Salah Satu Tools Forensic IT

Pada abad ke 21 ini perkembangan teknologi sudah semakin pesat. Terutama teknologi informasi yang tiap harinya mengalami kemajuan. Penggunaan teknologi informasi juga sudah merambah ke setiap sendi kehidupan manusia.

Contohnya, setiap organisasi membutuhkan banyak data untuk diolah menjadi sebuah informasi yang berguna bagi organisasi tersebut. Data seperti ini biasa disimpan atau di transfer oleh sistem komputer, personal digital assistants (PDA), networking equipment dan sumber – sumber data lainnya. Untuk itu penting adanya analisa data. Karena analisa data dapat digunakan untuk berbagai tujuan, seperti merekonstruksi kejadian keamanan komputer, trouble shooting permasalahan operasional dan pemulihan dari kerusakan sistem yang terjadi secara mendadak.

Analisa data terdiri dari analisa data komputer dan analisa data jaringan. Analisa data komputer berhubungan dengan data pada media penyimpanan suatu komputer, sedangkan analisa data jaringan berhubungan dengan data yang melintas pada suatu jaringan. Jadi, jika kedua jenis analisa ini dikombinasikan maka dapat menangani dan memberikan dukungan operasional terhadap suatu masalah.

Untuk melakukan analisa ini, ada proses – proses yang harus dilakukan, diantaranya acquisition, examination, utilization dan review. Biasanya dalam melakukan proses – proses tersebut terdapat kesulitan, untuk itu penulis membuat guide lines proses – proses tersebut. Hal ini diupayakan untuk memudahkan penyelenggaraan proses analisa data tersebut, serta untuk memberikan informasi atas penggunaan proses dengan empat kategori sumber data utama, diantaranya file, sistem operasi, lalu lintas jaringan dan aplikasi.

Ada banyak alasan untuk menggunakan teknik forensik komputer:
• Dalam kasus hukum, teknik forensik komputer sering digunakan untuk menganalisis sistem komputer milik terdakwa (dalam kasus pidana atau dalam kasus perdata).
• Untuk memulihkan data jika terjadi kegagalan hardware atau software.
• Untuk menganalisa sebuah sistem komputer setelah terjadi perampokan, misalnya, untuk menentukan bagaimana penyerang memperoleh akses dan apa yang penyerang itu.
• Untuk mendapatkan informasi tentang bagaimana sistem komputer bekerja untuk tujuan debugging, optimasi kinerja, atau reverse-engineering.

Salah satu alat untuk forensik TI adalah FTimes, FTimes adalah baselining sistem dan alat pengumpulan bukti. Tujuan utama dari FTimes adalah untuk mengumpulkan dan atau mengembangkan informasi topografi dan atribut tentang tertentu direktori dan file dalam cara yang kondusif untuk intrusi dan analisis forensic kompter.

FTimes adalah alat yang “lightweight” dalam arti bahwa ia tidak perlu "install" pada sistem, dan ukurannya cukup kecil hingga muat pada satu floppy tunggal.

Menyimpan catatan dari semua aktivitas yang terjadi pada snapshot adalah penting untuk analisis intrusi dan diterimanya bukti. Untuk alasan ini, FTimes dirancang untuk log empat jenis informasi: pengaturan konfigurasi, indikator kemajuan, metrik, dan error. Output yang dihasilkan oleh FTimes adalah teks delimited, dan karena itu, mudah diasimilasikan oleh berbagai macam tools yang ada.

FTimes pada dasarnya memiliki dua kemampuan umum: topografi file dan pencarian string. File topografi adalah proses pemetaan atribut kunci dari direktori dan file pada sistem file yang diberikan. String pencarian adalah proses menggali melalui direktori dan file pada sistem file yang diberikan saat mencari urutan tertentu byte. Masing, kemampuan ini disebut sebagai modus peta dan modus menggali.

FTimes mendukung lingkungan operasi dua: meja kerja dan klien-server. Dalam lingkungan meja kerja, operator menggunakan FTimes untuk melakukan hal-hal seperti memeriksa bukti (misalnya, gambar disk atau file dari sebuah sistem dikompromikan), menganalisis foto untuk perubahan, mencari file yang memiliki atribut tertentu, memverifikasi integritas file, dan sebagainya . Dalam lingkungan client-server, pergeseran fokus dari apa yang dapat dilakukan operator lokal untuk bagaimana operator efisien dapat memantau, mengelola, dan data snapshot agregat untuk host banyak. Dalam lingkungan client-server, tujuan utama adalah untuk memindahkan data yang dikumpulkan dari host ke sistem terpusat, yang dikenal sebagai Server Integritas, secara aman dan dikonfirmasi. Server Integrasi adalah sistem yang telah dikonfigurasi untuk menangani FTimes GET, PING, dan PUT HTTP/S

Contoh kasus dengan FTimes :
.
Antara bulan Januari dan Februari 2002, beberapa system yang identik dikompromikan. Administrator menyadari bahwa ada sesuatu yang salah karena kegagalan dalam aplikasi kritis. Setelah menyelidiki kegagalan ini, administrator menentukan bahwa beberapa file sistem telah berubah. Analisis log dalam Network Intrusion Detection System (NIDS) menunjukkan bukti aktivitas dan serangan menyelidik sukses. Kemudian,
ditetapkan bahwa akses root telah diambil dan rootkit telah diinstal pada setiap sistem.

Semua system tersebut memiliki konfigurasi yang sama pada - Solaris 2.6 diluar perangkat instalasi dengan “third Software” yang dilatempelkan pada fungsi yang kritis. Karena penyebaran dan kendala kontrak, tim IR tidak diperkenankan mengambil untuk mengambil image disk dengan sistem off-line mereka. Rencana cadangannya adalah untuk mengambil snapshot dari satu sistem yang terkena dampaknya, dan meng-copy setiap file yang terkena, dan melakukan live DDS sebanyak mungkin sistem file - semua kegiatan ini harus berlangsung dalam satu jam saat maintenance.

Sayangnya, itu juga kasus bahwa sistem ini tidak menyediakan ssh / scp atau floppy akses. Akibatnya, data dan alat diagnostik dipindahkan sekitar dengan yang paling umum penyebut (seperti, tftp dan ftp). Versi dikompilasi statis FTimes dibawa untuk mengambil snapshot. Untuk membuat hal-hal buruk, klien tidak memiliki garis sistem sebelumnya. Untungnya, tim IR mampu dasar sistem yang telah baru saja dikembalikan dari media penjual. Tim merasa bahwa kesempatan ini sistem yang tercemar itu kecil karena fakta bahwa snapshot nya itu diambil tidak lama setelah sistem itu dipulihkan.

Ubah analisis menunjukkan bukti klasik dari rootkit (yaitu, sebuah direktori tersembunyi dan binari sistem trojaned). Kemudian, rootkit sebenarnya sembuh, dan isinya yang cocok yang ditemukan di direktori tersembunyi. Karena tim IR mampu dasar sistem baru dikembalikan, analisis perubahan menghasilkan pengurangan baik dalam jumlah analisis oleh-tangan yang dibutuhkan untuk merekonstruksi peristiwa yang terjadi. The baseline dan snapshot berisi 20.104 dan 21.251 masing-masing catatan. Dari catatan-catatan, ada 379 diubah, 92 hilang, dan 1.239 file baru. Lebih lanjut oleh tangan-analisis cepat menyempit daftar ini turun ke 113 entri yang yang terang-terangan mencurigakan atau tidak dikenal. Ketika semua dikatakan dan dilakukan, butuh waktu sekitar 10 menit untuk peta baik korban dan dikembalikan mesin. Butuh waktu sekitar 3 detik untuk FTimes untuk melakukan analisis perubahan, dan usaha oleh-tangan waktu kurang dari satu jam.

Source :
here
and here
contoh kasus