Minggu, 18 November 2012

Malware Forensik (Part. II)


Indikasi Malware
Beberapa faktor sehingga dapat disimpulkan bahwa telah terinstall malware pada komputer kita adalah :
  • Browser homepage terus berubah.
  • Iklan pop-up munculsetelah browser ditutup.
  • Muncul ikon aneh pada desktop.
  • Lampu komputer berkedip (mengartikan komputer dalam proses mengolah informasi) pada waktu yang tidak biasa atau tak terduga. Hal ini sulit untuk diamati dengan broadband karena tidak ada perbedaan visual antara data yang masuk dan keluar.
  • Pengaturan browser berubah, termasuk default web saat awal browser dibuka.
  • File upload atau download terjaditanpaizinpengguna.

Tujuan Analisis Malware
  1. Memahami cara kerja malware

     Perubahan pada komputer yang terkena malware
        Teknik penyebaran
        Targetnya (SO, Domain, dll)
        Metode Pengendalian
  1. Memahami resikonya
        Sistem yang terkena dampak
        Manipulasi informasi
  1. Mengembangkan strategi pencegahan
        Shutdown Drop-Zones, Mule-Accounts, etc.
        Tandatangan digital.
Honeypot
Tujuan dari komputer forensik adalah untuk menjabarkan keadaan kini dari suatu artefak digital.Istilah artefak digital bisa mencakup sebuah sistem komputer, media penyimpanan (seperti flash disk, hard disk, atau CD-ROM), sebuah dokumen elektronik (misalnya sebuah pesan email atau gambar JPEG), atau bahkan sederetan paket yang berpindah dalam jaringan komputer. Pada umumnya kejahatan komputer yang dilakukan oleh pelaku itu di dunia maya, banyak sekali kejahatan yang dilakukan di dunia maya. Dan tugas IT Forensik itu mencari dan menemukan siapa pelakunya. Salah satu contoh tools IT forensik yang dapat digunakan dalam masalah ini adalah Honeypot .
Honeypot adalah suatu cara untuk menjebak atau menangkal usaha - usaha penggunaan tak terotorisasi, dalam sebuah sistem informasi. Dalam bidang forensik,  penyimpanan sebuah informasi sangatlah penting untuk menjamin keamanan terhadap isi dari informasi tersebut,  salah satunya mencegah dari serangan penyusup melalui suatu jaringan komputer. Salah satunya adalah penggunaan  honeypot sebagai salah satu cara pengalih perhatian hacker, agar ia seolah - olah berhasil menjebol dan mengambil data dari sebuah jaringan, padahal sesungguhnya data tersebut tidak penting dan lokasi tersebut sudah terisolir sehingga si hacker tidak bisa kemana-mana.
Honeypot bisa dibilang sebagai sebuah/beberapa ‘komputer’ yang digunakan untuk mengamankan network dari serangan para hacker. Dengan cara menempatkannya seolah sebagai komputer yang memiliki tingkat keamanan yang sangat rendah, tanpa firewall atau perlindungan ID.  Arti lainnya, honeypot adalah tiruan server yang menyerupai server aslinya untuk mengelabui para hacker. Dengan tools ini hacker yang menyerang suatu website  akan merasa mudah dalam melakukan aksinya, padahal dia masuk ke perangkap dan sedang dipekerjakan

Hal-hal apa saja yang terdapat didalam honeypot:
  • Network Devices Hardware – Untuk mendirikan Honeypot berarti kita juga membutuhkan perangkat jaringan komputer.
  • Monitoring or Logging – Honeypot yang kita dirikan dapat memonitor secara langsung aktifitas penyusup.
  • Alerting Mechanism – Honeypot dapat memberikan layanan messenger untuk administrator apabila terdapat serangan-serangan.
  • Keystroke Logger – Honeypot dapat memberikan informasi tentang apa saja yang dilakukan oleh penyusup termasuk ketikan dari papan keybord penyusup
  • Packet Analyzer – Honeypot dapat memberikan informasi tentang packet data yang diberikan oleh penyusup ke sistem Honeypot server.
  • Forensic Tools – Honeypot dapat memberikan informasi tentang sistem forensik yang digunakan penyusup terhadap sistem.

Instalasi program ini dapat dilakukan dalam beberapa cara. Honeypot  dapat ditempatkan secara langsung, menghadapkan honeypot dengan internet tanpa adanya firewall. Penempatan tidak langsung,  di mana Honeypot ditempatkan di antara firewall dan koneksi internet.
Dalam bidang  malware forensik, honeypot merupakan sumber informasi yang  memfokuskan pada pengumpulan informasi tentang aktivitasi legal penyusup yang mencoba masuk ke dalam server  dan mengeksplorasi otorisasi sistem computer/server.  Dengan informasi itu bisa diketahui tingkah laku si penyusup di antaranya mengetahui port yang diserang, perintah-perintah yang digunakan serta aktivitas lain yang bisa direkam.
Keuntungan lainnya, administrator jaringan bisa mempelajari kecenderungan dari aktivitas-aktivitas  yang dapat merugikan tersebut lebih dini dan adanya ancaman-ancaman beserta teknik-teknik penyerangan baru yang digunakan penyusup. Dengan demikian jika terdapat serangan atau usaha-usaha yang sama dari orang-orang yang tidak mempunyai otoritas untuk menyusup ke dalam server,  administrator sudah mempunyai taktik untuk menangkalnya. Yang lebih penting lagi, server  asli tetap dalam kondisi aman, karena honeypot membantu memberikan pertahanan yang  lebih bagus disebabkan si penyusup tidak akan langsung melakukan penyerangan terhadap server sesungguhnya.