Difference between revisions of "Forensic: IT"
Onnowpurbo (talk | contribs) (Created page with "Pertemuan 1: Pengenalan IT Forensik * Definisi dan Konsep Dasar: ** Apa itu IT Forensik? ** Sejarah Singkat IT Forensik ** Perbedaan dengan bidang terkait (cybersecurity, hac...") |
Onnowpurbo (talk | contribs) |
||
| Line 1: | Line 1: | ||
| − | + | ==PERTEMUAN: Pengenalan IT Forensik== | |
* Definisi dan Konsep Dasar: | * Definisi dan Konsep Dasar: | ||
| Line 15: | Line 15: | ||
** Etika dalam pengumpulan dan analisis bukti digital | ** Etika dalam pengumpulan dan analisis bukti digital | ||
| − | + | ==PERTEMUAN: Proses Akuisisi Data== | |
* Prinsip Dasar Akuisisi: | * Prinsip Dasar Akuisisi: | ||
| Line 32: | Line 32: | ||
** Contoh formulir dokumentasi | ** Contoh formulir dokumentasi | ||
| − | + | ==PERTEMUAN: Analisis Data== | |
* Alat dan Perangkat Lunak: | * Alat dan Perangkat Lunak: | ||
| Line 49: | Line 49: | ||
** Timelining | ** Timelining | ||
| − | + | ==PERTEMUAN: Investigasi Sistem Operasi== | |
* Sistem Operasi Windows: | * Sistem Operasi Windows: | ||
| Line 65: | Line 65: | ||
** iOS Forensics | ** iOS Forensics | ||
| − | + | ==PERTEMUAN: Investigasi Jaringan== | |
* Konsep Dasar Jaringan: | * Konsep Dasar Jaringan: | ||
| Line 82: | Line 82: | ||
** Incident response | ** Incident response | ||
| − | + | ==PERTEMUAN: Investigasi Perangkat Mobile== | |
* Karakteristik Perangkat Mobile: | * Karakteristik Perangkat Mobile: | ||
| Line 98: | Line 98: | ||
** Data lokasi | ** Data lokasi | ||
| − | + | ==PERTEMUAN: Kasus Studi dan Praktikum== | |
* Studi Kasus: | * Studi Kasus: | ||
| Line 108: | Line 108: | ||
** Penggunaan alat forensik | ** Penggunaan alat forensik | ||
** Penyusunan laporan forensik | ** Penyusunan laporan forensik | ||
| + | |||
| + | |||
| + | |||
| + | ==PERTEMUAN: Forensic eMail== | ||
| + | TEORI: Protocol SMTP | ||
| + | https://www.rfc-editor.org/info/rfc788 | ||
| + | DEMO: Attack Spoofing SMTP Server & WebMail | ||
| + | Korban sudah banyak berjatuhan terutama dari Nasabah BCA | ||
| + | FORENSIC: | ||
| + | Header eMail | ||
| + | /var/log/mail.log | ||
| + | Wireshark Sniffer | ||
| + | MITIGATION: | ||
| + | GnuPG | ||
| + | |||
| + | |||
| + | |||
| + | ==PERTEMUAN: Forensic SQL Injection Attack== | ||
| + | TEORI: Database MySQL | ||
| + | Kerja IPS Snort | ||
| + | Kerja PHP | ||
| + | /etc/snort/rules | ||
| + | /etc/snort/classification.config | ||
| + | DEMO: Attack SQL Injection | ||
| + | FORENSIC: | ||
| + | /var/log/apache2/access.log | ||
| + | /var/log/snort/alert | ||
| + | /var/log/snort/snort.log | ||
| + | Wireshark sniffer | ||
| + | MITIGATION: | ||
| + | Membuat snort rules dari hasil sniffing attack | ||
| + | Penggunaan AI pada IDS | ||
| + | Penggunaan IPS | ||
| + | |||
| + | |||
| + | |||
| + | ==PERTEMUAN: Forensic Command Injection Attack== | ||
| + | TEORI: Command Line di Server Linux | ||
| + | Kerja PHP | ||
| + | DEMO: Attack Command Injection via Front End | ||
| + | FORENSIC: | ||
| + | /var/log/apache2/access.log | ||
| + | Wireshark sniffer | ||
| + | MITIGATION: | ||
| + | Penggunaan Filtering di input PHP | ||
| + | Penggunaan WAF | ||
| + | |||
| + | |||
| + | |||
| + | ==PERTEMUAN: Forensic Backdoor via Command Injection Attack== | ||
| + | TEORI: TCP port communication via nc | ||
| + | cara kerja mkfifo | ||
| + | DEMO: Attack backdoor menggunakan mkfifo via command injection | ||
| + | FORENSIC: | ||
| + | ps ax | ||
| + | pstree` | ||
| + | /var/log/apache2/access.log | ||
| + | Wireshark sniffer | ||
| + | MITIGATION: | ||
| + | Penggunaan Filtering di input PHP | ||
| + | Penggunaan WAF | ||
| + | |||
| + | |||
| + | |||
| + | ==PERTEMUAN: Forensic File System Linux== | ||
| + | TEORI: copy partisi menggunakan dd | ||
| + | restore file menggunakan ntfsundelete | ||
| + | restire file menggunakan ext3undelete | ||
| + | DEMO: Restore deleted file | ||
| + | FORENSIC: | ||
| + | dd | ||
| + | ntfsundelete | ||
| + | ext3undelete | ||
| + | MITIGATION: | ||
| + | GnuPG | ||
| + | Fprmat Full bukan Quick | ||
| + | |||
| + | |||
| + | ==PERTEMUAN: Forensic Access ADB ke Android== | ||
| + | TEORI: Android Debugging Bridge (ADB) https://onnocenter.or.id/wiki/index.php/OS:_Android_ADB | ||
| + | ADB untuk Forensic https://onnocenter.or.id/wiki/index.php/Forensic:_IT_praktek_ADB | ||
| + | DEMO: Forensic Menggunakan ADB | ||
| + | FORENSIC: | ||
| + | adb devices | ||
| + | adb shell | ||
| + | adb pull | ||
| + | adb push | ||
| + | adb shell screencap -p /sdcard/screenshot.png | ||
| + | adb logcat | ||
| + | adb install myapp.apk | ||
| + | MITIGATION: | ||
| + | Android Developer Enable | ||
| + | Android ADB Allow | ||
| + | |||
| + | |||
| + | ==PERTEMUAN: Misc Attack & Forensic== | ||
| + | TEORI: Penggunaan Metasploitable | ||
| + | Penggunaan SQLMap untuk SQL Injection | ||
| + | Penggunaan nmap untuk payload attack | ||
| + | Log yang relevan dengan payload attack | ||
| + | DEMO: Misc. Attack & Forensic | ||
| + | FORENSIC: | ||
| + | nmap --script smb-enum-users.nse -p445 <host> | ||
| + | sudo nmap -sU -sS --script smb-enum-users.nse -p U:137,T:139 <host> | ||
| + | nmap --script=mysql-brute <target> | ||
| + | Nmap -sT -p3306 --script mysql-brute.nse --script-args userdb=/root/user.txt --script-trace 192.168.0.100 | ||
| + | Nmap -sT -p3306 --script mysql-brute.nse --script-args userdb=/root/user.txt,passdb=/root/pass.txt --script-trace 192.168.0.100 | ||
| + | msfconsole use auxiliary/scanner/smb/smb_login | ||
| + | msfconsole use auxiliary/scanner/smb/smb_enumshares | ||
| + | msfvenom | ||
| + | MITIGATION: | ||
| + | Firewall | ||
| + | Access Control List | ||
| + | PAM | ||
| + | |||
| + | |||
| + | |||
| + | SOAL UJIAN (ESSAY): | ||
| + | Tuliskan Forensic untuk dua (2) kejahatan siber yang melibatkan serangan hacker. Untuk setiap kasus, Anda diminta untuk: | ||
| + | |||
| + | Menjelaskan Teori: Uraikan secara detail konsep attack, termasuk mekanisme serangan, tujuan penyerang, dan dampak yang ditimbulkan. | ||
| + | Menganalisis Snapshot Attack: Identifikasi indikator-indikator yang menunjukkan adanya serangan pada kasus yang Anda pilih. | ||
| + | Hasil Forensik: Jelaskan langkah-langkah forensik yang akan Anda lakukan untuk mengumpulkan dan menganalisis bukti digital terkait serangan tersebut. Sertakan pula jenis tool forensik yang relevan. | ||
| + | Mitigasi: Usulkan langkah-langkah mitigasi yang efektif untuk mencegah dan menanggulangi attack di masa mendatang. | ||
| + | Laporan Forensik: Buatlah laporan forensik satu halaman untuk setiap kasus. Laporan harus mencakup ringkasan kasus, temuan forensik, kesimpulan, dan rekomendasi. | ||
| + | |||
| + | |||
| + | Contoh Skenario Kasus (Anda boleh memilih kasus yang lain): | ||
| + | Kasus 1: Sebuah perusahaan rintisan mengalami kebocoran data sensitif pelanggan. Hasil investigasi awal menunjukkan adanya aktivitas mencurigakan pada sistem virtualisasi. | ||
| + | Kasus 2: Sebuah lembaga pemerintahan mengalami gangguan pada sistem servernya. Analisis awal menunjukkan adanya perubahan konfigurasi yang tidak wajar pada beberapa mesin virtual. | ||
| + | |||
| + | |||
| + | Pedoman Penilaian: | ||
| + | Pemahaman Konsep: Seberapa baik Anda memahami konsep attack dan mampu menjelaskan teori di baliknya. | ||
| + | Analisis Kasus: Kemampuan Anda dalam mengidentifikasi indikator serangan dan mengaitkannya dengan teori. | ||
| + | Prosedur Forensik: Keakuratan dan kelengkapan langkah-langkah forensik yang diusulkan. | ||
| + | Mitigasi: Relevansi dan efektivitas langkah-langkah mitigasi yang diajukan. | ||
| + | Laporan Forensik: Kualitas penyusunan laporan, termasuk struktur, isi, dan kesimpulan. | ||
| + | |||
| + | |||
| + | Tujuan Soal: | ||
| + | Soal ini bertujuan untuk mengukur kemampuan mahasiswa dalam: | ||
| + | Memahami konsep serangan siber yang kompleks. | ||
| + | Menerapkan pengetahuan forensik untuk menganalisis kasus nyata. | ||
| + | Mengusulkan solusi yang efektif untuk mengatasi ancaman siber. | ||
| + | Menyajikan hasil investigasi secara profesional dalam bentuk laporan. | ||
| + | |||
| + | Tips untuk Mahasiswa: | ||
| + | Pelajari Teori: Pahami secara mendalam konsep attack dan teknik-teknik yang digunakan oleh penyerang. | ||
| + | Latihan Praktis: Gunakan alat-alat forensik untuk menganalisis data dan simulasikan skenario serangan. | ||
| + | Baca Jurnal: Tetap update dengan perkembangan terbaru di bidang IT Forensik. | ||
| + | Latih Kemampuan Menulis: Buat laporan forensik yang jelas, ringkas, dan mudah dipahami. | ||
| + | |||
| + | |||
| + | |||
| + | |||
| + | |||
| + | |||
Catatan: | Catatan: | ||
Revision as of 09:33, 12 October 2024
PERTEMUAN: Pengenalan IT Forensik
- Definisi dan Konsep Dasar:
- Apa itu IT Forensik?
- Sejarah Singkat IT Forensik
- Perbedaan dengan bidang terkait (cybersecurity, hacking, dll)
- Tujuan dan Ruang Lingkup:
- Tujuan utama IT Forensik
- Jenis-jenis bukti digital
- Aplikasi IT Forensik dalam dunia nyata (kasus-kasus terkenal)
- Hukum dan Etika:
- Regulasi terkait IT Forensik di Indonesia
- Etika dalam pengumpulan dan analisis bukti digital
PERTEMUAN: Proses Akuisisi Data
- Prinsip Dasar Akuisisi:
- Tujuan akuisisi data
- Metode akuisisi (live acquisition, static acquisition)
- Perangkat keras dan perangkat lunak yang dibutuhkan
- Teknik Akuisisi:
- Disk imaging
- Memory dump
- Network traffic capture
- Dokumentasi dan Chain of Custody:
- Pentingnya dokumentasi
- Konsep chain of custody
- Contoh formulir dokumentasi
PERTEMUAN: Analisis Data
- Alat dan Perangkat Lunak:
- Jenis-jenis alat forensik (open source, komersial)
- Fitur-fitur utama alat forensik
- Teknik Analisis:
- File carving
- Email analysis
- Web history analysis
- Registry analysis
- Analisis Data Jejak:
- Artefak digital
- Metadata
- Timelining
PERTEMUAN: Investigasi Sistem Operasi
- Sistem Operasi Windows:
- Struktur file system NTFS
- Registry Windows
- Event log
- Sistem Operasi Linux:
- Struktur file system ext2/ext3/ext4
- Journaling
- Log file
- Sistem Operasi Mobile:
- Android Forensics
- iOS Forensics
PERTEMUAN: Investigasi Jaringan
- Konsep Dasar Jaringan:
- Protokol jaringan
- Paket data
- Analisis traffic jaringan
- Alat dan Teknik:
- Packet capture
- Network traffic analysis
- DNS analysis
- Investigasi Intrusi:
- Analisis log server
- Deteksi malware
- Incident response
PERTEMUAN: Investigasi Perangkat Mobile
- Karakteristik Perangkat Mobile:
- Sistem operasi mobile
- Aplikasi pihak ketiga
- Cloud storage
- Teknik Akuisisi:
- Physical extraction
- Logical extraction
- Analisis Data:
- SMS, panggilan, kontak
- Aplikasi pesan instan
- Data lokasi
PERTEMUAN: Kasus Studi dan Praktikum
- Studi Kasus:
- Kasus-kasus IT Forensik aktual
- Analisis kasus
- Praktikum:
- Simulasi kasus forensik
- Penggunaan alat forensik
- Penyusunan laporan forensik
PERTEMUAN: Forensic eMail
TEORI: Protocol SMTP https://www.rfc-editor.org/info/rfc788 DEMO: Attack Spoofing SMTP Server & WebMail Korban sudah banyak berjatuhan terutama dari Nasabah BCA FORENSIC: Header eMail /var/log/mail.log Wireshark Sniffer MITIGATION: GnuPG
PERTEMUAN: Forensic SQL Injection Attack
TEORI: Database MySQL Kerja IPS Snort Kerja PHP /etc/snort/rules /etc/snort/classification.config DEMO: Attack SQL Injection FORENSIC: /var/log/apache2/access.log /var/log/snort/alert /var/log/snort/snort.log Wireshark sniffer MITIGATION: Membuat snort rules dari hasil sniffing attack Penggunaan AI pada IDS Penggunaan IPS
PERTEMUAN: Forensic Command Injection Attack
TEORI: Command Line di Server Linux Kerja PHP DEMO: Attack Command Injection via Front End FORENSIC: /var/log/apache2/access.log Wireshark sniffer MITIGATION: Penggunaan Filtering di input PHP Penggunaan WAF
PERTEMUAN: Forensic Backdoor via Command Injection Attack
TEORI: TCP port communication via nc cara kerja mkfifo DEMO: Attack backdoor menggunakan mkfifo via command injection FORENSIC: ps ax pstree` /var/log/apache2/access.log Wireshark sniffer MITIGATION: Penggunaan Filtering di input PHP Penggunaan WAF
PERTEMUAN: Forensic File System Linux
TEORI: copy partisi menggunakan dd restore file menggunakan ntfsundelete restire file menggunakan ext3undelete DEMO: Restore deleted file FORENSIC: dd ntfsundelete ext3undelete MITIGATION: GnuPG Fprmat Full bukan Quick
PERTEMUAN: Forensic Access ADB ke Android
TEORI: Android Debugging Bridge (ADB) https://onnocenter.or.id/wiki/index.php/OS:_Android_ADB ADB untuk Forensic https://onnocenter.or.id/wiki/index.php/Forensic:_IT_praktek_ADB DEMO: Forensic Menggunakan ADB FORENSIC: adb devices adb shell adb pull adb push adb shell screencap -p /sdcard/screenshot.png adb logcat adb install myapp.apk MITIGATION: Android Developer Enable Android ADB Allow
PERTEMUAN: Misc Attack & Forensic
TEORI: Penggunaan Metasploitable Penggunaan SQLMap untuk SQL Injection Penggunaan nmap untuk payload attack Log yang relevan dengan payload attack DEMO: Misc. Attack & Forensic FORENSIC: nmap --script smb-enum-users.nse -p445 <host> sudo nmap -sU -sS --script smb-enum-users.nse -p U:137,T:139 <host> nmap --script=mysql-brute <target> Nmap -sT -p3306 --script mysql-brute.nse --script-args userdb=/root/user.txt --script-trace 192.168.0.100 Nmap -sT -p3306 --script mysql-brute.nse --script-args userdb=/root/user.txt,passdb=/root/pass.txt --script-trace 192.168.0.100 msfconsole use auxiliary/scanner/smb/smb_login msfconsole use auxiliary/scanner/smb/smb_enumshares msfvenom MITIGATION: Firewall Access Control List PAM
SOAL UJIAN (ESSAY): Tuliskan Forensic untuk dua (2) kejahatan siber yang melibatkan serangan hacker. Untuk setiap kasus, Anda diminta untuk:
Menjelaskan Teori: Uraikan secara detail konsep attack, termasuk mekanisme serangan, tujuan penyerang, dan dampak yang ditimbulkan. Menganalisis Snapshot Attack: Identifikasi indikator-indikator yang menunjukkan adanya serangan pada kasus yang Anda pilih. Hasil Forensik: Jelaskan langkah-langkah forensik yang akan Anda lakukan untuk mengumpulkan dan menganalisis bukti digital terkait serangan tersebut. Sertakan pula jenis tool forensik yang relevan. Mitigasi: Usulkan langkah-langkah mitigasi yang efektif untuk mencegah dan menanggulangi attack di masa mendatang. Laporan Forensik: Buatlah laporan forensik satu halaman untuk setiap kasus. Laporan harus mencakup ringkasan kasus, temuan forensik, kesimpulan, dan rekomendasi.
Contoh Skenario Kasus (Anda boleh memilih kasus yang lain):
Kasus 1: Sebuah perusahaan rintisan mengalami kebocoran data sensitif pelanggan. Hasil investigasi awal menunjukkan adanya aktivitas mencurigakan pada sistem virtualisasi.
Kasus 2: Sebuah lembaga pemerintahan mengalami gangguan pada sistem servernya. Analisis awal menunjukkan adanya perubahan konfigurasi yang tidak wajar pada beberapa mesin virtual.
Pedoman Penilaian:
Pemahaman Konsep: Seberapa baik Anda memahami konsep attack dan mampu menjelaskan teori di baliknya.
Analisis Kasus: Kemampuan Anda dalam mengidentifikasi indikator serangan dan mengaitkannya dengan teori.
Prosedur Forensik: Keakuratan dan kelengkapan langkah-langkah forensik yang diusulkan.
Mitigasi: Relevansi dan efektivitas langkah-langkah mitigasi yang diajukan.
Laporan Forensik: Kualitas penyusunan laporan, termasuk struktur, isi, dan kesimpulan.
Tujuan Soal:
Soal ini bertujuan untuk mengukur kemampuan mahasiswa dalam:
Memahami konsep serangan siber yang kompleks.
Menerapkan pengetahuan forensik untuk menganalisis kasus nyata.
Mengusulkan solusi yang efektif untuk mengatasi ancaman siber.
Menyajikan hasil investigasi secara profesional dalam bentuk laporan.
Tips untuk Mahasiswa: Pelajari Teori: Pahami secara mendalam konsep attack dan teknik-teknik yang digunakan oleh penyerang. Latihan Praktis: Gunakan alat-alat forensik untuk menganalisis data dan simulasikan skenario serangan. Baca Jurnal: Tetap update dengan perkembangan terbaru di bidang IT Forensik. Latih Kemampuan Menulis: Buat laporan forensik yang jelas, ringkas, dan mudah dipahami.
Catatan:
- Outline ini bersifat umum dan dapat disesuaikan dengan kebutuhan dan tingkat kesulitan yang diinginkan.
- Materi praktikum dapat difokuskan pada penggunaan alat forensik yang populer seperti Autopsy, FTK Imager, dan Mobile Device Forensics tools.
- Materi dapat diperkaya dengan studi kasus yang relevan dan up-to-date.
Topik Tambahan (Opsional):
- Cryptography and Steganography
- Cloud Forensics
- Digital Evidence in Court
Saran:
- Ajak praktisi: Undang praktisi IT Forensik untuk berbagi pengalaman dan memberikan wawasan yang lebih luas.
- Kolaborasi dengan laboratorium: Jika memungkinkan, lakukan kunjungan ke laboratorium forensik untuk melihat langsung proses kerja.
- Gunakan simulasi: Gunakan software simulasi untuk memberikan pengalaman praktis kepada mahasiswa.
- Dengan mengikuti outline ini, mahasiswa diharapkan dapat memahami dasar-dasar IT Forensik, menguasai teknik-teknik investigasi, dan mampu menganalisis bukti digital secara profesional.