Tulisan ini membahas mengenai anti forensik yang dilakukan menggunakan perangkat lunak shred terhadap file syslog di mesin remote GNU/Linux untuk menghapus jejak kejahatan di jaringan komputer. Penulis melakukan pengujian dengan menggunakan tiga buah komputer yang saling terhubung untuk mewakili server, firewall dan attacker.
1. Paper Tugas Kuliah
Keamanan Sistem Lanjut
Anti Komputer Forensik di Mesin GNU/Linux
Menggunakan Shred
(Studi Kasus : Cyber Crime di Jaringan Komputer)
Oleh :
I Putu Agus Eka Pratama, S.T.
23510310
Dosen :
Dr. Ir. Budi Rahardjo
Magister Teknologi Informasi
Sekolah Tinggi Elektro dan Informatika (STEI)
Institut Teknologi Bandung
2011
2. Daftar Isi
Daftar Isi...................................................................................................................i
Abstrak......................................................................................................................i
Bab I Pendahuluan..................................................................................................ii
I.1 Latar Belakang..............................................................................................iii
I.2 Tujuan...........................................................................................................iii
I.3 Sistematika Penulisan...................................................................................iv
Bab II Dasar Teori..................................................................................................6
II.1 Struktur Filesystem di GNU/Linux..............................................................6
II.2 Komputer Forensik.......................................................................................9
II.3 Anti Komputer Forensik...............................................................................9
Bab III Shred Untuk Anti Forensik.......................................................................11
III.1 Shred..........................................................................................................11
III.2 Pengujian Shred di Komputer Standalone ................................................11
III.3 Pengujian Shred di Komputer Remote......................................................12
Bab IV Perancangan Sistem .................................................................................15
IV.1 Skenario Pengujian....................................................................................15
IV.2 Batasan Masalah dan Asumsi....................................................................15
IV.3 Desain Sistem Berdasarkan Skenario........................................................16
IV.4 Kebutuhan Hardware dan Software..........................................................16
Bab V Pengujian Sistem........................................................................................18
V.1 Menguasai Kembali Mesin Target.............................................................18
V.2 Anti Komputer Forensik di Komputer Target............................................21
V.3 Komputer Forensik di Komputer Target Oleh Attacker.............................23
V.4 Komputer Forensik di Komputer Target Oleh Ahli Forensik....................24
V.5 Hasil Pengujian...........................................................................................24
Bab VI Kesimpulan dan Saran..............................................................................26
VI.1 Kesimpulan...............................................................................................26
VI.2 Saran..........................................................................................................26
i
3. Abstrak
Komputer forensik dan anti komputer forensik adalah dua bidang yang
saling berlawanan. Komputer forensik dilakukan oleh ahli komputer forensik guna
memperoleh data dan bukti akurat dari kasus cyber crime untuk penyelidikan.
Anti komputer forensik dilakukan oleh attacker untuk menghilangkan jejak
sekaligus menyulitkan ahli komputer forensik dalam melakukan tugasnya.
Keduanya dapat dilakukan pada komputer standalone (tidak terhubung jaringan)
maupun yang terhubung ke jaringan, dengan banyak pilihan metode dan tool.
Bagi attacker, pemilihan tool anti komputer forensik yang default di mesin
target, dinilai lebih efektif dan cepat dibandingkan menginstalasi terlebih dahulu
di mesin korban. Untuk itulah penulis memilih shred sebagai aplikasi anti
komputer forensik pada mesin GNU/Linux. Jika anti forensik berhasil, ahli
forensik akan sulit melakukan komputer forensik terhadap data yang menjadi
barang bukti cyber crime.
Tulisan ini memaparkan mengenai anti forensik yang dilakukan oleh
attacker terhadap mesin remote GNU/Linux untuk kasus cyber crime di jaringan
komputer. Anti forensik dilakukan menggunakan shred terhadap file syslog untuk
menghapus jejak kejahatan sekaligus menyulitkan proses forensik oleh ahli
komputer forensik.
Dijelaskan juga mengenai struktur file di GNU/Linux, komputer forensik
dan anti forensik, shred, serta metode menyerang dan bertahan dengan konsep 7
layer OSI. Pengujian dilakukan pada 3 buah komputer berbasis GNU/Linux pada
intranet Lab Sinyal Sistem ITB. Masing - masing bertindak sebagai mesin target
(server), mesin firewall, dan mesin attacker. Dilakukan proses anti komputer
forensik dan komputer forensik di mesin server. Hasil pengujian dicatat dan
dianalisa untuk kemudian ditarik kesimpulan.
Kata kunci :
anti forensik, shred, GNU/Linux, network
ii
4. Bab I Pendahuluan
I.1 Latar Belakang
Kejahatan komputer (cyber crime) di dunia maya, sebagaimana di dunia
nyata, juga mengenal proses forensik. Ilmu ini disebut komputer forensik, yang
memadukan elemen hukum dan computer science. Pelaku kejahatan, dalam hal ini
attacker, berusaha menutupi jejak kejahatannya dan menyulitkan proses komputer
forensik. Ilmu ini dikenal sebagai anti komputer forensik.
Server umumnya menggunakan sistem operasi dari distribusi (distro)
GNU/Linux atau basis UNIX lainnya (misal BSD, Solaris). Pada umumnya, setiap
OS GNU/Linux telah dipaketkan dengan aplikasi shred, yang berguna untuk
melakukan over write berulang - ulang terhadap isi suatu file atau folder sehingga
menyulitkan proses pembacaan saat recovery.
Oleh attacker, tool ini disalah gunakan untuk melakukan anti komputer
forensik. Attacker cukup masuk ke mesin target dan menjalankan shred ke file
atau direktori yang berpotensi menjadi barang bukti cyber crime (misal ke
/var/log/syslog). Shred amat cepat dan mematikan dalam hal menghapus suatu
jejak dan bukti kejahatan dunia maya.
Tulisan ini membahas mengenai kemampuan shred sebagai salah satu anti
forensik tool di mesin remote GNU/Linux pada kasus cyber crime. Dilengkapi
dengan pengujian sederhana pada 3 buah komputer di intranet Lab Sinyal Sistem
ITB berdasarkan skenario, batasan masalah, dan asumsi yang penulis buat.
I.2 Tujuan
Pada tulisan ini akan dijelaskan secara detail mengenai komputer forensik,
anti komputer forensik, aplikasi shred, struktur file di GNU/Linux, dan
penggunaan shred sebagai aplikasi anti komputer forensik.
Dilakukan juga PoC (Proof of Concept) pada tiga buah komputer berbasis
GNU/Linux yang saling terhubung dalam suatu jaringan. Masing - masing
bertindak sebagai komputer target (server), komputer firewall, dan komputer
attacker. Dilakukan proses anti komputer forensik menggunakan shred pada
komputer korban (/var/log/syslog) secara remote melalui SSH, dilanjutkan
iii
5. dengan proses komputer forensik terhadap file syslog. Parameter sukses tidaknya
proses anti forensik yang dilakukan dilihat dari kemampuan untuk recovery file
yang dihapus dengan shred maupun membaca kembali isi file hasil recovery
tersebut. Untuk bisa menguasai komputer target, attacker memiliki rincian metode
penyerangan, sedangkan sysadmin memiliki rincian metode bertahan. Keduanya
menggunakan konsep 7 layer OSI. Penulis akan merinci langkah menyerang dan
bertahan yang dilakukan oleh sysadmin dan attacker. Hasil pengujian dicatat,
dianalisa, lalu ditarik kesimpulan. Dilanjutkan dengan pemberian saran untuk
perbaikan ke depannya.
Diharapkan melalui tulisan ini, penulis dapat menjelaskan kepada
pembaca mengenai anti forensik menggunakan shred di jaringan komputer untuk
kasus cyber crime beserta teori pendukung lainnya.
I.3 Sistematika Penulisan
Sistematika penulisan memudahkan penulis dalam menyampaikan isi
tulisan sehingga mudah untuk dipahami oleh pembaca. Adapun sistematika tulisan
sebagai berikut :
Bab II membahas mengenai dasar teori. Meliputi sub bab struktur
filesystem di GNU/Linux, komputer forensik, dan anti komputer forensik.
Diharapkan pembaca dapat memahami mengenai filesystem di GNU/Linux secara
umum (/var/, /home, inode), forensik dan anti forensik.
Bab III membahas mengenai shred. Meliputi sub bab shred, shred anti
forensik komputer standalone, dan shred anti forensik komputer remote.
Diharapkan pembaca dapat memahami mengenai perangkat lunak open source
shred sebagai salah satu tool anti forensik yang ada secara default di setiap
distribusi GNU/Linux, prinsip kerja, serta cara menggunakannya di komputer
standalone dan yang terhubung pada network.
Bab IV membahas mengenai perancangan sistem. Meliputi sub bab
perancangan skenario, batasan masalah pada perancangan skenario, desain sistem
berdasarkan skenario, serta kebutuhan perangkat lunak dan perangkat keras.
Diharapkan pembaca dapat mengetahui mengenai perancangan eksperimen yang
iv
6. penulis lakukan sendiri berdasarkan skenario yang disusun, dengan beberapa
batasan dan asumsi agar pembahasan tidak meluas.
Bab V membahas mengenai pengujian sistem. Meliputi sub bab menguasai
kembali mesin target, anti komputer forensik di komputer target, dan hasil
pengujian. Semua proses dan hasil pengujian dijabarkan disini.
Bab VI memuat kesimpulan dan saran berdasarkan hasil pengujian yang
penulis lakukan.
v
7. Bab II Dasar Teori
II.1 Struktur Filesystem di GNU/Linux
Filesystem adalah metode dan struktur data yang digunakan oleh sistem
operasi untuk menjaga track suatu file pada disk atau partisi dan merupakan cara
untuk mengorganisasikan file pada disk[1]. GNU/Linux memiliki banyak jenis
filesystem, namun yang terkenal adalah ext (ext4, ext3, ext2) dan reiserfs. File
sistem di GNU/Linux ada yang bersifat journaling (ext4, ext3, reiserfs) maupun
tidak.
Sebagaimana filesystem lainnya di OS berbasis UNIX lainnya,
GNU/Linux memiliki struktur direktori hirarki tunggal yang diawali dengan root
(dilambangkan dengan /). Di dalam root terdapat sub direktori dengan fungsi
masing - masing. Misalkan sebagai berikut (GNU/Linux Ubuntu 9.04) :
root@mymachine:/# ls la
total 108
drwxrxrx 2 root root 4096 20100802 08:33 bin
drwxrxrx 3 root root 4096 20100802 08:34 boot
drwxrxrx 17 root root 4320 20110406 17:10 dev
drwxrxrx 168 root root 12288 20110406 17:08 etc
drwxrxrx 5 root root 4096 20100802 17:19 home
lrwxrwxrwx 1 root root 33 20100530 01:33 initrd.img >
boot/initrd.img2.6.2811generic
drwxrxrx 21 root root 4096 20101113 12:11 lib
drwx 2 root root 16384 20100530 01:19 lost+found
drwxrxrx 3 root root 4096 20110406 17:08 media
drwxrxrx 2 root root 4096 20090413 16:33 mnt
drwxrxrx 4 root root 4096 20100721 12:13 opt
drxrxrx 172 root root 0 20110406 11:01 proc
drwx 22 root root 4096 20110402 15:18 root
drwxrxrx 2 root root 4096 20100802 08:33 sbin
drwxrxrx 3 root root 4096 20100530 22:01 srv
drwxrwxrwt 18 root root 4096 20110406 17:47 tmp
drwxrxrx 14 root root 4096 20100530 22:58 usr
drwxrxrx 16 root root 4096 20100714 13:11 var
6
8. 18 sub direktori yang penting dalam root yaitu /bin, /boot, /dev, /etc,
/home, /initrd, /lib, /lost+found, /media, /mnt, /opt, /proc, /root, /sbin, /usr, /var,
/srv, dan /tmp. Penulis hanya membahas 2 saja yaitu /home dan /var, sesuai
dengan cakupan tulisan ini.
/home adalah rumah untuk setiap user. GNU/Linux dan OS berbasis UNIX
lainnya adalah sistem operasi multi user environment, sehingga setiap user
memiliki /home masing - masing dengan semua privillege (read, write, delete, dan
sebagainya). Misalkan user putu-shinoda dengan lokasi /home/putu-shinoda.
/var berisi variabel data berupa system logging files, mail, printer spool
directories, serta transient dan temporary file. Berikut isi dari sub direktori /var :
root@mymachine:/home/putushinoda# cd /var
root@mymachine:/var# ls la
total 56
drwxrxrx 16 root root 4096 20100714 13:11 .
drwxrxrx 22 root root 4096 20110406 11:01 ..
drwxrxrx 2 root root 4096 20110405 10:25 backups
drwxrxrx 20 root root 4096 20110222 14:43 cache
drwxrxrx 2 root root 4096 20110403 22:16 crash
drwxrxrx 2 root root 4096 20090420 21:07 games
drwxrxrx 71 root root 4096 20110403 22:14 lib
drwxrwsrx 2 root staff 4096 20090413 16:33 local
drwxrwxrwt 3 root root 80 20110406 11:08 lock
drwxrxrx 18 root root 4096 20110406 11:08 log
drwxrwsrx 2 root mail 4096 20090420 20:59 mail
drwxrxrx 2 root root 4096 20090420 20:59 opt
drwxrxrx 21 root root 800 20110406 18:10 run
drwxrxrx 7 root root 4096 20100530 21:59 spool
drwxrwxrwt 4 root root 4096 20110405 19:50 tmp
drwxrwxrwx 19 root root 4096 20110223 11:56 www
Salah satu bagian yang terpenting adalah /var/log/syslog yang merupakan
tempat sistem mengirimkan log. Dapat dicek secara real time menggunakan
perintah tail -f /var/log/syslog. Pada tulisan ini, anti forensik dilakukan di file
syslog.
Pada Linux dan OS basis UNIX lainnya, setiap file dan direktori memiliki
info index node (inode), termasuk juga status dari file atau direktori tersebut. Hal
7
9. ini penting saat forensik untuk mengetahui keadaan suatu file termasuk juga
recovery jika yang terhapus adalah nomor inode itu, bukan isi file maupun file
secara keseluruhan. Inode merupakan alamat dari sebuah blok disk[1]. Informasi
dari suatu inode dapat dilihat dengan mengetikkan perintah ls dan stat. Perintah ls
akan menampilkan alamat pertama suatu file. File sendiri memiliki komponen
nama, konten, dan informasi administratif (permission dan waktu modifikasi).
Informasi administratif ini disimpan di inode beserta data lainnya. Ada tiga kali
penyimpanan di inode yaitu saat konten terakhir kali dimodifikasi (written),
terakhir kali digunakan (read, executed), dan perubahan pada inode itu sendiri
(saat mengeset permission). Nomor inode dan keterangan yang lebih lengkap
dapat dilihat dengan mengetikkan perintah stat nama_file. Berikut pengujian di
GNU/Linux Ubuntu 9.04.
Pertama dibuat sebuah file teks bernama manual.txt :
putushinoda@mymachine:~$ touch manual.txt
Lalu mengecek keberadaan file manual.txt tersebut :
putushinoda@mymachine:~$ ls l manual.txt
rwrr 1 putushinoda putushinoda 0 20110416 00:20
manual.txt
Dilanjutkan dengan melihat inodenya :
putushinoda@mymachine:~$ ls i manual.txt
3691951 manual.txt
Kemudian melihat info file keseluruhan :
putushinoda@mymachine:~$ stat manual.txt
File: `manual.txt'
Size: 0 Blocks: 0 IO Block: 4096 file kosong biasa
Device: 801h/2049d Inode: 3691951 Links: 1
Access: (0644/rwrr) Uid: ( 1000/putushinoda) Gid:
( 1000/putushinoda)
Access: 20110416 00:20:31.000000000 +0700
Modify: 20110416 00:20:31.000000000 +0700
Change: 20110416 00:20:31.000000000 +0700
Hal yang sama juga bisa dilakukan terhadap suatu direktori dan sub direktori.
putushinoda@mymachine:~$ mkdir kotak
putushinoda@mymachine:~$ ls di kotak/
9947429 kotak/
8
10. putushinoda@mymachine:~$ stat kotak/
File: `kotak/'
Size: 4096 Blocks: 8 IO Block: 4096 direktori
Device: 801h/2049d Inode: 9947429 Links: 2
Access: (0755/drwxrxrx) Uid: ( 1000/putushinoda) Gid:
( 1000/putushinoda)
Access: 20110416 00:22:26.000000000 +0700
Modify: 20110416 00:22:16.000000000 +0700
Change: 20110416 00:22:16.000000000 +0700
Dari info di atas dapat dilihat bahwa untuk file bernama manual.txt dan folder
bernama kotak, memiliki nilai inode masing - masing 3691951 dan 9947429.
Referensi [1] memberikan penjelasan lebih lanjut dan detail mengenai
GNU/Linux beserta struktur file di dalamnya. Penulis menyarankan untuk
membacanya.
II.2 Komputer Forensik
Komputer forensik adalah ilmu yang menggabungkan hukum dan
computer science untuk mengumpulkan dan menganalisa data dari sistem
komputer, jaringan, wireless communications, dan media penyimpanan, untuk
dijadikan barang bukti di pengadilan untuk kasus cyber crime.[2].
Integritas dan stabilitas infrastruktur jaringan dapat tetap terjaga dengan
adanya komputer forensik. Dengan pengetahuan mengenai hukum dan teknis
komputer forensik, capture informasi penting dapat dengan mudah dilakukan di
jaringan saat compromize terjadi. Hal ini akan memudahkan menuntut pelaku
cyber crime yang tertangkap secara hukum. Keuangan perusahaan juga dapat
dihemat dari anggaran untuk menyewa jasa computer security jika setiap staf
perusahaan paham dan tanggap mengenai komputer forensik.
Untuk penjelasan lebih lanjut dan rinci mengenai komputer forensik,
penulis menyarankan untuk membaca referensi [8].
II.3 Anti Komputer Forensik
Berlawanan dengan komputer forensik, anti komputer forensik adalah
ilmu yang memadukan berbagai teknik untuk menyulitkan proses komputer
9
11. forensik. Awal mulanya ilmu ini dibentuk sebagai bagian dari proses riset dan
pembelajaran komputer forensik yang sedang dikembangkan saat itu. Sayangnya
ilmu ini justru disalah gunakan oleh oknum yang tidak bertanggung jawab untuk
menghilangkan jejak dalam kasus cyber crime.
Dalam dunia komputer, bukti digital adalah berkas berupa kumpulan data
elektronik. Seorang attacker berusaha menyulitkan pekerjaan ahli forensik dalam
mengidentifikasi, mengumpulkan, memeriksa, atau melakukan validasi terhadap
bukti digital dengan cara menghancurkan, menyembunyikan, memanipulasi, atau
mencegah ditemukannya bukti adanya suatu cyber crime. Hal ini dilakukan oleh
attacker untuk menghapus jejaknya agar terhindar dari tuntutan hukum.
Ada banyak tool yang bisa digunakan untuk melakukan anti forensik.
Salah satunya shred yang ada secara default di setiap distribusi GNU/Linux.
Lebih lanjut mengenai anti forensik dapat dibaca di referensi [4] dan [5].
Keduanya referensi tersebut memaparkan mengenai anti forensik dengan baik.
Untuk tata cara penggunaan tool shred sebagai tool anti forensik, silahkan
merujuk ke referensi [6] dan [7]. Bisa juga mengetikkan perintah man shred di
terminal GNU/Linux. Untuk keluar (quit) dari manual di terminal, ketik q.
10
12. Bab III Shred Untuk Anti Forensik
III.1 Shred
Di GNU/Linux terdapat 2 tool standar untuk menghapus file dan direktori
yaitu rm (remove) dan shred. Perintah rm digunakan untuk menghapus file atau
direktori, namun yang terhapus hanyalah bagian inode saja, sehingga suatu saat
dapat dikembalikan (recovery) dan dibaca dengan baik. Shred menghapus file
sekaligus mengosongkan atau membuat isi file tidak dapat dibaca, sehingga meski
dapat direcovery sekalipun, isi di dalamnya sudah tidak bisa dibaca lagi atau
kosong.
Shred awalnya diciptakan untuk keamanan dan privasi user itu sendiri.
Misal menghapus permanen data di harddisk sebelum dijual atau menghapus file
password server oleh sysadmin. Ibarat pisau bermata dua, shred menjadi salah
satu tool favorit attacker dalam melakukan anti forensik.
III.2 Pengujian Shred di Komputer Standalone
Berikut pengujian shred pada komputer standalone GNU/Linux IGOS
Nusantara 2010.
Dibuat sebuah file teks bernama tes.txt di /home. File ini akan dihapus
menggunakan shred pada kasus anti forensik.
[igos@lss6774 ~]$ touch tes.txt
Kemudian dilakukan pengecekan apakah file tersebut telah terbentuk.
[igos@lss6774 ~]$ ls l tes.txt
rwrwr 1 igos igos 30 Apr 15 12:15 tes.txt
Dilanjutkan dengan mengisikan pesan di dalamnya.
[igos@lss6774 ~]$ echo "Kemarin malam saya telah memasuki mesin
mail server anda tanpa ijin menggunakan exploit." > tes.txt
Dilanjutkan dengan mengecek inode
[igos@lss6774 ~]$ stat tes.txt
File: `tes.txt'
Size: 30 Blocks: 8 IO Block: 4096 berkas regular
Device: fd02h/64770d Inode: 2753597 Links: 1
Access: (0664/rwrwr) Uid: (500/igos) Gid: (500/igos)
Access: 20110415 12:30:29.396167800 +0700
11
13. Modify: 20110415 12:30:40.322167736 +0700
Change: 20110415 12:30:40.322167736 +0700
[igos@lss6774 ~]$
Diperoleh keterangan nilai inode file tes.txt adalah 2753597 beserta berbagai
keterangan lainnya (size, access, modify, dan sebagainya).
III.3 Pengujian Shred di Komputer Remote
Pengujian dilakukan di Lab Sinyal Sistem (LSS) ITB menggunakan 2
buah komputer. Kedua komputer terhubung melalui switch dengan pengalamatan
DHCP dan memiliki spesifikasi yang sama yaitu Intel Pentium 5, RAM 512 MB,
VGA Onboard Intel, LAN Card, mouse, keyboard, dan LCD monitor.
Skenario sebagai berikut. Komputer lss-67-75 (GNU/Linux IGOS
Nusantara 2010) diremote melalui SSH oleh komputer lss-67-74 (GNU/Linux
Slackware 13). Kemudian di komputer lss-67-74 dibuat file teks, lalu dihapus
menggunakan shred secara remote dari komputer lss-67-75. Dibuktikan file teks
terhapus dengan aman sehingga proses anti forensik berjalan dengan baik. Berikut
bagan skenarionya :
Gambar 1 : Bagan pengujian shred pada 2 buah komputer di jaringan
12
14. Pertama, dilakukan remote SSH dari lss-67-74 ke lss-67-75 :
[slackie@lss6774 ~]$ ssh lss6775@167.205.67.114
The authenticity of host '167.205.67.114 (167.205.67.114)' can't
be established.
RSA key fingerprint is
08:88:d0:bf:92:a3:4c:72:1f:98:45:b1:da:a1:6a:ca.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '167.205.67.114' (RSA) to the list of
known hosts.
lss6775@167.205.67.114's password:
Linux lss6775 2.6.3114generic #48IGOS SMP Fri Oct 16
14:04:26 UTC 2009 i686
Last login: Fri Apr 15 00:35:31 2011 from lss67115.ee.itb.ac.id
Kemudian dibuat sebuah file bernama akunadmin.txt
lss6775@lss6775:~$ touch akunadmin.txt
Mengecek apakah file akunadmin.txt sudah ada.
lss6775@lss6775:~$ ls l akunadmin.txt
rwrr 1 lss6775 lss6775 30 20110415 01:37
akunadmin.txt
Lalu diisikan data di dalamnya :
lss6775@lss6775:~$ echo "username admin password 12345" >
akunadmin.txt
Mengecek nilai inode.
lss6775@lss6775:~$ stat akunadmin.txt
File: `akunadmin.txt'
Size: 30 Blocks: 8 IO Block: 4096
regular file
Device: 801h/2049d Inode: 543915 Links: 1
Access: (0644/rwrr) Uid: ( 1000/lss6775) Gid:
( 1000/lss6775)
Access: 20110415 01:37:27.672492515 0400
Modify: 20110415 01:37:46.635992491 0400
Change: 20110415 01:37:46.635992491 0400
Melakukan anti forensik menggunakan shred ke file akunadmin.txt :
lss6775@lss6775:~$ shred akunadmin.txt
Shred melakukan penulisan sekali pada isi file, dalam hal ini file masih tetap ada
setelah dilakukan pengecekan.
13
15. lss6775@lss6775:~$ ls l akunadmin.txt
rwrr 1 lss6775 lss6775 4096 20110415 01:40
akunadmin.txt
Inode dari file masih ada setelah dilakukan pengecekan.
lss6775@lss6775:~$ stat akunadmin.txt
File: `akunadmin.txt'
Size: 4096 Blocks: 8 IO Block: 4096 regular file
Device: 801h/2049d Inode: 543915 Links: 1
Access: (0644/rwrr) Uid: (1000/lsslantai3) Gid: (1000/lss
6775)
Access: 20110415 01:37:27.672492515 0400
Modify: 20110415 01:40:33.448031341 0400
Change: 20110415 01:40:33.448031341 0400
Namun isi file berubah dan tidak bisa dibaca akibat penulisan yang dilakukan
menggunakan shred.
lss6775@lss6775:~$ cat akunadmin.txt
q�`�#^6�V�q�#Y#X���z��#�,�5#�>��wj���#�#�Q]���
̮
��ޖE�$�o�b�)_ ��#�#��#S�N� p�N�����
>����m����ӫ9#R����o���4V[r�z��xA+�:}�t�#��$#9l�
Dengan menjalankan kembali shred dengan tambahan opsi u, z, dan n (penulisan
berulang, dalam kasus ini 25 kali), file akan terhapus secara permanen.
lss6775@lss6775:~$ shred u z n 25 akunadmin.txt
lss6775@lss6775:~$ ls l akunadmin.txt
ls: cannot access akunadmin.txt: No such file or directory
lss6775 3@lss6775 3:~$ stat akunadmin.txt
stat: cannot stat `akunadmin.txt': No such file or directory
Dalam hal ini recovery bisa mengembalikan file yang dihapus permanen tersebut.
Namun isi di dalam file tersebut kosong atau tidak terbaca. Pengujian di bab
selanjutnya akan membuktikan hal ini secara lebih jelas.
14
16. Bab IV Perancangan Sistem
IV.1 Skenario Pengujian
Sebelum melakukan pengujian, disusun skenario sebagai berikut :
1. Attacker sebelumnya telah berhasil menguasai mesin target namun lupa
menghapus jejak di file syslog. Sysadmin tidak melakukan forensik
terhadap file syslog maupun memanggil ahli forensik komputer.
2. Sysadmin melakukan pengamanan pada 7 layer OSI untuk mencegah
terulangnya kembali penyerangan tersebut. Penulis merinci langkah
pengamanan setiap layer tersebut.
3. Attacker mencoba menguasai kembali mesin target agar dapat melakukan
anti forensik terhadap file syslog menggunakan shred yang terdapat secara
default di mesin target. Penulis merinci metode yang dilakukan oleh
attacker untuk melakukan penyerangan.
4. Ahli forensik datang dan melakukan forensik ke mesin target setelah
attacker melakukan anti forensik pada file syslog.
Penulis berperan sebagai sysadmin, attacker, sekaligus ahli forensik dengan
menggunakan 2 buah komputer GNU/Linux Ubuntu 9.10 dan 1 buah notebook
GNU/Linux Ubuntu 9.04 di Lab Sinyal Sistem (LSS) ITB.
IV.2 Batasan Masalah dan Asumsi
Untuk mencegah pembahasan yang melebar dan di luar topik, keterbatasan
halaman, peralatan untuk pengujian, dan waktu pengujian, maka penulis
memberikan asumsi dan batasan masalah sebagai berikut :
1. Tidak terdapat Proof of Concept (pengujian langsung) terhadap semua
metode serangan yang dilakukan oleh attacker. Penulis hanya memberikan
URL dari setiap metode tersebut sebagai referensi. Penulis menyarankan
pembaca membaca referensi tersebut untuk pemahaman lebih lanjut.
2. Diasumsikan attacker memperoleh kembali akses root ke mesin firewall
dan mesin target (server) dari salah satu cara yang dijabarkan tersebut.
3. Pada pengujian, dilakukan SSH dari komputer attacker ke komputer
firewall, lalu dari komputer firewall dilakukan SSH ke komputer server.
Kemudian dijalankan shred pada file syslog (/etc/log/syslog).
15
17. IV.3 Desain Sistem Berdasarkan Skenario
Berikut desain sistem yang penulis rancang berdasarkan skenario yang
disusun untuk pengujian :
Gambar 2 : Skema jaringan yang disusun sesuai skenario
Keterangan gambar :
Pengujian dilakukan pada subnet yang berbeda di Lab Sinyal Sistem ITB
dengan menggunakan intranet. Penulis menggunakan wireless codega dengan
subnet 16 sebagai jalur koneksi notebook attacker, sedangkan kedua mesin target
(mesin server dan mesin firewall) menggunakan koneksi intranet subnet 67.
Attacker melewati router MUCER STEI ITB untuk bisa menuju subnet
67, kemudian ke gateway subnet 67, untuk mencapai mesin firewall dan
melakukan SSH. Dari mesin firewall dilakukan SSH ke mesin server.
IV.4 Kebutuhan Hardware dan Software
Untuk melakukan pengujian ini digunakan sejumlah software open source
berbasis GNU/Linux dan beberapa hardware sebagai berikut :
1. Mesin attacker menggunakan notebook Toshiba M300 dengan spesifikasi
Intel P8400, VGA ATI Radeon, RAM 1024 MB, wifi, dan LAN Card.
Software berupa GNU/Linux Ubuntu 9.04, shred, terminal, rm, Open SSH
Server dan Open SSH Client.
16
18. 2. Mesin server dan mesin firewall menggunakan komputer dengan
spesifikasi Intel Pentium 5, RAM 512 MB, VGA Onboard Intel, dan LAN
Card. Software berupa GNU/Linux Ubuntu 9.10, OpenSSH Server dan
Open SSH Client, terminal, rm, dan shred.
3. Network menggunakan intranet ITB di Lab Sinyal System (LSS) ITB.
Mesin attacker menggunakan wireless, mesin server dan mesin firewall
menggunakan koneksi wired pada switch 16 port. Pengalamatan berupa
DHCP. Rincian pengalamatan pada point 4,5, dan 6 di bawah.
4. Pengalamatan mesin attacker : IPV4 167.205.16.119, BCast
167.205.16.255, Subnet Mask 255.255.255.0, Gateway 167.205.67.65.
5. Pengalamatan mesin server/target : IPV4 167.205.67.78, Bcast
167.205.67.127, Subnet Mask 255.255.255.192, Gateway 167.205.67.65.
6. Pengalamatan mesin firewall : IPV4 167.205.67.107, Bcast
167.205.67.127, Subnet Mask 255.255.255.192, Gateway 167.205.67.65.
7. Mouse, keyboard, dan LCD monitor.
8. Dokumentasi menggunakan Open Office Writer 3.0 dan Lyx GUI LATEX
1.6.2, desain bagan sistem mengggunakan DIA Diagram 0.96.1.
17
19. Bab V Pengujian Sistem
V.1 Menguasai Kembali Mesin Target
Sesuai skenario, asumsi, dan batasan masalah yang penulis kemukakan di
bab sebelumnya, terlihat bahwa terjadi proses bertahan dan menyerang yang
dilakukan oleh sysadmin dan attacker. Ide diperoleh dari tulisan
Pseudoanonymous di Kecoak Elektronik[4]. Sysadmin menerapkan pola
pengamanan pada 7 OSI Layer untuk melindungi mesin dan jaringannya dari
serangan attacker sebagai berikut :
1. Layer 1 (Physical Layer) :
Pengamanan secara fisik pada mesin dan hardware pendukungnya sesuai
ISO 27001/2 mengenai keamanan fisik (physical security).
2. Layer 2 (Datalink Layer) :
Pengamanan terhadap intranet menggunakan IPS/NIPS (Intrusion
Prevention System/Network Intrusion Prevention System).
3. Layer 3 (Network Layer) :
Pemasangan firewall, memperbolehkan akses dari IP Address dan Mac
Address tertentu saja.
4. Layer 4 (Transport Layer) :
Menggunakan IDS (Instrusion Detection System) dan IPS/NIPS.
5. Layer 5 (Session Layer) :
Menggunakan VPN dial up dan IPS/NIPS.
6. Layer 6 (Presentation Layer) :
Menggunakan SSL dan IPS/NIPS.
7. Layer 7 (Application Layer) :
Menggunakan Deny Host pada akses SSH (umum disebut sebagai
Preventing SSH Dictionary Attack), dan IPS/NIPS.
8. Selain pengamanan pada ketujuh layer OSI tersebut, dilakukan juga patch
dan update terhadap sistem.
9. Untuk topologi jaringannya, sysadmin meletakkan sebuah mesin firewall
di depan mesin server, sehingga mesin server hanya bisa terhubung keluar
melalui mesin firewall saja.
18
20. Attacker melakukan penetration testing untuk pemetaan akses setiap layer,
termasuk menguasai mesin firewall agar bisa mengakses mesin server. Berikut
perinciannya :
1.Pada layer 1 :
Social engineering untuk memperoleh akses fisik ke sistem untuk kendali
sistem.
2. Pada layer 2 :
ARP (Address Resolution Protocol) cache poisoning man in the middle
(http://www.infosecwriters.com/text_resources/pdf/Arp_RKoster.pdf,
http://www.grc.com/nat/arp.htm), CAM (Content Adressable Memory)
table flooding man in the middle (http://www.javvin.com/networksecurity/
NetworkSecurity.html), VLAN (Virtual Local Area Network) hoping
attack double tagging (http://www.alliedtelesis.com/solutions/diagram-
22), VTP (VLAN Trunking Protocol) attack
(http://www.scribd.com/doc/52741687/10/VLAN-Trunking-Protocol-
VTP-attack), RSTP (Rapid Spanning Tree Protocol) attack
(http://homepage.cem.itesm.mx/raulm/pub/mimicry/opodis06.pdf).
3. Pada Layer 3 :
IP spoofing attack (http://www.cert.org/tadvisories/CA-1995-01.html), IP
fragmentation attack/overlapping fragment attack
(http://www.ouah.org/fragma.html), ICMP (Internet Control Message
Protocol) smurfing pada DOS (Denial Of Service)
(http://www.cert.org/advisories/CA-1998-01.html), BGP internet scale
man in the middle (http://www.defcon.org/images/defcon-16/dc16-
presentations/defcon-16-pilosov-kapela.pdf), BGP NLRI (Border
Gateway Protocol Network Layer Reachability Information) injection
route poisoning (http://people.scs.carleton.ca/~kranakis/Papers/TR-05-
07.pdf), LDP (Label Distribution Protocol) injection pada overwrite
MPLS (Multi Protocol Label Switching) label
(http://eprints.utm.my/6115/1/MohdNazriMohdWaripMFKE2007TTT.pdf
), GRE (Generic Routing Encapsulation) traffic tunneling man in the
middle (http://www.blackhat.com/presentations/bh-europe-03/bh-europe-
19
21. 03-valleri.pdf), Loki L3 attack framework dan IPSEC vulnerability attack
(http://ernw.de/content/e6/e180/e1561/Blackhat2010_ERNW_Loki_ger.p
df).
4. Pada layer 4 :
SYN (Synchronize) flooding dan IP spoofing pada DoS/DDoS
(Denial/Distributed Denial of Service) (http://www.clshack.it/en/python-
scapy-dos-attack-syn-flood-ip-spoofing.html), ACK (Acknowledge)
flooding dan IP spoofing pada DRDoS (Distributed Reflected Denial Of
Service)
(http://www.understandingcomputers.ca/articles/grc/drdos_copy.html),
UDP (User Datagram Protocol) flooding dan IP spoofing pada
DoS/DDoS
(http://web2.uwindsor.ca/courses/cs/aggarwal/cs60564/Assignments2Proj
ect1/2_XiaomingSejdiniChowdhury_Denial%20of%20Service_UDP
%20Flooding%20_Assignment2.doc ), SYN/ACK scanning service dan
firewall mapping (http://nmap.org/book/man-port-scanning-
techniques.html), TCP (Transmission Control Protocol) session hijacking
dengan spoofed RST/FIN packet
(http://www.infosecwriters.com/text_resources/pdf/SKapoor_SessionHija
cking.pdf), SCTP (Stream Control Transmission Protocol) scanning untuk
mengenumerasi SS7/SIGTRAN (Signaling System 7/Signaling Transport)
entry point (http://www.roe.ch/Nmap_SCTP).
5. Pada layer 5 :
L2TP (Layer 2 Tunneling Protocol) attack
(http://www.mplsvpn.info/2008/10/l2tp-vulnerability.html), DoS (Denial
Of Service) attack (http://citeseerx.ist.psu.edu/viewdoc/download?
doi=10.1.1.101.5179&rep=rep1&type=pdf), replay attack
(http://all.net/CID/Attack/papers/Replay.html), NetBIOS user
enumeration
(http://alpha.nyit.edu/som/faculty/khoo/Summer2_2009/MIST757/Hackin
g/Password%20Shitz/Netbios%20and%20brute%20force.pdf).
6. Pada layer 6 :
20
22. SSL (Secure Sockets Layer) man in the middle attack
(http://www.sans.org/reading_room/whitepapers/threats/ssl-man-in-the-
middle-attacks_480).
7.Pada layer 7 :
Kaminsky attack pada DNS (Domain Name System) Poisoning
(http://www.unixwiz.net/techtips/iguide-kaminsky-dns-vuln.html), HTTP
(Hyper Text Transfer Protocol) slowris DoS attack
(http://ha.ckers.org/slowloris/), DNS amplification attack
(http://www.isotf.org/news/DNS-Amplification-Attacks.pdf), SNMPv3
(Simple Network Management Protocol Version 3) HMAC (Hash-based
Message Authentication Code) authentication bypass (http://www.iss.net/
security_center/reference/vuln/SNMP_V3_HMAC_Security_Bypass.htm)
, menebak username dan password SSH menggunakan ncrack
(http://nmap.org/ncrack/), SNMP guessing/brute force attack
(http://www.iphelp.ru/faq/35/0037.html).
V.2 Anti Komputer Forensik di Komputer Target
Setelah memperoleh kembali akses root di mesin firewall dan mesin
server, attacker segera melakukan anti forensik pada file syslog guna menghapus
jejak sekaligus menyulitkan kerja ahli forensik. Pertama, dilakukan remote SSH
ke mesin firewall :
root@mymachine:/home/putushinoda# ssh lsslantai3
machine2@167.205.67.107
lsslantai3machine2@167.205.67.107's password:
Linux lsslantai3machine2 2.6.3114generic #48Ubuntu SMP Fri
Oct 16 14:04:26 UTC 2009 i686
lsslantai3machine2@lsslantai3machine2:~$
Dari mesin firewall, dilanjutkan SSH ke mesin target (server) :
lsslantai3machine2@lsslantai3machine2:~$ ssh lsslantai3
machine1@167.205.67.78
The authenticity of host '167.205.67.78 (167.205.67.78)' can't be
established.
RSA key fingerprint is
f8:f7:64:b8:9c:b8:bb:cb:38:c2:90:36:ae:a7:86:72.
21
23. Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '167.205.67.78' (RSA) to the list of
known hosts.
lsslantai3machine1@167.205.67.78's password:
Linux lsslantai3machine1 2.6.3114generic #48Ubuntu SMP Fri
Oct 16 14:04:26 UTC 2009 i686
lsslantai3machine1@lsslantai3machine1:~$
Kemudian mengecek file syslog yang menjadi target untuk anti forensik.
lsslantai3machine1@lsslantai3machine1:~$ tail f
/var/log/syslog
Apr 27 12:42:40 lsslantai3machine1 kernel: [13.210155] CPU1
attaching NULL scheddomain.
Apr 27 12:42:40 lsslantai3machine1 kernel: [13.224075] CPU0
attaching scheddomain:
Apr 27 12:42:40 lsslantai3machine1 kernel: [13.224080] domain 0:
span 01 level MC
Apr 27 12:42:40 lsslantai3machine1 kernel: [13.224084] groups:01
Apr 27 12:42:40 lsslantai3machine1 kernel: [13.224090] CPU1
attaching scheddomain:
Apr 27 12:42:40 lsslantai3machine1 kernel: [13.224093] domain 0:
span 01 level MC
Apr 27 12:42:40 lsslantai3machine1 kernel: [13.224095] groups:10
Apr 27 12:42:43 lsslantai3machine1 kernel: [15.688006] eth0: no
IPv6 routers present
lsslantai3machine1@lsslantai3machine1:~$
Attacker mencari tahu nilai inode file syslog :
lsslantai3machine1@lsslantai3machine1:~$ stat /var/log/syslog
File: `/var/log/syslog'
Size: 252306 Blocks: 496 IO Block: 4096 regular file
Device: 805h/2053d Inode: 125 Links: 1
Access: (0640/rwr) Uid: (101/syslog) Gid: (4/ adm)
Access: 20110427 13:12:24.127224088 +0700
Modify: 20110427 13:17:01.226597858 +0700
Change: 20110427 13:17:01.226597858 +0700
lsslantai3machine1@lsslantai3machine1:~$
diperoleh nilai inode file syslog 125. Attacker lalu menjadi root di mesin server
dan melakukan anti forensik menggunakan shred ke file syslog :
lsslantai3machine1@lsslantai3machine1:~$ sudo su
22
24. [sudo] password for lsslantai3machine1:
root@lsslantai3machine1:/home/lsslantai3machine1# shred
randomsource=/dev/urandom u /var/log/syslog
root@lsslantai3machine1:/home/lsslantai3machine1#
Attacker kemudian mengecek apakah file syslog benar – benar terhapus sehingga
tidak bisa dikembalikan saat forensik :
root@lsslantai3machine1:/home/lsslantai3machine1# ls la
/var/log/syslog
ls: cannot access /var/log/syslog: No such file or directory
root@lsslantai3machine1:/home/lsslantai3machine1# stat syslog
stat: cannot stat `syslog': No such file or directory
root@lsslantai3machine1:/home/lsslantai3machine1#
Tampak bahwa file syslog sudah terhapus dengan aman.
V.3 Komputer Forensik di Komputer Target Oleh Attacker
Setelah anti forensik dilakukan, attacker mencoba mengembalikan
(recovery) file syslog menggunakan lsof, tool recovery di GNU/Linux. Hal ini
dilakukan untuk menguji apakah anti forensik yang dilakukan telah berjalan
dengan baik atau tidak. Berbekal info nilai inode file syslog di mesin server
adalah 125, proses pemetaan path pun dilakukan oleh attacker sebagai berikut :
root@lsslantai3machine1:/home/lsslantai3machine1# lsof | grep
125
rsyslogd 489 syslog 5w REG 8,5 0 125 /var/log/0 (deleted)
root@lsslantai3machine1:/home/lsslantai3machine1#
Diperoleh info nilai inode 125, PID (Process ID) 489, dan file descriptor 5 (dari
5w). Info ini diperlukan pada proses recovery file syslog. Kemudian attacker
mencoba melakukan recovery dengan mengkopi kembali syslog dari lokasi
pseudo-filesystem.
root@lsslantai3machine1:/home/lsslantai3machine1# cp /proc/489/
fd/5 syslog
Lalu dicek apakah file syslog bisa terbaca setelah proses recovery tersebut :
root@lsslantai3machine1:/home/lsslantai3machine1# tail f /var/
log/syslog
tail: cannot open `/var/log/syslog' for reading: No such file or
directory
tail: no files remaining
23
25. root@lsslantai3machine1:/home/lsslantai3machine1# tail f
syslog
root@lsslantai3machine1:/home/lsslantai3machine1# file syslog
syslog: empty
Terlihat bahwa file tidak dapat dibaca. Dilanjutkan dengan mengecek proses
penghapusan dgn menggunakan pemetaan path :
root@lsslantai3machine1:/var/log# ls l /proc/489/fd/5
lwx 1 root root 64 20110427 13:23 /proc/489/fd/5 >
/var/log/0 (deleted)
Diperoleh info penghapusan file syslog tanggal 27 april 2011 pkl 13.23.
Dilanjutkan dengan pengecekan status file syslog dari /proc.
root@lsslantai3machine1:/var/log# file /proc/489/fd/5
/proc/489/fd/5: broken symbolic link to `/var/log/0 (deleted)'
Lalu dicek isi di dalam file syslog.
root@lsslantai3machine1:/var/log# tail f /var/log/syslog
root@lsslantai3machine1:/var/log# file /var/log/syslog
syslog: empty
File syslog hasil recovery isinya kosong. Proses anti forensik berjalan
sukses. Attacker kemudian keluar dari mesin remote (mesin server dan mesin
firewall). Sampai di sini attacker berhasil melakukan proses anti forensik dengan
baik.
V.4 Komputer Forensik di Komputer Target Oleh Ahli Forensik
Syadmin yang menyadari mesinnya dikuasai kembali akhirnya memanggil
ahli forensik. Ahli forensik mencoba melakukan proses forensik seperti yang
dilakukan oleh attacker di atas, namun tidak berhasil, karena file syslog yang ada
isinya kosong sehingga tidak dapat dibaca. Berikut potongan hasil yang
ditampilkan.
root@lsslantai3machine1:/var/log# tail f /var/log/syslog
root@lsslantai3machine1:/var/log# file /var/log/syslog
syslog: empty
V.5 Hasil Pengujian
Dari pemaparan pengujian anti forensik di atas dengan menggunakan
shred oleh attacker, dapat dilihat bahwa proses anti forensik berjalan dengan baik.
24
26. File syslog terhapus dengan baik dan aman. Meski attacker menguji cobakan
dengan mengembalikan (recovery) file syslog, namun isi di dalamnya kosong atau
tidak bisa dibaca. Hal ini tentu saja akan menyulitkan ahli forensik dalam
melakukan proses komputer forensik.
Terbukti bahwa dengan menggunakan shred, bukti forensik dapat dihapus
dengan aman dan sulit untuk dikembalikan. Bahkan jika bisa dikembalikan
dengan langkah di atas, isi di dalamnya kosong atau tidak dapat dibaca. Ini
menjadi parameter kesuksesan proses anti forensik. Terbukti bahwa shred
merupakan salah satu tool anti forensik yang ampuh dan praktis untuk digunakan
karena sudah ada di setiap mesin GNU/Linux secara default.
25
27. Bab VI Kesimpulan dan Saran
VI.1 Kesimpulan
Dari hasil pengujian penulis berdasarkan skenario yang telah disusun,
dapat disimpulkan bahwa ternyata :
1. Shred mampu melakukan proses anti forensik dengan baik.
Parameter keberhasilan ini dilihat dari kemampuan shred dalam
menghapus file dengan cara penulisan berulang isi di dalamnya. Saat file
dikembalikan (recovery), isi di dalamnya tidak dapat dibaca dengan baik.
2. Anti forensik dengan menggunakan shred menyulitkan proses komputer
forensik yang dilakukan oleh ahli forensik.
3. Shred menjadi tool anti forensik yang baik dilihat dari kemudahan
penggunaannya, praktis (ada secara default di setiap mesin GNU/Linux),
dan hasil yang baik (lihat point 1).
VI.2 Saran
Beberapa saran yang penulis berikan terkait anti forensik dengan menggunakan
shred antara lain :
1. Uninstall aplikasi shred yang disertakan secara default dalam GNU/Linux
dan UNIX lainnya. Untuk distro GNU/Linux Ubuntu cukup menggunakan
perintah sudo apt-get remove shred. Sesuaikan command dengan basis
distro Linux yang anda gunakan. Jika memerlukan shred atau secure
deleted tools lainnya, install saat akan digunakan dan unistall kembali
setelah itu.
2. Biarkan shred tetap terinstall dan gunakanlah networked filesystem (NFS,
AFS, SMB, FTP, WebDAV). Sehingga saat attacker berhasil menguasai
mesin dan remote melalui SSH, swap dan memori sistem tidak dapat
dihapus dengan tool anti forensik apapun, termasuk shred.
3. Lakukan konfigurasi RAID (Redundance Array of Independent
Disks/Redundance Array of Inexpensive Disks) pada mesin. RAID
28. stripping akan menyulitkan anti forensik menggunakan tool apapun, karena
ada banyak redundant data yang perlu dilacak (trace).
4. Lakukan penanganan forensik secepat mungkin baik oleh diri sendiri
maupun mendatangkan ahli komputer forensik saat terjadi suatu serangan
cyber crime.
5. Tingkatkan penanganan keamanan pada setiap layer OSI serta tingkatkan
kepedulian user untuk mematuhi peraturan yang berlaku agar sistem bisa
berjalan dengan baik. Keamanan tidak akan berjalan sukses 100% jika dari
sisi user tidak peduli dengan keamanan tersebut, meskipun pada sisi sistem
(hardware dan software) sudah aman 100%.
29. Daftar Pustaka
[1] Nguyen, Binh (2004) : Linux Filesystem Hierarchy.
http://tldp.org/LDP/Linux-Filesystem-Hierarchy/Linux-Filesystem-Hierarchy.pdf
Diakses 2 Maret 2011 12:15:20 WIB
[2] Mathur, A., Cao, M., Bhattacarrya, S., Dilger, A., Tomas, A., dan Vivier,
Lauren. (2007) : The New Ext4 Filesystem : Current Status and Future Plan.
http://www.linuxsymposium.org/archives/OLS/Reprints-2007/mathur-Reprint.pdf
Diakses 2 Maret 2011 12:16:22 WIB
[3] Mrshl, Jck. “Anti-forensic, Seek and Destroy”. Echo Community. 2009.
http://ezine.echo.or.id/ezine20/e20_0x0c.txt
Diakses 3 Maret 2011 21:28:23 WIB
[4] Pseudoanonymous. “Network Hack Philosopy”. Kecoak Elektronik. 2009.
http://www.kecoak.org/ezine/toket7/0x04-network_hack_philosopy.txt
Diakses 3 Maret 2011 21:30:00 WIB
[4]Garfinkel, Simson L. “Anti-Forensics: Techniques, Detection and
Countermeasures”. Naval Postgraduate School. 2007.
http://simson.net/ref/2007/slides-ICIW.pdf
Diakses 3 Maret 2011 22:56:00 WIB
[5] Peron, Christian S.J. ; Legary, Michael. “Digital Anti-Forensics : Emerging
Trends in Data Transformation Techniques”. Seccuris Labs.
http://www.seccuris.com/documents/whitepapers/Seccuris-Antiforensics.pdf
Diakses 8 Maret 2011 16:30:45 WIB
[6] Techthrob. “How To Delete Files Permanently And Sevurely In Linux”.
http://techthrob.com/2009/03/02/howto-delete-files-permanently-and-securely-in-
linux/
Diakses 24 Maret 2011 17:45:45
[7]Tech Republic. “Securely Delete Files With Shred”.
http://www.techrepublic.com/blog/opensource/securely-delete-files-with-
shred/188
Diakses 24 Maret 2011 17:56:00
[8]US CERT. “Computer Forensics”.
www.us-cert.gov/reading_room/forensics.pdf
Diakses 5 April 2011 21:58:46