78fb4256ac513f8bd8cae0
6b6
725d03f8841b842de550a592e11b0a1b
bc2babacb35ce3148cabb0f8a940d893
59be495ee497442ff3ac19f14ea5d614
01c8c62c3e4db28b97be8907db55accb
8a9d3b17fdc33f988a1351c343e9e1b7
8ce396896ab35a6518ecdca998dc16e1
8b01a84cfc974b257503eaf77b1b8d90
98235dec578711d17d2308d8feef4ef9
7a3af34e6a5ab6a187d90c33b377c420
993136f7ff7c3e4fd163dfef960ada46
3. Verifikasi, pada proses ini semua file artifact hasil dari file carving dan
file recovery akan dilakukan perbandingan kunci hash supaya dapat
dibuktikan keaslian dari file-file tersebut. Proses verifikasi dilakukan
menggunakan MD5 Checksum Tool pada tiap-tiap file dan juga dapat
dilihat dari informasi metadata pada tiap-tiap file.
14
4. Timeline activity, pada proses ini analis akan menampilkan timeline
activity dari ownCloud Server.vhd. Timeline ditampilkan
menggunakan filter waktu supaya didaptkan timeline activity pada
waktu yang diinginkan. Analis menggunakan filter waktu mulai dari
tanggal 26 Januari 2017, Pukul 08:59:00 sampai dengan 26 Januari
2017, Pukul 12:16:13. Pada rentang waktu tersebut terdapat dua user
yang mengakses situs www.awansekawan.camp yaitu, client dan
client1. Masing-masing dari user melakukan aktifitasnya seperti
mengunggah, mengunduh, membuat file dan folder serta mengedit dan
menghapus file. Semua aktifitas tersebut terekam dan dapat dilihat
melalui details di timeline dari aplikasi Autopsy. Dari timeline ini juga
didapatkan beberapa file yang menyimpan aktifitas-aktifitas dari user,
seperti terlihat di Tabel 6.
Gambar 13. Timeline activity dari ownCloud Server.vhd
4.
Presentasi, pada proses ini analis mengumpulkan semua hasil analisa dan di
proses reporting menggunakan aplikasi Autopsy. Berikut adalah hasil
generate report menggunakan aplikas Autopsy.
Gambar 14. hasil reporting menggunakan Autopsy
15
Pada proses ini analis telah mengumpulkan artifact yang membuktikan
adanya aktifitas oleh server dan user („client‟ dan „client1‟).
Gambar 15. Artifact dari hasil reporting menggunakan Autopsy
Pada sisi server aktifitas yang menonjol adalah perekaman aktifitas jaringan
menggunakan Snort, hal itu terlihat pada file .bash_history.
Gambar 16. Penggunaan aplikasi snort oleh server tercatat di salah satu artifact
Sedangkan pada sisi user telah ditemukan aktifitas dari „client‟ ketika
melakukan penghapusan file dan masih tersimpan di folder owncloud.
Proses pengembalian file atau recovery juga telah selesai dilakukan pada bab
pembahasan.
Gambar 17. Artifact dari salah satu user
16
5.
Kesimpulan
Pada hasil analisa dan reporting telah dicapai tujuan dari penelitian ini yaitu
mendapatakkan timeline yang digunakan untuk melakukan rekonstruksi kejadian
untuk mengetahui pelaku kejahatan cyber yang telah terjadi di situs
www.awansekawan.camp. Dari hasil rekonstruksi timeline dapat disimpulkan
bahwa pengguna dengan alamat IP 192.168.1.104 diduga sebagai pelaku
kejahatan sampai diputuskan oleh pengadilan. Selain itu terdapat beberapa faktor
penting dalam penerapan ilmu forensik pada penelitian ini, seperti :
1. Pada tanggal 26 Januari 2017 pukul 10:50:14 GMT +7 sampai dengan
pukul 11:10:08 GMT +7 telah terjadi penyerangan menggunakan
aplikasi Hydra dengan metode brute force attack oleh pengguna dengan
alamat IP 192.168.1.104 pada situs www.awansekawan.camp. Sumber
dari serangan tersebut berasal dari penggguna dengan alamat IP
192.168.1.104 yang dimana alamat IP tersebut tergolong dalam kelas C.
Kelas C sendiri mempunya format dengan menggunakan 24 bit pertama
sebagai network id (192.168.1.xx) dan 8 bit terakhir sebagai host id
(xxx.xxx.x.104). Dengan begitu dapat disimpulkan bahwa penyerang
masih berada dalam satu jaringan dengan dengan server. Selain itu
terdapat bukti bahwa penyerang juga menggunakan timezone GMT +7
dan dari penelusuran paket TCP Stream tercatat bahwa penyerang
menghubungi server menggunakan lokasi Asia/Jakarta.
2. Pada penelitian ini kasus seperti brute force attack terjadi karena
lemahnya karakter dari password yang digunakan oleh tiap client dan
dapat disarankan untuk tiap client mengubah username dan password
dengan karakter yang lebih rumit, seperti peggunaan huruf uppercase
dan juga penggunaan simbol. Tidak adanya pengamanan tambahan pada
server ownCloud juga menjadi salah satu faktor yang menyebabkan
terjadinya penyerangan terhadap server dan disarankan untuk
melakukan penambahan alert rules di Snort juga harus dilakukan untuk
lebih mudah mendeteksi adanya serangan, selain itu penambahan sistem
kamanan seperti Fail2ban, Firewall dan Antivirus.
3. Pada penelitian ini terdapat kendala seperti beberapa artifact yang
didapatkan tidak bisa didapatkan informasi string content. Selain itu
kendala ada pada lamanya proses akuisisi barang bukti karena waktu
scanning yang dibutuhkan lebih dari 5 jam, proses analisa tidak
mendapatkan bukti non-volatile karena setelah terjadinya pelaporan
server virtual langsung dimatikan dan hal tersebut menyebabkan
beberapa artifact non-volatile tidak bisa digunakan untuk analisa.
6.
Daftar Pustaka
[1] Hebbar, Rasmi dan Mohan K, 2015, Packet Analysis with Network Intrution
Detection System, International Journal of Science and Research (volume 4 issue
2), http://www.ijsr.net/archive/v4i2/21021503.pdf.
[2] Fletcher, David, 2015, Forensic Timeline Analysis using Wireshark GIAC
(GCFA) Gold Certification, SANS Institute InfoSec Reading Room,
17
https://www.sans.org/reading-room/whitepapers/forensics/forensic-timelineanalysis-wireshark-giac-gcfa-gold-certification-36137.
[3] Kent, Karen, Suzanne Chevalier, Tim Grance, Hung Dang, 2006, Guide to
Integrating Forensic Technique into Incident Response, National Institute of
Standards
and
Technology
(Special
Publication
800-86),
http://ws680.nist.gov/publication/get_pdf.cfm?pub_id=50875.
[4] Martin, Ben dan Kim-Kwang Raymond Choo, 2013, Cloud Storage Forensic :
ownCloud as a Case Study, The International Journal of Digital Forensics &
Incident
Response
(volume
10
issue
2),
http://www.sciencedirect.com/science/journal/17422876.
[5] Hirwani, Manish; Pan, Yin; Stackpole, Bill; and Johnson, Daryl, 2012,
Forensic Acquisition and Analysis of VMware Virtual Hard Disks, Rochester
Institute of Technology Scholar Work, http://scholarworks.rit.edu/other/297 [1
Maret 2017].
[6] Al Sadi, Ghania, 2015, Extracting Potential Forensic Evidence from Cloud
Client using ownCloud as a Case Study, International Journal of Computer
Applications
(volume
132
no.7),
http://www.ijcaonline.org/research/volume132/number7/sadi-2015-ijca907482.pdf.
18
Artikel Ilmiah
Diajukan kepada
Fakultas Teknologi Informasi
untuk Memperoleh Gelar Sarjana Komputer
Peneliti:
Yakub Pratama (672011212)
Dr. Irwan Sembiring, S.T., M.Kom.
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
Mei 2017
i
ii
iii
iv
1.
Pendahuluan
Penggunaan internet untuk keperluan berbagi data sangat memberikan
kemudahan dari sisi pengguna. Hal ini terlihat semakin banyaknya layanan
penyimpanan data berbasi awan, seperti ownCloud. Tetapi kemudahan ini sematamata belum tentu sepadan dengan keamanan yang diberikan. Banyaknya
kejahatan yang terjadi didunia maya kerap kali mejadi masalah dan juga
menimbulkan kerugian yang sangat besar bagi penggunanya, salah satu kejahatan
didunia maya yang sering ditemukan adalah Unauthorized Access dengan
menggunakan teknik Brute-Force Attack. Dengan metode ini, penyerang akan
mencoba mendapatkan username dan password secara ilegal untuk masuk
kedalam sebuah sistem, terutama sistem pada sebuah situs. Brute-force attack
merupakan teknik penyerangan berdasarkan pada kemungkinan-kemungkinan
yang ditulis kedalam sebuah daftar. Teknik penyerangan ini bertujuan untuk
mendapatkan username dan password secara ilegal supaya dapat mengakses
kedalam sistem yang diinginkan penyerang.
Ketika sebuah kasus unauthorized access terjadi pada sebuah sistem, maka
akan lebih baik dilakukan penyelidikan lebih dalam terhadap lalu lintas jaringan,
setelah itu digunakan teknik Network Forensic untuk merekonstruksi kejahatan
unautorized access. Teknik network forensic pada dasarnya adalah melakukan
rekonstruksi kejahatan yang terjadi dalam sebuah sistem jaringan. Selanjutnya
akan dilakukan langkah-langkah sesuai dengan proses forensik dari National
Institute of Standard and Technology yang dijelaskan pada Bab 3.
Untuk itu, diperlukan sebuah sistem pada sisi server yang dapat merekam
dan mencatat setiap aktifitas jaringan frame by frame. Selain itu didalam sistem
juga harus ada beberapa aplikasi forensic untuk dapat melakukan evidence
acquisition seperti Snort, Wireshark dan Autopsy. Aplikasi Snort digunakan untuk
membantu proses menangkap dan merekam aliran data yang terjadi pada sistem
jaringan secara menyeluruhdan menghasilkan file log untuk proses analisis.
Aplikasi Wireshark digunakan pada saat proses analisa file log dari Snort. Dan
yang terakhir adalah aplikasi Autopsy yang digunakan untuk melakukan akuisisi
pada file .vhd, setelah itu dihasilkan report berupa time line rekonstruksi
kejahatan pencurian username dan password.
2.
Tinjauan Pustaka
Rashmi Hebbar dan Mohan K membahas tentang bagaimanan
memanfaatakan aplikasi Snort dan Wireshark untuk keperluan analisa paket
jaringan [1]. Snort yang difungsikan sebagai Network Intrusion Detection System
untuk menangkap (capturing) dan merekam (logging) secara real-time aktifitas
pada jaringan kabel ataupun nirkabel. Selanjutnya, aliran data yang terekam akan
digunakan sebagai bahan untuk analisa secara lebih lengkap dengan menggunakan
aplikasi Wireshark.
Pada penelitian Richard Carbone membahas tentang Transmission Control
Protocol (TCP) yang dimana merupakan salah satu protokol yang dimengerti atau
dapat dibaca oleh aplikasi Wireshark [2]. Protokol TCP akan digunakan sebagai
bukti untuk mewakili informasi waktu karena flag TCP menyerupai Modified,
1
Access, Metadata Change, and Birth (MACB). Sehingga data dari flag TCP ini
dapat dirumuskan kedalam payload dari paket TCP. Timeline Analysis sendiri
dapat membantu investigator dalam menyusun kerangan kejadian yang
sebenarnya, sehinggaa dapat diketahui setiap aktifitas yang dilakukan oleh
pengguna didalam sistem jaringan.
Digital Forensic merupakan sebuah proses mengungkapkan dan
menafsirkan data digital dengan cara mengkoleksi, mengidentifikasi dan
memvalidasi informasi digital dari olah tempat kejadian perkara guna rekonstruksi
sebuah kejahatan cyber. Data digital yang diperoleh dari proses ini nantinya akan
digunakan sebagai bukti yang legal didalam persidangan. Sedangkan Network
Forensic adalah cabang dari digital forensic yang menangani barang bukti digital
yang ada pada sistem jaringan.
Berdasarkan penelitian yang sudah dilakukan tentang bagaimana proses
network forensic berjalan pada sebuah investigasi ketika terjadi serangan terhadap
jaringan, maka akan digunakan dua Network Forensic Analysis Tool (NFAT) yang
berbasis open source. Yang pertama digunakan adalah Snort yang akan berfungsi
sebagai monitoring dan logging seluruh aktifitas jaringan. Dan yang kedua adalah
tool untuk keperluan analisa paket jaringan dari log file, yaitu Wireshark (lebih
dikenal Ethereal). Kedua tools ini sudah sangat terkenal dalam dunia forensic dan
lebih lagi kedua aplikasi ini merupakan aplikasi tidak berbayar karena berbasis
open source. Selain itu untuk keperluan ekstraksi data digunakan Autopsy dari
SleuthKit.
3.
Metode Penelitian
Pada penelitian ini akan menggunakan proses forensik dari National Institute
of Standard and Technology (NIST) seperti ditunjukan pada Gambar 1.
Identification
Analysis
Acquisition
Presentation
Gambar 1. Proses forensik [3]
Dalam investigasi network forensic terdapat empat tahapan utama yang
digunakan untuk mencari bukti digital dalam sebuah kasus, yaitu : 1)
Identification, pada tahap pertama mencari tahu kemungkinan sumber yang
dijadikan barang bukti dan diselidiki, seperti komputer server. Selanjutnya
menganalisa barang bukti prioritas yang masih berkaitan dengan kasus di
penelitian ini, setelah itu mengamankan semua barang bukti dari dengan cara
mematikan setiap network adapter yang masih terhubung dan yang terakhir adalah
memverifikasi keaslian barang bukti denan cara melakukan perbandingan kunci
hash MD5 dan SHA1. 2) Acquisition, pada proses ini barang bukti yang telah
teridentifikasi dilakukan imaging untuk menjaga keaslian dari barang bukti yang
sesungguhnya. Selanjutnya proses ekstrasi data menggunakan Autopsy dengan
melakukan pencarian terhadap data-data prioritas yang sudah ditetapkan. Pada
penelitian ini terdapat sebuah file yang menjadi fokus utama yaitu log file dari
2
Snort yang nantinya di ekstrak dari sumber data menggunakan Autopsy dan
disimpan kedalam PC analis. Setelah itu dilakukan verifikasi kunci hash untuk
membuktikan keaslian dari log file. 3) Analysis, pada log file dianalisa
menggunakan aplikasi Wireshark dengan tujuan mencari tahu aktifitas-aktifitas
yang terjadi selama server berjalan. Hasil dari Wireshark nanti berupa timeline
activity yang akan digunakan sebagai barang bukti pendukung. Selain itu proses
analisa juga dilakukan menggunakan apalikasi Autopsy, dengan tujuan ekstrasi
data (terutama pada web activity) dan analisa timeline. Proses analisa timeline
dilakukan dengan menggunakan dua aplikasi supaya kredibilitas dari timeline
tersebut valid dan dapat disajikan di pengadilakn melalui reporting. 4)
Presentation, proses ini setelah semua analisa selesai dilakukan makan suatu
kewajiban sebagai analis adalah memberikan report sebagai hasil. Proses
reporting dilakukan dengan mengumpulkan setiap hasil dari analisa dan
menyusun hasil tersebut dengan runtut dan menjelaskan tiap runtutan dengan
jelas. Proses reporting dilakukan menggunakan aplikasi Autopsy.
Selain proses forensik diatas, juga terdapat alat-alat yang digunakan untuk
mendukung penelitian ini antara lain adalah aplikasi forensik seperti Autopsy dan
Wireshark untuk proses analisa, selain itu juga terdapat Oracle VM VirtualBox
yang digunakan untuk proses virtualisasi. Untuk server virtual digunakan beberpa
aplikasi sepereti ownCloud, Apache, Bind, MariaDB, PHP, Snort dan MD5
Checksum NoThanksVirus.
Penelitian ini dilakukan bermula dari laporan seorang pengguna pada
tanggal 27 Januari 2017 pukul 09:00 WIB dengan akun bernama “client” yang
merupakan salah satu pengguna layanan penyimpanan awan ownCloud pada situs
www.awansekawan.camp, laporan tersebut berupa hilangnya file snort (.log) yang
terletak di folder photos dan Network Forensics 2012 (.pdf) yang terletak di folder
Private tanpa diketahui sebabnya. Setelah menerima laporan tersebut, admin
langsung mematikan server agar tidak ada kejahatan selanjutnya. Guna
menelusuri dan menganalisa lebih lanjut mengenai kejadian yang telah dilaporkan,
maka admin menyerahkan kasus ini kepada investigator untuk dilakukan analisa
secara forensik, karena kejadian ini sudah termasuk dalam kategori kejahatan
cyber.
Terdapat beberapa batasan masalah seperti, pada penelitian ini hanya akan
dilakukan pencarian pada berkas-berkas yang berkaitan dengan apa saja yang
terjadi pada cloud selama server dan client dijalankan. Selain itu server
mempunyai log file berupa catatan dan rekaman dari komunikasi jaringan dari
aplikasi Snort untuk dianalisa menggunakan Wireshark, tetapi proses pencarian
log file tersebut dibantu menggunakan aplikasi Autopsy yang berfungsi untuk
melakukan ekstraksi data pada file image dari server. Tujuan dari penelitian ini
adalah mendapatkan hasil berupa timeline rekonstruksi kejadian yang telah terjadi
selama rentang waktu sesuai dengan laporan. Timeline tersebut didapatkan melalui
analis paket jaringan menggunakan aplikasi Wireshark, karena fokus pada
penelitian ini ada network forensic sehingga analisa tidak lepas dari komunikasi
didalam jaringan.
3
4.
Pembahasan
Pada bab ini akan diuraikan lebih jauh mengenai proses dan hasil dari
identifikasi, akuisisi, analisa dan menghasilkan report yang digunakan untuk
presentasi.
1.
Pertama proses identifikasi, proses ini dilakukan oleh analis untuk mencari
tahu kejadian yang terjadi melalui laporan yang telah diterima, dengan
laporan tersebut analis akan mendapatakan petunjuk mengenai
kemungkinan-kemungkinan barang bukti tersebut berada. Pada penelitian ini
setelah analis mempelajari laporan dari pelapor maka dapat diidentifikasikan
berkas-berkas yang masih berhubungan dengan kejadian perkara, seperti
aplikasi Oracle VM VirtualBox yang digunakan untuk menjalankan virtual
server beserta layanannya (cloud storage). Ketika membuat virtual server
maka secara otomatis file image dari VirtualBox tersimpan didalam default
directory VirtualBox VMs. Selanjutnya dilakukan identifikasi mengenai
tools yang digunakan, pada penelitian ini kasus berkaitan dengan jaringan
yang dimana harus menggunakan Network Forensic Analysis Tool dan
digunakan aplikasi Wireshark sebagai alat untuk menganalisa paket jaringan.
Selain itu aplikasi Autopsy yang digunakan untuk ekstrasi data, timeline
analysis dan reporting. Setelah masalah dan kebutuhan teridentifikasi,
selanjutnya dilakukan proses perencanaan mengakuisisi barang bukti
dilakukan melalui tiga tahapan yaitu dengan mengidentifikasi barang bukti
prioritas, mencari sumber dari barang bukti prioritas dan melakukan
verifikasi kunci hash terhadap temuan-temuan yang didapatkan [3].
Gambar 2. Barang bukti berupa virtual server
Tabel 1. Hasil scanning kunci hash menggunakan MD5 Checksum Tool
Nama
ownCloud
Server.vhd
ownCloud
Server.vhd
Lokasi Folder
C:\Users\YKBPRTM\VirtualBox
VMs\ownCloud Server\
D:\Proposal
Skripsi\Evidence\ownCloud
Server\
MD5
901A12D7D35CDBC61
A758B8321270C61
901A12D7D35CDBC61
A758B8321270C61
4
SHA1
89646747FCB9B9610355D
0291A541C8EBB91E5B4
89646747FCB9B9610355D
0291A541C8EBB91E5B4
Gambar 3. Proses pengecekan kunci hash pada barang bukti ownCloud Server.vhd
Gambar 4. Penanganan terhadap barang bukti dengan memutuskan koneksi jaringan
2.
Selanjutnya dilakukan proses akuisisi yang meliputi imaging dan ekstrasi
data. Proses imaging digunakan untuk memperbanyak barang bukti yang ada
dengan kaidah yang berlaku. Ketika kasus digital forensic dihadapkan
dengan barang bukti berupa image file dari VirtualBox atau VMware,
terdapat dua pilihan untuk melakukan imaging virtual disks yaitu dengan
cara menjalankan ulang sistem yang sudah dimatikan lalu melakukan
penyalinan bit-by-bit atau langsung menggunakan file VirtualBox .vhd dan
snapshot files sebagai barang bukti untuk diakuisisi dan dianalisa [4]. Proses
penyalinan pada penelitian ini menggunakan fitur dari VirtualBox dengan
cara image cloning. Setalah proses image cloning selasai maka selanjutnya
dilakukan verifikasi terhadap barang bukti asli dan barang bukti cloning
menggunakan aplikas MD5 Checksum Tool.
5
Gambar 5. Proses image clonning pada ownCloud Server.vhd menggunakan VirtualBox
Gambar 6. Verifikasi kunci hash terhadap barang bukti asli dan cloning
Selanjutnya proses ekstraksi data dilakukan dengan menggunakan aplikasi
Autopsy yang merupakan salah satu aplikasi digital forensik dari SleuthKit
dengan graphical interface yang sangat user friendly dan terlebih lagi
mampu mengekstrak file dari virtual machine secara efektif. Pada penelitian
ini proses ekstraksi file memakan waktu yang cukup lama, karena ukuran file
yang diakuisisi cukup besar yaitu rata-rata 5-8 Gb. Pada poroses ini
diperiksa history dari browser masing-masing pengguna sehingga dapat
diketahui
aktifitas
mereka
selama
mengakses
laman
www.awansekawan.camp.
Tabel 2. Hasil ekstrasi tiap image file menggunakan Autopsy
Image
Videos
Audio
ownCloud Server
772
3
6
6
Client
20870
8
109
Client 2
14897
7
108
Bad Client
21532
4
101
Archieves
HTML
Office
Plain Text
Rich Text
Deleted Files
EXIF Metadata
Encryption Detected
Extention Mismatch Detected
Web Bookmark
Web Cookies
Web Download
Web History
Web Search
Email Addresses
6168
240
12
25
821
0
113357
40
12
6242
9256
362
9
18
524
0
57279
32
12
335
40
1489
9242
362
9
22
490
0
57118
31
12
336
22
280
22
1661
10085
404
6
23
2242
0
59815
14
5
6
18
339
6
233
11
27500
Setelah proses ekstraksi data selesai selanjutnya dilakukan pencarian
terhadap barang bukti potensial yaitu mencari log file dari aplikasi Snort
yang dipakai oleh server.
Gambar 7. Server menjalankan Snort dengan mode as a packet logger
Snort sendiri mempunyai tiga mode capturing, seperti Snort as a sniffer,
snort as a Packet Logger dan Snort as a NIDS. Pada penelitian Snort
difungsikan sebagai Packet Logger yang dimana output dari snort dianalisa.
Dengan menuliskan query “snort -vde
-l /var/log/snort/26jan/ -h
192.168.1.0/24” pada console server [1].
7
Gambar 8. Proses ekstrasi barang bukti prioritas (log file) pada ownCloud Server.vhd
Setelah
proses
ekstrasi
pada
file
snort.log.145399750
dan
snort.log.1485401144 selesai diekspor maka dilakukan analisa terhadap
paket jaringan menggunakan aplikasi Wireshark pada kedua file tersebut.
Tetapi sebelumnya dilakukan verifikasi terhadap barang bukti supaya setiap
file yang diekspor dari ownCloud Server.vhd layak disajikan dipengadilan.
Tabel 3. Verifikasi kunci MD5 pada barang bukti log file.
Nama
Lokasi Folder
snort.log.1453 /img_ownCloud
99750
Server.vhd/vol_vol2/var/log/snort/26jan/snort.log.1485
399750
snort.log.1485 /img_ownCloud
401144
Server.vhd/vol_vol2/var/log/snort/26jan/snort.log.
1485401144
snort.log.1453 D:\Evidence\snort.log.145399750
99750
snort.log.1485 D:\Evidence\snort.log.1485401144
401144
3.
MD5
11e453f503983b217c3f24e7fd
d7ecae
901A12D7D35CDBC61A758
B8321270C61
11e453f503983b217c3f24e7fd
d7ecae
901A12D7D35CDBC61A758
B8321270C61
Setelah barang bukti log file berhasil di ekspor dan diverifikasi keasliannya
maka selanjunya dilakukan tahap ke tiga, yaitu analisa.
Proses analisa, pada proses ini dilakukan dengan membagi menjadi dua
bagian. Pertama proses analisa pada log file dari aplikasi Snort dianalisa
menggunakan Wireshark dengan melakukan pengamatan secara detil pada
tiap paket data yang telah terekam di log file, terutama pada timeline dan
protokol http stream. Selanjutnya dari hasil pengamatan paket-paket yang
masih berkaitan dengan kasus diklasifikasikan dan disusun kedalam sebuah
timeline activity untuk rekonstruksi kejadian seperti terlihat pada tabel-tabel
dibawah ini.
8
Tabel 4. Timeline rekonstruksi kejadian dari pengguna "Client.vhd"
Waktu
10:03:03
10:04:02
10:04:40
10:04:56
10:05:14
10:06:14
10:06:53
10:07:02
10:07:54
10:11:03
TCP Stream
Kejadian
ke 6
Pengguna dengan alamat IP 192.168.1.102 melakukan login kedalam
website www.awansekawan.camp menggunakan username “client” dan
password “password”
15
Client membuat folder baru dengan nama “Private”
17
Client mengunggah file “Network Forensics 2012.pdf” ke dalam folder
“Private”
20
Client mengunggah file “Bloosom.jpg” ke dalam folder “Private”
22
Client mengunggah file “puisi.docx” ke dalam folder “Private”
23 – 28
Client membuat file “readme.txt” ke dalam folder “Private”
30
Client membuka folder “Photos”
33
Client mengunggah file “snort.log” ke dalam folder “Photos”
27 – 40
Client membagikan folder “Photos”
49
Client logout dari www.awansekawan.camp
Tabel 5. Timeline rekonstruksi kejadian dari pengguna "Client 2.vhd"
Waktu
(GMT +7)
10:23:41
TCP Stream
Kejadian
ke 59
Pengguna dengan alamat IP 192.168.1.103 melakukan login kedalam
website www.awansekawan.camp menggunakan username “client1”
10:24:34
58
Client1 membuat folder baru dengan nama “Share”
10:25:11
71
Client1 mengunggah file “nonono.pdf” ke dalam folder “Share”
10:25:37
74
Client1 mengunggah file “ufonet.tar.gz” ke dalam folder “Share”
TCP Stream ke 75 merupakan tcp stream dari output file pertama dan analisa dilanjutkan di
file ke dua, maka dari itu urutan Tcp Stream kemabali ke 0.
10:25:35
75 & 0
Client1 mengunggah file “Pokemon Go.apk” ke dalam folder
“Documents”
10:26:30
3
Client1 membuat file “blackhole.py” ke dalam folder “Documents”
10:26:45 s/d
4
Client1 membagikan folder “Share” ke dalam grup “sekawan”
10:27:07
10:27:11
6
Client1 membuka folder “Photos” dan mengunduh file “snort.log”
10:28:23
11
Client1 logout dari www.awansekawan.camp
Dari Tabel 4 dan Tabel 5 menunjukkan bahwa pengguna dengan alamat IP
192.168.1.102 dan 192.168.1.103 tidak didapati hal-hal aneh dan
mencurigakan yang mengarah pada kejahatan cyber. Selanjutnya diperiksa
paket jaringan pengguna dengan alamat IP 192.168.1.104, seperti yang
terlihat pada Gambar xx, graph menunjukkan adanya komunikasi yang
padat antara pengguna dengan alamat IP 192.168.1.104 dengan server.
9
Gambar 9. I/O Graph lalu lintas jaringan alamat IP 192.168.1.104.
Setelalah dilakukan pengamatan pada paket TCP Stream maka didapatkan
paket-paket mencurigakan yang tercatat di log file dari pengguna dengan
alamat IP 192.168.1.104, sebagai berikut.
1. Pada paket TCP Stream ke 1023 analis menduga bahwa pengguna
dengan alamat IP 192.168.1.104 mengetahui alamat IP dari server dan
mengakses situs www.awansekawan.camp. Kemungkinan pengguna
dengan alamat IP 192.168.1.104 menjalankan fungsi nmap untuk
mnelakukan network mapping supaya dapat diketahui host yang aktif
pada jaringan terhubung.
10
2. Pada paket TCP Stream 1071 sampai dengan paket TCP Stream 2827
didapati pengguna dengan alamat IP 192.168.1.104 menggunakan
aplikasi Hydra yang merupakan salah satu aplikasi untuk melakukan
kejahatan cyber. Diduga aplikasi Hydra digunakan untuk melakukan
brute force attack pada situs www.awansekawan.camp. Query yang
diguanakan adalah dengan menyertakan wordlist sebagai parameter
untuk melakukan serangan.
Hydra -L /home/client/Desktop/user.usr –P
/home/client/Desktop/pass.pwd www.awansekawan.camp http-post-form
“/index.php/login:user=^USER^&password=^PASS^:Wrong password.
Reset it?” -t 50 -w 50 -o /home/client/Desktop/hydraresultscan.txt
Penyerangan menggunakan metode http-post-form pada website yang
mempunyai form login. Penyerangan ini menggunakan kemungkinan
melalui file user.usr dan pass.pwd yang berisikan wordlist username dan
password yang digunakan oleh admin. Setelah proses penyerangan
selesai didapakan file output berupa hydraresultscan.txt, file ini berisi
kemungkinan-kemungkinan yang dapat dicoba untuk masuk kedalam
sistem website.
Gambar 10. Proses penyerangan menggunakan aplikasi Hydra
3. Pada paket TCP Stream 2855 penyerang berhasil login kedalam situs
dengan menggunakan akun admin dari hasil mencoba satu per satu
kemungungkinan dari serangan menggunakan hydra. Setalah itu
pengguna dengan alamat IP 192.168.1.104 mengakses lokasi yang
berisikan daftar user situs www.awansekawan.camp
4. Pengguna dengan alamat IP 192.168.1.104 logout dari akun admin dan
melakukan login menggunakan akun „client‟. Hal tersebut terlihat dari
paket TCP Stream ke 2871 dan TCP Stream 2872.
5. Aktifitas pengunduhan file snort.log dan Network Forensic 2012.pdf
oleh pengguna dengan alamat IP 192.168.1.104 terekam dan terlihat
pada TCP Stream 2882 dan TCP Stream 2889.
6. Pengguna dengan alamat IP 192.168.1.104 melakukan aktifitas
pengehapusan beberapa file yang terlihat pada TCP Stream 2883 dan
TCP Stream 2890.
Setalah dilakukan pengamatan dan pengelompokan aktifitas pada kedua
barang bukti berupa log file makan dapat disusun timeline activity pengguna
dengan alamat IP 192.168.1.104 yang dapat dilihat di Tabel 6.
11
Tabel 6. Timeline rekonstruksi kejadian dari pengguna "Bad Client.vhd"
Waktu
(GMT +7)
10:48:39
TCP Stream
ke 1015
10:49:09
1023
10:50:14
1030 - 1070
10:50:18
1071 – 2829
11:00:37
2838 – 2854
11:05:18
2855
11:05:56
2868
11:06:41
2871
11:06:57
2872
11:07:52
2881
11:08:00
2882
11:08:02
2882
11:08:24
2884
11:09:26
2889
11:09:40
2890
11:10:08
2893
Kejadian
Pengguna dengan alamat IP 192.168.1.104 mengakses situs
awansekawan dengan menggunakan IP webserver (192.168.1.101)
Pengguna dengan alamat IP 192.168.1.104 menambahkan IP
webserver (192.168.1.101) ke dalam list trusted domain supaya
dapat mengakses situs awansekawan
Pengguna dengan alamat IP 192.168.1.104 terdeteksi
menggunakan aplikasi Hydra untuk menyerang situs
Pengguna dengan alamat IP 192.168.1.104 terdeteksi
menggunakan metode http-post-form Brute Force pada aplikasi
Hydra untuk menyerang situs awansekawan
Pengguna dengan alamat IP 192.168.1.104 mencoba menggunakan
kemungkinan yang dihasilkan melalui serangan brute force
Pengguna dengan alamat IP 192.168.1.104 berhasil masuk
kedalam situs awansekawan dengan menggunakan akun admin
Pengguna dengan alamat IP 192.168.1.104 mengakses daftar
pengguna untuk mencari informasi pengguna resmi yang telah
terdaftar di situs awansekawan
Pengguna dengan alamat IP 192.168.1.104 telah keluar dari situs
awansekawan
Pengguna dengan alamat IP 192.168.1.104 kembali masuk
kedalam situs awansekawan menggunakan akun „client‟
Pengguna dengan alamat IP 192.168.1.104 mengakses folder
“Photos” dengan menggunakan akun „client‟
Pengguna dengan alamat IP 192.168.1.104 mengunduh file
“snort.log” yang ada didalam folder “Photos”
Pengguna dengan alamat IP 192.168.1.104 menghapus file
“snort.log” yang terletak di folder “Photos”
Pengguna dengan alamat IP 192.168.1.104 mengakses folder
“Private”
Pengguna dengan alamat IP 192.168.1.104 mengunduh file
“Network Forensics 2012.pdf” yang terletak di folder “Private”
Pengguna dengan alamat IP 192.168.1.104 menghapus file
“Network Forensics 2012.pdf” yang terletak di folder “Private”
Pengguna dengan alamat IP 192.168.1.104 keluar dari situs
awansekawan menggunakan akun “client”
12
Selanjutnya proses analisa pada file image ownCloud Server.vhd akan
dilakukan menggunakan aplikasi network forensic yaitu Autopsy. Hasil dari
analisa menggunakan Autopsy analis menemukan temuan yang dapat
dijadikan alat penguat barang bukti yang sudah ada. Proses analisa
menggunakan Autopsy dibagi menjadi beberapa bagian:
1. File carving, pada bagian ini analis mencoba mencari database pada
aplikasi ownCloud yang digunakan untuk layanan cloud storage. Pada
saat proses pencarian telah ditemukan beberapa file yang masih
berkaitan dengan kasus ini,
Gambar 11. Artifact dari barang bukti ownCloud Server.vhd
2. Data Recovery, pada proses file carving ditemukan beberapa file yang
telah dihapus dan file tersebut merupakan file snort.log dan Network
Forensics 2012.pdf yang telah dilaporkan oleh user „client‟. Pada
proses ini analis akan melakukan recovery pada ke dua file tersebut.
Gambar 12. Hasil recovery file menggunakan Autopsy
13
Tabel 7. Verifikasi keaslian dari artifact yang telah ditemukan pada barang bukti
File
.bash_history
MD5 Chekcsum Tools
AA9FC5F78FB4256AC513F8BD8C
AE06B6
oc_filecache
725D03F8841B842DE550A592E11B
0A1B
BC2BABACB35CE3148CABB0F8A
940D893
59BE495EE497442FF3AC19F14EA5
D614
01C8C62C3E4DB28B97BE8907DB5
5ACCB
8A9D3B17FDC33F988A1351C343E
9E1B7
8CE396896AB35A6518ECDCA998D
C16E1
8B01A84CFC974B257503EAF77B1
B8D90
98235DEC578711D17D2308D8FEEF
4EF9
7A3AF34E6A5AB6A187D90C33B37
7C420
oc_group_user
oc_groups
oc_share
oc_users
oc_files_trash
oc_activity
oc_activity_mq
Network Forensics
2012.pdf.d1485403
781
snort.log.d1485403
698
993136F7FF7C3E4FD163DFEF960A
DA46
Metadata
aa9fc5f78fb4256ac513f8bd8cae0
6b6
725d03f8841b842de550a592e11b0a1b
bc2babacb35ce3148cabb0f8a940d893
59be495ee497442ff3ac19f14ea5d614
01c8c62c3e4db28b97be8907db55accb
8a9d3b17fdc33f988a1351c343e9e1b7
8ce396896ab35a6518ecdca998dc16e1
8b01a84cfc974b257503eaf77b1b8d90
98235dec578711d17d2308d8feef4ef9
7a3af34e6a5ab6a187d90c33b377c420
993136f7ff7c3e4fd163dfef960ada46
3. Verifikasi, pada proses ini semua file artifact hasil dari file carving dan
file recovery akan dilakukan perbandingan kunci hash supaya dapat
dibuktikan keaslian dari file-file tersebut. Proses verifikasi dilakukan
menggunakan MD5 Checksum Tool pada tiap-tiap file dan juga dapat
dilihat dari informasi metadata pada tiap-tiap file.
14
4. Timeline activity, pada proses ini analis akan menampilkan timeline
activity dari ownCloud Server.vhd. Timeline ditampilkan
menggunakan filter waktu supaya didaptkan timeline activity pada
waktu yang diinginkan. Analis menggunakan filter waktu mulai dari
tanggal 26 Januari 2017, Pukul 08:59:00 sampai dengan 26 Januari
2017, Pukul 12:16:13. Pada rentang waktu tersebut terdapat dua user
yang mengakses situs www.awansekawan.camp yaitu, client dan
client1. Masing-masing dari user melakukan aktifitasnya seperti
mengunggah, mengunduh, membuat file dan folder serta mengedit dan
menghapus file. Semua aktifitas tersebut terekam dan dapat dilihat
melalui details di timeline dari aplikasi Autopsy. Dari timeline ini juga
didapatkan beberapa file yang menyimpan aktifitas-aktifitas dari user,
seperti terlihat di Tabel 6.
Gambar 13. Timeline activity dari ownCloud Server.vhd
4.
Presentasi, pada proses ini analis mengumpulkan semua hasil analisa dan di
proses reporting menggunakan aplikasi Autopsy. Berikut adalah hasil
generate report menggunakan aplikas Autopsy.
Gambar 14. hasil reporting menggunakan Autopsy
15
Pada proses ini analis telah mengumpulkan artifact yang membuktikan
adanya aktifitas oleh server dan user („client‟ dan „client1‟).
Gambar 15. Artifact dari hasil reporting menggunakan Autopsy
Pada sisi server aktifitas yang menonjol adalah perekaman aktifitas jaringan
menggunakan Snort, hal itu terlihat pada file .bash_history.
Gambar 16. Penggunaan aplikasi snort oleh server tercatat di salah satu artifact
Sedangkan pada sisi user telah ditemukan aktifitas dari „client‟ ketika
melakukan penghapusan file dan masih tersimpan di folder owncloud.
Proses pengembalian file atau recovery juga telah selesai dilakukan pada bab
pembahasan.
Gambar 17. Artifact dari salah satu user
16
5.
Kesimpulan
Pada hasil analisa dan reporting telah dicapai tujuan dari penelitian ini yaitu
mendapatakkan timeline yang digunakan untuk melakukan rekonstruksi kejadian
untuk mengetahui pelaku kejahatan cyber yang telah terjadi di situs
www.awansekawan.camp. Dari hasil rekonstruksi timeline dapat disimpulkan
bahwa pengguna dengan alamat IP 192.168.1.104 diduga sebagai pelaku
kejahatan sampai diputuskan oleh pengadilan. Selain itu terdapat beberapa faktor
penting dalam penerapan ilmu forensik pada penelitian ini, seperti :
1. Pada tanggal 26 Januari 2017 pukul 10:50:14 GMT +7 sampai dengan
pukul 11:10:08 GMT +7 telah terjadi penyerangan menggunakan
aplikasi Hydra dengan metode brute force attack oleh pengguna dengan
alamat IP 192.168.1.104 pada situs www.awansekawan.camp. Sumber
dari serangan tersebut berasal dari penggguna dengan alamat IP
192.168.1.104 yang dimana alamat IP tersebut tergolong dalam kelas C.
Kelas C sendiri mempunya format dengan menggunakan 24 bit pertama
sebagai network id (192.168.1.xx) dan 8 bit terakhir sebagai host id
(xxx.xxx.x.104). Dengan begitu dapat disimpulkan bahwa penyerang
masih berada dalam satu jaringan dengan dengan server. Selain itu
terdapat bukti bahwa penyerang juga menggunakan timezone GMT +7
dan dari penelusuran paket TCP Stream tercatat bahwa penyerang
menghubungi server menggunakan lokasi Asia/Jakarta.
2. Pada penelitian ini kasus seperti brute force attack terjadi karena
lemahnya karakter dari password yang digunakan oleh tiap client dan
dapat disarankan untuk tiap client mengubah username dan password
dengan karakter yang lebih rumit, seperti peggunaan huruf uppercase
dan juga penggunaan simbol. Tidak adanya pengamanan tambahan pada
server ownCloud juga menjadi salah satu faktor yang menyebabkan
terjadinya penyerangan terhadap server dan disarankan untuk
melakukan penambahan alert rules di Snort juga harus dilakukan untuk
lebih mudah mendeteksi adanya serangan, selain itu penambahan sistem
kamanan seperti Fail2ban, Firewall dan Antivirus.
3. Pada penelitian ini terdapat kendala seperti beberapa artifact yang
didapatkan tidak bisa didapatkan informasi string content. Selain itu
kendala ada pada lamanya proses akuisisi barang bukti karena waktu
scanning yang dibutuhkan lebih dari 5 jam, proses analisa tidak
mendapatkan bukti non-volatile karena setelah terjadinya pelaporan
server virtual langsung dimatikan dan hal tersebut menyebabkan
beberapa artifact non-volatile tidak bisa digunakan untuk analisa.
6.
Daftar Pustaka
[1] Hebbar, Rasmi dan Mohan K, 2015, Packet Analysis with Network Intrution
Detection System, International Journal of Science and Research (volume 4 issue
2), http://www.ijsr.net/archive/v4i2/21021503.pdf.
[2] Fletcher, David, 2015, Forensic Timeline Analysis using Wireshark GIAC
(GCFA) Gold Certification, SANS Institute InfoSec Reading Room,
17
https://www.sans.org/reading-room/whitepapers/forensics/forensic-timelineanalysis-wireshark-giac-gcfa-gold-certification-36137.
[3] Kent, Karen, Suzanne Chevalier, Tim Grance, Hung Dang, 2006, Guide to
Integrating Forensic Technique into Incident Response, National Institute of
Standards
and
Technology
(Special
Publication
800-86),
http://ws680.nist.gov/publication/get_pdf.cfm?pub_id=50875.
[4] Martin, Ben dan Kim-Kwang Raymond Choo, 2013, Cloud Storage Forensic :
ownCloud as a Case Study, The International Journal of Digital Forensics &
Incident
Response
(volume
10
issue
2),
http://www.sciencedirect.com/science/journal/17422876.
[5] Hirwani, Manish; Pan, Yin; Stackpole, Bill; and Johnson, Daryl, 2012,
Forensic Acquisition and Analysis of VMware Virtual Hard Disks, Rochester
Institute of Technology Scholar Work, http://scholarworks.rit.edu/other/297 [1
Maret 2017].
[6] Al Sadi, Ghania, 2015, Extracting Potential Forensic Evidence from Cloud
Client using ownCloud as a Case Study, International Journal of Computer
Applications
(volume
132
no.7),
http://www.ijcaonline.org/research/volume132/number7/sadi-2015-ijca907482.pdf.
18