LOG FILE FORENSIK
Log File sebagai Sumber Informasi
Keberhasilan proses forensik sangat ditentukan oleh kualitas dan kuantitas informasi yang terkumpul. Log file dapat merupakan sumber informasi yang penting bagi proses forensik. Log file mengandung informasi tentang berbagai sumber daya sistem, proses-proses dan aktivitas pengguna. Protocol analyzer, sniffer, server SMTP, DHCP, FTP dan WWW, router, firewall dan hampir semua aktivitas sistem atau user dapat dikumpulkan dalam log file. Tetapi jika administrator sistem tidak dapat mencatat, maka fakta yang diperlukan untuk menghubungkan pelaku dengan insiden tidak ada. Sayangnya penyerang dan penjahat yang pintar mengetahui hal ini dan tujuan pertamanya adalah merusak atau mengubah log file untuk menyembunyikan aktivitas mereka.
Hal kedua yang penting tetapi sering dilupakan adalah sistem clock. Pencatatan suatu file berhubungan dengan time stamp dan date stamp yang memungkinkan analis forensik untuk menentukan urutan kejadian. Tetapi jika sistem clock tidak dikoreksi/dikalibrasi secara berkala dapat dimatikan dari mana saja dari beberapa detik sampai beberapa jam. Hal ini menyebabkan masalah karena korelasi antara log file dari computer yang berbeda yang mempunyai sistem clock yang berbeda akan menyulitkan bahkan tidak mungkin mengkorelasikan kejadian. Solusi yang sederhana untuk mensinkronisasi clock adalah seluruh server dan sistem berjalan pada suatu daemon seperti UNIX ntpd daemon, yang mensinkronisasi waktu dan tanggal sistem secara berkala dengan suatu atomic clock yang disponsori pemerintah.
Interpretasi Trafik Jaringan
Untuk dapat mengidentifikasi trafik jaringan yang tidak normal dan mencurigakan, harus dapat mengenali dengan baik pola trafik jaringan yang normal. Jika pola traffic tidak normal indikasinya biasanya alamat IP sumber terlihat tidak lazim (palsu) karena berupa satu set alamat IP cadangan yang biasanya digunakan di dalam jaringan sebagai alamat privat (misalnya dengan NAT) dan tidak pernah muncul di internet. Juga time-stamp terlalu berdekatan, dan port sumber dan nomor urut yang naik secara seragam merupakan petunjuk bahwa hal ini merupakan paket yang tidak normal. Paket ini menjadi SYNflood, suatu jenis DoS (denial of service), suatu serangan terhadap server ini menggunakan port 139 (NETbios).
Pembuatan Time Lining
MAC (Modified Access Creation) time merupakan tool yang sangat berguna untuk menentukan perubahan file, yang dapat digunakan untuk membuat time lining dari kejadian-kejadian. M-times berisi informasi tentang kapan file dimodifikasi terakhir kali, A-times mengandung informasi waktu akses terakhir (membaca atau mengeksekusi) dan C-times berisi waktu terakhir status file diubah. Keberhasilan proses forensik sangat ditentukan oleh kualitas dan kuantitas informasi yang terkumpul. Log file dapat merupakan sumber informasi yang penting bagi proses forensik. Log file mengandung informasi tentang berbagai sumber daya sistem, proses-proses dan aktivitas pengguna. Protocol analyzer, sniffer, server SMTP, DHCP, FTP dan WWW, router, firewall dan hampir semua aktivitas sistem atau user dapat dikumpulkan dalam log file. Tetapi jika administrator sistem tidak dapat mencatat, maka fakta yang diperlukan untuk menghubungkan pelaku dengan insiden tidak ada. Sayangnya penyerang dan penjahat yang pintar mengetahui hal ini dan tujuan pertamanya adalah merusak atau mengubah log file untuk menyembunyikan aktivitas mereka.
.
Tadi disinggung masalah log-log dalam tahapan analisa dan karakterisitk dalam dunia forensic ini, apa saja yang harus kita perhatikan dalam menanalisis suatu log system ? Ada beberapa file log yang harus menjadi perhatian kita sebagai ahli forensics dan detective
digital, diantaranya :
· E-mail
· Temp File
· Recycle bin
· Informasi file fragmentasi disk
· Recent link files
· Spool printed files
· Internet history (temp)
· Registry
· Space yang tidak digunakan pada disk
· Sector pada disk
Digital Forensic yang bisa dilakukan oleh File Log, diantaranya :
· TroubleShotting
Anda bisa melakukan pelacakan kesalahan tentang apa yang sebelumnya terjadi pada sistem Anda. Catatan-catatan kecil di dalam sistem Anda ini sangatlah berarti karena akan meberikan petunjuk untuk dapat memecahkan masalah yang terjadi.
· Security Audit
Anda bisa melakukan pemeriksaan tentang apa saja yang telah terjadi terhadap sistem, gangguan-gangguan user dan gangguan-gangguan terhadap jaringan Anda.
· Services Audit
Jika anda banyak mengaktifkan services mungkin SAMBA, SQUID, HTTPD – APACHE. Kerusakan, gangguan sistem tersebut biasanya akan dicatat di dalam file Log aplikasi masing2 jadi Anda tetap bisa mempelajari apa yang terjadi dengan services2 yang telah Anda gunakan.
Mari kita menilik log file yang adan pada sistem operasi linux, sbb :
· /var/log/message
File log ini mencata hampir semua kejadian sistem mulai dari proses booting sampai services yang diaktifkan, karena mencatat hampir keseluruhan kondisi sistem makan file log ini akan berukuran besar. Ada beberapa distro yang telah menerapkan fungsi log rotator jadi log yang isinya sama tidak akan ditulis ulang alias memanfaatkan log yang sudah ada.
· /var/log/apache2/* atau /var/log/httpd/
Jika anda mengaktifkan Apache, maka Apache HTTPD sangat senang sekali mencatat kegiatan-kegiatan koneksi layanannya. Kegiatan sukses dan kegiatan kegagalan permintaan packet web .
Software Log File :
Event Log Explorer adalah software gratis untuk melihat, melacak dan menganalisa bahkan merekam log dari aplikasi keamanan, system, dan aplikasi lainnya dari Sistem Operasi Microsoft Windows NT/ 2000/ XP/ 2003.
Rutinitas analisis Event Log dari Windows Event Log adalah tugas yang penting setiap system administrator. Namun masalahnya, Event Viewer standar memiliki fasilitas terbatas, dan tidak memungkinkan Anda untuk melakukan analisis event log secara efektif. Event Log Explorer adalah utilitas sederhana yang bias anda pakai untuk membantu Anda memantau, melihat dan menganalisis catatan Windows Event Log. Software ini bisa dibilang berfungsi untuk memperluas fungsionalitas Event Viewer standard an membawa benyak fitur baru.
Hal pertama yang perlu anda lakukan setelah menginstal program ini adalah memperluas tree view yang saling berhubungan yang sesuai untuk komputer Anda dan kemudian double klik pada item yang Anda inginkan untk melihat log item tersebut. Anda bisa melihat beberapa logs sekaligus.
Beberapa fitur yang baru dari Event Log Explorer:
· Versi terbaru dari Event Log Explorer ini telah menambahkan tab Task Scheduller Taskbar di dalam Windows 7/2008 R2.
· Meningkatkan kemampuan DEP (Data Execution Protection)
·
· Memperbaiki fungsi eskpor ke XLSX
· Mengoptimalkan konsumsi memory
· Mengatasi masalah dengan margin yang tidak benar dalam dokumen yang dicetak
· Mengatasi kebocoran RAM
Kelebihan:
Event Log Explorer ini sangat cepat, nyaman dilihat, dengan tools yang mudah digunakan dan dengan fitur-fitur yang mengagumkan yang bisa membuktikan bahwa program ini sangat berguna bagi banyak orang.
Artikel Email Forensik
Artikel Sofware Email Forensik