Minggu, 30 Oktober 2011

NETWORK FORENSIC (FORENSIK JARINGAN) - Email Forensic & E Detective

5.     EMAIL FORENSIC

Dari sudut pandang forensik, e-mail dengan sistem client/server memudahkan dalam menemukan informasi (untuk kepentingan analisis) karena semua pesan di-download, dan disimpan dalam komputer lokal. Dengan mendapatkan akses ke komputer lokal, maka analisis terhadap e-mail akan jauh lebih mudah. Dua bagian e-mail yang dijadikan sumber pengamatan adalah header dan body. Yang paling umum dilihat dari sebuah header adalah From (nama dan alamat pengirim yang mudah untuk dipalsukan), To (tujuan yang juga dengan mudah disamarkan), Subject and Date (terekam dari komputer pengirim, namun menjadi tidak akurat jika tanggal dan jam pada komputer pengirim diubah). Untuk mendapatkan informasi yang lebih detail, header pada e-mail perlu diekstrak. Dari header tersebut bisa didapatkan informasi IP Lokal dari pengirim, ID unik yang diberikan oleh server e-mail, dan alamat server pengirim.


Umumnya, software e-mail client/server (seperti Ms.Outlook, Eudora, atau ThunderBird) telah menyediakan fasilitas untuk melihat header secara lengkap, namun beberapa software forensik mampu membaca dan mengekstraksi header untuk keperluan analisis lebih lanjut seperti EnCase atau FTK. Dengan software forensik ini, analisis untuk melakukan pencarian, ekstrak header, pencetakan ke printer, dan pengelompokkan e-mail menjadi lebih mudah dilakukan.

Lalu, bagaimana dengan investigasi untuk web-based e-mail, seperti Yahoo! atau Gmail? E-mail yang pernah terbaca melalui web browser, tentunya tidak disimpan di komputer lokal seperti halnya e-mail dengan sistem client/server. Ketika e-mail dibaca pada sebah komputer, sistem operasi meng-cache isi website tersebut pada harddisk. Cara terbaik untuk melacak setiap e-mail yang pernah terbaca adalah melalui area temporary file seperti file swap atau file cache, atau jika temporary file telah terhapus, pelacakan dapat difokuskan pada area tempat lokasi file temporary sebelum dihapus.

Ektraksi untuk melakukan ini akan membutuhkan lebih banyak usaha dibandingkan ekstraksi dengan sistem client/server, karena penelusuran difokuskan untuk mencari file HTML di antara kumpulan ratusan atau mungkin ribuan halaman-halaman HTML. Software forensik seperti FTK atau EnCase dapat berguna untuk mempercepat pencarian. Misalkan mencari suatu pesan yang mengandung fadh325@situsku.com, maka teks tersebut dapat dimasukkan sebagai dasar pencarian pada sebuah software forensik, dan diatur agar pencarian dilakukan hanya untuk file HTML. Software forensik akan menjelajah isi harddisk, dan berusaha menemukan file (atau potongan file) dengan kriteria yang telah disediakan.

  
6.     PRODUK-PRODUK JARINGAN FORENSIK

6.1  E-Detective – Sistem Jaringan Forensik Real-Time dan Proses Intersepsi Yang Sah Menurut Hukum

E-Detective adalah sebuah sistem yang melakukan proses intersepsi internet secara real-time, monitoring, dan sistem forensik yang menangkap, membaca kode ( dengan menguraikan isi sandi / kode ), dan memulihkan kembali beberapa tipe-tipe lalu lintas internet. Sistem ini biasanya digunakan pada perusahan internet dan memantau tingkah laku, audit, penyimpanan record, analisis forensik, dan investigasi yang sama baiknya dengan hukum, serta intersepsi yang sah menurut hukum untuk penyenggaraan badan usaha yang sah menurut hukum seperti Kepolisian Intelijen, Kemiliteran Intelijen, Departemen Cyber Security, Agen Keamanan Nasional, Departemen Investigasi Kriminal, Agen Pembasmian Terorisme, dan lainnya. Sistem ini juga menyediakan pemenuhan solusi untuk banyak standard-standard atau berlaku seperti Sarbanes Oxley Act (SOX), HIPAA, GLBA, SEC, NASD, E-Discovery, dan lain-lainnya.

E-Detective mampu untuk membaca kode (dengan menguraikan isi sandi / kode), reassembly, dan memulihkan kembali berbagai jenis Aplikasi-Aplikasi Internet dan servis-servis misalnya Email (POP3, IMAP dan SMTP), Webmail (Yahoo Mail, Windows Live Hotmail, Gmail), Instant Messaging (Yahoo, MSN, ICQ, QQ, Google Talk, IRC, UT Chat Room, Skype), File Transfer (FTP, P2P), Online Games, Telnet, HTTP (Link, Content, Reconstruct, Upload dan Download, Video Streaming), VOIP (modul opsional), dan lain-lainnya.

E-Detective datang dengan variasi yang luas dari fungsi dan keistimewaan managemen dan administrasi. Sistem ini menyediakan kepada Anda berbagai tipe-tipe dari laporan dengan Top-Down View. Laporan-laporan tersebut dapat dibuat termasuk Total Throughput Statistical Report-nya, Network Service Report (basis harian, mingguan), Top Website, dan lain-lainnya. Semua statistik-statistiknya dapat ditampilkan dalam per IP Address atau basis per User Account.

E-Detective juga menyediakan macam-macam fungsi-fungsi pencarian. Sistem ini menyediakan Free Text Search (pencarian Kata Kunci dengan bantuan Boolean), Conditional Search, Similar Search, dan Association dengan Relationship Search. Sistem ini juga datang dengan fungsi-fungsi Alert dan Notification (Throughput, Conditional, dan Key Words Alert) yang mengizinkan network administrator meng-setup aturan-aturan alert dan parameter-parameter yang berbeda. Hal ini mengizinkan alert di-trigger (email dikirim ke administrator) sekali, konten spesifik ditemukan dalam menangkap dan memulihkan kembali konten.

Fungsi backup mengizinkan user untuk mem-backup file data mentah yang ditangkap atau memulihkan kembali konten-konten. User dapat meng-setup Auto Backup untuk meng-Backup file-file ini ke drive eksternal (NAS atau SAN) melalui metode upload FTP. Selain itu, user dapat opsional untuk backup secara manual file-file ini dengan mem-burning file-file tersebut ke CD/DVD atau tetap men-download file-file tersebut ke lokal hard drive/PC.

Fungsi-fungsi tambahan yang tersedia seperti Bookmark, Capture File List (Membandingkan isi dari dua file), Online IP List, Authority Assignment, Syslog Server, dan lain-lainnya. Fungsi-fungsi lainnya termasuk hashed export (backup), file content comparison, dan lain-lainnya.

Untuk sub pembahasan lainnya dari network forensic bisa dilihat di :

Tidak ada komentar:

Posting Komentar