Role Based Access Control Models

Pengertian RBAC (Role Based Access Control)

Dalam mengembangkan aplikasi, kita tentu membagi-bagi user sesuai fungsinya. Kita dapat merancang pembagian user sendiri atau kita belajar dari best practice yang pernah dilakukan. Best practice untuk pembagian akses aplikasi adalah menggunakan RBAC atau Role Based Access Control.

Dalam RBAC ini kita akan membuat Role untuk masing-masing tingkatan user. Dalam setiap Role ini terdapat berbagai menu yang diberikan kepada Role ini lengkap dengan permissionnya.

Misal Role Admin Purchasing akan mendapatkan menu Purchase Order dengan permission Create.
Kemudian Role Purchasing Manager akan mendapatkan menu Purchase Order dan Purchase Request masing-masing dengan permission Approve.

Secara relasi tabelnya Role -> Menu -> Permission .

Kemudian setiap user akan diberikan satu atau beberapa Role.
Dengan demikan akan terjadi relasi Many to Many untuk User <-> Role.

Dalam sistem keamanan komputer, role-based access control (RBAC) adalah sebuah pendekatan untuk membatasi akses sistem untuk pengguna yang berwenang. Hal ini digunakan oleh sebagian besar perusahaan dengan lebih dari 500 karyawan, dan dapat diimplementasikan melalui mandatory access control (MAC) atau discretionary access control (DAC). RBAC kadang-kadang disebut sebagai role-based security.

RBAC Model

Dalam sebuah organisasi, peran diciptakan untuk fungsi berbagai pekerjaan. Hak akses untuk melakukan operasi tertentu yang ditugaskan untuk peran tertentu. Anggota staf (atau pengguna sistem lain) yang ditugaskan peran-peran tertentu, dan melalui mereka memperoleh penugasan peran izin tertentu komputer untuk melakukan fungsi sistem komputer. Karena pengguna tidak diberikan izin secara langsung, tetapi hanya mendapatkan mereka melalui peran mereka (atau peran), pengelolaan hak pengguna individu menjadi masalah hanya menempatkan peran yang sesuai ke account pengguna; ini menyederhanakan operasi umum, seperti menambah user, atau mengubah departemen pengguna.

Tiga aturan utama yang ditetapkan untuk RBAC:

1. Tugas peranan: Sebuah subjek dapat melaksanakan izin hanya jika subjek telah dipilih atau telah ditugaskan peran.
2. Peran otorisasi: peran aktif Sebuah subjek harus berwenang untuk subjek. Dengan aturan 1 di atas, peraturan ini memastikan bahwa pengguna dapat mengambil peran hanya untuk yang mereka yang berwenang.
3. Izin otorisasi: Sebuah subjek dapat melaksanakan izin hanya jika izin berwenang untuk peran aktif subjek. Dengan aturan 1 dan 2, peraturan ini memastikan bahwa pengguna dapat berolahraga izin hanya untuk yang mereka yang berwenang.

Kendala tambahan dapat diterapkan juga, dan peran dapat dikombinasikan dalam suatu hirarki di mana tingkat yang lebih tinggi peran menggolongkan izin yang dimiliki oleh sub-peran.

Dengan konsep hirarki peran dan kendala, seseorang dapat mengontrol RBAC untuk membuat atau mensimulasikan lattice-based access control (LBAC). Jadi RBAC dapat dianggap sebagai superset dari LBAC.

Ketika mendefinisikan model RBAC, konvensi berikut ini berguna:

• S = Subyek = Seseorang atau agen otomatis
• R = Peran = Ayub fungsi atau judul yang mendefinisikan tingkat otoritas
• P = Permissions = Sebuah persetujuan mode akses ke sumber daya
• SE = Sesi = Sebuah pemetaan yang melibatkan S, R dan / atau P
• SA = Perihal Tugas
• PA = Izin Tugas
• RH = Sebagian memerintahkan Hirarki Peran. RH juga dapat ditulis: ≥ (notasi ini: x ≥ y berarti x mewarisi hak akses dari y.)

• Sebuah subjek dapat memiliki peran ganda.
• Peran dapat memiliki beberapa mata pelajaran.
• Peran dapat memiliki hak akses banyak.
• Sebuah izin dapat diberikan ke banyak peran.
• Operasi dapat diberikan hak akses banyak.
• Sebuah izin dapat ditugaskan untuk banyak operasi.

Sebuah kendala tempat aturan yang membatasi potensi warisan izin dari peran lawan, sehingga dapat digunakan untuk mencapai pemisahan tugas yang tepat. Misalnya, orang yang sama seharusnya tidak diperbolehkan untuk kedua membuat account login dan untuk mengizinkan pembuatan account.

Jadi, dengan menggunakan teori himpunan notasi :

•  dan merupakan banyak izin banyak untuk hubungan peran tugas.
•  dan merupakan subjek banyak banyak untuk hubungan peran tugas.
• 

Subjek mungkin memiliki sesi simultan dengan hak akses yang berbeda.

Hubungan dengan model lain

RBAC adalah akses kontrol kebijakan teknologi netral dan fleksibel cukup kuat untuk mensimulasikan DAC  dan MAC. Sebaliknya, MAC dapat mensimulasikan RBAC jika grafik peran terbatas pada pohon daripada partialy ordered set . Sebelum untuk pengembangan RBAC, MAC dan DAC dianggap model hanya dikenal untuk kontrol akses: jika model tidak MAC, itu dianggap menjadi model DAC, dan sebaliknya. Penelitian di akhir 1990-an menunjukkan bahwa RBAC jatuh dalam kategori baik.  Tidak seperti berbasis konteks kontrol akses (CBAC), RBAC tidak melihat konteks pesan (seperti sebagai sumber koneksi ini).

RBAC berbeda dari daftar kontrol akses (ACL), yang digunakan dalam tradisional diskresioner akses-kontrol sistem, dalam hal ini memberikan izin untuk operasi khusus dengan makna dalam organisasi, bukan untuk data tingkat rendah objek. Sebagai contoh, sebuah daftar kontrol akses dapat digunakan untuk memberikan atau menolak akses tulis ke file sistem tertentu, tetapi tidak akan mendikte bagaimana file yang bisa diubah. Dalam sistem RBAC berbasis sebuah operasi mungkin untuk ‘membuat account kredit’ transaksi dalam aplikasi keuangan atau untuk ‘mengisi tingkat gula darah tes’ rekor dalam aplikasi medis. Penugasan izin untuk melakukan operasi tertentu yang berarti, karena operasi butiran dengan makna dalam aplikasi. RBAC telah terbukti sangat cocok untukpemisahan tugas (SOD) persyaratan, yang memastikan bahwa dua atau lebih orang harus terlibat dalam otorisasi operasi kritis. Kondisi yang diperlukan dan cukup untuk keselamatan SOD dalam RBAC telah dianalisis. Sebuah prinsip yang mendasari SOD adalah bahwa tidak ada individu harus mampu efek pelanggaran keamanan melalui hak istimewa ganda. Dengan ekstensi, tidak ada orang yang dapat memegang peran yang latihan otoritas audit, kontrol atau review atas yang lain, peran bersamaan diadakan. ^[8] [9]

Penggunaan dan ketersediaan

Penggunaan RBAC untuk mengelola hak pengguna (hak akses komputer) dalam sistem tunggal atau aplikasi secara luas diterima sebagai praktek terbaik. Sistem termasuk Microsoft Active Directory, Microsoft SQL Server , SELinux , GRSecurity , FreeBSD , Solaris , Oracle DBMS , PostgreSQL 8.1 , SAP R / 3 , ISIS Papirus , FusionForge dan banyak lainnya secara efektif mengimplementasikan beberapa bentuk RBAC. Sebuah laporan 2010 disiapkan untuk NIST oleh Research Triangle Institute menganalisis nilai ekonomi dari RBAC untuk perusahaan, dan manfaat diperkirakan per karyawan dari downtime karyawan berkurang, provisioning lebih efisien, dan akses kontrol administrasi yang lebih efisien kebijakan. ^[3]

Dalam sebuah organisasi dengan infrastruktur TI yang heterogen dan persyaratan yang span puluhan atau ratusan sistem dan aplikasi, menggunakan RBAC untuk mengelola peran yang cukup dan menetapkan keanggotaan peran yang memadai menjadi sangat kompleks tanpa hirarkis penciptaan peran dan tugas istimewa. Strategi alternatif untuk tugas skala besar hak istimewa kepada pengguna dibahas dalam kertas putih: Melampaui Peran: Sebuah Pendekatan Praktis untuk Provisioning Pengguna Perusahaan . Sistem baru memperpanjang tua model yang NIST RBAC ^[10] untuk mengatasi keterbatasan RBAC untuk perusahaan-lebar penyebaran. Beberapa makalah akademis ada. Model NIST diadopsi sebagai standar oleh INCITS sebagai ANSI / INCITS 359-2004. Sebuah diskusi dari beberapa pilihan desain untuk model NIST juga telah dipublikasikan

Modeling Role-Based Access Control Using Parameterized UML Models (Dae-Kyoo Kim)

Organisasi menggunakan Role Based Access Control (RBAC) untuk melindungi sumber dayaberbasis komputer dari akses yang tidak sah. Telah cukup bekerja pada secara resmimenetapkan kebijakan RBAC namun masih ada kebutuhan untuk kebijakan teknikspesifikasi RBAC  yang dapat diintegrasikan ke dalam metode desain perangkat lunak.Makalah ini menjelaskan metode untuk menggabungkan spesifikasi kebijakan RBAC ke dalam model desain UML. Kebijakan RBAC dapat digunakan sebagai pola dan disajikandengan Template diagram UML . Kebijakan RBAC menjadi model spesifik aplikasimenyangkut penurunan pola dan menyusun instantiations dengan model. Metode ini juga termasuk teknik untuk menentukan pola pelanggaran RBAC. Pengembang dapat menggunakan pola untuk mengidentifikasi pelanggaran kebijakan dalam model mereka.Metode ini diilustrasikan menggunakan aplikasi perbankan kecil.

Kebijakan RBAC didefinisikan dalam hal perizinan yang terkait dengan peran yang ditetapkan untuk pengguna. Izin A menentukan operasi apa yang pengguna ditugaskan untuk peran bisa tampil di atas sumber daya informasi.

Bekerja pada formalisasi kebijakan RBAC telah menghasilkan pengembangan spesifikasinotasi baru , namun masih ada kebutuhan untuk kebijakan spesifikasi pendekatan yang dapat diintegrasikan dengan teknik desain yang digunakan dalam industri. Unified Modeling Language (UML) dianggap sebagai de-facto standar dari industri untuk modeling sistemberbasis software. Penggunaan UML untuk menentukan kebijakan RBAC memudahkan  di dalam menggabungkan kebijakan ke dalam model aplikasi UML.

Makalah ini menjelaskan metode yang mengintegrasikan spesifikasi kebijakan RBAC dandesain pemodelan UML. Metode ini meliputi  teknik untuk menentukan pola kebijakangenerik RBAC yang dapat dipakai untuk menghasilkan struktur desain aplikasi-spesifik yang menentukan kendala RBAC, teknik untuk menggabungkan sistematis struktur desain yang dihasilkan oleh pola kebijakan RBAC ke dalam model UML desain, dan teknik untukmenentukan struktur desain yang melanggar kendala RBAC sebagai pola.

Future Directions in Role- Based Access Control Models (Ravi Sandhu)

Dalam 5 tahun terakhir ada aktifitas penelitian yang luar biasa mengenai Role Based Access Control, konsensus telah tercapai dan akhirnya ditetapkan sebuah model RBAC standar yang dipublikasikan oleh US National Institute of Standards and Technology (NIST). fakta menunjukkan bahwa RBAC memiliki konsep Open-Ended yang dimana konsep tersebut sangat adaptif dengan aplikasi dan sistem-sistem yang baru. Namun ada Ada aspek penting dari model RBAC, seperti administrasi RBAC, yang masih belum dicapai. Model RBAC yang baru ini membahas konsep yang baru seperti delegasi dan personalisasi, yang dimana hal ini  tidak ada pada model sebelumnya . Aplikasi dari RBAC di dalam me manajemen alur kerja dari sistem telah banyak sekali diteliti oleh para peneliti. Penelitian tentang sistem RBAC yang melintasi batas-batas organisasi juga telah mulai dilakukan. Dari hal itu dapat disimpulkan bahwa Model RBAC tetap menjadi daerah yang subur untuk penelitian masa depan. Dalam tulisan ini dibahas beberapa topik yang menghasilkan beberapa cara praktis yang berguna sebagai tambahan dari state of art yang sudah ada dari model RBAC yang sudah ada sebelumnya .

• Model RBAC saat ini

Penggunaan pertama kali dari istilah RBAC adalah oleh Ferraiolo dan Kuhn walaupun sebelumnya sudah ada disebutkan dalam literatur keamanan seperti “Roles” dan “Role -Based Security.” Shandu dkk, kemudian menerbitkan sebuah makalah yang mendefinisikan model yang disebut dengan RBAC96. Sebuah topik penting yang didaptkan dari RBA96 adalah sebuah pernyataan bahwa RBAC dapat berkisar dari tovery yang sangat sederhanasehingga kita memerlukan keluarga model daripada model tunggal. Model tunggal terkadang sederhana untuk kebutuhan tertentu akan tetapi terlalu rumit untuk kebutuhan yang lain.

• Model RBAC Baru

Sekarang kita mempertimbangkan aspek dari model RBAC yang perlu dilakukan penelitian lebih lanjut, beberapa dari hal-hal tersebut sudah terekplorasi, beberapa bahkan sudah sangat matang akan tetapi konsensus dari masyarakat belum tercapai.

Kita bisa membagi diskusi kita kira-kira menjadi dua kategori : daerah di mana kemajuan yang kuat telah dibuat tapi konsensus perlu dikembangkan untuk mencapai kematangan seperti yang terkandung dalam standar, dan daerah-daerah dimana hanya pekerjaan awal yang baru dicapai.

Paradigma administrasi alternatif untuk RBAC telah baru-baru dibahas dalam literatur. (Hildmann dan Barholdt,1999)  dan (Herzberg dkk, 2000) mempertimbangkan beberapa masalah dalam menentukan peran untuk pengguna dalam sistem yang melintasi  batas organisasi.

(Barka dan Sandhu, 2000) telah mengusulkan kerangka kerja untuk pemodelan Delegasi dari peran dari satu pengguna yang lain. (Huang dan Atluri, 1999) membahas dinamika RBAC dalam sistem alur kerja. (Damianou dkk, 2001) dan (Hitchens dan Varadharajan , 2001) telah mengusulkan bahasa untuk menentukan kebijakan RBAC. (Thomas danSandhu, 1998) memiliki pendapat perlunya model otorisasi aktif yang self-adminstering.Makalah ini khusus membahas sudut pandang pada administrasi dari RBAC. Namun, Modelkami jauh lebih terpadu bagi masyarakat dan ini dapat dikembangkan.

Dalam Yii framework, implementasi RBAC dapat dipelajari dihttp://www.yiiframework.com/doc/guide/1.1/en/topics.auth#role-based-access-control .

Informasi lebih lanjut mengenai RBAC (Role Based Access Control) dapat dibaca dihttp://en.wikipedia.org/wiki/Role-based_access_control .

 

Kerberos

Sejarah

Kerberos pertama kali dikembangkan pada dekade 1980-an sebagai sebuah metode untuk melakukan autentikasi terhadap pengguna dalam sebuah jaringan yang besar dan terdistribusi. Kerberos menggunakan enkripsi kunci rahasia/kunci simetris dengan algoritma kunci yang kuat sehingga klien dapat membuktikan identitas mereka kepada server dan juga menjamin privasi dan integritas komunikasi mereka dengan server. Protokol ini dinamai Kerberos, karena memang Kerberos (atau Cerberus) merupakan seekor anjing berkepala tiga (protokol Kerberos memiliki tiga subprotokol) dalam mitologi Yunani yang menjadi penjaga Tartarus, gerbang menuju Hades (atau Pluto dalam mitologi Romawi).

Protokol Kerberos memiliki tiga subprotokol agar dapat melakukan aksinya:

• Authentication Service (AS) Exchange: yang digunakan oleh Key Distribution Center (KDC) untuk menyediakanTicket-Granting Ticket (TGT) kepada klien dan membuat kunci sesi logon.
• Ticket-Granting Service (TGS) Exchange: yang digunakan oleh KDC untuk mendistribusikan kunci sesi layanan dan tiket yang diasosiasikan dengannya.
• Client/Server (CS) Exchange: yang digunakan oleh klien untuk mengirimkan sebuah tiket sebagai pendaftaran kepada sebuah layanan.

Sesi autentikasi Kerberos yang dilakukan antara klien dan server adalah sebagai berikut:

Cara kerja protokol Kerberos

1. Informasi pribadi pengguna dimasukkan ke dalam komputer klien Kerberos, yang kemudian akan mengirimkan sebuah request terhadap KDC untuk mengakses TGS dengan menggunakan protokol AS Exchange. Dalam request tersebut terdapat bukti identitas pengguna dalam bentuk terenkripsi.
2. KDC kemudian menerima request dari klien Kerberos, lalu mencari kunci utama (disebut sebagai Master Key) yang dimiliki oleh pengguna dalam layanan direktori Active Directory (dalam Windows 2000/Windows Server 2003) untuk selanjutnya melakukan dekripsi terhadap informasi identitas yang terdapat dalam request yang dikirimkan. Jika identitas pengguna berhasil diverifikasi, KDC akan meresponsnya dengan memberikan TGT dan sebuah kunci sesi dengan menggunakan protokol AS Exchange.
3. Klien selanjutnya mengirimkan request TGS kepada KDC yang mengandung TGT yang sebelumnya diterima dari KDC dan meminta akses tehradap beberapa layanan dalam server dengan menggunakan protokol TGS Exchange.
4. KDC selanjutnya menerima request, malakukan autentikasi terhadap pengguna, dan meresponsnya dengan memberikan sebuah tiket dan kunci sesi kepada pengguna untuk mengakses server target dengan menggunakan protokol TGS Exchange.
5. Klien selanjutnya mengirimkan request terhadap server target yang mengandung tiket yang didapatkan sebelumnya dengan menggunakan protokol CS Exchange. Server target kemudian melakukan autentikasi terhadap tiket yang bersangkutan, membalasnya dengan sebuah kunci sesi, dan klien pun akhirnya dapat mengakses layanan yang tersedia dalam server.

Meski terlihat rumit, pekerjaan ini dilakukan di balik layar, sehingga tidak terlihat oleh pengguna.

 

Definisi dan Struktur Kerberos

Berasal dari cerberus yaitu nama makluk berkepala tiga
pada dasarnya diperuntukkan untuk menangani otentikasi
Prinsip pola kerja kerberos, membuat satu server handal untuk melakukan otentikasi terhadap password dari client, dimana client memvalidkan untuk memperoleh otentikasi

Mekanisme: Enkripsi (bukan tidak mungkin informasi mengalami penyadapan (leakage))

Proses otentikasi server kerberos:

• Client meminta ticket ke kerberos dengan mengirimkan namanya
• Server kerberos mengenali client ada di databasenya dan merespon dengan
  • Sebuah ticket berisi session key, waktu berlakunya ticket, dan nama layanan yang semua telah dienkripsi dengan kunci client
  • Sebuah granting ticket berisi session key, waktu berlakunya ticket ini, dan nama client. semua dienkripsi dengan kunci rahasia kerberos
  • Jika client terotentikasi client tidak bisa langsung terhubung melainkan harus meminta ke server kerberos lebih dahulu

Syarat Permintaan ke kerberos

• Pelaku otentikasi berisi tanda validasi dan checksum yang dienkripsi dengan session, sebagai bukti identitas client sebagai bukti kepemilikan sessionkey
• Tecket ganting ticket (TGT) yang diterima saat otentikasi untuk mengecek nama client dan session key
• Nama layanan dari aplikasi yang dibutuhkan oleh client serta expired date berlakunya TGT

Kerberos membalas dengan:

• Client ticket yang berisi session key (digunakan client dan server untuk berkomunikasi)
• Server ticket berisi session, nama client, dan berlakunya ticket, yang dienkripsi dengan kunci rahasia server (KB) hanya diketahui oleh kerberos dan server
• Kemudian client mengirimkan server ticket ini kepada server, kemudian server mendiskripsikan server ticket dengan kunci rahasia (KB)
• dan memperoleh session SA,B yang diperlukan untuk mendiskripsi authentication client.

Permasalahan yang sering terjadi pada Otentifikasi jaringan antara lain tingkat kekuatan password yang lemah sehingga sering terkena serangan Brute Force, Aplikasi yang mengirim password tanpa dienkrip melalui jaringan sehingga sangat rentan dicuri oleh cracker, Beberapa situs menggunakan Firewall untuk mengatasi jaringan namun firewall itu hanya melindungi serangan dari luar saja sedangkan ancaman bisa juga berasal dari dalam oleh sebab itu dibutuhkan suatu protokol otentifikasi jaringan yang bisa diandalkan, salah satunya adalah karberos.

Apa itu kerberos??? nah, kalau kalian sering main game Mass Effect pasti langsung teringat akan sosok organisasi jahat yang bernama cerberus. Tapi bukan cerberus itu yang akan saya bahas melainkan ini adalah protokol authentifikasi pada jaringan komputer. Jadi Kerberos itu diambil dari mitologi yunani yang bernama Cerberus yaitu seekor anjing berkepala tiga (protokol kerberos memiliki 3 sub protokol) yang menjadi penjaga Tartarus, gerbang menuju Hades.

Kerberos dirancang untuk menyediakan strong authentificationuntuk aplikasi client/server menggunakan kombinasi secret key danpublic key cryptography. Pertukaran autentifikasi kerberos ini dikembangkan oleh Massachussetts Institue of Technology (MIT). Kerberos menggunakan sebuah server pusat yang disebut trusted server yang bertindak sebagai sebuah pihak ketiga yang dipercaya untuk mengotentifikasi user dan mengendalikan akses terhadap sumber data jaringan. Jadi, Server tidak perlu mengurusi account user karena Client dan Server sudah mempercayakan autentifikasi pada kerberos. Kerberos tidak pernah mentransmisikan password di dalam jaringan, terlepas dari apakah password sudah dienkripsi atau tidak. Kerberos menggunakan kunci cryptographic yang disebut “tickets” untuk mengendalikan akses terhadap sumber daya server jaringan.

Enkripsi kerberos menggunakan algoritma kunci simetris sebagai contoh DES (Data Encryption Standard) dan AES (Advanced Encryption Standard) dimana algoritma ini bekerja relative cepat karena penggunaan kunci yang sama saat enkripsi dan dekripsi.

Protokol Kerberos memiliki tiga subprotokol agar dapat melakukan aksinya:

• Authentication Service (AS) Exchange: yang digunakan oleh Key Distribution Center (KDC) untuk menyediakan Ticket-Granting Ticket (TGT) kepada klien dan membuat kunci sesi logon.
• Ticket-Granting Service (TGS) Exchange: yang digunakan oleh KDC untuk mendistribusikan kunci sesi layanan dan tiket yang diasosiasikan dengannya.
• Client/Server (CS) Exchange: yang digunakan oleh klien untuk mengirimkan sebuah tiket sebagai pendaftaran kepada sebuah layanan.

Berikut ini cara kerja Kerberos.

1. Client membuat request kepada Authentication Server, meminta untuk mengotentikasi dirinya terhadap serverRequest diberi digital signature oleh client yang dienkripsi dengan menggunakan private key client (digitally signed client request)‏
2. Client meng-enkripsi digitally signed request menggunakan public key dari server Kerberos
3. Client mengirimkan digitally signed and encrypted request ke server KerberosServer Kerberos men-dekripsi request menggunakan private key-nya dan meng-otentikasi pengirim request dengan cara mem-verifikasi digital signature pengirim menggunakan public key pengirim requestServer Kerberos memiliki database yang berisi seluruh public keys dari authorized users sehingga server Kerberos tidak perlu mengandalkan pengirim ataupun pihak ketiga untuk memverifikasi public key pengirim

   Jika server Kerberos tidak memiliki public key pengirim request di dalam database-nya, maka digital signature tidak dapat diverifikasi

   Demikian juga bila server Kerberos tidak memiliki public key pengirim request maka pengirim bukanlah seorang authorized user jaringan, sehingga request-nya akan ditolak

   

4. Jika server Kerberos telah menerima request dan mengotentifikasi identitas pengirim request, maka server memverifikasi bahwa client memiliki otorisasi untuk mengakses sumber daya jaringan yang dimintaJika Kerberos telah menentukan bahwa client memiliki otoritas untuk mengakses server payroll, maka server Kerberos akan mengirimkan session ticket yang sama baik kepada client maupun ke server payrollUntuk mengirimkan session ticket kepada client, server Kerberos meng-enkripsi-nya menggunakan public key dari client

   Untuk mengirimkan session ticket ke server payroll, server Kerberos menggunakan public key server payroll

   Ketika menerima encrypted session ticket, baik client maupun server payroll akan mendekripsi-nya menggunakan private keys masing-masing

   Session ticket bisa di-tandatangani pula oleh server Kerberos untuk mencegah adanya ticket palsu yang dikirimkan ke client maupun ke sumber daya jaringan

   

5. Client kemudian mengirimkan copy dari ticket-nya ke server payrollSebelum mengirimkan ticket, client mengenkripsi ticket menggunakan public key server payroll
6. Ketika menerima ticket yang di-enkripsi dari client, server akan mendekripsi ticket menggunakan private key serverServer payroll kemudian membandingkan ticket yang diterima dari client dengan ticket yang berasal dari server KerberosserverJika ticket sesuai (match) maka client akan diperbolehkan untuk terhubung ke server

   Jika ticket tidak sesuai maka client akan ditolak

   Setelah koneksi terbentuk, sistem dapat meng-enkripsi komunikasi menggunakan session key atau public key dari client atau tidak menggunakan enkripsi sama sekali

   

Kelebihan Kerberos antara lain ;

• Tingkat keamanannya tinggi karena username dan password user tidak pernah dikirim melalui jaringan. Hal ini merupakan perbaikan dari sistem konvensional (password based) yang rentan terhadap eavesdropping attack.
• Transparent yaitu user tidak perlu mengetahui tahap-tahap otentifikasi yg dilakukan di dalam jaringan . Yang dilakukan user hanyalah login ke jaringan melalui program inisialisasi , memasukkan username dan password dan user memperoleh otentifikasi ke server yang dituju.
• Pembaharuan otorisasi berupa tiket dapat diselenggarakan sesegera  mungkin

• Relatif aman dan terpercaya karena hanya ada satu Server Kerberos

Kelemahan Kerberos antara lain:

1. Jika server kerberos down, maka tidak ada yang dapat mengakses server karena akses terhadap jaringan harus melalui proses otorisasi kerberos.
2. Rawan terhadap serangan denial-of-service (Server tidak perlu dibuat benar-benar crash, cukup dibanjiri request maka server akan kesulitan untuk menghandle request)
3. Bisa saja kita bangun server kerberos backup tapi ini menyalahi filosofi kerberos.
4. Kerberos menggunakan time-stamp untuk mengetahui apakah

authenticator yang dikirimkan masih baru (bukan replay attack). Untuk

itu dibutuhkan sinkronisasi waktu di seluruh jaringan. Program

sinkronisasi waktu yang digunakan umumnya adalah ntpd. Namun,

seperti halnya service lain di jaringan, service ini juga memerlukan

otentikasi. Jika tidak, maka dapat terjadi lubang keamanan dalam

bentuk replay attack

Sumber :

https://id.wikipedia.org/wiki/Kerberos_(protokol)

http://riskianawulan.net/2012/12/kerberos/

http://yonk1991.xtgem.com/post/Kuliah/Semester4/NetSec/kerberos.html

http://telecom.ee.itb.ac.id/~tutun/ET7053/4.ppt

http://gost.isi.edu/publications/kerberos-neuman-tso.html

Current Issue Digital Forensics

CURRENT ISSUE NETWORK COMMUNICATION

in Digital Forensics

A. Authorship Identification in Digital Forensics using Machine Learning Approach

Identitas :

Penyusun      : Smita Nirkhi

                        Department of Computer Science and Engineering

                        G.H.Raisoni College of Engineering, Nagpur, Maharashtra, India

Tahun           : 2015 bulan : Januari

Sumber         : http://ijltet.org/wp-content/uploads/2015/01/54.pdf

Kesimpulan :  Penjahat cyber memanfaatkan id email palsu untuk mencoba banyak kejahatan cyber dan sulit untuk mengidentifikasi siapa yang penulis surat mengancam atau kegiatan teroris lainnya. Daerah penelitian baru-baru ini untuk mengidentifikasi penulis mail tersebut atau pesan online adalah teknik identifikasi Karangan, yang merupakan salah satu teknik dalam forensik digital membantu dalam memecahkan masalah kejahatan cyber. Identifikasi Karangan adalah tugas mengidentifikasi penulis anonim atau sengketa teks. Teknik identifikasi penulis membantu untuk melacak penulis teks anonim ketika mereka menyembunyikan identitas mereka melalui ditempa id mail atau menggunakan pengaturan proxy untuk komunikasi online. Makalah ini menyelidiki kinerja pengklasifikasi yang ada untuk Karangan Identifikasi. Ketepatan klasifikasi tergantung pada fitur yang dipilih. Oleh karena itu tulisan ini juga mengkaji metode ekstraksi berbagai fitur menggunakan n-gram.

 

B. Implementation of Digital Steganography Using Image Files-A Computational Approach

Identitas :

Penyusun      : P.Ajay Kumar

                  Lecturer, Dept of CSE, JNTU-CEH,Hyderabad,Telengana,India

Tahun           : 2015 bulan : Mei

Sumber         : http://ijltet.org/wp-content/uploads/2015/05/33.pdf

Kesimpulan :    menyembunyikan pesan bersama dengan adanya komunikasi sehingga penyerang bahkan tidak bisa mendapatkan pesan terenkripsi. Prosedur berikut seperti menyembunyikan pesan dienkripsi dalam file gambar dengan embedding bit pesan ke posisi bit paling signifikan dari setiap byte dari file gambar. Dalam file gambar setiap pixel adalah diwakili dengan 24 bit yang merupakan kombinasi dari MERAH, BIRU, proporsi warna HIJAU untuk pixel.LSB yang memiliki setidaknya penting dalam file gambar sehingga modifikasi tidak bisa menghasilkan perubahan terdeteksi manusia. Berikut Data Encryption Standard (DES) algoritma yang digunakan untuk mengenkripsi pesan dan algoritma MD5 digunakan untuk menghitung digest pesan yang digunakan untuk memeriksa integritas pesan. Setelah melakukan fungsi kriptografi pesan dikompresi dengan gzip teknik kompresi dan kemudian tertanam ke dalam file gambar. Hasil proses ini dalam sebuah file stego (file gambar output) yang persis sama dengan menutup berkas (file gambar input).

 

C. Cyber Security in Digital India

Penyusun      : Amit Kumar

Assistant Professor(Extension)

I G Govt PG College, Tohana

Tahun           : 2015 bulan : Juli

Sumber         : http://ijltet.org/wp-content/uploads/2015/08/69.pdf

Kesimpulan :    menyembunyikan pesan bersama dengan adanya komunikasi sehingga penyerang bahkan

 

D. Wireless Network Security Issues

Penyusun      : Rizwan Maqbool Ahmad

                        Assistant Professor, Department of Computer Science & Engineering

                        ACN College of Engineering & Management Studies, Aligarh

Tahun           : 2015 bulan : Juli

Sumber         : http://ijltet.org/wp-content/uploads/2015/07/17.pdf

Kesimpulan :    Tantangan dalam desain jaringan ini adalah eksposur mereka terhadap serangan keamanan. Protokol routing untuk jaringan nirkabel masih daerah penelitian aktif. Tidak ada standar protokol routing. Oleh karena itu kami bertujuan untuk mempertimbangkan keamanan bersama ancaman memperhitungkan untuk memberikan pedoman untuk mengamankan protokol routing. Dalam makalah ini penelitian telah dilakukan untuk
ancaman pada jaringan wireless dan tujuan keamanan yang akan dicapai.

E. Network Monitoring and Forensics

Penyusun      : Subhay Chandra

                        School of Engineering & Technology, IFTM University, Moradabad, U.P, India

Tahun           : 2013 bulan : Agustus

Sumber         : http://core.ac.uk/download/pdf/25835421.pdf

Kesimpulan :    forensik jaringan Kebanyakan alat memberikan pandangan gerakan secara real time, Tapi monitoring secara real-time pada setiap tahap membutuhkan sumber daya perangkat keras dan signifikan nanusia, dan tidak rasio untuk kelompok kerja lebih besar dari satu jaringan. Hal ini biasanya lebih praktis untuk mengarsipkan semua layanan pergaulan dan menganalisis subset yang diperlukan. Proses ini disebut sebagai forensik jaringan, atau analisis lalu lintas rekonstruksi. Praktis, sering terbatas pada data yang mencerna dan paket-tingkat pemeriksaan pengawasan; meskipun, jaringan alat forensik monitoring dapat memberkati tampilan yang lebih kaya dari data yang dikumpulkan, izin Anda untuk memeriksa layanan pergaulan dari lebih jauh protokol stack? Forensik jaringan sangat sederhana untuk memantau dan mengidentifikasi masalah nyaman. Hal ini sangat berguna untuk menggeledah keamanan pelanggaran. Hal ini benar-benar menganalisis catatan lalu lintas jaringan.

 

Sumber :

http://core.ac.uk/download/pdf/25835421.pdf

http://ijltet.org/wp-content/uploads/2015/07/17.pdf

http://ijltet.org/wp-content/uploads/2015/08/69.pdf

http://ijltet.org/wp-content/uploads/2015/05/33.pdf

http://ijltet.org/wp-content/uploads/2015/01/54.pdf

Wireless Attacks

 

Teknologi nirkabel dapat memberikan banyak manfaat dalam dunia bisnis. Dengan mengerahkan nirkabel jaringan, pelanggan, mitra, dan karyawan diberi kebebasan mobilitas dari dalam dan dari luar organisasi. Hal ini dapat membantu bisnis untuk meningkatkan produktivitas dan efektivitas, biaya yang lebih rendah dan meningkatkan skalabilitas, meningkatkan hubungan dengan mitra bisnis, dan menarik pelanggan baru. Memang, ada banyak alasan untuk menggunakan teknologi nirkabel, tapi seperti kebanyakan, itu bukan tanpa risiko dan downfalls.

Skenario sebelumnya menggambarkan hanya kerentanan sederhana yang ada dalam ranah jaringan nirkabel. Kita melihat bagaimana rahasia akuntansi data dikompromikan karena tindakan karyawan yang bermaksud baik dengan kurangnya pengetahuan sederhana dalam apa yang dia lakukan. Ini bisa saja jauh, jauh lebih buruk. Telah hacker misterius kami lebih mahir, dia bisa dinonaktifkan software kritis, memulai serangan dos, terhapus atau hancur data, atau bahkan dihapuskan seluruh jaringan, sehingga penghentian lengkap fungsi bisnis.
Sementara ini mungkin tampak seperti hasil menakutkan, ada banyak cara yang berbeda untuk mengatasi ketidaksempurnaan asli jaringan nirkabel. Makalah ini dirancang untuk membantu Anda memahami kekurangan ini dan untuk membantu Anda dalam membuat jaringan nirkabel Anda aset aman dan menguntungkan.

Jaringan nirkabel telah menjadi mana-mana sebagai sarana penghubung ke jaringan. Hal ini tidak mungkin bahwa ada lembaga akademis yang tersisa di Inggris yang tidak menawarkan beberapa jenis jaringan nirkabel. Namun, banyak operator jaringan nirkabel memiliki sedikit pengetahuan tentang cara yang mungkin di mana infrastruktur nirkabel mereka bisa diserang. Dokumen ini secara singkat menjelaskan beberapa serangan umum yang dapat dilakukan terhadap IEEE 802.11 jaringan berbasis.

Dalam rangka untuk menangkap paket wireless, stasiun sniffing harus dilengkapi dengan hardware dan software yang sesuai.

A. Denial of Service (DoS) Serangan

1. Jamming
   Jamming karya hanya dengan menghasilkan Frekuensi Radio (RF) kebisingan di rentang frekuensi yang digunakan oleh peralatan jaringan nirkabel (2.4GHz dan 5GHz). Hal ini sering dapat disengaja, terutama di kisaran 2.4GHz, sebagai perangkat tertentu akan baik beroperasi secara alami di frekuensi ini berkisar misalnya oven microwave, monitor bayi, radar dll Melalui penggunaan sehari-hari mereka, perangkat ini dapat mengganggu jaringan nirkabel yang beroperasi di dekatnya. Selain suara disengaja, perangkat dapat dibangun yang menghasilkan suara dengan sengaja mengganggu jaringan nirkabel 802.11.
2. Otentikasi / Asosiasi
   

Salah satu cara di mana jaringan nirkabel dapat diserang adalah mencoba untuk membanjiri Access Point (AP) dengan otentikasi dan asosiasi frame. Asosiasi banjir, perangkat menyerang akan spoof alamat MAC nirkabel kemudian, cepat dan berulang-ulang, mencoba menghubungkan ke AP. Pada setiap upaya penyerang akan mengubah alamat MAC, meniru keberadaan banyak klien. Ini telah mempengaruhi mengkonsumsi memori dan pengolahan kemampuan AP, menyangkal pelayanan kepada klien yang sah.

3. De-Authentication

Serangan ini bekerja dengan memanfaatkan cacat dalam mesin negara nirkabel dan umumnya digunakan sebagai metode untuk mengandung AP nakal. Serangan ini bekerja dengan mengirimkan paket de-otentikasi untuk klien yang terhubung ke jalur akses. Klien menerima de-otentikasi akan memisahkan dari AP segera. Serangan ini bekerja karena lalu lintas kontrol AP tidak dilindungi dan oleh karena frame de-otentikasi dikirim dalam bentuk teks sehingga sangat mudah untuk spoof. Serangan ini dapat menargetkan seluruh AP, dengan mengirimkan frame de-otentikasi untuk siaran alamat MAC dan spoofing sumber sebagai AP. Atau serangan dapat ditargetkan pada klien tunggal, dengan mengirimkan frame de-otentikasi ke stasiun klien tunggal. Serangan ini dapat dikurangi melalui penggunaan IEEE 802.11w (Protected Manajemen Frames) yang mengenkripsi lalu lintas kontrol antara AP dan klien. Namun, saat ini 802.11w tidak didukung secara luas atau diterapkan.

4. TKIP

Salah satu fitur dari Temporal Key Integrity Protocol (TKIP) adalah penggunaan Pesan Integritas Periksa (MIC). Namun karena MIC menjadi cryptographically lemah, penanggulangan ada di TKIP untuk mencegah pengambilan kunci. Jika dua frame MIC salah tiba dalam satu menit satu sama lain, AP akan melaksanakan penghentian semua kegiatan TKIP selama enam puluh detik diikuti oleh renegosiasi kelompok dan semua kunci berpasangan. Ini memberikan penyerang dengan kemampuan untuk menolak layanan kepada AP dengan mengirimkan frame MIC tidak valid. Serangan ini tidak hanya melakukan satu menit DoS dari TKIP klien tetapi juga AES klien, sebagai AP akan menggunakan kunci kelompok TKIP AES untuk klien jika ada klien TKIP terkait dengan AP.

5. Extensible Authentication Protocol (EAP) Attack

EAP otentikasi banjir bekerja dengan klien, atau beberapa klien, banjir jaringan nirkabel dilindungi dengan permintaan otentikasi EAP. Ini dapat memiliki efek melakukan DoS pada server RADIUS jika tidak dapat menangani volume permintaan otentikasi dari klien.

Serangan ini dapat dikurangi dengan menerapkan blok sementara (misalnya 60 detik) setelah tiga kali gagal, pada klien mencoba untuk EAP mengotentikasi. Mitigasi ini juga mencegah upaya oleh klien untuk brute force attack kredensial pengguna.

Serta otentikasi banjir, klien dapat mencoba menggunakan berbagai paket EAP untuk menginduksi serangan DoS:

Beberapa AP dapat jatuh dengan membanjiri AP dengan frame EAPOL-Start. Sebagian besar peralatan modern seharusnya tidak rentan terhadap serangan ini. Beberapa AP dapat DoS diserang oleh penyerang bersepeda melalui EAP Identifier ruang (0-255). AP modern harus tidak rentan terhadap serangan ini sebagai ruang EAP Identifier hanya unik untuk 802.11 asosiasi, dengan masing-masing asosiasi memiliki sendiri ruang EAP Identifier nya.

B. Cipher Attacks

1.  WEP Attack

Wired Equivalent Privacy (WEP) relatif sepele untuk mengalahkan dan sejumlah serangan ada yang baik dapat mendekripsi WEP paket dilindungi atau memulihkan kunci WEP. WEP telah rusak selama lebih dari 10 tahun dan tidak boleh digunakan untuk mengamankan jaringan nirkabel. Metode didokumentasikan untuk melanggar WEP antara lain: FMS – yang menggunakan prediktabilitas beberapa byte pertama dari paket. Pada jaringan sibuk kunci dapat dipulihkan dalam beberapa menit.

2. WPA-PSK Dictionary Attack

Sementara mekanisme keamanan di Wi-Fi Protected Access (WPA) dan WPA2 membuat protokol aman ada titik lemah dalam sistem: passphrase. Pengguna mengkonfigurasi WPA / WPA2 passphrase sering memilih passphrase berdasarkan singkat, kamus meninggalkan mereka rentan terhadap serangan. Penyerang dapat menangkap paket selama fase pertukaran kunci dari klien bergabung dengan jaringan nirkabel kemudian melakukan serangan kamus offline mendapatkan WPA / WPA2 passphrase.

3. WPA / TKIP

Hal ini dimungkinkan untuk mendekripsi paket yang telah dilindungi dengan menggunakan Wi-Fi Protected Access / Temporal Key Integrity Protocol (WPA / TKIP). The TKIP Serangan bekerja dengan cara yang mirip dengan serangan chopchop WEP dan dapat memberikan data teks-jelas tetapi tidak mengekspos kunci. Serangan ini mengandalkan penyerang mengetahui sebagian besar byte kisaran alamat IPv4 digunakan pada jaringan nirkabel.

Serangan ini dapat dikurangi dengan waktu rekeying singkat (120 detik atau kurang). Namun, merekomendasikan solusi akan menggunakan WPA2 / AES.

4. LEAP Attack

Ringan Extensible Authentication Protocol (LEAP) adalah mekanisme otentikasi dilaksanakan oleh Cisco yang dapat digunakan untuk mengamankan jaringan nirkabel. LEAP memungkinkan otentikasi melalui Microsoft Tantangan-Handshake Authentication Protocol (MS-CHAP) dan menyediakan pertukaran kunci dinamis. Namun, kepercayaan tidak kuat dilindungi, meninggalkan LEAP terbuka untuk menyerang. Karena kurangnya perlindungan dari mekanisme otentikasi adalah mungkin untuk melakukan serangan kamus offline pada paket yang diambil dan mendapatkan mandat pengguna.
Disarankan bahwa situs tidak menggunakan LEAP, melainkan menggunakan mekanisme otentikasi yang lebih kuat seperti PEAP, EAP / TTLS atau EAP / TLS dll

C. Man-in-the-Tengah Serangan

1. Captive Portal (Evil Twin)

Jaringan nirkabel taman berdinding sangat rentan terhadap serangan man-in-the-middle. Hal ini karena tidak ada pemeriksaan otomatis sertifikat yang disediakan oleh server otentikasi. Sebagai pengguna cukup menggunakan browser web untuk login ke jaringan, penyerang hanya perlu men-setup halaman login mereka sendiri, yang terlihat identik dengan yang asli, dan menangkap mandat sebagai orang berusaha untuk login. Penyerang bahkan dapat bertindak sebagai proksi melewati mandat ke server otentikasi nyata. Serangan semacam ini sering disebut ‘kembaran jahat’.

2. 1X / EAP

Sementara jaringan WPA / WPA2 Kewirausahaan dilaksanakan dengan baik menggunakan otentikasi 802.1X aman dan tidak rentan terhadap serangan man-in-the-middle, banyak klien yang tidak dikonfigurasi dengan benar, meninggalkan mereka rentan terhadap serangan. Kerentanan muncul dari penggunaan sertifikat untuk memverifikasi server RADIUS. Banyak klien akan mengkonfigurasi perangkat mereka sehingga tidak menolak sertifikat yang disediakan oleh server RADIUS. Ini dapat ditandatangani oleh otoritas sertifikat yang salah dan / atau memiliki nama umum yang salah. Untuk memastikan mereka tidak rentan ketika otentikasi ke jaringan nirkabel mereka, klien hanya harus menerima sertifikat dari otoritas sertifikat yang benar dengan nama umum yang benar. Dengan menerima sertifikat, AP berbahaya dapat menggunakan salah satu sertifikat yang ditandatangani sendiri atau sertifikat yang ditandatangani oleh otoritas sertifikat yang benar (jika otoritas sertifikat publik digunakan) untuk mencegat kredensial. Sering penyerang akan mengirim frame de-otentikasi untuk klien yang sudah dikonfirmasi ke AP asli, memaksanya untuk kembali asosiasi.
Sangat disarankan agar saat melaksanakan perusahaan nirkabel, situs tidak harus menggunakan otoritas sertifikat publik. Ini akan membantu untuk mencegah penyerang memperoleh sertifikat dari otoritas sertifikat yang sama (dengan nama umum yang berbeda) dan mencoba serangan man-in-the-middle.

D. Eavesdropping

1. Open Network

Pada jaringan nirkabel terbuka, itu adalah sepele untuk menangkap paket di udara seperti yang dikirim dalam jelas.

2. WPA / WPA2-PSK

Ini adalah kesalahpahaman umum bahwa karena data dienkripsi pada WPA atau WPA2-PSK klien, itu dilindungi dari mengintai oleh pengguna lain. Sayangnya hal ini tidak terjadi. Karena setiap klien menggunakan passphrase pra-berbagi yang sama, mereka dapat mendekripsi paket pengguna lain. Hal ini tidak berlaku untuk WPA dan WPA2 Perusahaan mana setiap pengguna memiliki seorang individu, berputar, kunci dikirim dari server RADIUS.

3. Portal Captive

Setelah klien login ke captive portal, kecuali dilindungi dengan cara lain (seperti Virtual Private Network (VPN)), lalu lintas mereka dikirim dalam jelas. Ini berarti semua lalu lintas nirkabel dari klien dikonfirmasi dapat dengan mudah mengendus. Beberapa pengguna mungkin berada di bawah kesan bahwa karena mereka harus mengotentikasi, bahwa data mereka aman.

Kesimpulan
Sementara sejumlah serangan yang berbeda ada untuk jaringan nirkabel banyak dari ini dapat dikurangi melalui penggunaan teknologi yang ada dan praktek terbaik. Serangan pada lalu lintas manajemen seperti paket de-otentikasi dapat dikurangi melalui penggunaan manajemen dilindungi frame misalnya 802.11w. Risiko lainnya dapat dikurangi melalui menggunakan otentikasi 802.1X dan mendidik pengguna tentang perlunya untuk memeriksa keabsahan sertifikat server radius disajikan kepada mereka. Mungkin mitigasi yang paling penting adalah dengan menggunakan WPA2 / enkripsi AES dikombinasikan dengan benar dilaksanakan sistem otentikasi 802.1X. Ini akan memberikan pengguna dengan pengalaman jaringan nirkabel yang paling aman.

 

Sumber :

https://community.jisc.ac.uk/system/files/222/known-wireless-attacks.pdf

http://www.sans.org/reading-room/whitepapers/detection/understanding-wireless-attacks-detection-1633

http://www.windowsecurity.com/whitepapers/Wireless_Security/Wireless-Security-Attacks-Defenses.html

Anti-Forensics

Dari berbagai peningkatan berkembangnya teknologi yang bermanfaat membantu kegiatan manusia, terdapat pula perkembangan kejahatan yang mengikuti perkembangan teknologi tersebut. Salah satunya kegiatan dalam dunia forensic yaitu anti-forensik. Dimana kegiatan forensik yang “baik” dalam mencari bukti kejahatan, diikuti pula kegiatan yang “jelek” dengan anti-forensik. Nantinya akan dikembangkan pula untuk mengembalikan atau mencari bukti dengan meng-anti-anti forensik dari hasil anti-forensik tersebut.

A. Pengertian Anti-Forensics

Anti-Forensics: tools and techniques that frustrate forensic tools, investigations and investigators ( alat dan teknik yang menggagalkan alat forensik, investigasi dan peneliti).

Anti-computer forensics (sometimes counter forensics) is a general term for a set of techniques used as countermeasures to forensic analysis.

Some have seen anti-forensics as simply breaking tools or avoiding detection (Foster and Liu, 2005) while others have only related anti-forensics to system intrusions (Shirani, 2002).

Dr. Marc Rogers (Purdue University, Amerika Serikat) Attempts to negatively affect the existence, amount and/or quality of evidence from a crime scene, or make the analysis and examination of evidence difficult or impossible to conduct.

Anti-Forensics is practices and processes to prevent, counter-act or neutralize an investigators ability to identify or rcover evidence for use in an investigation (Legary, M 2007).

 

Anti-anti Forensics, it means defeating Anti Forensics tools from two perspectives :

1. Determining what was destroyed for use in a spoliation motion
2. Determining what tool was destroyed and when it was done
3. Defeating the tool be recovering what was destroyed

(Cowen, D. 2012)

 

Metode anti-forensik mengandalkan beberapa kelemahan dalam proses forensik termasuk: unsur manusia, ketergantungan pada alat, dan atau keterbatasan logis fisik komputer.

 B. Tujuan dari Anti-Forensik:

• Menghindari deteksi
• Mengacaukan pengumpulan informasi
• Meningkatkan waktu pemeriksa pada suatu kasus
• Menbuat keraguan pada laporan forensik atau kesaksian (Liu dan Brown, 2006)
• Memaksa alat untuk mengungkapkan kehadirannya
• Menumbangkan alat – menggunakannya untuk menyerang pemeriksa atau organisasi
• Meninggalkan ada bukti bahwa alat AF telah menjalankan

(Garfinkel, 2007).

 C. Beberapa istilah dalam Anti-Forensik :

1. Unrecoverable Dellete: Beberapa file atau data yang telah kita hapus dari Drive, Memory Card atau Flash Disk dapat dikembalikan menggunakan tool recovery data, misalnya: GetDataBack, Recuva, dsb. Maka bisa jadi ada kemungkinan beberapa data rahasia yang telah terhapus dapat dibaca oleh orang lain. Untuk mengantisipasinya kita dapat menggunakan tool file deleter, atau file shreder, dengan begitu data yang telah kita hapus tidak akan dapat di recovery lagi. Kita bisa cari aplikasi seperti itu lewat internet.
2. Penyembunyian File: Menyembunyikan data rahasia, mungkin salah satu solusi yang dapat kita lakukan. Ada beberapa program yang dapat kita gunakan untuk melakukannya, seperti Folder Lock, Hide My Folder, dll.
3. Hash Collision: Hash adalah suatu  identitas file yang “berbentuk” algoritma. Nah, dengan hash ini ahli forensik menggunakannya sebagai integritas suatu file, dengan begitu ahli forensik dapat membandingkan suatu file adalah asli atau telah di-edit. Ada beberapa program untuk memodifikasi hash, seperti hex editor, Reshacker, eXpress Timestamp Toucher, dsb.
4. Anonymous Internet user: Ada banyak cara untuk menyembunyikan jejak kita di internet, mulai dari yang paling sederhana seperti penghapusan history, penggunaan TOR sebagai bounce, menggunakan IP anonymous antar, hingga menggunakan Virtual Machine Ware pada saat mengeksekusi browser.
5. Memory Usage: Jumlah pemakaian memory juga akan dioprek oleh ahli forensik untuk menganalisa proses apa saja yang sedang berjalan, penggunaan aplikasi seperti Task Manager, Process Explorer, dll dapat digunakan untuk menganalisanya.
6. Registry: Di lokasi ini juga akan jadi target operasi ahli forensik untuk mengungkap proses startups, services, dan konfigurasi lain.
7. Log Events: Pada event viewer tersimpan sejarah penggunaan aplikasi atau aktivitas system, penghapusan log event dapat sedikit menghilangkan jejak. Di dalam event pada antivirus juga tersimpan beberapa aktivitas. Logs USB juga dapat dijadikan sasaran penyelidikan ahli forensik, lokasi dari logs itu tersimpan di dua tempat: Pertama, berada pada file setupapi.log atau setuapi.dev.log di dalam %windir%\ atau %windir%\inf, Kedua terletak di dalam registry editor: My_Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\.
8. Secure Data Deletion: adalah salah satu teknik tertua/tradisional dari anti-forensics, suatu metode yang sangat mudah, efisien dan “simple” untuk dilakukan, dibanding dengan berbagai teknik lain seperti enkripsi, “steganography”, modifikasi data, penyembunyian data, dsb. Meskipun resiko untuk diketahui akan relatif lebih mudah, tetapi untuk kegiatan computer rforensic, apabila data yang dibutuhkan tidak didapatkan maka akan mempersulit/memperlambat kegiatannya. Beberapa aplikasi yang bisa anda manfaatkan adalah: srm, wipe, shred, dsb. Sejak 2008 Shred masuk kedalam paket penting dari GNU (GNU coreutils) dan akan membuat secara default terinstall, sehingga anda tidak perlu melakukan instalasi aplikasi Secure Data Deletion lainnya.
9. Shred: Apa yang dilakukan Shred adalah dengan menulis ulang file secara berulang kali dengan tujuan mempersulit kemungkinan untuk merecover data yang sudah dihapus. Shred, bagaikan pisau bermata dua. Tetapi shred juga memiliki berbagai keterbatasan pada jenis file system tertentu, terkompresi dan yag memiliki dukungan snapshot.
10. Enkripsi: Enkripsi pada suatu data merupakan cara jadul yang sampai saat ini masih ampuh untuk mengurangi pelacakan bukti digital. Data-data yang dapat di-enkripsi dapat berupa file image, video, dokumen, dll. Ada beberapa program yang dapat kita gunakan, contohnya TrueCrypt, PGP yang dapat mengenkripsi E-mail, bahkan Wireshark yang dapat menghindarkan data kita di intip oleh sniffer pada saat mengakses jaringan.
11. Steganografi: Sebuah data atau pesan dapat kita sembunyikan di dalam suatu file agar orang lain tidak dapat mengenalinya.

 D. Beberapa metode anti-forensik

Table 1 – Calssification of common anti-forensic methods

Name	Destroying	Hiding	Eliminating source	Counterfeiting
MACE alterations	Erasing MACE information or overwriting with useless data			Overwriting with data which provides misleading information to investigators
Removing/wiping files	Overwriting contents with useless data	Deleting file ( overwriting pointer to content)
Data encapsulation		Hiding by placing files inside other files
Account hijacking				Evidence is created to make it appear as if another person did the ‘‘bad act’’
Archive/image bombs				Evidence is created to attempt to compromise the analysis of an image
Disabling logs			Information about activities is never recorded

(Harris, 2006)

E. Teknik Anti-Forensics

Beberapa cara teknik dalam Anti-Forensics yang dilakukan oleh beberapa pengguna dalam membuat anti-forensics.

1. Data Destruction

• Wiping – menghapus data dengan aman, sehingga tidak dapat dipulihkan bahkan dengan software forensik. Hal ini dapat dilakukan dengan software khusus seperti “penghapus” atau membangun fungsi sistem operasi.
• Changing MAC atribut – mengubah atau menghapus file atribut untuk menghindari analisis time-line, untuk melakukan aktivitas tersebut disebut timestomp.

2. Data Contraception

Secara singkatnya Data Contraception berarti penggunaan perangkat lunak yang hampir tidak menciptakan atau meninggalkan jejak tentang adanya sebuah bukti :

• Live Distros adalah sistem operasi kemampuan penuh yang booting melalui CD ROM atau flash drive sehingga apabila CD atau flash drive di keluarkan atau dipisahkan dari komputer maka hampir tidak meninggalkan jejak aktivitas.
• Portable apps (aplikasi Portabel)-software portable yang mampu berjalan tanpa perlu menginstal file ke sistem. Perangkat lunak populer adalah U3 dan portableapps.com.
• Direct Kernel Object Manipulation (DKOM) adalah metode yang memungkinkan penyerang untuk menggunakan driver atau modul kernel loadable untuk memodifikasi memori yang berhubungan dengan benda-benda inti.

3. Data Hiding and Encryption

• Cryptography – konversi data ke dalam scrambled code. Kriptografi menggunakan dua teknik utama atau bentuk enkripsi data yaitu simetris dan asimetris. Enkripsi simetris, atau algoritma, menggunakan kunci yang sama untuk enkripsi seperti dekripsi.
• Steganography adalah seni dan ilmu menulis pesan tersembunyi sedemikian rupa bahwa tidak ada orang lain selain pengirim dan penerima yang dimaksud yang dapat mengetahui keberadaan pesan. Salah satu keuntungan dari steganografi adalah bahwa pesan tidak mengubah bentuk gambar atau file yang disisipinya sehingga tidak menarik perhatian orang lain untuk dianalisa.
• Program packers, mirip dengan kriptografi, dapat menyembunyikan file bukti ke dalam wadah yang membuatnya sulit untuk dideteksi, itulah sebabnya salah satu langkah pertama selama analisis forensik adalah menyediakan atau pemasangan tools yang kompleks (termasuk arsip).

4. Attacks Against Computer Forensics Tools

Serangan langsung pada proses forensik komputer adalah tipe terbaru dari AF dan berpotensi paling mengancam bagi para investigator. Palmer (2001) menjelaskan ada enam fase dalam proses forensik digital yang digunakan untuk menyerang alat komputer forensika, yaitu :

• Identification
• Preservation
• Collection
• Examination
• Analysis
• Presentation

Salah satu contoh lain yang dapat mengancam para investigator dalam melakukan analisa bukti digital adalah Compression bombs yang merupakan sebuah metode untuk menunda penyelidikan dengan menciptakan “bom zip” yang dapat menyebabkan serangan pada setiap perangkat lunak forensik apabila file tersebut di ekstrak atau dibuka.

5. Physical Destruction yaitu pemusnahan atau menghancurkan fisik dari barang bukti seperti membakar atau menghilangkan harddisk, memory, atau media pengimpanan lainnya yang dapat meninggalkan jejak kegiatan atau aktivitas yang dilakukan. Atau menghilangkan perangkat keras secara utuh sehingga tidak dapat di analisa lagi.

Dari beberapa metode Anti-Forensik tersebut, alat untuk membantu dalam kegiatan anti-forensik dengan Wiper, system cleaners.

 

Sumber :

http://www.dfrws.org/2006/proceedings/6-Harris.pdf

http://forensicswiki.org/wiki/Anti-forensic_techniques

http://www.blackhat.com/presentations/bh-usa-05/bh-us-05-foster-liu-update.pdf

http://www.csoonline.com/article/2122329/investigations-forensics/the-rise-of-anti-forensics.html

http://www.ipcopper.com/forensics_and_antiforensics.htm

https://www.defcon.org/images/defcon-20/dc-20-presentations/Perklin/DEFCON-20-Perklin-AntiForensics.pdf

http://www.garykessler.net/library/2007_ADFC_anti-forensics.pdf

http://www.aversion.net/presentations/HTCIA-02/anti-forensics.ppt

http://www.pustakasekolah.com/forensik-dan-anti-forensik.html

http://www.slideshare.net/josemorunocadima/ceic-2012-antiantiforensics

 

Cybercrime Exposed Ecosystem Malware

Cybercrime Exposed

Cybercrime-as-a-Service

 

By Raj Samani, Vice President and CTO, EMEA, McAfee

François Paget, Senior Threat Research Engineer, McAfee® Labs

 

Meningkatnya frekuensi, variasi, dan kompleksitas serangan adalah produk dari negara berkembang “Cybercrime-as-a-service” pasar penyedia. Pasar ini memungkinkan pihak jahat untuk mengeksekusi serangan dengan biaya jauh lebih rendah, dengan tingkat lebih rendah dari cerdas teknis.
Seperti halnya dengan komputasi awan, ekosistem cybercrime berbasis layanan ini menyediakan efisiensi yang lebih besar dan fleksibilitas untuk penjahat cyber-seperti halnya di lain “bisnis” usaha. Pendekatan ini jauh melampaui mempekerjakan individu untuk melakukan tugas-tugas tertentu (seperti coding mengeksploitasi) untuk memasukkan berbagai macam produk dan layanan yang tersedia baik untuk
membeli atau menyewa.

Pasar ini mengandung banyak pemangku kepentingan, mulai dari formal, organisasi yang sah menjual kerentanan untuk pihak yang memenuhi kriteria kelayakan yang ketat mereka, untuk situs bawah tanah yang memungkinkan individu untuk menawarkan layanan ilegal. Fokus penegakan hukum pada cybercrime di tingkat global telah menyebabkan “as-a-service” model untuk kegiatan ilegal akan bahkan bawah tanah yang lebih dalam. Platform bawah tanah tersebut menerapkan mekanisme kuat untuk memastikan bahwa peserta yang mereka dimaksudkan menjadi (atau setidaknya tidak aparat penegak hukum). Ironisnya, sedangkan platform yang memfasilitasi layanan pasar untuk kegiatan ilegal akan lebih bawah tanah, perdagangan kerentanan zero-day lebih transparan daripada sebelumnya.

Sebagian besar dari layanan ini jelas diadministrasikan oleh penjahat cyber. Namun demikian, sejumlah layanan yang tetap hukum. Secara keseluruhan, kita bisa layanan kelas sebagai bagian dari pasar gelap atau abu-abu. Kami menggunakan klasifikasi “abu-abu” ketika kegiatan atau pelanggan nyata sulit untuk menentukan.

Penelitian-as-a-Service

Tidak seperti kategori kami yang lain, penelitian-as-a-service tidak harus berasal dari sumber ilegal; ada ruang untuk abu-abu pasar. Ada perusahaan komersial yang menyediakan penjualan kerentanan zero-day untuk organisasi yang memenuhi mereka kriteria kelayakan. Dan, ada individu yang bertindak sebagai perantara, menjual properti intelektual seperti untuk pembeli bersedia yang mungkin atau mungkin tidak memiliki persyaratan kelayakan yang sama yang ketat.

Kerentanan Dijual: pasar komersial

Pasar saat ini berfungsi mereka yang mencari untuk memperoleh zero-day kerentanan kerentanan-software yang ada tidak ada dikenal solusi pada saat penemuan mereka. Kategori ini dikenal untuk kelayakan pelanggan persyaratan-seperti sebagai membutuhkan bahwa pelanggan aparat penegak hukum atau organisasi pemerintah. Terlepas dari persyaratan ini, layanan ini dapat dan sedang digunakan untuk memperoleh intelijen kerentanan untuk digunakan dalam serangan.

Mengeksploitasi broker

Meskipun akuisisi kerentanan dapat dilakukan melalui entitas komersial, ada peluang untuk membeli
melalui layanan broker. Ini bisa menjadi individu yang bertindak sebagai perantara komisi-didorong untuk memfasilitasi penjualan dengan pihak ketiga.

Jasa Spam

Daripada secara manual membangun daftar email, calon spammer memiliki kemewahan hanya membeli daftar email alamat. Selain dari kustomisasi pesan dalam bahasa tertentu, email yang tidak diminta mungkin memerlukan lebih granularity. Misalnya, jika ada sesuatu yang sangat relevan untuk konsumen di negara bagian AS, ada layanan yang alamat email pasokan milik individu dari negara-negara tertentu.

Crimeware-as-a-Service

Kategori ini menggabungkan identifikasi dan pengembangan eksploitasi digunakan untuk operasi yang dimaksudkan-dan mungkin juga mencakup pengembangan bahan tambahan untuk mendukung serangan (droppers, pengunduh, keyloggers, bot, dan lebih). Ini termasuk alat yang digunakan untuk menyembunyikan malware dari mekanisme perlindungan keamanan (cryptors, pembangun polimorfik, joiner, kerupuk, dan sejenisnya), serta alat-alat spammer / robot seperti Xrumer. Selain itu, kategori ini meliputi ketersediaan perangkat keras yang dapat digunakan untuk penipuan keuangan (misalnya, kartu skimming) atau peralatan yang digunakan untuk hack ke platform fisik.

Layanan profesional

Outsourcing pengembangan kode berbahaya telah ada selama beberapa waktu, dengan beberapa contoh spesifik malware sedang outsourcing ke pihak ketiga. Contoh ini terlihat pada awal 2005, ketika programmer dipekerjakan untuk mengembangkan cacing Zotob, strain malware yang diperlukan sekitar $ 97.000 untuk membersihkan sistem berdampak.

Jasa malware

Pembeli dapat memperoleh kode predeveloped untuk melakukan serangan mereka:
• Trojan-Sebuah program jahat yang tersembunyi dalam file yang sah untuk mencuri informasi pengguna atau login dari sistem yang terinfeksi.

• Kode Rootkit layanan-sembunyi-sembunyi yang menyembunyikan dirinya dalam sistem terganggu dan melakukan tindakan sebagai diprogram.
• Ransomware layanan-Software yang membatasi pengguna dari melakukan kegiatan lebih lanjut sampai tindakan tertentu, seperti memberikan rincian kartu kredit.

Mengeksploitasi layanan

Crimeware-as-a-service juga termasuk mengeksploitasi paket yang menawarkan kemampuan seperti layanan enkripsi untuk menyembunyikan sebuah serangan dan menghindari deteksi. Ini mungkin termasuk enkripsi file tertentu, yang dapat digunakan dalam hubungannya dengan lainnya teknik menggunakan enkripsi untuk lebih menyamarkan kode berbahaya. Malware tes penyedia layanan lainnya penjahat dunia maya ‘ untuk mereka terhadap perangkat lunak antivirus, dan spam uji terhadap blacklist domain. Yang terakhir digunakan oleh perusahaan dan layanan penyedia untuk memblokir email dari domain yang diketahui untuk mengirim konten, seperti spam, melanggar kebijakan mereka.

Cybercrime Infrastruktur-as-a-Service

Setelah toolset telah dikembangkan, penjahat cyber menghadapi tantangan memberikan eksploitasi mereka untuk mereka dimaksudkan korban. Contoh adalah menyewa jaringan komputer untuk melaksanakan (DoS) serangan denial-of-service. Serangan DoS (atau distributed denial-of-service [DDos] serangan) mengirim volume besar lalu lintas ke situs web atau layanan korban dan mencegah mereka dari melakukan kegiatan usaha yang normal dengan melakukan overloading mereka. Contoh lain termasuk ketersediaan platform untuk tuan rumah konten berbahaya, seperti “antipeluru” hosting.

Botnet

Sebuah jaringan robot, atau botnet, adalah jaringan dari komputer yang terinfeksi di bawah remote control dari cybercriminal online. The botnet dapat digunakan untuk sejumlah layanan, seperti mengirim spam, meluncurkan serangan DoS, dan penyebaran malware.

Beberapa layanan yang tersedia untuk memenuhi anggaran.

Layanan hosting

Sebuah “antipeluru” penyedia hosting adalah perusahaan yang sengaja menyediakan web atau domain hosting (atau layanan terkait lainnya) untuk kriminal di dunia maya. Penyedia tersebut cenderung mengabaikan keluhan dengan memutar mata terhadap penggunaan jahat layanan mereka. Banyak seperti lingkungan komersial, segudang layanan hosting yang tersedia-satunya kendala adalah jumlah uang satu bersedia membayar dan, dalam beberapa kasus, etika penyedia hosting.

Jasa Spam

Calon spammer dapat menggunakan layanan yang mendukung pengiriman surat yang tidak diminta. Misalnya, seorang penjahat dapat mengirim 30.000.000 email untuk serangan selama sebulan tanpa peralatan apapun di pembuangan.

Hacking-as-a-Service

Mendapatkan komponen individu dari serangan tetap menjadi salah satu pilihan; alternatif, ada layanan yang memungkinkan untuk Outsourcing serangan seluruhnya. Jalan ini membutuhkan keahlian teknis minimal, meskipun ada kemungkinan untuk biaya lebih dari memperoleh komponen individu. Kategori ini juga mendukung ketersediaan informasi yang digunakan untuk pencurian identitas, untuk Misalnya, meminta informasi seperti kredensial perbankan, data kartu kredit, dan rincian login ke situs web tertentu.
Layanan sandi-retak

Layanan ini memudahkan bagi pembeli untuk mengambil password-dengan email tanpa keahlian teknis. Semua yang diperlukan adalah alamat email dan nama dari target.

Denial-of-service

DoS layanan hanya memerlukan penyerang untuk memberikan nama situs mereka ingin menyerang, memutuskan berapa banyak mereka bersedia membayar, dan kemudian memulai layanan. Untuk hanya $ 2 per jam, misalnya, serangan dapat diluncurkan terhadap sistem pilih pembeli.

Informasi keuangan

Banyak layanan menawarkan informasi kartu kredit, dengan fleksibilitas yang cukup dan bervariasi model harga berdasarkan Informasi dijual. Sementara informasi kartu kredit berharga untuk calon penjahat, Login mandat untuk perbankan online bisa perintah harga yang lebih tinggi dari nomor kartu kredit.

Kesimpulan

Kita menyaksikan tidak hanya peningkatan volume cybercrime, tetapi individu mengambil bagian dalam kejahatan ini juga jauh dari persepsi publik dari hacker komputer. Pertumbuhan di “as-a-service” sifat bahan bakar cybercrime pertumbuhan eksponensial ini, dan model bisnis ini fleksibel memungkinkan penjahat cyber untuk mengeksekusi serangan dengan biaya jauh lebih sedikit dari sebelumnya. Seperti mitra penegak hukum di seluruh dunia, EC3 Eropa Cybercrime tanpa henti dalam mengejar kelompok kriminal atau jaringan yang mencuri uang Anda, informasi Anda, atau identitas Anda dan bahwa terlibat dalam penyalahgunaan online anak-anak.

 

Sumber :

https://securityintelligence.com/cybercrime-ecosystem-everything-is-for-sale/

http://www.mcafee.com/us/resources/white-papers/wp-cybercrime-exposed.pdf.

 

Chain Of Custody Form

Chain Of Custody

Dalam mengerjakan suatu kegiatan investigasi untuk mendapatkan barang bukti yang dapat dipertanggungjawabkan integritasnya, sebagai investigator mendokumentasikan setiap kegiatan yang dilakukan, sebagai bukti bahwa tidak ada kegiatan yang dapat membuat cacat dari barang bukti yang ditemukan. Untuk mendukung integritas dari barang bukti yang di temukan tersebut, tata cara mendapatkan bukti juga menggunakan rangkaian kegiatan yang sesuai dengan peraturan yang ditetapkan. Dari berbagai kegiatan yang telah dilakukan, didokumentasikan nantinya dapat ditunjukkan telah sesuai dengan rangkaian awal sampai akhir dipertanggungjawabkan.
Chain of Custody merupakan sebuah cara untuk memelihara, meminimalisir kerusakan yang diakibatkan karena kegiatan-kegiatan yang dilakukan saat investigasi. Barang bukti harus asli tidak terdapat perubahan akibat sudah tersentuh investigator.

Tujuan dari the chain of custody adalah :
1. Bukti itu benar-benar masih asli/orisinil
2. Pada saat persidangan, bukti masih bisa dikatakan seperti pada saat ditemukan. (biasanya jarak antara penyidikan dan persidangan relatif lama).

Ada beberapa cara yang dapat menjaga bukti dalam mekanisme chain of custody:
1. Gunakan catatan yang lengkap mengenai keluar-masuk bukti dari penyimpanan
2. Simpan di tempat yang dianggap aman.
3. Akses yang terbatas dalam tempat penyimpanan.
4. Catat siapa saja yang dapat mengakses bukti tersebut.

Dari beberapa sumber, telah mengeluarkan beberapa format isian dalam hal menjaga integritas keaslian barang bukti sampai nanti dipertanggungjawabkan, sebagai berikut :

Sumber :

www.upenn.edu/computing/security/chain/chain_of_custody.pdf

www.nist.gov/oles/forensics/upload/Sample-Chain-of-Custody-Form.docx

https://en.wikipedia.org/wiki/Chain_of_custody

https://www.ncjrs.gov/pdffiles1/nij/199408.pdf

Laporan Investigasi

Versi 1.1

 

A. Kasus 1

1. Identitas Kasus

a. Pemohon	Hamid,
b. Alamat Pemohon	Jalan Melawai VIII No 10 D Jakarta Selatan
c. Yang menerima	Muhammad Misbahul Munir, S.Kom, Gr.
d. Waktu	Minggu, 23 Agustus 2015, Pukul 13.00 Wib
e. Nomor Kasus	Ks01/VIII/2015

 

2. Deskripsi Permohonan Investigasi :

Diajukan barang bukti berupa file Kategori Forensik.pdf, Network_Forensics.zip, untuk dibaca.rar, dua file dalam bentuk ekstensi .rar, .zip dengan password.

3. Proses penerimaan barang bukti

Penyerahan barang bukti melalui flasdisk yang terdapat file tersebut.

4. Proses Eksaminasi Barang Bukti

a. Pengerjaan

Dalam menganalisis file yang diberikan tersebut dikerjakan secara individu yaitu Muhammad Misbahul Munir.

b. Prosedur

1. Melakukan pengamanan file yang diterima untuk disimpan dalam USB.
2. Menyiapkan environment system untuk keperluan eksaminasi pada Lab Forensika Digital Teknik Informatika yang berada pada area pusat pelatihan ITCentrum FTI UII.
3. Menggunakan sejumlah aplikasi untuk kepentingan melihat metadata file serta informasi digital lainnya yang mungkin diekstrasi dari file-file tersebut. Dalam hal ini aplikasi yang digunakan adalah : Wireshark, Autopsy v3.1.2, WinRar.
4. Setiap file satu demi satu dianalisis kemudian dibuatkan screen shoot yang mengarahkan pada temuan yang dikehendaki sesuai dengan target informasi yang diharapkan.
5. Melakukan expose hasil dari pekerjaan analisa file.

c. Waktu dan Tempat

1. Proses Eksaminiasi dilakukan pada hari Minggu 23 Agustus 2015 jam 13.30 – 15.00.
2. Tempat proses eksaminasi adalah Laboratorium Forensika Digital yang berada pada area pusat pelatihan ITCentrum FTI UII Yogyakarta.

 

5. Hasil Eksaminasi

a. Kunci Hash File

Kunci Hash didapat dengan membuka file yang ada dalam flashdisk dengan program Autopsy ver. 3.1.2

Nilai Hash ini penting untuk menjaga integritas file. Dalam hal ini semua proses eksaminasi file dipastikan menggunakan file yang sama dengan cara melakukan verifikasi nilai hash dari file tersebut.

b. Membuka file .rar dan .zip

• File Network_Forensics.zip

Untuk bisa membuka file dalam ekstensi .rar, file Kategor Forensik.pdf, disana terdapat beberapa clue yang dapat membuat suatu rangkaian password untuk membuka file .rar.

Dari beberapa potongan tulisan yang tercetak beda, bold dalam file pdf tersebut di dapat : sp3cial-force86!!! Adalah sebagai password file Network_Forensics.zip. Setelah dibuka dan di ekstrak menggunakan WinRar dalam file Network_Forensics.zip, terdapat file Network_Forensics.pcapng.

File Network_Forensics.pcapng dibuka menggunakan program Wireshark. Setelah di analisa terdapat beberapa user dan password :

User : tejo

Password : permisi

 

Dari informasi ini, dicoba untuk dimasukkan dalam membuka file untuk dibaca.rar yang ada password pembuka. Setelah dimasukkan password : permisi dapat diekstrak terdapat 2 file seperti berikut :

Kemudian dari 2 file tersebut, karena tidak terdapat ekstensi, dicoba dibuka dengan Notepad dengan hasil sebagai berikut :

Hasil dari file 1.

 

Hasil dari file 2.

1. Kesimpulan

Dari hasil analisa tersebut dapat ditemukan beberapa item yang dapat dilaporkan antara lain :

Jawaban : “172.16.6.24”

 

Tabel : Kesimpulan

No.	Hasil	Keterangan
1	Password : sp3cial-force86!!!	Dari hasil pengamatan file Kategori Forensik.pdf untuk membuka file Network_Forensics.zip
2	File : Network_Forensics.pcapng	Ekstraksi gile Network_Forensics.zip
3	User : tejo dan Password : permisi	Hasil dari file Network_Forensics.pcapng
4	File : 1 dan 2	Ekstraksi file untuk dibaca.rar
5		Hasil membuka file 2 dari ekstraksi file untuk dibaca.rar yang ternyata folder
6		Hasil membuka file 2 dari ekstraksi file untuk dibaca.rar yang ternyata folder

 

Yogyakarta,    Agustus 2015

Investigator,

Ttd

Muhammad Misbahul Munir, S.Kom, Gr.

 

Case Study Ann’s

Untuk kasus Ann merupakan kasus tentang email yang berisi secret love yang sudah diungkap dengan menggunakan tools forensik dengan menggunakan wireshark, xplico, dan decode 64.

1. What is Ann’s email address?

Jawaban : sneakyg33k@aol.com

Untuk email kita perhatikan protokol SMTP yang merupakan protokol yang digunakan dalam email.

Dari IP 64.12.102.142 ke IP 192.168.1.159 kita follow TCP stream dan kita dapatkan email : sneakyg33k@aol.com sebagai pemgirim yang merupakan emailnya Ann.

2. What is AnnÃs email password?
   Jawaban : NTU4cjAwbHo

Dari hasil follow TCP stream didaptkan :
AUTH LOGIN
334 VXNlcm5hbWU6
c25lYWt5ZzMza0Bhb2wuY29t //merupakan username
334 UGFzc3dvcmQ6
NTU4cjAwbHo= //merupakan password
password tersebut masih dienkripsi dan harus dienkripsi dengan menggunakan decoder Base64 dan didapatkan hasil decoder NTU4cjAwbHo=(558r00lz).

3. What is AnnÃs secret loverÃs email address?
   Jawaban : mistersecretx@aol.com
4. What two items did Ann tell her secret lover to bring?

Jawaban : fake passport and a bathing suit

5. What is the NAME of the attachment Ann sent to her secret lover?

Jawaban : secretrendezvous.docx

6. What is the MD5sum of the attachment Ann sent to her secret lover?
   Dari hasil ekstrak file skript dengan menggunakan base 64 didapatkan file : 9e423e11db88f01bbff81172839e1923 *secretrendezvous.docx
7. In what CITY and COUNTRY is their rendez-vous point?

Jawaban : Playa del Carmen, Mexico

8. What is the MD5sum of the image embedded in the document?
   Jawaban : Gambar diatas kita ekstrak dengan menggunakan MD5sum dan didaptkan file berikut :
   aadeace50997b1ba24b09ac2ef1940b7 *image1.png

Dari kasus diatas maka 4W + 1H nya adalah sebagai berikut :
where atau lokasinya adalah di Playa del Carmen, Mexico.
when atau waktu kejadian sat, 10 Oct 2009 15:35:16
what atau kejadian berupa pengiriman pesan cinta rahasia kepada selingkuhannya Ann
who atau pelaku kejahan adalah Ann
why atau motif Ann memiliki selingkuhan selain Sec.
how atau cara melakukan kejahatan dengan menggunakan email.

Referensi :

http://forensicscontest.com/2009/10/10/puzzle-2-ann-skips-bail

https://www.base64decode.org/

https://www.thierfreund.de/basics-on-problem-solving-investigations/

Analisis Crime Occam Razor Alexiou Case Dark

Analisis Crime : Penerapan Occam’s Razor and Alexiou Principle & 5W+1H dalam Case Study Ann’s Dark Tangent (DEFCON 2010)

Kasus Ann Dercover merupakan pencurian data-dat penting dari suatu perusahaan dan menjual informasi perusahaan kepada lainnya. Namun kegiatan memata-matai tersebut terekam dalam jaringan yang dilalui data yang dicuri tersebut. Dari itu kegiatan forensik Digital dilakukan guna membuka semua data pengambilan yang dilakukan. Dengan penambahan 5W+1H, maka akan dicari tahu dari :

1. What (Apa)
2. When (Kapan)
3. Where (Di mana)
4. Who (Siapa)
5. Why (Mengapa)
6. How (Bagaimana)

Kemudian dengan penerapan prinsip OCCAM’S RAZOR

Occam’s Razor dijelaskan sebagai:

“The simplest answer is most often correct“.

“Jawaban yang paling sederhana adalah jawaban yang paling sering benar“. Perlu diperhatikan Occam’s Razor ini adalah ia tidak termasuk dalam proses penalaran (reasoning process).

Dengan menjawab pertanyaan sesederhana mungkin, berarti tidak menambah sulit dalam dalam mencari jawaban. Apabila dengan alat yang sederhana sudah terjawab tidak perlu memakai alat yang sulit untuk menemukan suatu jwaban dari pertanyaan tersebut. Apalagi sampai harus memakai perlengkapan, tool yang lebih dari sedikit.

ALEXIOU PRINCIPLE

Alexiou Principle adalah prinsip investigasi yang dikemukakan oleh Michael Alexiou, Chief Operating Officer CyTech Services, Inc, Washington D.C., Amerika Serikat.

1. What question are you trying to answer?
2. What data do you need to answer that question?
3. How do you extract that data?
4. What does that data tell you?

Proses investigasi, investigator harus tahu arah investigasinya, yaitu apa yang harus dijawab dari hasil investigasi, ke mana mencari data, bagaimana caranya dan apakah hasil investigasi sudah dapat menjawab pertanyaan.

Alexiou Principle diterapkan dalam analisis kasus :

1. What question are you trying to answer?

• Hasil Hash MD5 ?
• Bagaimana membuka jaringan tanpa kabel, wifi ?
• Dimana tempatnya ?
• Hasil Isi file yang dikirim ?

2. What data do you need to answer that question?

Data yang dibutuhkan untuk menjawab pertanyaan? Data berupa file packet capture aktivitas network Ann yaitu bukti-defcon2010.pcap“.

3. How do you extract that data?

Bagaimana mengekstrak data ? Dengan memanfaatkan tool Wireshark dan command seperti tcpflow, cat, echo, base64, vi, sed, tr, unzip, md5sum, smtpdum, aircrack-ng, airdecap-ng, dengan OS Backtrack 5 R3.

4. What does that data tell you?

Apa hasil ekstraksi data tersebut? dapat menjawab pertanyaan. Jawaban tersebut adalah sebagai berikut:

a. Hasil Hash MD5 ? 7c416421a626600f86e3702df0cac8ef

Membongkar keamanan jaringan Wifi. Berikut file hasil dari perekaman yang didapat dari dokumentasi, bisa di ambil melalui alamat : https://onedrive.live.com/embed?cid=04D2F55D70B62D95&resid=4D2F55D70B62D95%21268&authkey=ALdfqzvKQD2ce0k

Periksa Hash MD5:

$ Md5sum bukti-defcon2010.pcap

7c416421a626600f86e3702df0cac8ef bukti-defcon2010.pcap

b. Bagaimana membuka paksa jaringan tanpa kabel, wifi ?

Jika memeriksa capture paket, akan melihat bahwa berisi lalu lintas nirkabel WEP-dienkripsi.

Buka kunci WEP. Dapat melakukannya dengan menggunakan aircrack-ng dalam waktu yang cepat :

–> $ Aircrack-ng bukti-defcon2010.pcap

–> Membuka bukti-defcon2010.pcap

–> Baca 426.642 paket.

–> # BSSID ESSID Enkripsi

–> 1 00: 1C: 10: B3: CC: F0 w00t WEP (98923 infus)

–> Memilih jaringan pertama sebagai sasaran.

–> Membuka bukti-defcon2010.pcap

Setelah memiliki kunci WEP, gunakan untuk mendekripsi lalu lintas:

–> $ Airdecap-ng -w 4A: 7D: B5: 08: CD bukti-defcon2010.pcap

–> Total jumlah paket baca 426.642

–> Total jumlah paket data WEP 187.650

–> Total jumlah WPA paket data 0

–> Jumlah paket data plaintext 0

–> Jumlah didekripsi paket WEP 187.650

–> Jumlah rusak paket WEP 0

–> Jumlah didekripsi paket WPA 0

c. Isi email yang dikirimkan ?

Jika menjalankan string pada capture paket (atau melihatnya di Wireshark), akan melihat IMAP dan SMTP lalu lintas, termasuk email dengan lampiran. Lampiran email ini adalah kunci untuk seluruh teka-teki.

–> Gelap Tangent,

–> Aku tahu kau telah menonton saya. Anda harus dapat mengetahui =

–> lokasi titik pertemuan kami dari lalu lintas saya. Hubungi saya pertama dengan=

–> nama kota di mana kita akan bertemu, dan Anda menang 🙂 saya akan mengirimkan =

–> rincian lebih lanjut setelah itu. = 20

–> Ann

d. Lihat lampiran untuk petunjuk.

Mengukir lampiran email. Anda dapat melakukannya secara manual, atau gunakan smtpdump alat oleh Franck GUA © nichot.

Ada lima baris pada gambar, yang dibaca (dari atas ke bawah):

–> App Store – Nama aplikasi

–> Podcast Judul

–> YouTube Video Judul

–> Nama Google Earth City

–> AIM Buddy Nama

Jika melalui capture paket, akan menemukan bahwa Ann menggunakan iPad-nya untuk:

• Unduh aplikasi iPad yang disebut â € œSolitaireâ €
• Download dan menonton Onion podcast called “Onion Radio News for Kidsâ€
• Lihat video YouTube yang disebut “Cry for Help – Rick Astleyâ€
• Cari di Google Earth untuk “Hacker Valley, West Virginiaâ€
• IM teman nya, â € œinter0pt1câ €

Baris semua jawaban di atas, seperti yang ditunjukkan pada gambar GIF, dan baca bawah kolom pertama:

• Solitaire
• Onion Radio News for Kids
• Cry for Help
• Hacker Valley
• inter0pt1c

1. Dimana tempatnya ?

Jawabannya adalah “Sochi”, sebuah kota resor di Rusia di mana Olimpiade musim dingin akan digelar.

KESIMPULAN

Dari uraian yang jelaskan tersebut ::

1. Pendekatan 5W1H akan sangat membantu dalam menjelaskan kasus.
2. Investigator dapat menggunakan prinsip Occam’s Razor dan Alexiou Principle salah satu prinsip untuk menemukan jawaban dari daftar pertanyaan dari suatu kasus.

Referensi :

http://forensicscontest.com/2011/07/31/puzzle-7-anns-dark-tangent-defcon-2010

https://explorable.com/occams-razor

https://en.wikipedia.org/wiki/Occam’s_razor

https://digital-forensics.sans.org/summit-archives/2010/2-newell-spiderlabs-sniper-forensics.pdf

https://www.thierfreund.de/basics-on-problem-solving-investigations/