Difference between revisions of "Forensic: IT"

From OnnoWiki
Jump to navigation Jump to search
 
(61 intermediate revisions by the same user not shown)
Line 1: Line 1:
 
==PERTEMUAN: Pengenalan IT Forensik==
 
==PERTEMUAN: Pengenalan IT Forensik==
  
* Definisi dan Konsep Dasar:
+
* [[Definisi dan Konsep Dasar]]
** Apa itu IT Forensik?
+
* [[Tujuan dan Ruang Lingkup]]
** Sejarah Singkat IT Forensik
+
* [[Hukum dan Etika]]
** Perbedaan dengan bidang terkait (cybersecurity, hacking, dll)
 
  
* Tujuan dan Ruang Lingkup:
 
** Tujuan utama IT Forensik
 
** Jenis-jenis bukti digital
 
** Aplikasi IT Forensik dalam dunia nyata (kasus-kasus terkenal)
 
  
* Hukum dan Etika:
+
* [[Definition and Basic Concepts (en)]]
** Regulasi terkait IT Forensik di Indonesia
+
* [[Objectives and Scope (en)]]
** Etika dalam pengumpulan dan analisis bukti digital
+
* [[Law and Ethics (en)]]
 +
 
  
 
==PERTEMUAN: Proses Akuisisi Data==
 
==PERTEMUAN: Proses Akuisisi Data==
  
* Prinsip Dasar Akuisisi:
+
* [[Prinsip Dasar Akuisisi]]
** Tujuan akuisisi data
+
* [[Teknik Akuisisi]]
** Metode akuisisi (live acquisition, static acquisition)
+
* [[Dokumentasi dan Chain of Custody]]
** Perangkat keras dan perangkat lunak yang dibutuhkan
 
  
* Teknik Akuisisi:
 
**  Disk imaging
 
** Memory dump
 
** Network traffic capture
 
  
* Dokumentasi dan Chain of Custody:
+
* [[Basic Principles of Acquisition (en)]]
** Pentingnya dokumentasi
+
* [[Acquisition Techniques (en)]]
** Konsep chain of custody
+
* [[Documentation and Chain of Custody (en)]]
** Contoh formulir dokumentasi
 
  
==PERTEMUAN: Analisis Data==
 
  
* Alat dan Perangkat Lunak:
 
** Jenis-jenis alat forensik (open source, komersial)
 
** Fitur-fitur utama alat forensik
 
  
* Teknik Analisis:
+
==PERTEMUAN: Analisis Data==
** File carving
 
** Email analysis
 
** Web history analysis
 
** Registry analysis
 
  
* Analisis Data Jejak:
+
* [[Tool dan Perangkat Lunak]]
** Artefak digital
+
* [[Teknik Analisis]]
** Metadata
+
* [[Analisis Data Jejak]]
** Timelining
 
  
==PERTEMUAN: Investigasi Sistem Operasi==
 
  
* Sistem Operasi Windows:
+
* [[Tools and Software (en)]]
** Struktur file system NTFS
+
* [[Analysis Techniques (en)]]
** Registry Windows
+
* [[Trace Data Analysis (en)]]
** Event log
 
  
* Sistem Operasi Linux:
 
** Struktur file system ext2/ext3/ext4
 
** Journaling
 
** Log file
 
  
* Sistem Operasi Mobile:
+
==PERTEMUAN: Investigasi Sistem Operasi==
** Android Forensics
 
** iOS Forensics
 
  
==PERTEMUAN: Investigasi Jaringan==
+
* [[Sistem Operasi Windows]]
 +
* [[Sistem Operasi Linux]]
 +
* [[Sistem Operasi Mobile]]
  
* Konsep Dasar Jaringan:
 
** Protokol jaringan
 
** Paket data
 
** Analisis traffic jaringan
 
  
* Alat dan Teknik:
+
* [[Windows Operating System (en)]]
** Packet capture
+
* [[Linux Operating System (en)]]
** Network traffic analysis
+
* [[Mobile Operating System (en)]]
** DNS analysis
 
  
* Investigasi Intrusi:
 
** Analisis log server
 
** Deteksi malware
 
** Incident response
 
  
==PERTEMUAN: Investigasi Perangkat Mobile==
+
==PERTEMUAN: Investigasi Jaringan==
 
 
* Karakteristik Perangkat Mobile:
 
** Sistem operasi mobile
 
** Aplikasi pihak ketiga
 
** Cloud storage
 
 
 
* Teknik Akuisisi:
 
** Physical extraction
 
** Logical extraction
 
  
* Analisis Data:
+
* [[Konsep Dasar Jaringan]]
** SMS, panggilan, kontak
+
* [[Tool dan Teknik]]
** Aplikasi pesan instan
+
* [[Investigasi Intrusi]]
** Data lokasi
 
  
==PERTEMUAN: Kasus Studi dan Praktikum==
 
 
* Studi Kasus:
 
** Kasus-kasus IT Forensik aktual
 
** Analisis kasus
 
 
* Praktikum:
 
** Simulasi kasus forensik
 
** Penggunaan alat forensik
 
** Penyusunan laporan forensik
 
  
 +
* [[Basic Network Concepts (en)]]
 +
* [[Tools and Techniques (en)]]
 +
* [[Intrusion Investigation (en)]]
  
  
 
==PERTEMUAN: Forensic eMail==
 
==PERTEMUAN: Forensic eMail==
TEORI: Protocol SMTP  
+
* [[Protocol SMTP POP3 IMAP]]
https://www.rfc-editor.org/info/rfc788
+
* [[Hands-On: Attack Spoofing SMTP Server & WebMail]]
DEMO: Attack Spoofing SMTP Server & WebMail
+
* [[Mitigasi eMail attack: GnuPG]]
Korban sudah banyak berjatuhan terutama dari Nasabah BCA
 
FORENSIC:
 
Header eMail
 
/var/log/mail.log
 
Wireshark Sniffer
 
MITIGATION:
 
GnuPG
 
  
  
 +
* [[SMTP, POP3, IMAP Protocols (en)]]
 +
* [[Hands-On: Spoofing Attack on SMTP Server & WebMail (en)]]
 +
* [[Mitigating eMail Attacks: GnuPG (en)]]
  
 
==PERTEMUAN: Forensic SQL Injection Attack==
 
==PERTEMUAN: Forensic SQL Injection Attack==
TEORI: Database MySQL
+
* [[SQL Overview]]
Kerja IPS Snort
+
* [[MySQL]]
Kerja PHP
+
* [[SQL Injection Attack]]
/etc/snort/rules
+
* [[Hands-On: Attack SQL Injection]]
/etc/snort/classification.config
+
* [[Mitigasi: SQL Injection]]
DEMO: Attack SQL Injection
+
* [[Mitigasi: Snort IPS]]
FORENSIC:
 
/var/log/apache2/access.log
 
/var/log/snort/alert
 
/var/log/snort/snort.log
 
Wireshark sniffer
 
MITIGATION:
 
Membuat snort rules dari hasil sniffing attack
 
Penggunaan AI pada IDS
 
Penggunaan IPS
 
  
 +
 +
* [[SQL Overview (en)]]
 +
* [[MySQL (en)]]
 +
* [[SQL Injection Attack (en)]]
 +
* [[Hands-On: Attack SQL Injection (en)]]
 +
* [[Mitigation: SQL Injection (en)]]
 +
* [[Mitigation: Snort IPS (en)]]
  
  
 
==PERTEMUAN: Forensic Command Injection Attack==
 
==PERTEMUAN: Forensic Command Injection Attack==
TEORI: Command Line di Server Linux
 
Kerja PHP
 
DEMO: Attack Command Injection via Front End
 
FORENSIC:
 
/var/log/apache2/access.log
 
Wireshark sniffer
 
MITIGATION:
 
Penggunaan Filtering di input PHP
 
Penggunaan WAF
 
  
 +
* [[Command Line di Server Linux]]
 +
* [[Hands-on Command Injection Attack]]
 +
* [[Forensic Command Injection Attack]]
 +
* [[Mitigasi Command Injection Attack]]
  
  
==PERTEMUAN: Forensic Backdoor via Command Injection Attack==
+
* [[Command Line on a Linux Server (en)]]
TEORI: TCP port communication via nc
+
* [[Hands-on Command Injection Attack (en)]]
cara kerja mkfifo
+
* [[Forensic Command Injection Attack (en)]]
DEMO: Attack backdoor menggunakan mkfifo via command injection
+
* [[Mitigation of Command Injection Attack (en)]]
FORENSIC:
 
ps ax
 
pstree`
 
/var/log/apache2/access.log
 
Wireshark sniffer
 
MITIGATION:
 
Penggunaan Filtering di input PHP
 
Penggunaan WAF
 
  
  
 +
==PERTEMUAN: Forensic Backdoor via Command Injection Attack==
  
==PERTEMUAN: Forensic File System Linux==
+
* [[TCP port communication via nc]]
TEORI: copy partisi menggunakan dd
+
* [[mkfifo: cara kerja]]
restore file menggunakan ntfsundelete
+
* [[Hands-on mkfifo attack backdoor di DVWA via Command Injection]]
restire file menggunakan ext3undelete
+
* [[Forensic backdoor di Ubuntu]]
DEMO: Restore deleted file
+
* [[Grep: Scanning Backdoor]]
FORENSIC:
+
* [[Mitigasi backdoor di Ubuntu]]
dd
 
ntfsundelete
 
ext3undelete
 
MITIGATION:
 
GnuPG
 
Fprmat Full bukan Quick
 
  
  
==PERTEMUAN: Forensic Access ADB ke Android==
+
* [[TCP port communication via nc (en)]] 
TEORI: Android Debugging Bridge (ADB) https://onnocenter.or.id/wiki/index.php/OS:_Android_ADB
+
* [[mkfifo: how it works (en)]]
ADB untuk Forensic https://onnocenter.or.id/wiki/index.php/Forensic:_IT_praktek_ADB
+
* [[Hands-on mkfifo attack backdoor in DVWA via Command Injection (en)]] 
DEMO: Forensic Menggunakan ADB
+
* [[Forensic backdoor in Ubuntu (en)]]
FORENSIC:
+
* [[Grep: Scanning for backdoor (en)]]
adb devices
+
* [[Mitigation of backdoor in Ubuntu (en)]]
adb shell
 
adb pull
 
adb push
 
adb shell screencap -p /sdcard/screenshot.png
 
adb logcat
 
adb install myapp.apk
 
MITIGATION:
 
Android Developer Enable
 
Android ADB Allow
 
  
 +
==PERTEMUAN: Forensic File System Linux==
  
==PERTEMUAN: Misc Attack & Forensic==
+
* [[Overview tentang dd, ntfsundelete, ext3undelete dan extundelete]]
TEORI: Penggunaan Metasploitable
+
* [[Hands-on File Forensic menggunakan dd, ntfsundelete, ext3undelete, dan extundelete]]
Penggunaan SQLMap untuk SQL Injection
+
* [[Mitigasi agar file dan file system aman]]
Penggunaan nmap untuk payload attack
 
Log yang relevan dengan payload attack
 
DEMO: Misc. Attack & Forensic
 
FORENSIC:
 
nmap --script smb-enum-users.nse -p445 <host>
 
sudo nmap -sU -sS --script smb-enum-users.nse -p U:137,T:139 <host>
 
nmap --script=mysql-brute <target>
 
Nmap  -sT -p3306 --script mysql-brute.nse --script-args userdb=/root/user.txt --script-trace  192.168.0.100
 
Nmap  -sT -p3306 --script mysql-brute.nse --script-args userdb=/root/user.txt,passdb=/root/pass.txt --script-trace 192.168.0.100
 
msfconsole use auxiliary/scanner/smb/smb_login
 
msfconsole use auxiliary/scanner/smb/smb_enumshares
 
msfvenom
 
MITIGATION:
 
Firewall
 
Access Control List
 
PAM
 
  
  
 +
* [[Overview of dd, ntfsundelete, ext3undelete, and extundelete (en)]]
 +
* [[Hands-on File Forensics using dd, ntfsundelete, ext3undelete, and extundelete (en)]]
 +
* [[Mitigation to secure files and file systems (en)]]
  
SOAL UJIAN (ESSAY):
 
Tuliskan Forensic untuk dua (2) kejahatan siber yang melibatkan serangan hacker. Untuk setiap kasus, Anda diminta untuk:
 
  
Menjelaskan Teori: Uraikan secara detail konsep attack, termasuk mekanisme serangan, tujuan penyerang, dan dampak yang ditimbulkan.
+
==PERTEMUAN: Investigasi Perangkat Mobile==
Menganalisis Snapshot Attack: Identifikasi indikator-indikator yang menunjukkan adanya serangan pada kasus yang Anda pilih.
 
Hasil Forensik: Jelaskan langkah-langkah forensik yang akan Anda lakukan untuk mengumpulkan dan menganalisis bukti digital terkait serangan tersebut. Sertakan pula jenis tool forensik yang relevan.
 
Mitigasi: Usulkan langkah-langkah mitigasi yang efektif untuk mencegah dan menanggulangi attack di masa mendatang.
 
Laporan Forensik: Buatlah laporan forensik satu halaman untuk setiap kasus. Laporan harus mencakup ringkasan kasus, temuan forensik, kesimpulan, dan rekomendasi.
 
 
 
 
 
Contoh Skenario Kasus (Anda boleh memilih kasus yang lain):
 
Kasus 1: Sebuah perusahaan rintisan mengalami kebocoran data sensitif pelanggan. Hasil investigasi awal menunjukkan adanya aktivitas mencurigakan pada sistem virtualisasi.
 
Kasus 2: Sebuah lembaga pemerintahan mengalami gangguan pada sistem servernya. Analisis awal menunjukkan adanya perubahan konfigurasi yang tidak wajar pada beberapa mesin virtual.
 
 
 
 
 
Pedoman Penilaian:
 
Pemahaman Konsep: Seberapa baik Anda memahami konsep attack dan mampu menjelaskan teori di baliknya.
 
Analisis Kasus: Kemampuan Anda dalam mengidentifikasi indikator serangan dan mengaitkannya dengan teori.
 
Prosedur Forensik: Keakuratan dan kelengkapan langkah-langkah forensik yang diusulkan.
 
Mitigasi: Relevansi dan efektivitas langkah-langkah mitigasi yang diajukan.
 
Laporan Forensik: Kualitas penyusunan laporan, termasuk struktur, isi, dan kesimpulan.
 
 
 
 
 
Tujuan Soal:
 
Soal ini bertujuan untuk mengukur kemampuan mahasiswa dalam:
 
Memahami konsep serangan siber yang kompleks.
 
Menerapkan pengetahuan forensik untuk menganalisis kasus nyata.
 
Mengusulkan solusi yang efektif untuk mengatasi ancaman siber.
 
Menyajikan hasil investigasi secara profesional dalam bentuk laporan.
 
 
 
Tips untuk Mahasiswa:
 
Pelajari Teori: Pahami secara mendalam konsep attack dan teknik-teknik yang digunakan oleh penyerang.
 
Latihan Praktis: Gunakan alat-alat forensik untuk menganalisis data dan simulasikan skenario serangan.
 
Baca Jurnal: Tetap update dengan perkembangan terbaru di bidang IT Forensik.
 
Latih Kemampuan Menulis: Buat laporan forensik yang jelas, ringkas, dan mudah dipahami.
 
  
 +
* [[Karakteristik Perangkat Mobile: Sistem operasi mobile, Aplikasi pihak ketiga, Cloud storage]]
 +
* [[Teknik Akuisisi Physical extraction vs. Logical extraction]]
 +
* [[Teknik Rooting Android jika diperlukan]]
 +
* [[Hands-on Forensic Android menggunakan ADB]]
 +
* [[Hands-on Forensic Android menggunakan ADB untuk analisa SMS, panggilan, kontak, Whatsapp, Data Lokasi]]
  
  
 +
* [[Characteristics of Mobile Devices: Mobile Operating Systems, Third-Party Applications, Cloud Storage (en)]]
 +
* [[Acquisition Techniques: Physical Extraction vs. Logical Extraction (en)]]
 +
* [[Android Rooting Techniques if Necessary (en)]]
 +
* [[Hands-on Android Forensics using ADB (en)]]
 +
* [[Hands-on Android Forensics using ADB for analyzing SMS, calls, contacts, WhatsApp, Location Data (en)]]
  
  
 +
==PERTEMUAN: Misc Attack & Forensic==
  
 +
* [[Berbagai latihan serangan dan forensic pada Metasploitable]]
 +
* [[Forensic: nmap smb-enum-users.nse attack]]
 +
* [[Forensic: nmap mysql-brute.nse attack]]
 +
* [[Forensic: nmap ssh2-enum-algos attack]]
 +
* [[Forensic: msfconsole use auxiliary/scanner/smb/smb_login attack]]
 +
* [[Forensic: msfconsole use auxiliary/scanner/smb/smb_enumshares attack]]
 +
* [[Forensic: msfvenom attack]]
  
Catatan:
 
  
* Outline ini bersifat umum dan dapat disesuaikan dengan kebutuhan dan tingkat kesulitan yang diinginkan.
+
* [[Example of attackes dan forensic using Metasploitable (en)]]
* Materi praktikum dapat difokuskan pada penggunaan alat forensik yang populer seperti Autopsy, FTK Imager, dan Mobile Device Forensics tools.
+
* [[Forensic: nmap smb-enum-users.nse attack (en)]]
* Materi dapat diperkaya dengan studi kasus yang relevan dan up-to-date.
+
* [[Forensic: nmap mysql-brute.nse attack (en)]]
 +
* [[Forensic: nmap ssh2-enum-algos attack (en)]]
 +
* [[Forensic: msfconsole use auxiliary/scanner/smb/smb_login attack (en)]]
 +
* [[Forensic: msfconsole use auxiliary/scanner/smb/smb_enumshares attack (en)]]
 +
* [[Forenisc: msfvenom attack (en) ]]
  
Topik Tambahan (Opsional):
+
==PERTEMUAN: Laporan Forensic==
  
* Cryptography and Steganography
+
* [[Laporan Forensic: Outline]]
* Cloud Forensics
+
* [[Laporan Forensic: Prosedur Pemeriksaan]]
* Digital Evidence in Court
+
* [[Laporan Forensic: Hasil Temuan]]
  
Saran:
 
  
* Ajak praktisi: Undang praktisi IT Forensik untuk berbagi pengalaman dan memberikan wawasan yang lebih luas.
+
* [[Forensic Report: Outline (en)]]
* Kolaborasi dengan laboratorium: Jika memungkinkan, lakukan kunjungan ke laboratorium forensik untuk melihat langsung proses kerja.
+
* [[Forensic Report: Examination Procedures (en)]]
* Gunakan simulasi: Gunakan software simulasi untuk memberikan pengalaman praktis kepada mahasiswa.
+
* [[Forensic Report: Findings (en)]]
* Dengan mengikuti outline ini, mahasiswa diharapkan dapat memahami dasar-dasar IT Forensik, menguasai teknik-teknik investigasi, dan mampu menganalisis bukti digital secara profesional.
 

Latest revision as of 09:14, 29 October 2024

PERTEMUAN: Pengenalan IT Forensik



PERTEMUAN: Proses Akuisisi Data



PERTEMUAN: Analisis Data



PERTEMUAN: Investigasi Sistem Operasi



PERTEMUAN: Investigasi Jaringan



PERTEMUAN: Forensic eMail


PERTEMUAN: Forensic SQL Injection Attack



PERTEMUAN: Forensic Command Injection Attack



PERTEMUAN: Forensic Backdoor via Command Injection Attack


PERTEMUAN: Forensic File System Linux



PERTEMUAN: Investigasi Perangkat Mobile



PERTEMUAN: Misc Attack & Forensic


PERTEMUAN: Laporan Forensic