SlideShare ist ein Scribd-Unternehmen logo

Tugas paper keamanan sistem lanjut 23510310

Putu Shinoda
Putu Shinoda

Tulisan ini membahas mengenai anti forensik yang dilakukan menggunakan perangkat lunak shred terhadap file syslog di mesin remote GNU/Linux untuk menghapus jejak kejahatan di jaringan komputer. Penulis melakukan pengujian dengan menggunakan tiga buah komputer yang saling terhubung untuk mewakili server, firewall dan attacker.

Technologie
1 von 31
Downloaden Sie, um offline zu lesen
Paper Tugas Kuliah Keamanan Sistem Lanjut Anti Komputer Forensik di Mesin GNU/Linux Menggunakan Shred (Studi Kasus : Cyber Crime di Jaringan Komputer) Oleh : I Putu Agus Eka Pratama, S.T. 23510310 Dosen : Dr. Ir. Budi Rahardjo Magister Teknologi Informasi Sekolah Tinggi Elektro dan Informatika (STEI) Institut Teknologi Bandung 2011
Daftar Isi Daftar Isi...................................................................................................................i Abstrak......................................................................................................................i Bab I Pendahuluan..................................................................................................ii I.1 Latar Belakang..............................................................................................iii I.2 Tujuan...........................................................................................................iii I.3 Sistematika Penulisan...................................................................................iv Bab II Dasar Teori..................................................................................................6 II.1 Struktur Filesystem di GNU/Linux..............................................................6 II.2 Komputer Forensik.......................................................................................9 II.3 Anti Komputer Forensik...............................................................................9 Bab III Shred Untuk Anti Forensik.......................................................................11 III.1 Shred..........................................................................................................11 III.2 Pengujian Shred di Komputer Standalone ................................................11 III.3 Pengujian Shred di Komputer Remote......................................................12 Bab IV Perancangan Sistem .................................................................................15 IV.1 Skenario Pengujian....................................................................................15 IV.2 Batasan Masalah dan Asumsi....................................................................15 IV.3 Desain Sistem Berdasarkan Skenario........................................................16 IV.4 Kebutuhan Hardware dan Software..........................................................16 Bab V Pengujian Sistem........................................................................................18 V.1 Menguasai Kembali Mesin Target.............................................................18 V.2 Anti Komputer Forensik di Komputer Target............................................21 V.3 Komputer Forensik di Komputer Target Oleh Attacker.............................23 V.4 Komputer Forensik di Komputer Target Oleh Ahli Forensik....................24 V.5 Hasil Pengujian...........................................................................................24 Bab VI Kesimpulan dan Saran..............................................................................26 VI.1 Kesimpulan...............................................................................................26 VI.2 Saran..........................................................................................................26 i
Abstrak Komputer forensik dan anti komputer forensik adalah dua bidang yang saling berlawanan. Komputer forensik dilakukan oleh ahli komputer forensik guna memperoleh data dan bukti akurat dari kasus cyber crime untuk penyelidikan. Anti komputer forensik dilakukan oleh attacker untuk menghilangkan jejak sekaligus menyulitkan ahli komputer forensik dalam melakukan tugasnya. Keduanya dapat dilakukan pada komputer standalone (tidak terhubung jaringan) maupun yang terhubung ke jaringan, dengan banyak pilihan metode dan tool. Bagi attacker, pemilihan tool anti komputer forensik yang default di mesin target, dinilai lebih efektif dan cepat dibandingkan menginstalasi terlebih dahulu di mesin korban. Untuk itulah penulis memilih shred sebagai aplikasi anti komputer forensik pada mesin GNU/Linux. Jika anti forensik berhasil, ahli forensik akan sulit melakukan komputer forensik terhadap data yang menjadi barang bukti cyber crime. Tulisan ini memaparkan mengenai anti forensik yang dilakukan oleh attacker terhadap mesin remote GNU/Linux untuk kasus cyber crime di jaringan komputer. Anti forensik dilakukan menggunakan shred terhadap file syslog untuk menghapus jejak kejahatan sekaligus menyulitkan proses forensik oleh ahli komputer forensik. Dijelaskan juga mengenai struktur file di GNU/Linux, komputer forensik dan anti forensik, shred, serta metode menyerang dan bertahan dengan konsep 7 layer OSI. Pengujian dilakukan pada 3 buah komputer berbasis GNU/Linux pada intranet Lab Sinyal Sistem ITB. Masing - masing bertindak sebagai mesin target (server), mesin firewall, dan mesin attacker. Dilakukan proses anti komputer forensik dan komputer forensik di mesin server. Hasil pengujian dicatat dan dianalisa untuk kemudian ditarik kesimpulan. Kata kunci : anti forensik, shred, GNU/Linux, network ii
Bab I Pendahuluan I.1 Latar Belakang Kejahatan komputer (cyber crime) di dunia maya, sebagaimana di dunia nyata, juga mengenal proses forensik. Ilmu ini disebut komputer forensik, yang memadukan elemen hukum dan computer science. Pelaku kejahatan, dalam hal ini attacker, berusaha menutupi jejak kejahatannya dan menyulitkan proses komputer forensik. Ilmu ini dikenal sebagai anti komputer forensik. Server umumnya menggunakan sistem operasi dari distribusi (distro) GNU/Linux atau basis UNIX lainnya (misal BSD, Solaris). Pada umumnya, setiap OS GNU/Linux telah dipaketkan dengan aplikasi shred, yang berguna untuk melakukan over write berulang - ulang terhadap isi suatu file atau folder sehingga menyulitkan proses pembacaan saat recovery. Oleh attacker, tool ini disalah gunakan untuk melakukan anti komputer forensik. Attacker cukup masuk ke mesin target dan menjalankan shred ke file atau direktori yang berpotensi menjadi barang bukti cyber crime (misal ke /var/log/syslog). Shred amat cepat dan mematikan dalam hal menghapus suatu jejak dan bukti kejahatan dunia maya. Tulisan ini membahas mengenai kemampuan shred sebagai salah satu anti forensik tool di mesin remote GNU/Linux pada kasus cyber crime. Dilengkapi dengan pengujian sederhana pada 3 buah komputer di intranet Lab Sinyal Sistem ITB berdasarkan skenario, batasan masalah, dan asumsi yang penulis buat. I.2 Tujuan Pada tulisan ini akan dijelaskan secara detail mengenai komputer forensik, anti komputer forensik, aplikasi shred, struktur file di GNU/Linux, dan penggunaan shred sebagai aplikasi anti komputer forensik. Dilakukan juga PoC (Proof of Concept) pada tiga buah komputer berbasis GNU/Linux yang saling terhubung dalam suatu jaringan. Masing - masing bertindak sebagai komputer target (server), komputer firewall, dan komputer attacker. Dilakukan proses anti komputer forensik menggunakan shred pada komputer korban (/var/log/syslog) secara remote melalui SSH, dilanjutkan iii
dengan proses komputer forensik terhadap file syslog. Parameter sukses tidaknya proses anti forensik yang dilakukan dilihat dari kemampuan untuk recovery file yang dihapus dengan shred maupun membaca kembali isi file hasil recovery tersebut. Untuk bisa menguasai komputer target, attacker memiliki rincian metode penyerangan, sedangkan sysadmin memiliki rincian metode bertahan. Keduanya menggunakan konsep 7 layer OSI. Penulis akan merinci langkah menyerang dan bertahan yang dilakukan oleh sysadmin dan attacker. Hasil pengujian dicatat, dianalisa, lalu ditarik kesimpulan. Dilanjutkan dengan pemberian saran untuk perbaikan ke depannya. Diharapkan melalui tulisan ini, penulis dapat menjelaskan kepada pembaca mengenai anti forensik menggunakan shred di jaringan komputer untuk kasus cyber crime beserta teori pendukung lainnya. I.3 Sistematika Penulisan Sistematika penulisan memudahkan penulis dalam menyampaikan isi tulisan sehingga mudah untuk dipahami oleh pembaca. Adapun sistematika tulisan sebagai berikut : Bab II membahas mengenai dasar teori. Meliputi sub bab struktur filesystem di GNU/Linux, komputer forensik, dan anti komputer forensik. Diharapkan pembaca dapat memahami mengenai filesystem di GNU/Linux secara umum (/var/, /home, inode), forensik dan anti forensik. Bab III membahas mengenai shred. Meliputi sub bab shred, shred anti forensik komputer standalone, dan shred anti forensik komputer remote. Diharapkan pembaca dapat memahami mengenai perangkat lunak open source shred sebagai salah satu tool anti forensik yang ada secara default di setiap distribusi GNU/Linux, prinsip kerja, serta cara menggunakannya di komputer standalone dan yang terhubung pada network. Bab IV membahas mengenai perancangan sistem. Meliputi sub bab perancangan skenario, batasan masalah pada perancangan skenario, desain sistem berdasarkan skenario, serta kebutuhan perangkat lunak dan perangkat keras. Diharapkan pembaca dapat mengetahui mengenai perancangan eksperimen yang iv
penulis lakukan sendiri berdasarkan skenario yang disusun, dengan beberapa batasan dan asumsi agar pembahasan tidak meluas. Bab V membahas mengenai pengujian sistem. Meliputi sub bab menguasai kembali mesin target, anti komputer forensik di komputer target, dan hasil pengujian. Semua proses dan hasil pengujian dijabarkan disini. Bab VI memuat kesimpulan dan saran berdasarkan hasil pengujian yang penulis lakukan. v
Bab II Dasar Teori II.1 Struktur Filesystem di GNU/Linux Filesystem adalah metode dan struktur data yang digunakan oleh sistem operasi untuk menjaga track suatu file pada disk atau partisi dan merupakan cara untuk mengorganisasikan file pada disk[1]. GNU/Linux memiliki banyak jenis filesystem, namun yang terkenal adalah ext (ext4, ext3, ext2) dan reiserfs. File sistem di GNU/Linux ada yang bersifat journaling (ext4, ext3, reiserfs) maupun tidak. Sebagaimana filesystem lainnya di OS berbasis UNIX lainnya, GNU/Linux memiliki struktur direktori hirarki tunggal yang diawali dengan root (dilambangkan dengan /). Di dalam root terdapat sub direktori dengan fungsi masing - masing. Misalkan sebagai berikut (GNU/Linux Ubuntu 9.04) : root@my­machine:/# ls ­la total 108 drwxr­xr­x 2 root root 4096 2010­08­02 08:33 bin drwxr­xr­x 3 root root 4096 2010­08­02 08:34 boot drwxr­xr­x 17 root root 4320 2011­04­06 17:10 dev drwxr­xr­x 168 root root 12288 2011­04­06 17:08 etc drwxr­xr­x 5 root root 4096 2010­08­02 17:19 home lrwxrwxrwx 1 root root 33 2010­05­30 01:33 initrd.img ­>  boot/initrd.img­2.6.28­11­generic drwxr­xr­x 21 root root 4096 2010­11­13 12:11 lib drwx­­­­­­ 2 root root 16384 2010­05­30 01:19 lost+found drwxr­xr­x 3 root root 4096 2011­04­06 17:08 media drwxr­xr­x 2 root root 4096 2009­04­13 16:33 mnt drwxr­xr­x 4 root root 4096 2010­07­21 12:13 opt dr­xr­xr­x 172  root  root 0 2011­04­06 11:01 proc drwx­­­­­­ 22  root  root 4096  2011­04­02 15:18 root drwxr­xr­x 2 root root 4096 2010­08­02 08:33 sbin drwxr­xr­x 3 root root 4096 2010­05­30 22:01 srv drwxrwxrwt 18 root root 4096 2011­04­06 17:47 tmp drwxr­xr­x 14  root root 4096 2010­05­30 22:58 usr drwxr­xr­x 16 root root 4096 2010­07­14 13:11 var 6
18 sub direktori yang penting dalam root yaitu /bin, /boot, /dev, /etc, /home, /initrd, /lib, /lost+found, /media, /mnt, /opt, /proc, /root, /sbin, /usr, /var, /srv, dan /tmp. Penulis hanya membahas 2 saja yaitu /home dan /var, sesuai dengan cakupan tulisan ini. /home adalah rumah untuk setiap user. GNU/Linux dan OS berbasis UNIX lainnya adalah sistem operasi multi user environment, sehingga setiap user memiliki /home masing - masing dengan semua privillege (read, write, delete, dan sebagainya). Misalkan user putu-shinoda dengan lokasi /home/putu-shinoda. /var berisi variabel data berupa system logging files, mail, printer spool directories, serta transient dan temporary file. Berikut isi dari sub direktori /var : root@my­machine:/home/putu­shinoda# cd /var root@my­machine:/var# ls ­la total 56 drwxr­xr­x 16 root root  4096 2010­07­14 13:11 . drwxr­xr­x 22 root root  4096 2011­04­06 11:01 .. drwxr­xr­x  2 root root  4096 2011­04­05 10:25 backups drwxr­xr­x 20 root root  4096 2011­02­22 14:43 cache drwxr­xr­x  2 root root  4096 2011­04­03 22:16 crash drwxr­xr­x  2 root root  4096 2009­04­20 21:07 games drwxr­xr­x 71 root root  4096 2011­04­03 22:14 lib drwxrwsr­x  2 root staff 4096 2009­04­13 16:33 local drwxrwxrwt  3 root root    80 2011­04­06 11:08 lock drwxr­xr­x 18 root root  4096 2011­04­06 11:08 log drwxrwsr­x  2 root mail  4096 2009­04­20 20:59 mail drwxr­xr­x  2 root root  4096 2009­04­20 20:59 opt drwxr­xr­x 21 root root   800 2011­04­06 18:10 run drwxr­xr­x  7 root root  4096 2010­05­30 21:59 spool drwxrwxrwt  4 root root  4096 2011­04­05 19:50 tmp drwxrwxrwx 19 root root  4096 2011­02­23 11:56 www Salah satu bagian yang terpenting adalah /var/log/syslog yang merupakan tempat sistem mengirimkan log. Dapat dicek secara real time menggunakan perintah tail -f /var/log/syslog. Pada tulisan ini, anti forensik dilakukan di file syslog. Pada Linux dan OS basis UNIX lainnya, setiap file dan direktori memiliki info index node (inode), termasuk juga status dari file atau direktori tersebut. Hal 7
ini penting saat forensik untuk mengetahui keadaan suatu file termasuk juga recovery jika yang terhapus adalah nomor inode itu, bukan isi file maupun file secara keseluruhan. Inode merupakan alamat dari sebuah blok disk[1]. Informasi dari suatu inode dapat dilihat dengan mengetikkan perintah ls dan stat. Perintah ls akan menampilkan alamat pertama suatu file. File sendiri memiliki komponen nama, konten, dan informasi administratif (permission dan waktu modifikasi). Informasi administratif ini disimpan di inode beserta data lainnya. Ada tiga kali penyimpanan di inode yaitu saat konten terakhir kali dimodifikasi (written), terakhir kali digunakan (read, executed), dan perubahan pada inode itu sendiri (saat mengeset permission). Nomor inode dan keterangan yang lebih lengkap dapat dilihat dengan mengetikkan perintah stat nama_file. Berikut pengujian di GNU/Linux Ubuntu 9.04. Pertama dibuat sebuah file teks bernama manual.txt : putu­shinoda@my­machine:~$ touch manual.txt Lalu mengecek keberadaan file manual.txt tersebut : putu­shinoda@my­machine:~$ ls ­l manual.txt  ­rw­r­­r­­ 1 putu­shinoda putu­shinoda 0 2011­04­16 00:20  manual.txt Dilanjutkan dengan melihat inodenya : putu­shinoda@my­machine:~$ ls ­i manual.txt  3691951 manual.txt Kemudian melihat info file keseluruhan : putu­shinoda@my­machine:~$ stat manual.txt    File: `manual.txt'   Size: 0   Blocks: 0   IO Block: 4096   file kosong biasa Device: 801h/2049d  Inode: 3691951   Links: 1 Access: (0644/­rw­r­­r­­)  Uid: ( 1000/putu­shinoda)   Gid:  ( 1000/putu­shinoda) Access: 2011­04­16 00:20:31.000000000 +0700 Modify: 2011­04­16 00:20:31.000000000 +0700 Change: 2011­04­16 00:20:31.000000000 +0700 Hal yang sama juga bisa dilakukan terhadap suatu direktori dan sub direktori. putu­shinoda@my­machine:~$ mkdir kotak putu­shinoda@my­machine:~$ ls ­di kotak/  9947429 kotak/ 8
putu­shinoda@my­machine:~$ stat kotak/   File: `kotak/'   Size: 4096    Blocks: 8    IO Block: 4096   direktori Device: 801h/2049d Inode: 9947429     Links: 2 Access: (0755/drwxr­xr­x)  Uid: ( 1000/putu­shinoda)   Gid:  ( 1000/putu­shinoda) Access: 2011­04­16 00:22:26.000000000 +0700 Modify: 2011­04­16 00:22:16.000000000 +0700 Change: 2011­04­16 00:22:16.000000000 +0700 Dari info di atas dapat dilihat bahwa untuk file bernama manual.txt dan folder bernama kotak, memiliki nilai inode masing - masing 3691951 dan 9947429. Referensi [1] memberikan penjelasan lebih lanjut dan detail mengenai GNU/Linux beserta struktur file di dalamnya. Penulis menyarankan untuk membacanya. II.2 Komputer Forensik Komputer forensik adalah ilmu yang menggabungkan hukum dan computer science untuk mengumpulkan dan menganalisa data dari sistem komputer, jaringan, wireless communications, dan media penyimpanan, untuk dijadikan barang bukti di pengadilan untuk kasus cyber crime.[2]. Integritas dan stabilitas infrastruktur jaringan dapat tetap terjaga dengan adanya komputer forensik. Dengan pengetahuan mengenai hukum dan teknis komputer forensik, capture informasi penting dapat dengan mudah dilakukan di jaringan saat compromize terjadi. Hal ini akan memudahkan menuntut pelaku cyber crime yang tertangkap secara hukum. Keuangan perusahaan juga dapat dihemat dari anggaran untuk menyewa jasa computer security jika setiap staf perusahaan paham dan tanggap mengenai komputer forensik. Untuk penjelasan lebih lanjut dan rinci mengenai komputer forensik, penulis menyarankan untuk membaca referensi [8]. II.3 Anti Komputer Forensik Berlawanan dengan komputer forensik, anti komputer forensik adalah ilmu yang memadukan berbagai teknik untuk menyulitkan proses komputer 9
forensik. Awal mulanya ilmu ini dibentuk sebagai bagian dari proses riset dan pembelajaran komputer forensik yang sedang dikembangkan saat itu. Sayangnya ilmu ini justru disalah gunakan oleh oknum yang tidak bertanggung jawab untuk menghilangkan jejak dalam kasus cyber crime. Dalam dunia komputer, bukti digital adalah berkas berupa kumpulan data elektronik. Seorang attacker berusaha menyulitkan pekerjaan ahli forensik dalam mengidentifikasi, mengumpulkan, memeriksa, atau melakukan validasi terhadap bukti digital dengan cara menghancurkan, menyembunyikan, memanipulasi, atau mencegah ditemukannya bukti adanya suatu cyber crime. Hal ini dilakukan oleh attacker untuk menghapus jejaknya agar terhindar dari tuntutan hukum. Ada banyak tool yang bisa digunakan untuk melakukan anti forensik. Salah satunya shred yang ada secara default di setiap distribusi GNU/Linux. Lebih lanjut mengenai anti forensik dapat dibaca di referensi [4] dan [5]. Keduanya referensi tersebut memaparkan mengenai anti forensik dengan baik. Untuk tata cara penggunaan tool shred sebagai tool anti forensik, silahkan merujuk ke referensi [6] dan [7]. Bisa juga mengetikkan perintah man shred di terminal GNU/Linux. Untuk keluar (quit) dari manual di terminal, ketik q. 10
Bab III Shred Untuk Anti Forensik III.1 Shred Di GNU/Linux terdapat 2 tool standar untuk menghapus file dan direktori yaitu rm (remove) dan shred. Perintah rm digunakan untuk menghapus file atau direktori, namun yang terhapus hanyalah bagian inode saja, sehingga suatu saat dapat dikembalikan (recovery) dan dibaca dengan baik. Shred menghapus file sekaligus mengosongkan atau membuat isi file tidak dapat dibaca, sehingga meski dapat direcovery sekalipun, isi di dalamnya sudah tidak bisa dibaca lagi atau kosong. Shred awalnya diciptakan untuk keamanan dan privasi user itu sendiri. Misal menghapus permanen data di harddisk sebelum dijual atau menghapus file password server oleh sysadmin. Ibarat pisau bermata dua, shred menjadi salah satu tool favorit attacker dalam melakukan anti forensik. III.2 Pengujian Shred di Komputer Standalone Berikut pengujian shred pada komputer standalone GNU/Linux IGOS Nusantara 2010. Dibuat sebuah file teks bernama tes.txt di /home. File ini akan dihapus menggunakan shred pada kasus anti forensik. [igos@lss­67­74 ~]$ touch tes.txt Kemudian dilakukan pengecekan apakah file tersebut telah terbentuk. [igos@lss­67­74 ~]$ ls ­l tes.txt ­rw­rw­r­­   1 igos igos   30 Apr 15 12:15 tes.txt Dilanjutkan dengan mengisikan pesan di dalamnya. [igos@lss­67­74 ~]$ echo "Kemarin malam saya telah memasuki mesin  mail server anda tanpa ijin menggunakan exploit." > tes.txt  Dilanjutkan dengan mengecek inode [igos@lss­67­74 ~]$ stat tes.txt    File: `tes.txt'   Size: 30     Blocks: 8    IO Block: 4096   berkas regular Device: fd02h/64770d Inode: 2753597     Links: 1 Access: (0664/­rw­rw­r­­)  Uid: (500/igos)  Gid: (500/igos) Access: 2011­04­15 12:30:29.396167800 +0700 11
Modify: 2011­04­15 12:30:40.322167736 +0700 Change: 2011­04­15 12:30:40.322167736 +0700 [igos@lss­67­74 ~]$ Diperoleh keterangan nilai inode file tes.txt adalah 2753597 beserta berbagai keterangan lainnya (size, access, modify, dan sebagainya). III.3 Pengujian Shred di Komputer Remote Pengujian dilakukan di Lab Sinyal Sistem (LSS) ITB menggunakan 2 buah komputer. Kedua komputer terhubung melalui switch dengan pengalamatan DHCP dan memiliki spesifikasi yang sama yaitu Intel Pentium 5, RAM 512 MB, VGA Onboard Intel, LAN Card, mouse, keyboard, dan LCD monitor. Skenario sebagai berikut. Komputer lss-67-75 (GNU/Linux IGOS Nusantara 2010) diremote melalui SSH oleh komputer lss-67-74 (GNU/Linux Slackware 13). Kemudian di komputer lss-67-74 dibuat file teks, lalu dihapus menggunakan shred secara remote dari komputer lss-67-75. Dibuktikan file teks terhapus dengan aman sehingga proses anti forensik berjalan dengan baik. Berikut bagan skenarionya : Gambar 1 : Bagan pengujian shred pada 2 buah komputer di jaringan 12
Pertama, dilakukan remote SSH dari lss-67-74 ke lss-67-75 : [slackie@lss­67­74 ~]$ ssh lss­67­75@167.205.67.114 The authenticity   of  host '167.205.67.114  (167.205.67.114)'   can't  be established. RSA   key   fingerprint   is  08:88:d0:bf:92:a3:4c:72:1f:98:45:b1:da:a1:6a:ca. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '167.205.67.114' (RSA) to the list of  known hosts. lss­67­75@167.205.67.114's password:  Linux   lss­67­75   2.6.31­14­generic   #48­IGOS   SMP   Fri   Oct   16  14:04:26 UTC 2009 i686 Last login: Fri Apr 15 00:35:31 2011 from lss­67­115.ee.itb.ac.id Kemudian dibuat sebuah file bernama akunadmin.txt lss­67­75@lss67­75:~$ touch akunadmin.txt Mengecek apakah file akunadmin.txt sudah ada. lss­67­75@lss­67­75:~$ ls ­l akunadmin.txt  ­rw­r­­r­­   1   lss­67­75   lss­67­75   30   2011­04­15   01:37  akunadmin.txt Lalu diisikan data di dalamnya : lss­67­75@lss­67­75:~$   echo   "username   admin   password   12345"   >  akunadmin.txt  Mengecek nilai inode. lss­67­75@lss­67­75:~$ stat akunadmin.txt    File: `akunadmin.txt'   Size: 30         Blocks:   8                     IO   Block:   4096  regular file Device: 801h/2049d Inode: 543915      Links: 1 Access:   (0644/­rw­r­­r­­)     Uid:   (   1000/lss­67­75)       Gid:  ( 1000/lss­67­75) Access: 2011­04­15 01:37:27.672492515 ­0400 Modify: 2011­04­15 01:37:46.635992491 ­0400 Change: 2011­04­15 01:37:46.635992491 ­0400 Melakukan anti forensik menggunakan shred ke file akunadmin.txt : lss­67­75@lss­67­75:~$ shred akunadmin.txt Shred melakukan penulisan sekali pada isi file, dalam hal ini file masih tetap ada setelah dilakukan pengecekan. 13
lss­67­75@lss­67­75:~$ ls ­l akunadmin.txt  ­rw­r­­r­­   1   lss­67­75   lss­67­75   4096   2011­04­15   01:40  akunadmin.txt Inode dari file masih ada setelah dilakukan pengecekan. lss­67­75@lss­67­75:~$ stat akunadmin.txt    File: `akunadmin.txt'   Size: 4096  Blocks: 8  IO Block: 4096 regular file Device: 801h/2049d Inode: 543915  Links: 1 Access: (0644/­rw­r­­r­­)  Uid: (1000/lsslantai3) Gid: (1000/lss­ 67­75) Access: 2011­04­15 01:37:27.672492515 ­0400 Modify: 2011­04­15 01:40:33.448031341 ­0400 Change: 2011­04­15 01:40:33.448031341 ­0400 Namun isi file berubah dan tidak bisa dibaca akibat penulisan yang dilakukan menggunakan shred. lss­67­75@lss­67­75:~$ cat akunadmin.txt  q�`�#^6�V�q�#Y#X���z��#�,�5#�>��wj���#�#�Q]�­�� ̮ ‫��ޖ‬E�$�o�b�)_   ��#�#��#S�N�   p�N�����  >����m����ӫ9#R����o���4V[r�z��xA+�:}�t�#��$#9l� Dengan menjalankan kembali shred dengan tambahan opsi u, z, dan n (penulisan berulang, dalam kasus ini 25 kali), file akan terhapus secara permanen. lss­67­75@lss­67­75:~$ shred ­u ­z ­n 25 akunadmin.txt  lss­67­75@lss­67­75:~$ ls ­l akunadmin.txt ls: cannot access akunadmin.txt: No such file or directory lss­67­75 3@lss­67­75 3:~$ stat akunadmin.txt stat: cannot stat `akunadmin.txt': No such file or directory Dalam hal ini recovery bisa mengembalikan file yang dihapus permanen tersebut. Namun isi di dalam file tersebut kosong atau tidak terbaca. Pengujian di bab selanjutnya akan membuktikan hal ini secara lebih jelas. 14
Bab IV Perancangan Sistem IV.1 Skenario Pengujian Sebelum melakukan pengujian, disusun skenario sebagai berikut : 1. Attacker sebelumnya telah berhasil menguasai mesin target namun lupa menghapus jejak di file syslog. Sysadmin tidak melakukan forensik terhadap file syslog maupun memanggil ahli forensik komputer. 2. Sysadmin melakukan pengamanan pada 7 layer OSI untuk mencegah terulangnya kembali penyerangan tersebut. Penulis merinci langkah pengamanan setiap layer tersebut. 3. Attacker mencoba menguasai kembali mesin target agar dapat melakukan anti forensik terhadap file syslog menggunakan shred yang terdapat secara default di mesin target. Penulis merinci metode yang dilakukan oleh attacker untuk melakukan penyerangan. 4. Ahli forensik datang dan melakukan forensik ke mesin target setelah attacker melakukan anti forensik pada file syslog. Penulis berperan sebagai sysadmin, attacker, sekaligus ahli forensik dengan menggunakan 2 buah komputer GNU/Linux Ubuntu 9.10 dan 1 buah notebook GNU/Linux Ubuntu 9.04 di Lab Sinyal Sistem (LSS) ITB. IV.2 Batasan Masalah dan Asumsi Untuk mencegah pembahasan yang melebar dan di luar topik, keterbatasan halaman, peralatan untuk pengujian, dan waktu pengujian, maka penulis memberikan asumsi dan batasan masalah sebagai berikut : 1. Tidak terdapat Proof of Concept (pengujian langsung) terhadap semua metode serangan yang dilakukan oleh attacker. Penulis hanya memberikan URL dari setiap metode tersebut sebagai referensi. Penulis menyarankan pembaca membaca referensi tersebut untuk pemahaman lebih lanjut. 2. Diasumsikan attacker memperoleh kembali akses root ke mesin firewall dan mesin target (server) dari salah satu cara yang dijabarkan tersebut. 3. Pada pengujian, dilakukan SSH dari komputer attacker ke komputer firewall, lalu dari komputer firewall dilakukan SSH ke komputer server. Kemudian dijalankan shred pada file syslog (/etc/log/syslog). 15
IV.3 Desain Sistem Berdasarkan Skenario Berikut desain sistem yang penulis rancang berdasarkan skenario yang disusun untuk pengujian : Gambar 2 : Skema jaringan yang disusun sesuai skenario Keterangan gambar : Pengujian dilakukan pada subnet yang berbeda di Lab Sinyal Sistem ITB dengan menggunakan intranet. Penulis menggunakan wireless codega dengan subnet 16 sebagai jalur koneksi notebook attacker, sedangkan kedua mesin target (mesin server dan mesin firewall) menggunakan koneksi intranet subnet 67. Attacker melewati router MUCER STEI ITB untuk bisa menuju subnet 67, kemudian ke gateway subnet 67, untuk mencapai mesin firewall dan melakukan SSH. Dari mesin firewall dilakukan SSH ke mesin server. IV.4 Kebutuhan Hardware dan Software Untuk melakukan pengujian ini digunakan sejumlah software open source berbasis GNU/Linux dan beberapa hardware sebagai berikut : 1. Mesin attacker menggunakan notebook Toshiba M300 dengan spesifikasi Intel P8400, VGA ATI Radeon, RAM 1024 MB, wifi, dan LAN Card. Software berupa GNU/Linux Ubuntu 9.04, shred, terminal, rm, Open SSH Server dan Open SSH Client. 16
2. Mesin server dan mesin firewall menggunakan komputer dengan spesifikasi Intel Pentium 5, RAM 512 MB, VGA Onboard Intel, dan LAN Card. Software berupa GNU/Linux Ubuntu 9.10, OpenSSH Server dan Open SSH Client, terminal, rm, dan shred. 3. Network menggunakan intranet ITB di Lab Sinyal System (LSS) ITB. Mesin attacker menggunakan wireless, mesin server dan mesin firewall menggunakan koneksi wired pada switch 16 port. Pengalamatan berupa DHCP. Rincian pengalamatan pada point 4,5, dan 6 di bawah. 4. Pengalamatan mesin attacker : IPV4 167.205.16.119, BCast 167.205.16.255, Subnet Mask 255.255.255.0, Gateway 167.205.67.65. 5. Pengalamatan mesin server/target : IPV4 167.205.67.78, Bcast 167.205.67.127, Subnet Mask 255.255.255.192, Gateway 167.205.67.65. 6. Pengalamatan mesin firewall : IPV4 167.205.67.107, Bcast 167.205.67.127, Subnet Mask 255.255.255.192, Gateway 167.205.67.65. 7. Mouse, keyboard, dan LCD monitor. 8. Dokumentasi menggunakan Open Office Writer 3.0 dan Lyx GUI LATEX 1.6.2, desain bagan sistem mengggunakan DIA Diagram 0.96.1. 17
Bab V Pengujian Sistem V.1 Menguasai Kembali Mesin Target Sesuai skenario, asumsi, dan batasan masalah yang penulis kemukakan di bab sebelumnya, terlihat bahwa terjadi proses bertahan dan menyerang yang dilakukan oleh sysadmin dan attacker. Ide diperoleh dari tulisan Pseudoanonymous di Kecoak Elektronik[4]. Sysadmin menerapkan pola pengamanan pada 7 OSI Layer untuk melindungi mesin dan jaringannya dari serangan attacker sebagai berikut : 1. Layer 1 (Physical Layer) : Pengamanan secara fisik pada mesin dan hardware pendukungnya sesuai ISO 27001/2 mengenai keamanan fisik (physical security). 2. Layer 2 (Datalink Layer) : Pengamanan terhadap intranet menggunakan IPS/NIPS (Intrusion Prevention System/Network Intrusion Prevention System). 3. Layer 3 (Network Layer) : Pemasangan firewall, memperbolehkan akses dari IP Address dan Mac Address tertentu saja. 4. Layer 4 (Transport Layer) : Menggunakan IDS (Instrusion Detection System) dan IPS/NIPS. 5. Layer 5 (Session Layer) : Menggunakan VPN dial up dan IPS/NIPS. 6. Layer 6 (Presentation Layer) : Menggunakan SSL dan IPS/NIPS. 7. Layer 7 (Application Layer) : Menggunakan Deny Host pada akses SSH (umum disebut sebagai Preventing SSH Dictionary Attack), dan IPS/NIPS. 8. Selain pengamanan pada ketujuh layer OSI tersebut, dilakukan juga patch dan update terhadap sistem. 9. Untuk topologi jaringannya, sysadmin meletakkan sebuah mesin firewall di depan mesin server, sehingga mesin server hanya bisa terhubung keluar melalui mesin firewall saja. 18
Attacker melakukan penetration testing untuk pemetaan akses setiap layer, termasuk menguasai mesin firewall agar bisa mengakses mesin server. Berikut perinciannya : 1.Pada layer 1 : Social engineering untuk memperoleh akses fisik ke sistem untuk kendali sistem. 2. Pada layer 2 : ARP (Address Resolution Protocol) cache poisoning man in the middle (http://www.infosecwriters.com/text_resources/pdf/Arp_RKoster.pdf, http://www.grc.com/nat/arp.htm), CAM (Content Adressable Memory) table flooding man in the middle (http://www.javvin.com/networksecurity/ NetworkSecurity.html), VLAN (Virtual Local Area Network) hoping attack double tagging (http://www.alliedtelesis.com/solutions/diagram- 22), VTP (VLAN Trunking Protocol) attack (http://www.scribd.com/doc/52741687/10/VLAN-Trunking-Protocol- VTP-attack), RSTP (Rapid Spanning Tree Protocol) attack (http://homepage.cem.itesm.mx/raulm/pub/mimicry/opodis06.pdf). 3. Pada Layer 3 : IP spoofing attack (http://www.cert.org/tadvisories/CA-1995-01.html), IP fragmentation attack/overlapping fragment attack (http://www.ouah.org/fragma.html), ICMP (Internet Control Message Protocol) smurfing pada DOS (Denial Of Service) (http://www.cert.org/advisories/CA-1998-01.html), BGP internet scale man in the middle (http://www.defcon.org/images/defcon-16/dc16- presentations/defcon-16-pilosov-kapela.pdf), BGP NLRI (Border Gateway Protocol Network Layer Reachability Information) injection route poisoning (http://people.scs.carleton.ca/~kranakis/Papers/TR-05- 07.pdf), LDP (Label Distribution Protocol) injection pada overwrite MPLS (Multi Protocol Label Switching) label (http://eprints.utm.my/6115/1/MohdNazriMohdWaripMFKE2007TTT.pdf ), GRE (Generic Routing Encapsulation) traffic tunneling man in the middle (http://www.blackhat.com/presentations/bh-europe-03/bh-europe- 19
03-valleri.pdf), Loki L3 attack framework dan IPSEC vulnerability attack (http://ernw.de/content/e6/e180/e1561/Blackhat2010_ERNW_Loki_ger.p df). 4. Pada layer 4 : SYN (Synchronize) flooding dan IP spoofing pada DoS/DDoS (Denial/Distributed Denial of Service) (http://www.clshack.it/en/python- scapy-dos-attack-syn-flood-ip-spoofing.html), ACK (Acknowledge) flooding dan IP spoofing pada DRDoS (Distributed Reflected Denial Of Service) (http://www.understandingcomputers.ca/articles/grc/drdos_copy.html), UDP (User Datagram Protocol) flooding dan IP spoofing pada DoS/DDoS (http://web2.uwindsor.ca/courses/cs/aggarwal/cs60564/Assignments2Proj ect1/2_XiaomingSejdiniChowdhury_Denial%20of%20Service_UDP %20Flooding%20_Assignment2.doc ), SYN/ACK scanning service dan firewall mapping (http://nmap.org/book/man-port-scanning- techniques.html), TCP (Transmission Control Protocol) session hijacking dengan spoofed RST/FIN packet (http://www.infosecwriters.com/text_resources/pdf/SKapoor_SessionHija cking.pdf), SCTP (Stream Control Transmission Protocol) scanning untuk mengenumerasi SS7/SIGTRAN (Signaling System 7/Signaling Transport) entry point (http://www.roe.ch/Nmap_SCTP). 5. Pada layer 5 : L2TP (Layer 2 Tunneling Protocol) attack (http://www.mplsvpn.info/2008/10/l2tp-vulnerability.html), DoS (Denial Of Service) attack (http://citeseerx.ist.psu.edu/viewdoc/download? doi=10.1.1.101.5179&rep=rep1&type=pdf), replay attack (http://all.net/CID/Attack/papers/Replay.html), NetBIOS user enumeration (http://alpha.nyit.edu/som/faculty/khoo/Summer2_2009/MIST757/Hackin g/Password%20Shitz/Netbios%20and%20brute%20force.pdf). 6. Pada layer 6 : 20
SSL (Secure Sockets Layer) man in the middle attack (http://www.sans.org/reading_room/whitepapers/threats/ssl-man-in-the- middle-attacks_480). 7.Pada layer 7 : Kaminsky attack pada DNS (Domain Name System) Poisoning (http://www.unixwiz.net/techtips/iguide-kaminsky-dns-vuln.html), HTTP (Hyper Text Transfer Protocol) slowris DoS attack (http://ha.ckers.org/slowloris/), DNS amplification attack (http://www.isotf.org/news/DNS-Amplification-Attacks.pdf), SNMPv3 (Simple Network Management Protocol Version 3) HMAC (Hash-based Message Authentication Code) authentication bypass (http://www.iss.net/ security_center/reference/vuln/SNMP_V3_HMAC_Security_Bypass.htm) , menebak username dan password SSH menggunakan ncrack (http://nmap.org/ncrack/), SNMP guessing/brute force attack (http://www.iphelp.ru/faq/35/0037.html). V.2 Anti Komputer Forensik di Komputer Target Setelah memperoleh kembali akses root di mesin firewall dan mesin server, attacker segera melakukan anti forensik pada file syslog guna menghapus jejak sekaligus menyulitkan kerja ahli forensik. Pertama, dilakukan remote SSH ke mesin firewall : root@my­machine:/home/putu­shinoda# ssh lsslantai3­ machine2@167.205.67.107 lsslantai3­machine2@167.205.67.107's password:  Linux lsslantai3­machine2 2.6.31­14­generic #48­Ubuntu SMP Fri  Oct 16 14:04:26 UTC 2009 i686 lsslantai3­machine2@lsslantai3­machine2:~$  Dari mesin firewall, dilanjutkan SSH ke mesin target (server) : lsslantai3­machine2@lsslantai3­machine2:~$ ssh lsslantai3­ machine1@167.205.67.78 The authenticity of host '167.205.67.78 (167.205.67.78)' can't be  established. RSA key fingerprint is  f8:f7:64:b8:9c:b8:bb:cb:38:c2:90:36:ae:a7:86:72. 21
Are you sure you want to continue connecting (yes/no)? yes Warning:   Permanently   added   '167.205.67.78'   (RSA)   to   the   list   of  known hosts. lsslantai3­machine1@167.205.67.78's password:  Linux   lsslantai3­machine1   2.6.31­14­generic   #48­Ubuntu   SMP   Fri  Oct 16 14:04:26 UTC 2009 i686 lsslantai3­machine1@lsslantai3­machine1:~$  Kemudian mengecek file syslog yang menjadi target untuk anti forensik. lsslantai3­machine1@lsslantai3­machine1:~$ tail ­f  /var/log/syslog Apr 27 12:42:40 lsslantai3­machine1 kernel: [13.210155] CPU1  attaching NULL sched­domain. Apr 27 12:42:40 lsslantai3­machine1 kernel: [13.224075] CPU0  attaching sched­domain: Apr 27 12:42:40 lsslantai3­machine1 kernel: [13.224080] domain 0:  span 0­1 level MC Apr 27 12:42:40 lsslantai3­machine1 kernel: [13.224084] groups:01 Apr 27 12:42:40 lsslantai3­machine1 kernel: [13.224090] CPU1  attaching sched­domain: Apr 27 12:42:40 lsslantai3­machine1 kernel: [13.224093] domain 0:  span 0­1 level MC Apr 27 12:42:40 lsslantai3­machine1 kernel: [13.224095] groups:10 Apr 27 12:42:43 lsslantai3­machine1 kernel: [15.688006] eth0: no  IPv6 routers present lsslantai3­machine1@lsslantai3­machine1:~$ Attacker mencari tahu nilai inode file syslog : lsslantai3­machine1@lsslantai3­machine1:~$ stat /var/log/syslog   File: `/var/log/syslog'   Size: 252306  Blocks: 496  IO Block: 4096  regular file Device: 805h/2053d Inode: 125   Links: 1 Access: (0640/­rw­r­­­­­)  Uid: (101/syslog) Gid: (4/ adm) Access: 2011­04­27 13:12:24.127224088 +0700 Modify: 2011­04­27 13:17:01.226597858 +0700 Change: 2011­04­27 13:17:01.226597858 +0700 lsslantai3­machine1@lsslantai3­machine1:~$  diperoleh nilai inode file syslog 125. Attacker lalu menjadi root di mesin server dan melakukan anti forensik menggunakan shred ke file syslog : lsslantai3­machine1@lsslantai3­machine1:~$ sudo su 22
[sudo] password for lsslantai3­machine1:  root@lsslantai3­machine1:/home/lsslantai3­machine1# shred  ­­random­source=/dev/urandom ­u /var/log/syslog root@lsslantai3­machine1:/home/lsslantai3­machine1# Attacker kemudian mengecek apakah file syslog benar – benar terhapus sehingga tidak bisa dikembalikan saat forensik : root@lsslantai3­machine1:/home/lsslantai3­machine1# ls ­la  /var/log/syslog ls: cannot access /var/log/syslog: No such file or directory root@lsslantai3­machine1:/home/lsslantai3­machine1# stat syslog stat: cannot stat `syslog': No such file or directory root@lsslantai3­machine1:/home/lsslantai3­machine1#  Tampak bahwa file syslog sudah terhapus dengan aman. V.3 Komputer Forensik di Komputer Target Oleh Attacker Setelah anti forensik dilakukan, attacker mencoba mengembalikan (recovery) file syslog menggunakan lsof, tool recovery di GNU/Linux. Hal ini dilakukan untuk menguji apakah anti forensik yang dilakukan telah berjalan dengan baik atau tidak. Berbekal info nilai inode file syslog di mesin server adalah 125, proses pemetaan path pun dilakukan oleh attacker sebagai berikut : root@lsslantai3­machine1:/home/lsslantai3­machine1# lsof | grep  125 rsyslogd  489  syslog  5w   REG  8,5 0  125 /var/log/0 (deleted) root@lsslantai3­machine1:/home/lsslantai3­machine1#  Diperoleh info nilai inode 125, PID (Process ID) 489, dan file descriptor 5 (dari 5w). Info ini diperlukan pada proses recovery file syslog. Kemudian attacker mencoba melakukan recovery dengan mengkopi kembali syslog dari lokasi pseudo-filesystem. root@lsslantai3­machine1:/home/lsslantai3­machine1# cp /proc/489/ fd/5 syslog Lalu dicek apakah file syslog bisa terbaca setelah proses recovery tersebut : root@lsslantai3­machine1:/home/lsslantai3­machine1# tail ­f /var/ log/syslog tail: cannot open `/var/log/syslog' for reading: No such file or  directory tail: no files remaining 23
root@lsslantai3­machine1:/home/lsslantai3­machine1# tail ­f  syslog root@lsslantai3­machine1:/home/lsslantai3­machine1# file syslog syslog: empty Terlihat bahwa file tidak dapat dibaca. Dilanjutkan dengan mengecek proses penghapusan dgn menggunakan pemetaan path : root@lsslantai3­machine1:/var/log# ls ­l /proc/489/fd/5 l­wx­­­­­­ 1 root root 64 2011­04­27 13:23 /proc/489/fd/5 ­>  /var/log/0 (deleted) Diperoleh info penghapusan file syslog tanggal 27 april 2011 pkl 13.23. Dilanjutkan dengan pengecekan status file syslog dari /proc. root@lsslantai3­machine1:/var/log# file /proc/489/fd/5 /proc/489/fd/5: broken symbolic link to `/var/log/0 (deleted)' Lalu dicek isi di dalam file syslog. root@lsslantai3­machine1:/var/log# tail ­f /var/log/syslog root@lsslantai3­machine1:/var/log# file /var/log/syslog syslog: empty File syslog hasil recovery isinya kosong. Proses anti forensik berjalan sukses. Attacker kemudian keluar dari mesin remote (mesin server dan mesin firewall). Sampai di sini attacker berhasil melakukan proses anti forensik dengan baik. V.4 Komputer Forensik di Komputer Target Oleh Ahli Forensik Syadmin yang menyadari mesinnya dikuasai kembali akhirnya memanggil ahli forensik. Ahli forensik mencoba melakukan proses forensik seperti yang dilakukan oleh attacker di atas, namun tidak berhasil, karena file syslog yang ada isinya kosong sehingga tidak dapat dibaca. Berikut potongan hasil yang ditampilkan. root@lsslantai3­machine1:/var/log# tail ­f /var/log/syslog root@lsslantai3­machine1:/var/log# file /var/log/syslog syslog: empty V.5 Hasil Pengujian Dari pemaparan pengujian anti forensik di atas dengan menggunakan shred oleh attacker, dapat dilihat bahwa proses anti forensik berjalan dengan baik. 24
File syslog terhapus dengan baik dan aman. Meski attacker menguji cobakan dengan mengembalikan (recovery) file syslog, namun isi di dalamnya kosong atau tidak bisa dibaca. Hal ini tentu saja akan menyulitkan ahli forensik dalam melakukan proses komputer forensik. Terbukti bahwa dengan menggunakan shred, bukti forensik dapat dihapus dengan aman dan sulit untuk dikembalikan. Bahkan jika bisa dikembalikan dengan langkah di atas, isi di dalamnya kosong atau tidak dapat dibaca. Ini menjadi parameter kesuksesan proses anti forensik. Terbukti bahwa shred merupakan salah satu tool anti forensik yang ampuh dan praktis untuk digunakan karena sudah ada di setiap mesin GNU/Linux secara default. 25
Bab VI Kesimpulan dan Saran VI.1 Kesimpulan Dari hasil pengujian penulis berdasarkan skenario yang telah disusun, dapat disimpulkan bahwa ternyata : 1. Shred mampu melakukan proses anti forensik dengan baik. Parameter keberhasilan ini dilihat dari kemampuan shred dalam menghapus file dengan cara penulisan berulang isi di dalamnya. Saat file dikembalikan (recovery), isi di dalamnya tidak dapat dibaca dengan baik. 2. Anti forensik dengan menggunakan shred menyulitkan proses komputer forensik yang dilakukan oleh ahli forensik. 3. Shred menjadi tool anti forensik yang baik dilihat dari kemudahan penggunaannya, praktis (ada secara default di setiap mesin GNU/Linux), dan hasil yang baik (lihat point 1). VI.2 Saran Beberapa saran yang penulis berikan terkait anti forensik dengan menggunakan shred antara lain : 1. Uninstall aplikasi shred yang disertakan secara default dalam GNU/Linux dan UNIX lainnya. Untuk distro GNU/Linux Ubuntu cukup menggunakan perintah sudo apt-get remove shred. Sesuaikan command dengan basis distro Linux yang anda gunakan. Jika memerlukan shred atau secure deleted tools lainnya, install saat akan digunakan dan unistall kembali setelah itu. 2. Biarkan shred tetap terinstall dan gunakanlah networked filesystem (NFS, AFS, SMB, FTP, WebDAV). Sehingga saat attacker berhasil menguasai mesin dan remote melalui SSH, swap dan memori sistem tidak dapat dihapus dengan tool anti forensik apapun, termasuk shred. 3. Lakukan konfigurasi RAID (Redundance Array of Independent Disks/Redundance Array of Inexpensive Disks) pada mesin. RAID
stripping akan menyulitkan anti forensik menggunakan tool apapun, karena ada banyak redundant data yang perlu dilacak (trace). 4. Lakukan penanganan forensik secepat mungkin baik oleh diri sendiri maupun mendatangkan ahli komputer forensik saat terjadi suatu serangan cyber crime. 5. Tingkatkan penanganan keamanan pada setiap layer OSI serta tingkatkan kepedulian user untuk mematuhi peraturan yang berlaku agar sistem bisa berjalan dengan baik. Keamanan tidak akan berjalan sukses 100% jika dari sisi user tidak peduli dengan keamanan tersebut, meskipun pada sisi sistem (hardware dan software) sudah aman 100%.
Daftar Pustaka [1] Nguyen, Binh (2004) : Linux Filesystem Hierarchy. http://tldp.org/LDP/Linux-Filesystem-Hierarchy/Linux-Filesystem-Hierarchy.pdf Diakses 2 Maret 2011 12:15:20 WIB [2] Mathur, A., Cao, M., Bhattacarrya, S., Dilger, A., Tomas, A., dan Vivier, Lauren. (2007) : The New Ext4 Filesystem : Current Status and Future Plan. http://www.linuxsymposium.org/archives/OLS/Reprints-2007/mathur-Reprint.pdf Diakses 2 Maret 2011 12:16:22 WIB [3] Mrshl, Jck. “Anti-forensic, Seek and Destroy”. Echo Community. 2009. http://ezine.echo.or.id/ezine20/e20_0x0c.txt Diakses 3 Maret 2011 21:28:23 WIB [4] Pseudoanonymous. “Network Hack Philosopy”. Kecoak Elektronik. 2009. http://www.kecoak.org/ezine/toket7/0x04-network_hack_philosopy.txt Diakses 3 Maret 2011 21:30:00 WIB [4]Garfinkel, Simson L. “Anti-Forensics: Techniques, Detection and Countermeasures”. Naval Postgraduate School. 2007. http://simson.net/ref/2007/slides-ICIW.pdf Diakses 3 Maret 2011 22:56:00 WIB [5] Peron, Christian S.J. ; Legary, Michael. “Digital Anti-Forensics : Emerging Trends in Data Transformation Techniques”. Seccuris Labs. http://www.seccuris.com/documents/whitepapers/Seccuris-Antiforensics.pdf Diakses 8 Maret 2011 16:30:45 WIB [6] Techthrob. “How To Delete Files Permanently And Sevurely In Linux”. http://techthrob.com/2009/03/02/howto-delete-files-permanently-and-securely-in- linux/ Diakses 24 Maret 2011 17:45:45 [7]Tech Republic. “Securely Delete Files With Shred”. http://www.techrepublic.com/blog/opensource/securely-delete-files-with- shred/188 Diakses 24 Maret 2011 17:56:00 [8]US CERT. “Computer Forensics”. www.us-cert.gov/reading_room/forensics.pdf Diakses 5 April 2011 21:58:46
Tugas paper keamanan sistem lanjut 23510310
Tugas paper keamanan sistem lanjut 23510310

Empfohlen

Badania Agencji SpołEm
Badania Agencji SpołEmBadania Agencji SpołEm
Badania Agencji SpołEmMindshare
 
Einführung in den "Lean Stack" beim Donnerstalk im heimathafen Wiesbaden
Einführung in den "Lean Stack" beim Donnerstalk im heimathafen WiesbadenEinführung in den "Lean Stack" beim Donnerstalk im heimathafen Wiesbaden
Einführung in den "Lean Stack" beim Donnerstalk im heimathafen WiesbadenPaul Herwarth von Bittenfeld
 
Barack Obama DE 20090728
Barack Obama DE 20090728Barack Obama DE 20090728
Barack Obama DE 20090728Alexander Muehr
 
Nuevos actores políticos para una nueva política
Nuevos actores políticos para una nueva políticaNuevos actores políticos para una nueva política
Nuevos actores políticos para una nueva políticaAntoni
 
G dudgeon pitch package
G dudgeon pitch package G dudgeon pitch package
G dudgeon pitch package gabrielleleigh6
 
"Issues with Content Migration" by Deane Barker at Content Workshops 2012
"Issues with Content Migration" by Deane Barker at Content Workshops 2012"Issues with Content Migration" by Deane Barker at Content Workshops 2012
"Issues with Content Migration" by Deane Barker at Content Workshops 2012Blend Interactive
 
Mba formulacion y analisis estrategico del instituto de seguro social en la ...
Mba formulacion y analisis estrategico del instituto de seguro social en la ...Mba formulacion y analisis estrategico del instituto de seguro social en la ...
Mba formulacion y analisis estrategico del instituto de seguro social en la ...M&s Consultorías Legal Entreprise Austral Group. Inocencio Meléndez Julio.
 
Shae Givens - Sample Presentation 1
Shae Givens - Sample Presentation 1Shae Givens - Sample Presentation 1
Shae Givens - Sample Presentation 1Shae Givens
 

Empfohlen

Badania Agencji SpołEm
Badania Agencji SpołEmBadania Agencji SpołEm
Badania Agencji SpołEmMindshare
 
Einführung in den "Lean Stack" beim Donnerstalk im heimathafen Wiesbaden
Einführung in den "Lean Stack" beim Donnerstalk im heimathafen WiesbadenEinführung in den "Lean Stack" beim Donnerstalk im heimathafen Wiesbaden
Einführung in den "Lean Stack" beim Donnerstalk im heimathafen WiesbadenPaul Herwarth von Bittenfeld
 
Barack Obama DE 20090728
Barack Obama DE 20090728Barack Obama DE 20090728
Barack Obama DE 20090728Alexander Muehr
 
Nuevos actores políticos para una nueva política
Nuevos actores políticos para una nueva políticaNuevos actores políticos para una nueva política
Nuevos actores políticos para una nueva políticaAntoni
 
G dudgeon pitch package
G dudgeon pitch package G dudgeon pitch package
G dudgeon pitch package gabrielleleigh6
 
"Issues with Content Migration" by Deane Barker at Content Workshops 2012
"Issues with Content Migration" by Deane Barker at Content Workshops 2012"Issues with Content Migration" by Deane Barker at Content Workshops 2012
"Issues with Content Migration" by Deane Barker at Content Workshops 2012Blend Interactive
 
Mba formulacion y analisis estrategico del instituto de seguro social en la ...
Mba formulacion y analisis estrategico del instituto de seguro social en la ...Mba formulacion y analisis estrategico del instituto de seguro social en la ...
Mba formulacion y analisis estrategico del instituto de seguro social en la ...M&s Consultorías Legal Entreprise Austral Group. Inocencio Meléndez Julio.
 
Shae Givens - Sample Presentation 1
Shae Givens - Sample Presentation 1Shae Givens - Sample Presentation 1
Shae Givens - Sample Presentation 1Shae Givens
 
Spring 2014 JOBFAIR AND CAREER FAIR by Napp Canada
Spring 2014 JOBFAIR AND CAREER FAIR by Napp CanadaSpring 2014 JOBFAIR AND CAREER FAIR by Napp Canada
Spring 2014 JOBFAIR AND CAREER FAIR by Napp CanadaRita Barran Persaud
 
Azerbaycan ing referasn albümü rev02
Azerbaycan ing referasn albümü rev02Azerbaycan ing referasn albümü rev02
Azerbaycan ing referasn albümü rev02guestb585ef
 
Pharmaceutical Compliance 2015
Pharmaceutical Compliance 2015 Pharmaceutical Compliance 2015
Pharmaceutical Compliance 2015 Rita Barry
 
¿Cómo elegir tu impresora en 3D?
¿Cómo elegir tu impresora en 3D?¿Cómo elegir tu impresora en 3D?
¿Cómo elegir tu impresora en 3D?Intelligy
 
EMPLEO PARA LICENCIATURAS DIVERSAS junio-2014-062014
EMPLEO PARA LICENCIATURAS DIVERSAS junio-2014-062014EMPLEO PARA LICENCIATURAS DIVERSAS junio-2014-062014
EMPLEO PARA LICENCIATURAS DIVERSAS junio-2014-062014Luciano Renteria
 
Inventario General de la Zona Histórica de Añasco
Inventario General de la Zona Histórica de AñascoInventario General de la Zona Histórica de Añasco
Inventario General de la Zona Histórica de AñascoWilson Torres
 
La experiencia de la Fundación Pies Descalzos Educa Digital
La experiencia de la Fundación Pies Descalzos Educa DigitalLa experiencia de la Fundación Pies Descalzos Educa Digital
La experiencia de la Fundación Pies Descalzos Educa DigitalComputadoresparaEducar10
 
Infimo y supremo
Infimo y supremoInfimo y supremo
Infimo y supremoluyarisa
 
KSCOPE 2015 - Improving Reliability, Rollouts, Upgrades/Migrations
KSCOPE 2015 - Improving Reliability, Rollouts, Upgrades/MigrationsKSCOPE 2015 - Improving Reliability, Rollouts, Upgrades/Migrations
KSCOPE 2015 - Improving Reliability, Rollouts, Upgrades/MigrationsCharles Beyer
 
Claims2 09 09-14
Claims2 09 09-14Claims2 09 09-14
Claims2 09 09-14N.J. Diamonds
 
DíA Del Camino Y De La EducacióN Vial
DíA Del Camino Y De La EducacióN VialDíA Del Camino Y De La EducacióN Vial
DíA Del Camino Y De La EducacióN Vialjoaquinotsubo
 
Técnicas dirigidas a medios
Técnicas dirigidas a mediosTécnicas dirigidas a medios
Técnicas dirigidas a mediosKarla Suarez
 
Alerta digemid set 2011 - 1
Alerta digemid set 2011 - 1Alerta digemid set 2011 - 1
Alerta digemid set 2011 - 1Ronald López Bahamonde
 
Eform & Workflow Software
Eform & Workflow SoftwareEform & Workflow Software
Eform & Workflow Softwaresougatam
 
Wat is Dynamic Pricing en hoe maakt u hier slim gebruik van?
Wat is Dynamic Pricing en hoe maakt u hier slim gebruik van?Wat is Dynamic Pricing en hoe maakt u hier slim gebruik van?
Wat is Dynamic Pricing en hoe maakt u hier slim gebruik van?Intracto digital agency
 
Jesús hace lo imposible lección 4
Jesús hace lo imposible lección 4Jesús hace lo imposible lección 4
Jesús hace lo imposible lección 4Hector Albuerno
 
Ebook Jaringan Komunikasi Komputer ( Networking )
Ebook Jaringan Komunikasi Komputer ( Networking )Ebook Jaringan Komunikasi Komputer ( Networking )
Ebook Jaringan Komunikasi Komputer ( Networking )Business Opportunity
 
Forum 10
Forum 10Forum 10
Forum 10JokoSupriyono7
 
laporan INSTALASI OS LINUX
laporan INSTALASI OS LINUXlaporan INSTALASI OS LINUX
laporan INSTALASI OS LINUXMela Roviani
 
Tugas keamanan komputer 3
Tugas keamanan komputer 3Tugas keamanan komputer 3
Tugas keamanan komputer 3Alvin Alvin
 
Tugas makalah XII TKJ A
Tugas makalah XII TKJ ATugas makalah XII TKJ A
Tugas makalah XII TKJ AFauzan'Nz Laviieanz
 
Kippo
KippoKippo
Kipposibobon
 

Weitere ähnliche Inhalte

Andere mochten auch

Spring 2014 JOBFAIR AND CAREER FAIR by Napp Canada
Spring 2014 JOBFAIR AND CAREER FAIR by Napp CanadaSpring 2014 JOBFAIR AND CAREER FAIR by Napp Canada
Spring 2014 JOBFAIR AND CAREER FAIR by Napp CanadaRita Barran Persaud
 
Azerbaycan ing referasn albümü rev02
Azerbaycan ing referasn albümü rev02Azerbaycan ing referasn albümü rev02
Azerbaycan ing referasn albümü rev02guestb585ef
 
Pharmaceutical Compliance 2015
Pharmaceutical Compliance 2015 Pharmaceutical Compliance 2015
Pharmaceutical Compliance 2015 Rita Barry
 
¿Cómo elegir tu impresora en 3D?
¿Cómo elegir tu impresora en 3D?¿Cómo elegir tu impresora en 3D?
¿Cómo elegir tu impresora en 3D?Intelligy
 
EMPLEO PARA LICENCIATURAS DIVERSAS junio-2014-062014
EMPLEO PARA LICENCIATURAS DIVERSAS junio-2014-062014EMPLEO PARA LICENCIATURAS DIVERSAS junio-2014-062014
EMPLEO PARA LICENCIATURAS DIVERSAS junio-2014-062014Luciano Renteria
 
Inventario General de la Zona Histórica de Añasco
Inventario General de la Zona Histórica de AñascoInventario General de la Zona Histórica de Añasco
Inventario General de la Zona Histórica de AñascoWilson Torres
 
La experiencia de la Fundación Pies Descalzos Educa Digital
La experiencia de la Fundación Pies Descalzos Educa DigitalLa experiencia de la Fundación Pies Descalzos Educa Digital
La experiencia de la Fundación Pies Descalzos Educa DigitalComputadoresparaEducar10
 
Infimo y supremo
Infimo y supremoInfimo y supremo
Infimo y supremoluyarisa
 
KSCOPE 2015 - Improving Reliability, Rollouts, Upgrades/Migrations
KSCOPE 2015 - Improving Reliability, Rollouts, Upgrades/MigrationsKSCOPE 2015 - Improving Reliability, Rollouts, Upgrades/Migrations
KSCOPE 2015 - Improving Reliability, Rollouts, Upgrades/MigrationsCharles Beyer
 
DíA Del Camino Y De La EducacióN Vial
DíA Del Camino Y De La EducacióN VialDíA Del Camino Y De La EducacióN Vial
DíA Del Camino Y De La EducacióN Vialjoaquinotsubo
 
Técnicas dirigidas a medios
Técnicas dirigidas a mediosTécnicas dirigidas a medios
Técnicas dirigidas a mediosKarla Suarez
 
Eform & Workflow Software
Eform & Workflow SoftwareEform & Workflow Software
Eform & Workflow Softwaresougatam
 
Wat is Dynamic Pricing en hoe maakt u hier slim gebruik van?
Wat is Dynamic Pricing en hoe maakt u hier slim gebruik van?Wat is Dynamic Pricing en hoe maakt u hier slim gebruik van?
Wat is Dynamic Pricing en hoe maakt u hier slim gebruik van?Intracto digital agency
 
Jesús hace lo imposible lección 4
Jesús hace lo imposible lección 4Jesús hace lo imposible lección 4
Jesús hace lo imposible lección 4Hector Albuerno
 

Andere mochten auch (16)

Spring 2014 JOBFAIR AND CAREER FAIR by Napp Canada
Spring 2014 JOBFAIR AND CAREER FAIR by Napp CanadaSpring 2014 JOBFAIR AND CAREER FAIR by Napp Canada
Spring 2014 JOBFAIR AND CAREER FAIR by Napp Canada
 
Azerbaycan ing referasn albümü rev02
Azerbaycan ing referasn albümü rev02Azerbaycan ing referasn albümü rev02
Azerbaycan ing referasn albümü rev02
 
Pharmaceutical Compliance 2015
Pharmaceutical Compliance 2015 Pharmaceutical Compliance 2015
Pharmaceutical Compliance 2015
 
¿Cómo elegir tu impresora en 3D?
¿Cómo elegir tu impresora en 3D?¿Cómo elegir tu impresora en 3D?
¿Cómo elegir tu impresora en 3D?
 
EMPLEO PARA LICENCIATURAS DIVERSAS junio-2014-062014
EMPLEO PARA LICENCIATURAS DIVERSAS junio-2014-062014EMPLEO PARA LICENCIATURAS DIVERSAS junio-2014-062014
EMPLEO PARA LICENCIATURAS DIVERSAS junio-2014-062014
 
Inventario General de la Zona Histórica de Añasco
Inventario General de la Zona Histórica de AñascoInventario General de la Zona Histórica de Añasco
Inventario General de la Zona Histórica de Añasco
 
La experiencia de la Fundación Pies Descalzos Educa Digital
La experiencia de la Fundación Pies Descalzos Educa DigitalLa experiencia de la Fundación Pies Descalzos Educa Digital
La experiencia de la Fundación Pies Descalzos Educa Digital
 
Infimo y supremo
Infimo y supremoInfimo y supremo
Infimo y supremo
 
KSCOPE 2015 - Improving Reliability, Rollouts, Upgrades/Migrations
KSCOPE 2015 - Improving Reliability, Rollouts, Upgrades/MigrationsKSCOPE 2015 - Improving Reliability, Rollouts, Upgrades/Migrations
KSCOPE 2015 - Improving Reliability, Rollouts, Upgrades/Migrations
 
Claims2 09 09-14
Claims2 09 09-14Claims2 09 09-14
Claims2 09 09-14
 
DíA Del Camino Y De La EducacióN Vial
DíA Del Camino Y De La EducacióN VialDíA Del Camino Y De La EducacióN Vial
DíA Del Camino Y De La EducacióN Vial
 
Técnicas dirigidas a medios
Técnicas dirigidas a mediosTécnicas dirigidas a medios
Técnicas dirigidas a medios
 
Alerta digemid set 2011 - 1
Alerta digemid set 2011 - 1Alerta digemid set 2011 - 1
Alerta digemid set 2011 - 1
 
Eform & Workflow Software
Eform & Workflow SoftwareEform & Workflow Software
Eform & Workflow Software
 
Wat is Dynamic Pricing en hoe maakt u hier slim gebruik van?
Wat is Dynamic Pricing en hoe maakt u hier slim gebruik van?Wat is Dynamic Pricing en hoe maakt u hier slim gebruik van?
Wat is Dynamic Pricing en hoe maakt u hier slim gebruik van?
 
Jesús hace lo imposible lección 4
Jesús hace lo imposible lección 4Jesús hace lo imposible lección 4
Jesús hace lo imposible lección 4
 

Ähnlich wie Tugas paper keamanan sistem lanjut 23510310

Ebook Jaringan Komunikasi Komputer ( Networking )
Ebook Jaringan Komunikasi Komputer ( Networking )Ebook Jaringan Komunikasi Komputer ( Networking )
Ebook Jaringan Komunikasi Komputer ( Networking )Business Opportunity
 
laporan INSTALASI OS LINUX
laporan INSTALASI OS LINUXlaporan INSTALASI OS LINUX
laporan INSTALASI OS LINUXMela Roviani
 
Tugas keamanan komputer 3
Tugas keamanan komputer 3Tugas keamanan komputer 3
Tugas keamanan komputer 3Alvin Alvin
 
Pengenalan linux
Pengenalan linuxPengenalan linux
Pengenalan linuxBais Wong
 
Instalasi python 3 dan ide atau anaconda distribution pada windows 10
Instalasi python 3 dan ide atau anaconda distribution pada windows 10Instalasi python 3 dan ide atau anaconda distribution pada windows 10
Instalasi python 3 dan ide atau anaconda distribution pada windows 10Raka Prasetyo
 
Update - Superkomputer dengan Native GNU/ Linux - Final
Update - Superkomputer dengan Native GNU/ Linux - FinalUpdate - Superkomputer dengan Native GNU/ Linux - Final
Update - Superkomputer dengan Native GNU/ Linux - FinalHary HarysMatta
 
V3420051 muhammad raihan khalifa tib-makalah sejarah monitor
V3420051 muhammad raihan khalifa tib-makalah sejarah monitorV3420051 muhammad raihan khalifa tib-makalah sejarah monitor
V3420051 muhammad raihan khalifa tib-makalah sejarah monitorMuhammadRaihanKhalif
 
10, SIM, Dewi Zulfah, Hapzi Ali, Sistem Informasi Manajemen, Mercu Buana Univ...
10, SIM, Dewi Zulfah, Hapzi Ali, Sistem Informasi Manajemen, Mercu Buana Univ...10, SIM, Dewi Zulfah, Hapzi Ali, Sistem Informasi Manajemen, Mercu Buana Univ...
10, SIM, Dewi Zulfah, Hapzi Ali, Sistem Informasi Manajemen, Mercu Buana Univ...dewizulfah
 
Tugas sim, decha vinesha, yananto mihadi, sumber daya komputasi dan komunikas...
Tugas sim, decha vinesha, yananto mihadi, sumber daya komputasi dan komunikas...Tugas sim, decha vinesha, yananto mihadi, sumber daya komputasi dan komunikas...
Tugas sim, decha vinesha, yananto mihadi, sumber daya komputasi dan komunikas...dechavns
 
Githa mahulete 43219110166 SUMBER DAYA KOMPUTASI DAN KOMUNIKASI
Githa mahulete 43219110166 SUMBER DAYA KOMPUTASI DAN KOMUNIKASIGitha mahulete 43219110166 SUMBER DAYA KOMPUTASI DAN KOMUNIKASI
Githa mahulete 43219110166 SUMBER DAYA KOMPUTASI DAN KOMUNIKASIGithaMahulete
 
Makalah tentang keamanan komputer
Makalah tentang keamanan komputerMakalah tentang keamanan komputer
Makalah tentang keamanan komputer082393805433
 

Ähnlich wie Tugas paper keamanan sistem lanjut 23510310 (20)

Ebook Jaringan Komunikasi Komputer ( Networking )
Ebook Jaringan Komunikasi Komputer ( Networking )Ebook Jaringan Komunikasi Komputer ( Networking )
Ebook Jaringan Komunikasi Komputer ( Networking )
 
Forum 10
Forum 10Forum 10
Forum 10
 
laporan INSTALASI OS LINUX
laporan INSTALASI OS LINUXlaporan INSTALASI OS LINUX
laporan INSTALASI OS LINUX
 
Tugas keamanan komputer 3
Tugas keamanan komputer 3Tugas keamanan komputer 3
Tugas keamanan komputer 3
 
Tugas makalah XII TKJ A
Tugas makalah XII TKJ ATugas makalah XII TKJ A
Tugas makalah XII TKJ A
 
Kippo
KippoKippo
Kippo
 
Pengenalan linux
Pengenalan linuxPengenalan linux
Pengenalan linux
 
Instalasi python 3 dan ide atau anaconda distribution pada windows 10
Instalasi python 3 dan ide atau anaconda distribution pada windows 10Instalasi python 3 dan ide atau anaconda distribution pada windows 10
Instalasi python 3 dan ide atau anaconda distribution pada windows 10
 
Update - Superkomputer dengan Native GNU/ Linux - Final
Update - Superkomputer dengan Native GNU/ Linux - FinalUpdate - Superkomputer dengan Native GNU/ Linux - Final
Update - Superkomputer dengan Native GNU/ Linux - Final
 
Cepat mahir linux
Cepat mahir linuxCepat mahir linux
Cepat mahir linux
 
V3420051 muhammad raihan khalifa tib-makalah sejarah monitor
V3420051 muhammad raihan khalifa tib-makalah sejarah monitorV3420051 muhammad raihan khalifa tib-makalah sejarah monitor
V3420051 muhammad raihan khalifa tib-makalah sejarah monitor
 
Onno hacker
Onno hackerOnno hacker
Onno hacker
 
Pengantar os-linux
Pengantar os-linuxPengantar os-linux
Pengantar os-linux
 
Pengabdian 2
Pengabdian 2Pengabdian 2
Pengabdian 2
 
10, SIM, Dewi Zulfah, Hapzi Ali, Sistem Informasi Manajemen, Mercu Buana Univ...
10, SIM, Dewi Zulfah, Hapzi Ali, Sistem Informasi Manajemen, Mercu Buana Univ...10, SIM, Dewi Zulfah, Hapzi Ali, Sistem Informasi Manajemen, Mercu Buana Univ...
10, SIM, Dewi Zulfah, Hapzi Ali, Sistem Informasi Manajemen, Mercu Buana Univ...
 
Tugas sim, decha vinesha, yananto mihadi, sumber daya komputasi dan komunikas...
Tugas sim, decha vinesha, yananto mihadi, sumber daya komputasi dan komunikas...Tugas sim, decha vinesha, yananto mihadi, sumber daya komputasi dan komunikas...
Tugas sim, decha vinesha, yananto mihadi, sumber daya komputasi dan komunikas...
 
Githa mahulete 43219110166 SUMBER DAYA KOMPUTASI DAN KOMUNIKASI
Githa mahulete 43219110166 SUMBER DAYA KOMPUTASI DAN KOMUNIKASIGitha mahulete 43219110166 SUMBER DAYA KOMPUTASI DAN KOMUNIKASI
Githa mahulete 43219110166 SUMBER DAYA KOMPUTASI DAN KOMUNIKASI
 
Makalah tentang keamanan komputer
Makalah tentang keamanan komputerMakalah tentang keamanan komputer
Makalah tentang keamanan komputer
 
affTA02 - BAB II
affTA02 - BAB IIaffTA02 - BAB II
affTA02 - BAB II
 
Forum 10
Forum 10Forum 10
Forum 10
 

Mehr von Putu Shinoda

ipae-cybersecurityindustri40-bapeten.pdf
ipae-cybersecurityindustri40-bapeten.pdfipae-cybersecurityindustri40-bapeten.pdf
ipae-cybersecurityindustri40-bapeten.pdfPutu Shinoda
 
Linux, Ubuntu, FOSS, dan Smart City
Linux, Ubuntu, FOSS, dan Smart CityLinux, Ubuntu, FOSS, dan Smart City
Linux, Ubuntu, FOSS, dan Smart CityPutu Shinoda
 
Seminar Intelligent Trasport System (ITS) Univ Telkom
Seminar Intelligent Trasport System (ITS) Univ TelkomSeminar Intelligent Trasport System (ITS) Univ Telkom
Seminar Intelligent Trasport System (ITS) Univ TelkomPutu Shinoda
 
Seminar Linux Ubuntu, Pemanfaatannya, dan Smart City
Seminar Linux Ubuntu, Pemanfaatannya, dan Smart CitySeminar Linux Ubuntu, Pemanfaatannya, dan Smart City
Seminar Linux Ubuntu, Pemanfaatannya, dan Smart CityPutu Shinoda
 
Materi Kuliah Kapita Selekta 3 : OTT
Materi Kuliah Kapita Selekta 3 : OTTMateri Kuliah Kapita Selekta 3 : OTT
Materi Kuliah Kapita Selekta 3 : OTTPutu Shinoda
 
Materi Kuliah Umum Kapita Selekta : Internet Of Things
Materi Kuliah Umum Kapita Selekta : Internet Of ThingsMateri Kuliah Umum Kapita Selekta : Internet Of Things
Materi Kuliah Umum Kapita Selekta : Internet Of ThingsPutu Shinoda
 
Kuliah Umum 1 Kapita Selekta Univ Telkom : Smart City.
Kuliah Umum 1 Kapita Selekta Univ Telkom : Smart City.Kuliah Umum 1 Kapita Selekta Univ Telkom : Smart City.
Kuliah Umum 1 Kapita Selekta Univ Telkom : Smart City.Putu Shinoda
 
Seminar Linux Dan Smart City Telkom University Mei 2014
Seminar Linux Dan Smart City Telkom University Mei 2014Seminar Linux Dan Smart City Telkom University Mei 2014
Seminar Linux Dan Smart City Telkom University Mei 2014Putu Shinoda
 
Seminar Linux dan Android Legian Cafe Dago Bandung 15 Maret 2014 (2)
Seminar Linux dan Android Legian Cafe Dago Bandung 15 Maret 2014 (2)Seminar Linux dan Android Legian Cafe Dago Bandung 15 Maret 2014 (2)
Seminar Linux dan Android Legian Cafe Dago Bandung 15 Maret 2014 (2)Putu Shinoda
 
Seminar Linux dan Android Legian Cafe Dago Bandung 15 Maret 2014 (1)
Seminar Linux dan Android Legian Cafe Dago Bandung 15 Maret 2014 (1)Seminar Linux dan Android Legian Cafe Dago Bandung 15 Maret 2014 (1)
Seminar Linux dan Android Legian Cafe Dago Bandung 15 Maret 2014 (1)Putu Shinoda
 
Putu smartcity 22 feb 2014
Putu smartcity 22 feb 2014Putu smartcity 22 feb 2014
Putu smartcity 22 feb 2014Putu Shinoda
 
NDN SIM (Named Data Networking Simulator)
NDN SIM (Named Data Networking Simulator)NDN SIM (Named Data Networking Simulator)
NDN SIM (Named Data Networking Simulator)Putu Shinoda
 
Pertemuan 1 sistem operasi S1 sistem komputer univ telkom 2014
Pertemuan 1 sistem operasi S1 sistem komputer univ telkom 2014Pertemuan 1 sistem operasi S1 sistem komputer univ telkom 2014
Pertemuan 1 sistem operasi S1 sistem komputer univ telkom 2014Putu Shinoda
 
Seminar security Smart City dan sampul buku
Seminar security Smart City dan sampul bukuSeminar security Smart City dan sampul buku
Seminar security Smart City dan sampul bukuPutu Shinoda
 
Seminar Open Year With Open Source Unikom Bandung 18 Januari 2014
Seminar Open Year With Open Source Unikom Bandung 18 Januari 2014Seminar Open Year With Open Source Unikom Bandung 18 Januari 2014
Seminar Open Year With Open Source Unikom Bandung 18 Januari 2014Putu Shinoda
 
Information and social network 1
Information and social network 1Information and social network 1
Information and social network 1Putu Shinoda
 
Presentasi putu-unikom-180114
Presentasi putu-unikom-180114Presentasi putu-unikom-180114
Presentasi putu-unikom-180114Putu Shinoda
 

Mehr von Putu Shinoda (20)

ipae-cybersecurityindustri40-bapeten.pdf
ipae-cybersecurityindustri40-bapeten.pdfipae-cybersecurityindustri40-bapeten.pdf
ipae-cybersecurityindustri40-bapeten.pdf
 
Linux, Ubuntu, FOSS, dan Smart City
Linux, Ubuntu, FOSS, dan Smart CityLinux, Ubuntu, FOSS, dan Smart City
Linux, Ubuntu, FOSS, dan Smart City
 
Seminar Intelligent Trasport System (ITS) Univ Telkom
Seminar Intelligent Trasport System (ITS) Univ TelkomSeminar Intelligent Trasport System (ITS) Univ Telkom
Seminar Intelligent Trasport System (ITS) Univ Telkom
 
Seminar Linux Ubuntu, Pemanfaatannya, dan Smart City
Seminar Linux Ubuntu, Pemanfaatannya, dan Smart CitySeminar Linux Ubuntu, Pemanfaatannya, dan Smart City
Seminar Linux Ubuntu, Pemanfaatannya, dan Smart City
 
Web Security
Web SecurityWeb Security
Web Security
 
Materi Kuliah Kapita Selekta 3 : OTT
Materi Kuliah Kapita Selekta 3 : OTTMateri Kuliah Kapita Selekta 3 : OTT
Materi Kuliah Kapita Selekta 3 : OTT
 
Materi Kuliah Umum Kapita Selekta : Internet Of Things
Materi Kuliah Umum Kapita Selekta : Internet Of ThingsMateri Kuliah Umum Kapita Selekta : Internet Of Things
Materi Kuliah Umum Kapita Selekta : Internet Of Things
 
Kuliah Umum 1 Kapita Selekta Univ Telkom : Smart City.
Kuliah Umum 1 Kapita Selekta Univ Telkom : Smart City.Kuliah Umum 1 Kapita Selekta Univ Telkom : Smart City.
Kuliah Umum 1 Kapita Selekta Univ Telkom : Smart City.
 
Seminar Linux Dan Smart City Telkom University Mei 2014
Seminar Linux Dan Smart City Telkom University Mei 2014Seminar Linux Dan Smart City Telkom University Mei 2014
Seminar Linux Dan Smart City Telkom University Mei 2014
 
Seminar Linux dan Android Legian Cafe Dago Bandung 15 Maret 2014 (2)
Seminar Linux dan Android Legian Cafe Dago Bandung 15 Maret 2014 (2)Seminar Linux dan Android Legian Cafe Dago Bandung 15 Maret 2014 (2)
Seminar Linux dan Android Legian Cafe Dago Bandung 15 Maret 2014 (2)
 
Seminar Linux dan Android Legian Cafe Dago Bandung 15 Maret 2014 (1)
Seminar Linux dan Android Legian Cafe Dago Bandung 15 Maret 2014 (1)Seminar Linux dan Android Legian Cafe Dago Bandung 15 Maret 2014 (1)
Seminar Linux dan Android Legian Cafe Dago Bandung 15 Maret 2014 (1)
 
Putu smartcity 22 feb 2014
Putu smartcity 22 feb 2014Putu smartcity 22 feb 2014
Putu smartcity 22 feb 2014
 
NDN SIM (Named Data Networking Simulator)
NDN SIM (Named Data Networking Simulator)NDN SIM (Named Data Networking Simulator)
NDN SIM (Named Data Networking Simulator)
 
Pertemuan 1 sistem operasi S1 sistem komputer univ telkom 2014
Pertemuan 1 sistem operasi S1 sistem komputer univ telkom 2014Pertemuan 1 sistem operasi S1 sistem komputer univ telkom 2014
Pertemuan 1 sistem operasi S1 sistem komputer univ telkom 2014
 
Seminar security Smart City dan sampul buku
Seminar security Smart City dan sampul bukuSeminar security Smart City dan sampul buku
Seminar security Smart City dan sampul buku
 
Seminar Open Year With Open Source Unikom Bandung 18 Januari 2014
Seminar Open Year With Open Source Unikom Bandung 18 Januari 2014Seminar Open Year With Open Source Unikom Bandung 18 Januari 2014
Seminar Open Year With Open Source Unikom Bandung 18 Januari 2014
 
Information and social network 1
Information and social network 1Information and social network 1
Information and social network 1
 
Presentasi putu-unikom-180114
Presentasi putu-unikom-180114Presentasi putu-unikom-180114
Presentasi putu-unikom-180114
 
Ist service-4
Ist service-4Ist service-4
Ist service-4
 
Ist service-2
Ist service-2Ist service-2
Ist service-2
 

Tugas paper keamanan sistem lanjut 23510310

  • 1. Paper Tugas Kuliah Keamanan Sistem Lanjut Anti Komputer Forensik di Mesin GNU/Linux Menggunakan Shred (Studi Kasus : Cyber Crime di Jaringan Komputer) Oleh : I Putu Agus Eka Pratama, S.T. 23510310 Dosen : Dr. Ir. Budi Rahardjo Magister Teknologi Informasi Sekolah Tinggi Elektro dan Informatika (STEI) Institut Teknologi Bandung 2011
  • 2. Daftar Isi Daftar Isi...................................................................................................................i Abstrak......................................................................................................................i Bab I Pendahuluan..................................................................................................ii I.1 Latar Belakang..............................................................................................iii I.2 Tujuan...........................................................................................................iii I.3 Sistematika Penulisan...................................................................................iv Bab II Dasar Teori..................................................................................................6 II.1 Struktur Filesystem di GNU/Linux..............................................................6 II.2 Komputer Forensik.......................................................................................9 II.3 Anti Komputer Forensik...............................................................................9 Bab III Shred Untuk Anti Forensik.......................................................................11 III.1 Shred..........................................................................................................11 III.2 Pengujian Shred di Komputer Standalone ................................................11 III.3 Pengujian Shred di Komputer Remote......................................................12 Bab IV Perancangan Sistem .................................................................................15 IV.1 Skenario Pengujian....................................................................................15 IV.2 Batasan Masalah dan Asumsi....................................................................15 IV.3 Desain Sistem Berdasarkan Skenario........................................................16 IV.4 Kebutuhan Hardware dan Software..........................................................16 Bab V Pengujian Sistem........................................................................................18 V.1 Menguasai Kembali Mesin Target.............................................................18 V.2 Anti Komputer Forensik di Komputer Target............................................21 V.3 Komputer Forensik di Komputer Target Oleh Attacker.............................23 V.4 Komputer Forensik di Komputer Target Oleh Ahli Forensik....................24 V.5 Hasil Pengujian...........................................................................................24 Bab VI Kesimpulan dan Saran..............................................................................26 VI.1 Kesimpulan...............................................................................................26 VI.2 Saran..........................................................................................................26 i
  • 3. Abstrak Komputer forensik dan anti komputer forensik adalah dua bidang yang saling berlawanan. Komputer forensik dilakukan oleh ahli komputer forensik guna memperoleh data dan bukti akurat dari kasus cyber crime untuk penyelidikan. Anti komputer forensik dilakukan oleh attacker untuk menghilangkan jejak sekaligus menyulitkan ahli komputer forensik dalam melakukan tugasnya. Keduanya dapat dilakukan pada komputer standalone (tidak terhubung jaringan) maupun yang terhubung ke jaringan, dengan banyak pilihan metode dan tool. Bagi attacker, pemilihan tool anti komputer forensik yang default di mesin target, dinilai lebih efektif dan cepat dibandingkan menginstalasi terlebih dahulu di mesin korban. Untuk itulah penulis memilih shred sebagai aplikasi anti komputer forensik pada mesin GNU/Linux. Jika anti forensik berhasil, ahli forensik akan sulit melakukan komputer forensik terhadap data yang menjadi barang bukti cyber crime. Tulisan ini memaparkan mengenai anti forensik yang dilakukan oleh attacker terhadap mesin remote GNU/Linux untuk kasus cyber crime di jaringan komputer. Anti forensik dilakukan menggunakan shred terhadap file syslog untuk menghapus jejak kejahatan sekaligus menyulitkan proses forensik oleh ahli komputer forensik. Dijelaskan juga mengenai struktur file di GNU/Linux, komputer forensik dan anti forensik, shred, serta metode menyerang dan bertahan dengan konsep 7 layer OSI. Pengujian dilakukan pada 3 buah komputer berbasis GNU/Linux pada intranet Lab Sinyal Sistem ITB. Masing - masing bertindak sebagai mesin target (server), mesin firewall, dan mesin attacker. Dilakukan proses anti komputer forensik dan komputer forensik di mesin server. Hasil pengujian dicatat dan dianalisa untuk kemudian ditarik kesimpulan. Kata kunci : anti forensik, shred, GNU/Linux, network ii
  • 4. Bab I Pendahuluan I.1 Latar Belakang Kejahatan komputer (cyber crime) di dunia maya, sebagaimana di dunia nyata, juga mengenal proses forensik. Ilmu ini disebut komputer forensik, yang memadukan elemen hukum dan computer science. Pelaku kejahatan, dalam hal ini attacker, berusaha menutupi jejak kejahatannya dan menyulitkan proses komputer forensik. Ilmu ini dikenal sebagai anti komputer forensik. Server umumnya menggunakan sistem operasi dari distribusi (distro) GNU/Linux atau basis UNIX lainnya (misal BSD, Solaris). Pada umumnya, setiap OS GNU/Linux telah dipaketkan dengan aplikasi shred, yang berguna untuk melakukan over write berulang - ulang terhadap isi suatu file atau folder sehingga menyulitkan proses pembacaan saat recovery. Oleh attacker, tool ini disalah gunakan untuk melakukan anti komputer forensik. Attacker cukup masuk ke mesin target dan menjalankan shred ke file atau direktori yang berpotensi menjadi barang bukti cyber crime (misal ke /var/log/syslog). Shred amat cepat dan mematikan dalam hal menghapus suatu jejak dan bukti kejahatan dunia maya. Tulisan ini membahas mengenai kemampuan shred sebagai salah satu anti forensik tool di mesin remote GNU/Linux pada kasus cyber crime. Dilengkapi dengan pengujian sederhana pada 3 buah komputer di intranet Lab Sinyal Sistem ITB berdasarkan skenario, batasan masalah, dan asumsi yang penulis buat. I.2 Tujuan Pada tulisan ini akan dijelaskan secara detail mengenai komputer forensik, anti komputer forensik, aplikasi shred, struktur file di GNU/Linux, dan penggunaan shred sebagai aplikasi anti komputer forensik. Dilakukan juga PoC (Proof of Concept) pada tiga buah komputer berbasis GNU/Linux yang saling terhubung dalam suatu jaringan. Masing - masing bertindak sebagai komputer target (server), komputer firewall, dan komputer attacker. Dilakukan proses anti komputer forensik menggunakan shred pada komputer korban (/var/log/syslog) secara remote melalui SSH, dilanjutkan iii
  • 5. dengan proses komputer forensik terhadap file syslog. Parameter sukses tidaknya proses anti forensik yang dilakukan dilihat dari kemampuan untuk recovery file yang dihapus dengan shred maupun membaca kembali isi file hasil recovery tersebut. Untuk bisa menguasai komputer target, attacker memiliki rincian metode penyerangan, sedangkan sysadmin memiliki rincian metode bertahan. Keduanya menggunakan konsep 7 layer OSI. Penulis akan merinci langkah menyerang dan bertahan yang dilakukan oleh sysadmin dan attacker. Hasil pengujian dicatat, dianalisa, lalu ditarik kesimpulan. Dilanjutkan dengan pemberian saran untuk perbaikan ke depannya. Diharapkan melalui tulisan ini, penulis dapat menjelaskan kepada pembaca mengenai anti forensik menggunakan shred di jaringan komputer untuk kasus cyber crime beserta teori pendukung lainnya. I.3 Sistematika Penulisan Sistematika penulisan memudahkan penulis dalam menyampaikan isi tulisan sehingga mudah untuk dipahami oleh pembaca. Adapun sistematika tulisan sebagai berikut : Bab II membahas mengenai dasar teori. Meliputi sub bab struktur filesystem di GNU/Linux, komputer forensik, dan anti komputer forensik. Diharapkan pembaca dapat memahami mengenai filesystem di GNU/Linux secara umum (/var/, /home, inode), forensik dan anti forensik. Bab III membahas mengenai shred. Meliputi sub bab shred, shred anti forensik komputer standalone, dan shred anti forensik komputer remote. Diharapkan pembaca dapat memahami mengenai perangkat lunak open source shred sebagai salah satu tool anti forensik yang ada secara default di setiap distribusi GNU/Linux, prinsip kerja, serta cara menggunakannya di komputer standalone dan yang terhubung pada network. Bab IV membahas mengenai perancangan sistem. Meliputi sub bab perancangan skenario, batasan masalah pada perancangan skenario, desain sistem berdasarkan skenario, serta kebutuhan perangkat lunak dan perangkat keras. Diharapkan pembaca dapat mengetahui mengenai perancangan eksperimen yang iv
  • 6. penulis lakukan sendiri berdasarkan skenario yang disusun, dengan beberapa batasan dan asumsi agar pembahasan tidak meluas. Bab V membahas mengenai pengujian sistem. Meliputi sub bab menguasai kembali mesin target, anti komputer forensik di komputer target, dan hasil pengujian. Semua proses dan hasil pengujian dijabarkan disini. Bab VI memuat kesimpulan dan saran berdasarkan hasil pengujian yang penulis lakukan. v
  • 7. Bab II Dasar Teori II.1 Struktur Filesystem di GNU/Linux Filesystem adalah metode dan struktur data yang digunakan oleh sistem operasi untuk menjaga track suatu file pada disk atau partisi dan merupakan cara untuk mengorganisasikan file pada disk[1]. GNU/Linux memiliki banyak jenis filesystem, namun yang terkenal adalah ext (ext4, ext3, ext2) dan reiserfs. File sistem di GNU/Linux ada yang bersifat journaling (ext4, ext3, reiserfs) maupun tidak. Sebagaimana filesystem lainnya di OS berbasis UNIX lainnya, GNU/Linux memiliki struktur direktori hirarki tunggal yang diawali dengan root (dilambangkan dengan /). Di dalam root terdapat sub direktori dengan fungsi masing - masing. Misalkan sebagai berikut (GNU/Linux Ubuntu 9.04) : root@my­machine:/# ls ­la total 108 drwxr­xr­x 2 root root 4096 2010­08­02 08:33 bin drwxr­xr­x 3 root root 4096 2010­08­02 08:34 boot drwxr­xr­x 17 root root 4320 2011­04­06 17:10 dev drwxr­xr­x 168 root root 12288 2011­04­06 17:08 etc drwxr­xr­x 5 root root 4096 2010­08­02 17:19 home lrwxrwxrwx 1 root root 33 2010­05­30 01:33 initrd.img ­>  boot/initrd.img­2.6.28­11­generic drwxr­xr­x 21 root root 4096 2010­11­13 12:11 lib drwx­­­­­­ 2 root root 16384 2010­05­30 01:19 lost+found drwxr­xr­x 3 root root 4096 2011­04­06 17:08 media drwxr­xr­x 2 root root 4096 2009­04­13 16:33 mnt drwxr­xr­x 4 root root 4096 2010­07­21 12:13 opt dr­xr­xr­x 172  root  root 0 2011­04­06 11:01 proc drwx­­­­­­ 22  root  root 4096  2011­04­02 15:18 root drwxr­xr­x 2 root root 4096 2010­08­02 08:33 sbin drwxr­xr­x 3 root root 4096 2010­05­30 22:01 srv drwxrwxrwt 18 root root 4096 2011­04­06 17:47 tmp drwxr­xr­x 14  root root 4096 2010­05­30 22:58 usr drwxr­xr­x 16 root root 4096 2010­07­14 13:11 var 6
  • 8. 18 sub direktori yang penting dalam root yaitu /bin, /boot, /dev, /etc, /home, /initrd, /lib, /lost+found, /media, /mnt, /opt, /proc, /root, /sbin, /usr, /var, /srv, dan /tmp. Penulis hanya membahas 2 saja yaitu /home dan /var, sesuai dengan cakupan tulisan ini. /home adalah rumah untuk setiap user. GNU/Linux dan OS berbasis UNIX lainnya adalah sistem operasi multi user environment, sehingga setiap user memiliki /home masing - masing dengan semua privillege (read, write, delete, dan sebagainya). Misalkan user putu-shinoda dengan lokasi /home/putu-shinoda. /var berisi variabel data berupa system logging files, mail, printer spool directories, serta transient dan temporary file. Berikut isi dari sub direktori /var : root@my­machine:/home/putu­shinoda# cd /var root@my­machine:/var# ls ­la total 56 drwxr­xr­x 16 root root  4096 2010­07­14 13:11 . drwxr­xr­x 22 root root  4096 2011­04­06 11:01 .. drwxr­xr­x  2 root root  4096 2011­04­05 10:25 backups drwxr­xr­x 20 root root  4096 2011­02­22 14:43 cache drwxr­xr­x  2 root root  4096 2011­04­03 22:16 crash drwxr­xr­x  2 root root  4096 2009­04­20 21:07 games drwxr­xr­x 71 root root  4096 2011­04­03 22:14 lib drwxrwsr­x  2 root staff 4096 2009­04­13 16:33 local drwxrwxrwt  3 root root    80 2011­04­06 11:08 lock drwxr­xr­x 18 root root  4096 2011­04­06 11:08 log drwxrwsr­x  2 root mail  4096 2009­04­20 20:59 mail drwxr­xr­x  2 root root  4096 2009­04­20 20:59 opt drwxr­xr­x 21 root root   800 2011­04­06 18:10 run drwxr­xr­x  7 root root  4096 2010­05­30 21:59 spool drwxrwxrwt  4 root root  4096 2011­04­05 19:50 tmp drwxrwxrwx 19 root root  4096 2011­02­23 11:56 www Salah satu bagian yang terpenting adalah /var/log/syslog yang merupakan tempat sistem mengirimkan log. Dapat dicek secara real time menggunakan perintah tail -f /var/log/syslog. Pada tulisan ini, anti forensik dilakukan di file syslog. Pada Linux dan OS basis UNIX lainnya, setiap file dan direktori memiliki info index node (inode), termasuk juga status dari file atau direktori tersebut. Hal 7
  • 9. ini penting saat forensik untuk mengetahui keadaan suatu file termasuk juga recovery jika yang terhapus adalah nomor inode itu, bukan isi file maupun file secara keseluruhan. Inode merupakan alamat dari sebuah blok disk[1]. Informasi dari suatu inode dapat dilihat dengan mengetikkan perintah ls dan stat. Perintah ls akan menampilkan alamat pertama suatu file. File sendiri memiliki komponen nama, konten, dan informasi administratif (permission dan waktu modifikasi). Informasi administratif ini disimpan di inode beserta data lainnya. Ada tiga kali penyimpanan di inode yaitu saat konten terakhir kali dimodifikasi (written), terakhir kali digunakan (read, executed), dan perubahan pada inode itu sendiri (saat mengeset permission). Nomor inode dan keterangan yang lebih lengkap dapat dilihat dengan mengetikkan perintah stat nama_file. Berikut pengujian di GNU/Linux Ubuntu 9.04. Pertama dibuat sebuah file teks bernama manual.txt : putu­shinoda@my­machine:~$ touch manual.txt Lalu mengecek keberadaan file manual.txt tersebut : putu­shinoda@my­machine:~$ ls ­l manual.txt  ­rw­r­­r­­ 1 putu­shinoda putu­shinoda 0 2011­04­16 00:20  manual.txt Dilanjutkan dengan melihat inodenya : putu­shinoda@my­machine:~$ ls ­i manual.txt  3691951 manual.txt Kemudian melihat info file keseluruhan : putu­shinoda@my­machine:~$ stat manual.txt    File: `manual.txt'   Size: 0   Blocks: 0   IO Block: 4096   file kosong biasa Device: 801h/2049d  Inode: 3691951   Links: 1 Access: (0644/­rw­r­­r­­)  Uid: ( 1000/putu­shinoda)   Gid:  ( 1000/putu­shinoda) Access: 2011­04­16 00:20:31.000000000 +0700 Modify: 2011­04­16 00:20:31.000000000 +0700 Change: 2011­04­16 00:20:31.000000000 +0700 Hal yang sama juga bisa dilakukan terhadap suatu direktori dan sub direktori. putu­shinoda@my­machine:~$ mkdir kotak putu­shinoda@my­machine:~$ ls ­di kotak/  9947429 kotak/ 8
  • 10. putu­shinoda@my­machine:~$ stat kotak/   File: `kotak/'   Size: 4096    Blocks: 8    IO Block: 4096   direktori Device: 801h/2049d Inode: 9947429     Links: 2 Access: (0755/drwxr­xr­x)  Uid: ( 1000/putu­shinoda)   Gid:  ( 1000/putu­shinoda) Access: 2011­04­16 00:22:26.000000000 +0700 Modify: 2011­04­16 00:22:16.000000000 +0700 Change: 2011­04­16 00:22:16.000000000 +0700 Dari info di atas dapat dilihat bahwa untuk file bernama manual.txt dan folder bernama kotak, memiliki nilai inode masing - masing 3691951 dan 9947429. Referensi [1] memberikan penjelasan lebih lanjut dan detail mengenai GNU/Linux beserta struktur file di dalamnya. Penulis menyarankan untuk membacanya. II.2 Komputer Forensik Komputer forensik adalah ilmu yang menggabungkan hukum dan computer science untuk mengumpulkan dan menganalisa data dari sistem komputer, jaringan, wireless communications, dan media penyimpanan, untuk dijadikan barang bukti di pengadilan untuk kasus cyber crime.[2]. Integritas dan stabilitas infrastruktur jaringan dapat tetap terjaga dengan adanya komputer forensik. Dengan pengetahuan mengenai hukum dan teknis komputer forensik, capture informasi penting dapat dengan mudah dilakukan di jaringan saat compromize terjadi. Hal ini akan memudahkan menuntut pelaku cyber crime yang tertangkap secara hukum. Keuangan perusahaan juga dapat dihemat dari anggaran untuk menyewa jasa computer security jika setiap staf perusahaan paham dan tanggap mengenai komputer forensik. Untuk penjelasan lebih lanjut dan rinci mengenai komputer forensik, penulis menyarankan untuk membaca referensi [8]. II.3 Anti Komputer Forensik Berlawanan dengan komputer forensik, anti komputer forensik adalah ilmu yang memadukan berbagai teknik untuk menyulitkan proses komputer 9
  • 11. forensik. Awal mulanya ilmu ini dibentuk sebagai bagian dari proses riset dan pembelajaran komputer forensik yang sedang dikembangkan saat itu. Sayangnya ilmu ini justru disalah gunakan oleh oknum yang tidak bertanggung jawab untuk menghilangkan jejak dalam kasus cyber crime. Dalam dunia komputer, bukti digital adalah berkas berupa kumpulan data elektronik. Seorang attacker berusaha menyulitkan pekerjaan ahli forensik dalam mengidentifikasi, mengumpulkan, memeriksa, atau melakukan validasi terhadap bukti digital dengan cara menghancurkan, menyembunyikan, memanipulasi, atau mencegah ditemukannya bukti adanya suatu cyber crime. Hal ini dilakukan oleh attacker untuk menghapus jejaknya agar terhindar dari tuntutan hukum. Ada banyak tool yang bisa digunakan untuk melakukan anti forensik. Salah satunya shred yang ada secara default di setiap distribusi GNU/Linux. Lebih lanjut mengenai anti forensik dapat dibaca di referensi [4] dan [5]. Keduanya referensi tersebut memaparkan mengenai anti forensik dengan baik. Untuk tata cara penggunaan tool shred sebagai tool anti forensik, silahkan merujuk ke referensi [6] dan [7]. Bisa juga mengetikkan perintah man shred di terminal GNU/Linux. Untuk keluar (quit) dari manual di terminal, ketik q. 10
  • 12. Bab III Shred Untuk Anti Forensik III.1 Shred Di GNU/Linux terdapat 2 tool standar untuk menghapus file dan direktori yaitu rm (remove) dan shred. Perintah rm digunakan untuk menghapus file atau direktori, namun yang terhapus hanyalah bagian inode saja, sehingga suatu saat dapat dikembalikan (recovery) dan dibaca dengan baik. Shred menghapus file sekaligus mengosongkan atau membuat isi file tidak dapat dibaca, sehingga meski dapat direcovery sekalipun, isi di dalamnya sudah tidak bisa dibaca lagi atau kosong. Shred awalnya diciptakan untuk keamanan dan privasi user itu sendiri. Misal menghapus permanen data di harddisk sebelum dijual atau menghapus file password server oleh sysadmin. Ibarat pisau bermata dua, shred menjadi salah satu tool favorit attacker dalam melakukan anti forensik. III.2 Pengujian Shred di Komputer Standalone Berikut pengujian shred pada komputer standalone GNU/Linux IGOS Nusantara 2010. Dibuat sebuah file teks bernama tes.txt di /home. File ini akan dihapus menggunakan shred pada kasus anti forensik. [igos@lss­67­74 ~]$ touch tes.txt Kemudian dilakukan pengecekan apakah file tersebut telah terbentuk. [igos@lss­67­74 ~]$ ls ­l tes.txt ­rw­rw­r­­   1 igos igos   30 Apr 15 12:15 tes.txt Dilanjutkan dengan mengisikan pesan di dalamnya. [igos@lss­67­74 ~]$ echo "Kemarin malam saya telah memasuki mesin  mail server anda tanpa ijin menggunakan exploit." > tes.txt  Dilanjutkan dengan mengecek inode [igos@lss­67­74 ~]$ stat tes.txt    File: `tes.txt'   Size: 30     Blocks: 8    IO Block: 4096   berkas regular Device: fd02h/64770d Inode: 2753597     Links: 1 Access: (0664/­rw­rw­r­­)  Uid: (500/igos)  Gid: (500/igos) Access: 2011­04­15 12:30:29.396167800 +0700 11
  • 13. Modify: 2011­04­15 12:30:40.322167736 +0700 Change: 2011­04­15 12:30:40.322167736 +0700 [igos@lss­67­74 ~]$ Diperoleh keterangan nilai inode file tes.txt adalah 2753597 beserta berbagai keterangan lainnya (size, access, modify, dan sebagainya). III.3 Pengujian Shred di Komputer Remote Pengujian dilakukan di Lab Sinyal Sistem (LSS) ITB menggunakan 2 buah komputer. Kedua komputer terhubung melalui switch dengan pengalamatan DHCP dan memiliki spesifikasi yang sama yaitu Intel Pentium 5, RAM 512 MB, VGA Onboard Intel, LAN Card, mouse, keyboard, dan LCD monitor. Skenario sebagai berikut. Komputer lss-67-75 (GNU/Linux IGOS Nusantara 2010) diremote melalui SSH oleh komputer lss-67-74 (GNU/Linux Slackware 13). Kemudian di komputer lss-67-74 dibuat file teks, lalu dihapus menggunakan shred secara remote dari komputer lss-67-75. Dibuktikan file teks terhapus dengan aman sehingga proses anti forensik berjalan dengan baik. Berikut bagan skenarionya : Gambar 1 : Bagan pengujian shred pada 2 buah komputer di jaringan 12
  • 14. Pertama, dilakukan remote SSH dari lss-67-74 ke lss-67-75 : [slackie@lss­67­74 ~]$ ssh lss­67­75@167.205.67.114 The authenticity   of  host '167.205.67.114  (167.205.67.114)'   can't  be established. RSA   key   fingerprint   is  08:88:d0:bf:92:a3:4c:72:1f:98:45:b1:da:a1:6a:ca. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '167.205.67.114' (RSA) to the list of  known hosts. lss­67­75@167.205.67.114's password:  Linux   lss­67­75   2.6.31­14­generic   #48­IGOS   SMP   Fri   Oct   16  14:04:26 UTC 2009 i686 Last login: Fri Apr 15 00:35:31 2011 from lss­67­115.ee.itb.ac.id Kemudian dibuat sebuah file bernama akunadmin.txt lss­67­75@lss67­75:~$ touch akunadmin.txt Mengecek apakah file akunadmin.txt sudah ada. lss­67­75@lss­67­75:~$ ls ­l akunadmin.txt  ­rw­r­­r­­   1   lss­67­75   lss­67­75   30   2011­04­15   01:37  akunadmin.txt Lalu diisikan data di dalamnya : lss­67­75@lss­67­75:~$   echo   "username   admin   password   12345"   >  akunadmin.txt  Mengecek nilai inode. lss­67­75@lss­67­75:~$ stat akunadmin.txt    File: `akunadmin.txt'   Size: 30         Blocks:   8                     IO   Block:   4096  regular file Device: 801h/2049d Inode: 543915      Links: 1 Access:   (0644/­rw­r­­r­­)     Uid:   (   1000/lss­67­75)       Gid:  ( 1000/lss­67­75) Access: 2011­04­15 01:37:27.672492515 ­0400 Modify: 2011­04­15 01:37:46.635992491 ­0400 Change: 2011­04­15 01:37:46.635992491 ­0400 Melakukan anti forensik menggunakan shred ke file akunadmin.txt : lss­67­75@lss­67­75:~$ shred akunadmin.txt Shred melakukan penulisan sekali pada isi file, dalam hal ini file masih tetap ada setelah dilakukan pengecekan. 13
  • 15. lss­67­75@lss­67­75:~$ ls ­l akunadmin.txt  ­rw­r­­r­­   1   lss­67­75   lss­67­75   4096   2011­04­15   01:40  akunadmin.txt Inode dari file masih ada setelah dilakukan pengecekan. lss­67­75@lss­67­75:~$ stat akunadmin.txt    File: `akunadmin.txt'   Size: 4096  Blocks: 8  IO Block: 4096 regular file Device: 801h/2049d Inode: 543915  Links: 1 Access: (0644/­rw­r­­r­­)  Uid: (1000/lsslantai3) Gid: (1000/lss­ 67­75) Access: 2011­04­15 01:37:27.672492515 ­0400 Modify: 2011­04­15 01:40:33.448031341 ­0400 Change: 2011­04­15 01:40:33.448031341 ­0400 Namun isi file berubah dan tidak bisa dibaca akibat penulisan yang dilakukan menggunakan shred. lss­67­75@lss­67­75:~$ cat akunadmin.txt  q�`�#^6�V�q�#Y#X���z��#�,�5#�>��wj���#�#�Q]�­�� ̮ ‫��ޖ‬E�$�o�b�)_   ��#�#��#S�N�   p�N�����  >����m����ӫ9#R����o���4V[r�z��xA+�:}�t�#��$#9l� Dengan menjalankan kembali shred dengan tambahan opsi u, z, dan n (penulisan berulang, dalam kasus ini 25 kali), file akan terhapus secara permanen. lss­67­75@lss­67­75:~$ shred ­u ­z ­n 25 akunadmin.txt  lss­67­75@lss­67­75:~$ ls ­l akunadmin.txt ls: cannot access akunadmin.txt: No such file or directory lss­67­75 3@lss­67­75 3:~$ stat akunadmin.txt stat: cannot stat `akunadmin.txt': No such file or directory Dalam hal ini recovery bisa mengembalikan file yang dihapus permanen tersebut. Namun isi di dalam file tersebut kosong atau tidak terbaca. Pengujian di bab selanjutnya akan membuktikan hal ini secara lebih jelas. 14
  • 16. Bab IV Perancangan Sistem IV.1 Skenario Pengujian Sebelum melakukan pengujian, disusun skenario sebagai berikut : 1. Attacker sebelumnya telah berhasil menguasai mesin target namun lupa menghapus jejak di file syslog. Sysadmin tidak melakukan forensik terhadap file syslog maupun memanggil ahli forensik komputer. 2. Sysadmin melakukan pengamanan pada 7 layer OSI untuk mencegah terulangnya kembali penyerangan tersebut. Penulis merinci langkah pengamanan setiap layer tersebut. 3. Attacker mencoba menguasai kembali mesin target agar dapat melakukan anti forensik terhadap file syslog menggunakan shred yang terdapat secara default di mesin target. Penulis merinci metode yang dilakukan oleh attacker untuk melakukan penyerangan. 4. Ahli forensik datang dan melakukan forensik ke mesin target setelah attacker melakukan anti forensik pada file syslog. Penulis berperan sebagai sysadmin, attacker, sekaligus ahli forensik dengan menggunakan 2 buah komputer GNU/Linux Ubuntu 9.10 dan 1 buah notebook GNU/Linux Ubuntu 9.04 di Lab Sinyal Sistem (LSS) ITB. IV.2 Batasan Masalah dan Asumsi Untuk mencegah pembahasan yang melebar dan di luar topik, keterbatasan halaman, peralatan untuk pengujian, dan waktu pengujian, maka penulis memberikan asumsi dan batasan masalah sebagai berikut : 1. Tidak terdapat Proof of Concept (pengujian langsung) terhadap semua metode serangan yang dilakukan oleh attacker. Penulis hanya memberikan URL dari setiap metode tersebut sebagai referensi. Penulis menyarankan pembaca membaca referensi tersebut untuk pemahaman lebih lanjut. 2. Diasumsikan attacker memperoleh kembali akses root ke mesin firewall dan mesin target (server) dari salah satu cara yang dijabarkan tersebut. 3. Pada pengujian, dilakukan SSH dari komputer attacker ke komputer firewall, lalu dari komputer firewall dilakukan SSH ke komputer server. Kemudian dijalankan shred pada file syslog (/etc/log/syslog). 15
  • 17. IV.3 Desain Sistem Berdasarkan Skenario Berikut desain sistem yang penulis rancang berdasarkan skenario yang disusun untuk pengujian : Gambar 2 : Skema jaringan yang disusun sesuai skenario Keterangan gambar : Pengujian dilakukan pada subnet yang berbeda di Lab Sinyal Sistem ITB dengan menggunakan intranet. Penulis menggunakan wireless codega dengan subnet 16 sebagai jalur koneksi notebook attacker, sedangkan kedua mesin target (mesin server dan mesin firewall) menggunakan koneksi intranet subnet 67. Attacker melewati router MUCER STEI ITB untuk bisa menuju subnet 67, kemudian ke gateway subnet 67, untuk mencapai mesin firewall dan melakukan SSH. Dari mesin firewall dilakukan SSH ke mesin server. IV.4 Kebutuhan Hardware dan Software Untuk melakukan pengujian ini digunakan sejumlah software open source berbasis GNU/Linux dan beberapa hardware sebagai berikut : 1. Mesin attacker menggunakan notebook Toshiba M300 dengan spesifikasi Intel P8400, VGA ATI Radeon, RAM 1024 MB, wifi, dan LAN Card. Software berupa GNU/Linux Ubuntu 9.04, shred, terminal, rm, Open SSH Server dan Open SSH Client. 16
  • 18. 2. Mesin server dan mesin firewall menggunakan komputer dengan spesifikasi Intel Pentium 5, RAM 512 MB, VGA Onboard Intel, dan LAN Card. Software berupa GNU/Linux Ubuntu 9.10, OpenSSH Server dan Open SSH Client, terminal, rm, dan shred. 3. Network menggunakan intranet ITB di Lab Sinyal System (LSS) ITB. Mesin attacker menggunakan wireless, mesin server dan mesin firewall menggunakan koneksi wired pada switch 16 port. Pengalamatan berupa DHCP. Rincian pengalamatan pada point 4,5, dan 6 di bawah. 4. Pengalamatan mesin attacker : IPV4 167.205.16.119, BCast 167.205.16.255, Subnet Mask 255.255.255.0, Gateway 167.205.67.65. 5. Pengalamatan mesin server/target : IPV4 167.205.67.78, Bcast 167.205.67.127, Subnet Mask 255.255.255.192, Gateway 167.205.67.65. 6. Pengalamatan mesin firewall : IPV4 167.205.67.107, Bcast 167.205.67.127, Subnet Mask 255.255.255.192, Gateway 167.205.67.65. 7. Mouse, keyboard, dan LCD monitor. 8. Dokumentasi menggunakan Open Office Writer 3.0 dan Lyx GUI LATEX 1.6.2, desain bagan sistem mengggunakan DIA Diagram 0.96.1. 17
  • 19. Bab V Pengujian Sistem V.1 Menguasai Kembali Mesin Target Sesuai skenario, asumsi, dan batasan masalah yang penulis kemukakan di bab sebelumnya, terlihat bahwa terjadi proses bertahan dan menyerang yang dilakukan oleh sysadmin dan attacker. Ide diperoleh dari tulisan Pseudoanonymous di Kecoak Elektronik[4]. Sysadmin menerapkan pola pengamanan pada 7 OSI Layer untuk melindungi mesin dan jaringannya dari serangan attacker sebagai berikut : 1. Layer 1 (Physical Layer) : Pengamanan secara fisik pada mesin dan hardware pendukungnya sesuai ISO 27001/2 mengenai keamanan fisik (physical security). 2. Layer 2 (Datalink Layer) : Pengamanan terhadap intranet menggunakan IPS/NIPS (Intrusion Prevention System/Network Intrusion Prevention System). 3. Layer 3 (Network Layer) : Pemasangan firewall, memperbolehkan akses dari IP Address dan Mac Address tertentu saja. 4. Layer 4 (Transport Layer) : Menggunakan IDS (Instrusion Detection System) dan IPS/NIPS. 5. Layer 5 (Session Layer) : Menggunakan VPN dial up dan IPS/NIPS. 6. Layer 6 (Presentation Layer) : Menggunakan SSL dan IPS/NIPS. 7. Layer 7 (Application Layer) : Menggunakan Deny Host pada akses SSH (umum disebut sebagai Preventing SSH Dictionary Attack), dan IPS/NIPS. 8. Selain pengamanan pada ketujuh layer OSI tersebut, dilakukan juga patch dan update terhadap sistem. 9. Untuk topologi jaringannya, sysadmin meletakkan sebuah mesin firewall di depan mesin server, sehingga mesin server hanya bisa terhubung keluar melalui mesin firewall saja. 18
  • 20. Attacker melakukan penetration testing untuk pemetaan akses setiap layer, termasuk menguasai mesin firewall agar bisa mengakses mesin server. Berikut perinciannya : 1.Pada layer 1 : Social engineering untuk memperoleh akses fisik ke sistem untuk kendali sistem. 2. Pada layer 2 : ARP (Address Resolution Protocol) cache poisoning man in the middle (http://www.infosecwriters.com/text_resources/pdf/Arp_RKoster.pdf, http://www.grc.com/nat/arp.htm), CAM (Content Adressable Memory) table flooding man in the middle (http://www.javvin.com/networksecurity/ NetworkSecurity.html), VLAN (Virtual Local Area Network) hoping attack double tagging (http://www.alliedtelesis.com/solutions/diagram- 22), VTP (VLAN Trunking Protocol) attack (http://www.scribd.com/doc/52741687/10/VLAN-Trunking-Protocol- VTP-attack), RSTP (Rapid Spanning Tree Protocol) attack (http://homepage.cem.itesm.mx/raulm/pub/mimicry/opodis06.pdf). 3. Pada Layer 3 : IP spoofing attack (http://www.cert.org/tadvisories/CA-1995-01.html), IP fragmentation attack/overlapping fragment attack (http://www.ouah.org/fragma.html), ICMP (Internet Control Message Protocol) smurfing pada DOS (Denial Of Service) (http://www.cert.org/advisories/CA-1998-01.html), BGP internet scale man in the middle (http://www.defcon.org/images/defcon-16/dc16- presentations/defcon-16-pilosov-kapela.pdf), BGP NLRI (Border Gateway Protocol Network Layer Reachability Information) injection route poisoning (http://people.scs.carleton.ca/~kranakis/Papers/TR-05- 07.pdf), LDP (Label Distribution Protocol) injection pada overwrite MPLS (Multi Protocol Label Switching) label (http://eprints.utm.my/6115/1/MohdNazriMohdWaripMFKE2007TTT.pdf ), GRE (Generic Routing Encapsulation) traffic tunneling man in the middle (http://www.blackhat.com/presentations/bh-europe-03/bh-europe- 19
  • 21. 03-valleri.pdf), Loki L3 attack framework dan IPSEC vulnerability attack (http://ernw.de/content/e6/e180/e1561/Blackhat2010_ERNW_Loki_ger.p df). 4. Pada layer 4 : SYN (Synchronize) flooding dan IP spoofing pada DoS/DDoS (Denial/Distributed Denial of Service) (http://www.clshack.it/en/python- scapy-dos-attack-syn-flood-ip-spoofing.html), ACK (Acknowledge) flooding dan IP spoofing pada DRDoS (Distributed Reflected Denial Of Service) (http://www.understandingcomputers.ca/articles/grc/drdos_copy.html), UDP (User Datagram Protocol) flooding dan IP spoofing pada DoS/DDoS (http://web2.uwindsor.ca/courses/cs/aggarwal/cs60564/Assignments2Proj ect1/2_XiaomingSejdiniChowdhury_Denial%20of%20Service_UDP %20Flooding%20_Assignment2.doc ), SYN/ACK scanning service dan firewall mapping (http://nmap.org/book/man-port-scanning- techniques.html), TCP (Transmission Control Protocol) session hijacking dengan spoofed RST/FIN packet (http://www.infosecwriters.com/text_resources/pdf/SKapoor_SessionHija cking.pdf), SCTP (Stream Control Transmission Protocol) scanning untuk mengenumerasi SS7/SIGTRAN (Signaling System 7/Signaling Transport) entry point (http://www.roe.ch/Nmap_SCTP). 5. Pada layer 5 : L2TP (Layer 2 Tunneling Protocol) attack (http://www.mplsvpn.info/2008/10/l2tp-vulnerability.html), DoS (Denial Of Service) attack (http://citeseerx.ist.psu.edu/viewdoc/download? doi=10.1.1.101.5179&rep=rep1&type=pdf), replay attack (http://all.net/CID/Attack/papers/Replay.html), NetBIOS user enumeration (http://alpha.nyit.edu/som/faculty/khoo/Summer2_2009/MIST757/Hackin g/Password%20Shitz/Netbios%20and%20brute%20force.pdf). 6. Pada layer 6 : 20
  • 22. SSL (Secure Sockets Layer) man in the middle attack (http://www.sans.org/reading_room/whitepapers/threats/ssl-man-in-the- middle-attacks_480). 7.Pada layer 7 : Kaminsky attack pada DNS (Domain Name System) Poisoning (http://www.unixwiz.net/techtips/iguide-kaminsky-dns-vuln.html), HTTP (Hyper Text Transfer Protocol) slowris DoS attack (http://ha.ckers.org/slowloris/), DNS amplification attack (http://www.isotf.org/news/DNS-Amplification-Attacks.pdf), SNMPv3 (Simple Network Management Protocol Version 3) HMAC (Hash-based Message Authentication Code) authentication bypass (http://www.iss.net/ security_center/reference/vuln/SNMP_V3_HMAC_Security_Bypass.htm) , menebak username dan password SSH menggunakan ncrack (http://nmap.org/ncrack/), SNMP guessing/brute force attack (http://www.iphelp.ru/faq/35/0037.html). V.2 Anti Komputer Forensik di Komputer Target Setelah memperoleh kembali akses root di mesin firewall dan mesin server, attacker segera melakukan anti forensik pada file syslog guna menghapus jejak sekaligus menyulitkan kerja ahli forensik. Pertama, dilakukan remote SSH ke mesin firewall : root@my­machine:/home/putu­shinoda# ssh lsslantai3­ machine2@167.205.67.107 lsslantai3­machine2@167.205.67.107's password:  Linux lsslantai3­machine2 2.6.31­14­generic #48­Ubuntu SMP Fri  Oct 16 14:04:26 UTC 2009 i686 lsslantai3­machine2@lsslantai3­machine2:~$  Dari mesin firewall, dilanjutkan SSH ke mesin target (server) : lsslantai3­machine2@lsslantai3­machine2:~$ ssh lsslantai3­ machine1@167.205.67.78 The authenticity of host '167.205.67.78 (167.205.67.78)' can't be  established. RSA key fingerprint is  f8:f7:64:b8:9c:b8:bb:cb:38:c2:90:36:ae:a7:86:72. 21
  • 23. Are you sure you want to continue connecting (yes/no)? yes Warning:   Permanently   added   '167.205.67.78'   (RSA)   to   the   list   of  known hosts. lsslantai3­machine1@167.205.67.78's password:  Linux   lsslantai3­machine1   2.6.31­14­generic   #48­Ubuntu   SMP   Fri  Oct 16 14:04:26 UTC 2009 i686 lsslantai3­machine1@lsslantai3­machine1:~$  Kemudian mengecek file syslog yang menjadi target untuk anti forensik. lsslantai3­machine1@lsslantai3­machine1:~$ tail ­f  /var/log/syslog Apr 27 12:42:40 lsslantai3­machine1 kernel: [13.210155] CPU1  attaching NULL sched­domain. Apr 27 12:42:40 lsslantai3­machine1 kernel: [13.224075] CPU0  attaching sched­domain: Apr 27 12:42:40 lsslantai3­machine1 kernel: [13.224080] domain 0:  span 0­1 level MC Apr 27 12:42:40 lsslantai3­machine1 kernel: [13.224084] groups:01 Apr 27 12:42:40 lsslantai3­machine1 kernel: [13.224090] CPU1  attaching sched­domain: Apr 27 12:42:40 lsslantai3­machine1 kernel: [13.224093] domain 0:  span 0­1 level MC Apr 27 12:42:40 lsslantai3­machine1 kernel: [13.224095] groups:10 Apr 27 12:42:43 lsslantai3­machine1 kernel: [15.688006] eth0: no  IPv6 routers present lsslantai3­machine1@lsslantai3­machine1:~$ Attacker mencari tahu nilai inode file syslog : lsslantai3­machine1@lsslantai3­machine1:~$ stat /var/log/syslog   File: `/var/log/syslog'   Size: 252306  Blocks: 496  IO Block: 4096  regular file Device: 805h/2053d Inode: 125   Links: 1 Access: (0640/­rw­r­­­­­)  Uid: (101/syslog) Gid: (4/ adm) Access: 2011­04­27 13:12:24.127224088 +0700 Modify: 2011­04­27 13:17:01.226597858 +0700 Change: 2011­04­27 13:17:01.226597858 +0700 lsslantai3­machine1@lsslantai3­machine1:~$  diperoleh nilai inode file syslog 125. Attacker lalu menjadi root di mesin server dan melakukan anti forensik menggunakan shred ke file syslog : lsslantai3­machine1@lsslantai3­machine1:~$ sudo su 22
  • 24. [sudo] password for lsslantai3­machine1:  root@lsslantai3­machine1:/home/lsslantai3­machine1# shred  ­­random­source=/dev/urandom ­u /var/log/syslog root@lsslantai3­machine1:/home/lsslantai3­machine1# Attacker kemudian mengecek apakah file syslog benar – benar terhapus sehingga tidak bisa dikembalikan saat forensik : root@lsslantai3­machine1:/home/lsslantai3­machine1# ls ­la  /var/log/syslog ls: cannot access /var/log/syslog: No such file or directory root@lsslantai3­machine1:/home/lsslantai3­machine1# stat syslog stat: cannot stat `syslog': No such file or directory root@lsslantai3­machine1:/home/lsslantai3­machine1#  Tampak bahwa file syslog sudah terhapus dengan aman. V.3 Komputer Forensik di Komputer Target Oleh Attacker Setelah anti forensik dilakukan, attacker mencoba mengembalikan (recovery) file syslog menggunakan lsof, tool recovery di GNU/Linux. Hal ini dilakukan untuk menguji apakah anti forensik yang dilakukan telah berjalan dengan baik atau tidak. Berbekal info nilai inode file syslog di mesin server adalah 125, proses pemetaan path pun dilakukan oleh attacker sebagai berikut : root@lsslantai3­machine1:/home/lsslantai3­machine1# lsof | grep  125 rsyslogd  489  syslog  5w   REG  8,5 0  125 /var/log/0 (deleted) root@lsslantai3­machine1:/home/lsslantai3­machine1#  Diperoleh info nilai inode 125, PID (Process ID) 489, dan file descriptor 5 (dari 5w). Info ini diperlukan pada proses recovery file syslog. Kemudian attacker mencoba melakukan recovery dengan mengkopi kembali syslog dari lokasi pseudo-filesystem. root@lsslantai3­machine1:/home/lsslantai3­machine1# cp /proc/489/ fd/5 syslog Lalu dicek apakah file syslog bisa terbaca setelah proses recovery tersebut : root@lsslantai3­machine1:/home/lsslantai3­machine1# tail ­f /var/ log/syslog tail: cannot open `/var/log/syslog' for reading: No such file or  directory tail: no files remaining 23
  • 25. root@lsslantai3­machine1:/home/lsslantai3­machine1# tail ­f  syslog root@lsslantai3­machine1:/home/lsslantai3­machine1# file syslog syslog: empty Terlihat bahwa file tidak dapat dibaca. Dilanjutkan dengan mengecek proses penghapusan dgn menggunakan pemetaan path : root@lsslantai3­machine1:/var/log# ls ­l /proc/489/fd/5 l­wx­­­­­­ 1 root root 64 2011­04­27 13:23 /proc/489/fd/5 ­>  /var/log/0 (deleted) Diperoleh info penghapusan file syslog tanggal 27 april 2011 pkl 13.23. Dilanjutkan dengan pengecekan status file syslog dari /proc. root@lsslantai3­machine1:/var/log# file /proc/489/fd/5 /proc/489/fd/5: broken symbolic link to `/var/log/0 (deleted)' Lalu dicek isi di dalam file syslog. root@lsslantai3­machine1:/var/log# tail ­f /var/log/syslog root@lsslantai3­machine1:/var/log# file /var/log/syslog syslog: empty File syslog hasil recovery isinya kosong. Proses anti forensik berjalan sukses. Attacker kemudian keluar dari mesin remote (mesin server dan mesin firewall). Sampai di sini attacker berhasil melakukan proses anti forensik dengan baik. V.4 Komputer Forensik di Komputer Target Oleh Ahli Forensik Syadmin yang menyadari mesinnya dikuasai kembali akhirnya memanggil ahli forensik. Ahli forensik mencoba melakukan proses forensik seperti yang dilakukan oleh attacker di atas, namun tidak berhasil, karena file syslog yang ada isinya kosong sehingga tidak dapat dibaca. Berikut potongan hasil yang ditampilkan. root@lsslantai3­machine1:/var/log# tail ­f /var/log/syslog root@lsslantai3­machine1:/var/log# file /var/log/syslog syslog: empty V.5 Hasil Pengujian Dari pemaparan pengujian anti forensik di atas dengan menggunakan shred oleh attacker, dapat dilihat bahwa proses anti forensik berjalan dengan baik. 24
  • 26. File syslog terhapus dengan baik dan aman. Meski attacker menguji cobakan dengan mengembalikan (recovery) file syslog, namun isi di dalamnya kosong atau tidak bisa dibaca. Hal ini tentu saja akan menyulitkan ahli forensik dalam melakukan proses komputer forensik. Terbukti bahwa dengan menggunakan shred, bukti forensik dapat dihapus dengan aman dan sulit untuk dikembalikan. Bahkan jika bisa dikembalikan dengan langkah di atas, isi di dalamnya kosong atau tidak dapat dibaca. Ini menjadi parameter kesuksesan proses anti forensik. Terbukti bahwa shred merupakan salah satu tool anti forensik yang ampuh dan praktis untuk digunakan karena sudah ada di setiap mesin GNU/Linux secara default. 25
  • 27. Bab VI Kesimpulan dan Saran VI.1 Kesimpulan Dari hasil pengujian penulis berdasarkan skenario yang telah disusun, dapat disimpulkan bahwa ternyata : 1. Shred mampu melakukan proses anti forensik dengan baik. Parameter keberhasilan ini dilihat dari kemampuan shred dalam menghapus file dengan cara penulisan berulang isi di dalamnya. Saat file dikembalikan (recovery), isi di dalamnya tidak dapat dibaca dengan baik. 2. Anti forensik dengan menggunakan shred menyulitkan proses komputer forensik yang dilakukan oleh ahli forensik. 3. Shred menjadi tool anti forensik yang baik dilihat dari kemudahan penggunaannya, praktis (ada secara default di setiap mesin GNU/Linux), dan hasil yang baik (lihat point 1). VI.2 Saran Beberapa saran yang penulis berikan terkait anti forensik dengan menggunakan shred antara lain : 1. Uninstall aplikasi shred yang disertakan secara default dalam GNU/Linux dan UNIX lainnya. Untuk distro GNU/Linux Ubuntu cukup menggunakan perintah sudo apt-get remove shred. Sesuaikan command dengan basis distro Linux yang anda gunakan. Jika memerlukan shred atau secure deleted tools lainnya, install saat akan digunakan dan unistall kembali setelah itu. 2. Biarkan shred tetap terinstall dan gunakanlah networked filesystem (NFS, AFS, SMB, FTP, WebDAV). Sehingga saat attacker berhasil menguasai mesin dan remote melalui SSH, swap dan memori sistem tidak dapat dihapus dengan tool anti forensik apapun, termasuk shred. 3. Lakukan konfigurasi RAID (Redundance Array of Independent Disks/Redundance Array of Inexpensive Disks) pada mesin. RAID
  • 28. stripping akan menyulitkan anti forensik menggunakan tool apapun, karena ada banyak redundant data yang perlu dilacak (trace). 4. Lakukan penanganan forensik secepat mungkin baik oleh diri sendiri maupun mendatangkan ahli komputer forensik saat terjadi suatu serangan cyber crime. 5. Tingkatkan penanganan keamanan pada setiap layer OSI serta tingkatkan kepedulian user untuk mematuhi peraturan yang berlaku agar sistem bisa berjalan dengan baik. Keamanan tidak akan berjalan sukses 100% jika dari sisi user tidak peduli dengan keamanan tersebut, meskipun pada sisi sistem (hardware dan software) sudah aman 100%.
  • 29. Daftar Pustaka [1] Nguyen, Binh (2004) : Linux Filesystem Hierarchy. http://tldp.org/LDP/Linux-Filesystem-Hierarchy/Linux-Filesystem-Hierarchy.pdf Diakses 2 Maret 2011 12:15:20 WIB [2] Mathur, A., Cao, M., Bhattacarrya, S., Dilger, A., Tomas, A., dan Vivier, Lauren. (2007) : The New Ext4 Filesystem : Current Status and Future Plan. http://www.linuxsymposium.org/archives/OLS/Reprints-2007/mathur-Reprint.pdf Diakses 2 Maret 2011 12:16:22 WIB [3] Mrshl, Jck. “Anti-forensic, Seek and Destroy”. Echo Community. 2009. http://ezine.echo.or.id/ezine20/e20_0x0c.txt Diakses 3 Maret 2011 21:28:23 WIB [4] Pseudoanonymous. “Network Hack Philosopy”. Kecoak Elektronik. 2009. http://www.kecoak.org/ezine/toket7/0x04-network_hack_philosopy.txt Diakses 3 Maret 2011 21:30:00 WIB [4]Garfinkel, Simson L. “Anti-Forensics: Techniques, Detection and Countermeasures”. Naval Postgraduate School. 2007. http://simson.net/ref/2007/slides-ICIW.pdf Diakses 3 Maret 2011 22:56:00 WIB [5] Peron, Christian S.J. ; Legary, Michael. “Digital Anti-Forensics : Emerging Trends in Data Transformation Techniques”. Seccuris Labs. http://www.seccuris.com/documents/whitepapers/Seccuris-Antiforensics.pdf Diakses 8 Maret 2011 16:30:45 WIB [6] Techthrob. “How To Delete Files Permanently And Sevurely In Linux”. http://techthrob.com/2009/03/02/howto-delete-files-permanently-and-securely-in- linux/ Diakses 24 Maret 2011 17:45:45 [7]Tech Republic. “Securely Delete Files With Shred”. http://www.techrepublic.com/blog/opensource/securely-delete-files-with- shred/188 Diakses 24 Maret 2011 17:56:00 [8]US CERT. “Computer Forensics”. www.us-cert.gov/reading_room/forensics.pdf Diakses 5 April 2011 21:58:46