Upload
others
View
18
Download
1
Embed Size (px)
Citation preview
Cyber Forensic atau Computer Forensic adalah satu cabang ilmuforensik yang berkaitan dengan bukti legal yang ditemukan pada sistemkomputer dan media penyimpanan digital. Computer forensicmerupakan penggunaan teknik analisis dan investigasi untukmengidentifikasi/ menemukan, mengumpulkan, memeriksa danmenyimpan bukti/informasi pada sistem komputer atau media penyimpanan digital dengan sebuah standard dan dokumentasi tertentuuntuk dapat diajukan sebagai bukti hukum yang sah
Investigator Forensic melakukan penyelidikan dan analisis komputeruntuk menentukan potensi bukti legal
Metode metode yang digunakan untuk Penemuan informasi atau data pada sistem komputer Pengembalian/Recovery file yang sudah di hapus, enkripsi, atau mengalami
kerusakan. Monitoring aktifitas seseorang Mendeteksi pelanggaran terhadap kebijakan (policy) perusahaan
Cyber crime adalah istilah yang mengacu kepada aktivitaskejahatan dengan komputer atau jaringan komputer menjadi alat, sasaran atau tempat terjadinya kejahatanContoh: Illegal Contents (Konten Tidak Sah). Data Forgery (Pemalsuan Data) Cyber Spionase (Mata-mata) Data Theft (Mencuri Data) Misuse of devices (Menyalahgunakan Peralatan Komputer) Unethical Hacking & Cracking Cybersquatting and Typosquatting Cyber Terorism Fraud (Manipulasi rangka mengambil keuntungan secara tidak sah)
Pencurian Bandwitdh pada Provider Penyebaran/Penggunaan Malware
(Worm/Trojan pada PC/Server) Un-ethical Hacking/Defacing Penipuan transaksi melalui Email Penipuan transaksi di OLX Prostitusi dan Pornography Online Pembunuhan Berencana
Kasus antara 2012-2013 Sebuah ISP di JKT 1 Gbps
Berhasil menjual 100 Mbps
Trafik termonitor pemakaian lebih dari 110 Mbps
Bagian Keuangan hanya menerima 100 Mbps
10 Mbps ??
Network Forensic - BW Configuration Investigation – Internal Fraud
Salah satu Direktorat di Kementerian Pertaniandi JKT tahun 2014
Total Bandwith Internet 150Mbps Serasa 5 Mbps pada waktu tertentu? Worm /Malware active pada jam jam tertentu
(Pengamatan di Traffik Monitoring Graphic maupun Live/Real Time)
Ternyata salah satu Server WebServer Windows Based (Tidak terawat) telah menjadiBot/Malware yang di kontrol sewaktu waktuuntuk menyerang jaringan lain.
Network Forensic – Malware Forensic
Return-Path: <[email protected]>Envelope-To: [email protected]: Sat, 16 Jul 2016 20:43:17 +0700Received: from [103.8.224.34] (port=36562 helo=server.registrindo.co.id) by
perintis.id.or.id with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256) (Exim 4.87) (envelope-from <[email protected]>) id 1bOPsC-0004GG-Tg
for [email protected]; Sat, 16 Jul 2016 20:43:16 +0700
Received: from registri by server.registrindo.co.id with local (Exim 4.85) (envelope-from <[email protected]>) id 1bOPrU-0008Q9-W0 for [email protected]; Sat, 16 Jul 2016 20:42:33 +0700
To: [email protected]: =?UTF-8?Q?Pergantian_NS?=X-PHP-Script: manage.registrindo.co.id/phpsrs/mail.php for 202.67.40.23From: =?UTF-8?Q?Hendra_Pratama?= <[email protected]>Reply-To:Message-ID: <[email protected]>MIME-Version: 1.0
Content-Type: text/html; charset=UTF-8Content-Transfer-Encoding: quoted-printableDate: Sat, 16 Jul 2016 20:42:32 +0700X-Antiabuse: This header was added to track abuse, please include it with any
abuse reportX-Antiabuse: Primary Hostname - server.registrindo.co.idX-Antiabuse: Original Domain - idwebhost.comX-Antiabuse: Originator/Caller UID/GID - [507 507] / [47 12]X-Antiabuse: Sender Address Domain - server.registrindo.co.idX-Get-Message-Sender-Via: server.registrindo.co.id: authenticated_id:
registri/only user confirmed/virtual account not confirmed
Halo,
Saya ingin melakukan pergantian NS pada domain polresjogja.com
untuk menambahkan ekstensi SSL Cloudflare.
Berikut adalah daftar NS baru :
ingrid.ns.cloudflare.comjeremy.ns.cloudflare.com
Terima kasih
Hendra PratamaHumas Polres Kota Yogyakarta
Berkoordinasi antar Polda-Provider-Ahli Akusisi Server Log
access-log
cpanel-log
History Apache Conf
Pelaku hacking POLRESJOGJA.COM
202.67.40.241202.67.46.30
202.67.40.241 - u5620155 [07/17/2016:15:36:58 -0000] "GET /cpsess4569049329/frontend/paper_lantern/autodir/autocomplete.xml?path=polresjogja.com&dirsonly=1 HTTP/1.1" 200 0 "https://srv9.niagahoster.com:2083/cpsess4569049329/frontend/paper_lantern/addon/index.html" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.63 Safari/537.36" "s" "-" 2083
115.178.193.82 - - [07/18/2016:03:32:14 -0000] "GET / HTTP/1.1" 401 0 "http://polresjogja.com/cpanel" "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0" "-" "-" 2083
202.67.46.30 - u5620155 [07/25/2016:15:24:33 -0000] "GET /cpsess8769797836/frontend/paper_lantern/addon/confirmdodeldomain.html?domain=polresjogja.com&subdomain=polresjogja_stielhokseumawe.ac.id&user=polresjogja&fullsubdomain=polresjogja.stielhokseumawe.ac.id HTTP/1.1" 200 0 "https://srv9.niagahoster.com:2083/cpsess8769797836/frontend/paper_lantern/addon/index.html" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:47.0) Gecko/20100101 Firefox/47.0" "s" "-" 2083
202.67.46.30 - u5620155 [07/25/2016:15:24:38 -0000] "POST /cpsess8769797836/frontend/paper_lantern/addon/dodeldomain.html HTTP/1.1" 200 0 "https://srv9.niagahoster.com:2083/cpsess8769797836/frontend/paper_lantern/addon/confirmdodeldomain.html?domain=polresjogja.com&subdomain=polresjogja_stielhokseumawe.ac.id&user=polresjogja&fullsubdomain=polresjogja.stielhokseumawe.ac.id" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:47.0) Gecko/20100101 Firefox/47.0" "s" "-" 2083
Pelaku Hacking PERSIJA.CO.ID114.121.238.108114.121.234.95
114.121.238.108 - u5620155 [06/26/2016:15:39:55 -0000] "GET /cpsess7678494695/frontend/paper_lantern/autodir/autocomplete.xml?path=public_html%2Fpersija.co.id&dirsonly=1 HTTP/1.1" 200 0 "https://srv9.niagahoster.com:2083/cpsess7678494695/frontend/paper_lantern/addon/index.html" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:47.0) Gecko/20100101 Firefox/47.0" "s" "-" 2083
114.121.238.108 - u5620155 [06/26/2016:15:40:08 -0000] "GET /cpsess7678494695/frontend/paper_lantern/autodir/autocomplete.xml?path=persija&dirsonly=1 HTTP/1.1" 200 0 "https://srv9.niagahoster.com:2083/cpsess7678494695/frontend/paper_lantern/addon/index.html" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:47.0) Gecko/20100101 Firefox/47.0" "s" "-" 2083
114.121.238.108 - u5620155 [06/26/2016:15:39:55 -0000] "GET /cpsess7678494695/frontend/paper_lantern/autodir/autocomplete.xml?path=public_html%2Fpersija.co.id&dirsonly=1 HTTP/1.1" 200 0 "https://srv9.niagahoster.com:2083/cpsess7678494695/frontend/paper_lantern/addon/index.html" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:47.0) Gecko/20100101 Firefox/47.0" "s" "-" 2083
114.121.234.95 - u5620155 [06/28/2016:07:01:10 -0000] "GET /cpsess7082743484/frontend/paper_lantern/addon/confirmdodeldomain.html?domain=persij
a.co.id&subdomain=nganu_stielhokseumawe.ac.id&user=nganu&fullsubdomain=nganu.stielhokseumawe.ac.id HTTP/1.1" 200 0 "https://srv9.niagahoster.co
m:2083/cpsess7082743484/frontend/paper_lantern/addon/index.html" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome
Polresjogja.com dan Persija.co.id korbanSocEng pemindahan NS, kemudianmemanfaatkan akun hosting/cpanel yang lemah (stiexxxxxxxxxxxx.ac.id), CMS yang buggy (LFI dan SQLi lokomedia) yang user cpanelnya sama dengan user DB/MySQL.
Komunikasi antar Partner Bisnis (Perusahaan Distributor Lokal di Semarang denganPerusahaan Produsen Bahan bangunan di China)
Partnership sudah lebih 5 Tahun Diawali email Spoofing dan Akses Ilegal
terhadap email Yahoo.com (Baca: Yahoo Says 1 Billion User Accounts Were Hacked since 2014 https://www.nytimes.com/2016/12/14/technology/yahoo-hack.html )
Kerugian Ratusan Juta rupiah. Laporan Digital Forensic Email
X-Apparently-To: [email protected]; Fri, 04 Sep 2015 08:24:59 +0000Received-SPF: fail (domain of 126.com does not designate 69.175.69.94 as
permitted sender)X-YMailISG: 7KlejbkWLDvhvTyVX00n4O0asupH5BCpto3ZBorpx5358EjE
X-Originating-IP: [69.175.69.94]Authentication-Results: mta1145.mail.gq1.yahoo.com from=126.com;
domainkeys=neutral (no sig); from=126.com; dkim=neutral (no sig)Received: from 127.0.0.1 (EHLO delivery.mailspamprotection.com) (69.175.69.94)by mta1145.mail.gq1.yahoo.com with SMTPS; Fri, 04 Sep 2015 08:24:59 +0000
Received: from ns1.siteground245.com ([184.154.225.4] helo=serv01.siteground245.com)by se4.mailspamprotection.com with esmtps (TLSv1.2:DHE-RSA-AES256-SHA:256)(Exim 4.85)(envelope-from <[email protected]>)id 1ZXmIn-0004co-4jfor [email protected]; Fri, 04 Sep 2015 03:24:58 -0500
Received: from [127.0.0.1] (port=55210 helo=secure245.sgcpanel.com)by serv01.siteground245.com with esmtpa (Exim 4.80.1)(envelope-from <[email protected]>)id 1ZXmIp-0004ct-RKfor [email protected]; Fri, 04 Sep 2015 03:24:55 -0500
MIME-Version: 1.0Content-Type: multipart/alternative;boundary="=_ae0f9289c36e0ac0a42277cfb8b3eac0"Date: Fri, 04 Sep 2015 03:24:55 -0500From: Lily <[email protected]>To: [email protected]: Re:Re: Fw: Purchase RequestReply-To: [email protected]: [email protected]: <[email protected]>X-Sender: [email protected]
User-Agent: Roundcube Webmail/1.0.5X-AntiAbuse: This header was added to track abuse, please include it
with any abuse reportX-AntiAbuse: Primary Hostname - serv01.siteground245.comX-AntiAbuse: Original Domain - yahoo.comX-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]X-AntiAbuse: Sender Address Domain - 126.comX-Get-Message-Sender-Via: serv01.siteground245.com: noneX-Filter-ID:
hi0LX7IBg3nWpFjtdLiGQxc8PirGRB8pzikSsJC/OQ==X-Report-Abuse-To: [email protected]:
IFrWXGses7OKB5S5G8/dJb0kolOUiviGeQyDsBgQ6PBA3cTUQ1R++keuE7RDJ8Kg3RbMLUalw1oC
mj99/u+Poh38tEMU4IgC4sNz49qn3HHnhRv/ZJ3kEy8bfiAr+Fb/UpndEJ0YoaLytXXo8BMTabwN
kORlIFJ73KEwNYCGVrXifUN+W7GEVdpd1LYupdH5yfTdfKhWjEKrz/uplT4ll3WhGFu/A/m0T0pN
5F0rjz0Fq6xBMyLCa6D9uNktO/bt/FhQvq6U0+CWL6A41XmVMN3yPbJhMtBLqanwjerJ+mY=
X-Originating-IP: 184.154.225.4X-SpamExperts-Domain: siteground245.comX-SpamExperts-Username: 184.154.225.4Authentication-Results: mailspamprotection.com; auth=pass
smtp.auth=184.154.225.4@siteground245.comX-SpamExperts-Outgoing-Class: hamX-SpamExperts-Outgoing-Evidence: SB/global_tokens (0.00338079861303)X-Recommended-Action: accept
Komunikasi antar Partner Bisnis (Perusahaan Pengrajin di Jogja dengan Perusahaan Distributor di Eropa)
Partnership sudah lebih 5 Tahun Kerugian ½ Milliyar Rupiah Masih proses Investigasi (akhir 2016 lalu)
Ada 3 Kasus dengan 3 tersangka yang salingberhubungan
2 tersangka tertangkap tangan (dijebak) 1 tersangka lain merupakan Pengelola puluhan Group
Secret (Esek-Esek) di FB. Hingga sidang ke-3 tersangka tidak mengakui jika
akun akun FB tersebut miliknya. Berkilah jika akun bukan miliknya dan akun sudah di hack
orang lain Setelah Ahli memaparkan hasil Digital Forensik,
akhirnya terdakwa mengakui semua akun tersebut. Laporan Digital Forensik Tablet Tersangka
SDM Kepolisian – Kejaksaan – Advocat – Pengadilan Ahli IT vs Ahli Digital Forensic (Ingat kasus Jessica?)
Kerjasama dan Koordinasi Kerja sama Lintas Negara (Interpol/Bilateral)? Kerja sama Lintas Lembaga/Perusahaan (Antar Private Sector
atau Government) Kerja sama dengan antar Provider (ISP dan Operator)
Perkembangan Teknologi Cloud Computing ~ Butuh framework Digital Forensic baru,
berbeda dengan Computer Forensic Konvensional IoT dan setiap person punya banyak Device Storage semakin besar App berubah dan bertambah dengan cepat
Terimakasih