![[./Mr.Z Blog]](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEghYrWCnAsqrTRTNEsYP7alruJ9a21Jo8t0M1lNa7YybKgiwO7d62e8OnC9ObrBmRmGLpii7FiIQ16UdognDz2quFiiYpEOBkLxc-KvWZVjX9RpxeVoALVoEo1bj8j17gtQ898DD0FCJLs/s1600/coollogo_com-241712770.png)
--[ Daftar isi
# Pendahuluan
# Shred = Anti Forensik
# Skenario
# implementasi
--[ Pendahuluan
Sebelum membahas lebih jauh mengenai forensik, ada baiknya kita mengerti perbeda
antara komputer forensik dengan anti komputer forensik. Mungkin dari kata tersebut
sudah jelas bahwa diantara keduanya saling berlawanan. komputer forensik dilakukan
oleh para ahli komputer forensik untuk memper oleh data serta informasi akurat
mengenai kasus-kasus cyber crime sebagai penyelidikan. Sedangkan Anti komputer
forensik biasa dilakukan oleh orang-orang pemberontak (attacker) untuk menghilang-
kan jejak serta mempersulit team forensik untuk melaksanakan tugasnya. Kedua
forensik tersebut dapat dilakukan pada mesin/komputer standalone (tidak terhubung
kejaringan) dan terhubung kejaringan.
--[ Shred = Anti Forensik
Terdapat 2 tool standar untuk menghapus file dan directory didalam GNU/Linux yaitu
rm(remove) dan shred. Mungkin kita sering memakai rm untuk menghapus file dan
directory, namun yang terhapus hanyalah bagian inode(index node), jadi suatu saat
dapat di recovery dan dibaca dengan baik. Berbeda dengan Shred yang menghapus file
dan directory dengan mengkosongkan atau membuat isi file tidak dapat terbaca
dengan baik, jadi walaupun file telah dapat direcovery isi didalamnya tidak dapat
terbaca atau kosong.
Shred sangatlah membantu untuk keamanan dan privasi user, karena tujuan pembuatan
seperti itu. Jadi jika suatu saat kita ingin menjual laptop/PC sebaiknya kita
menghapus semua data secara permanen pada hardisk kita atau menghapus semua
password-password yang sangat rahasia. Namun ibarat pisau bermata dua, shred
menjadi salah satu tool kebanggaan attacker untuk melakukan anti forensik.
--[ Skenario dikit :)
Pada kasus ini berhubung laptop hanya punya satu, jadi saya memilih virtualbox
agar proses remote dapat dilakukan dengan baik. Anggap terdapat dua komputer yang
saling terhubung. Saya memakai OS ubuntu sebagai atacker dan OS centos sebagai
server, kita anggap si attacker sudah masuk kedalam server dengan menggunakan
ssh/remote. kemudian server membuat atau memiliki file dan attacker akan menghapus
beberapa file dengan shred. Dapat dibuktikan berjalan dengan baik untuk tujuan
proses anti forensik. Langsung saja kita menuju ke TKP.
--[ Implementasi GO GO GO
1. Dari mesin attacker ssh ke mesin target(server)
owl-9@owl9-VirtualBox:~$ sudo su[sudo] password for owl-9: root@owl9-VirtualBox:/home/owl-9# ssh owl-9@10.150.139.54 The authenticity of host '10.150.139.54 (10.150.139.54)' can't be established. RSA key fingerprint is 4d:f5:20:c7:e7:aa:f9:06:45:ca:1b:b4:b7:9f:4d:30. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '10.150.139.54' (RSA) to the list of known hosts. owl-9@10.150.139.54's password: Last login: Mon Jun 4 18:51:11 2012 from 10.190.53.75 [owl-9@[member='www'] ~]$ suPassword:
2. kemudian attacker melihat file secure untuk dijadikan anti-forensik
[root@[member='www'] log]# tail -f /var/log/secure Jun 5 06:07:26 www polkitd(authority=local): Operator of unix-session:/org/free desktop/ConsoleKit/Session2 successfully authenticated as unix-user:root to gain TEMPORARY authorization for action org.freedesktop.udisks.filesystem-mount-system- internal for system-bus-name::1.45 [/usr/libexec/gvfs-gdu-volume-monitor] (owned by unix-user:owl-9) Jun 5 06:11:48 www su: pam_unix(su:auth): authentication failure; logname=owl-9 uid=500 euid=0 tty=pts/2 ruser=owl-9 rhost= user=rootJun 5 06:11:53 www su: pam_unix(su:session): session opened for user root by owl-9(uid=500) Jun 5 06:11:59 www userhelper[5036]: running '/usr/sbin/eject /dev/sr1' with root privileges on behalf of 'root' Jun 5 06:12:43 www su: pam_unix(su:session): session opened for user root by owl-9(uid=500) Jun 5 06:36:38 www sshd[5505]: Server listening on 0.0.0.0 port 22. Jun 5 06:36:38 www sshd[5505]: Server listening on :: port 22. Jun 5 06:38:41 www sshd[5512]: Accepted password for owl-9 from 10.150.139.54 port 60617 ssh2Jun 5 06:38:41 www sshd[5512]: pam_unix(sshd:session): session opened for user owl-9 by (uid=0) Jun 5 06:38:46 www su: pam_unix(su:session): session opened for user root by owl-9 (uid=500)
3. kemudian attacker mencari tahu nilai inode file secure, dan nilai inode di
dapat 132572
[root@[member='www'] log]# stat /var/log/secure File: `/var/log/secure' Size: 2121 Blocks: 8 IO Block: 4096 regular file Device: 806h/2054d Inode: 132572 Links: 1 Access: (0600/-rw-------) Uid: ( 0/ root) Gid: ( 0/ root) Access: 2012-06-05 06:53:34.962852135 +0700 Modify: 2012-06-05 06:38:46.533819520 +0700 Change: 2012-06-05 06:38:46.533819520 +0700
4. Melakukan anti forensik dengan menggunakan shred ke file secure
[root@[member='www'] log]# shred --random-source=/dev/urandom -u /var/log/secure5. attacker melakukan pengecekan apakah file tersebut benar-benar terhapus.
[root@[member='www'] log]# ls -la /var/log/secure ls: cannot access /var/log/secure: No such file or directory[root@[member='www'] log]# stat /var/log/secure stat: cannot stat `/var/log/secure': No such file or directory
Setelah file terhapus, attacker mencoba untuk recovery, apakah file tersebut masih
dapat di baca atau tidak tebaca atau bahkan tidak ada isinya.
6. attacker menggunakan tool recovery bawaan linux yaitu lsof. Dengan mengetahui
info nilai inode yaitu 132572, kemudian PID(process id) yaitu 3627, descriptor
5 dari 5w. Maka kita bisa mengetahui atau recovery file tersebut.
[root@[member='www'] log]# lsof | grep 132572 rsyslogd 3627 root 5w REG 8,6 0 132572 /var/log/0 (deleted)7. kemudian attacker melakukan recovery dengan copy file secure dari lokasi
pseudo-filesystem.
[root@[member='www'] log]# cp /proc/3627/fd/5 secure
8. Setelah itu dilakukan pengecekan apakah file dapat terbaca atau kosong setelah
di recovery, tapi ternyata hasilnya kosong dan tidak terbaca.
[root@[member='www'] log]# tail -f /var/log/secure [root@[member='www'] log]# tail -f secure [root@[member='www'] log]# file secure secure: empty
Kita bandingkan jika kita menghapus dengan menggunakan rm -rf
1. cek isi dari file message
[root@[member='www'] owl-9]# tail -f /var/log/messages Jun 6 12:52:59 www kernel: usb 2-1.2: configuration #1 chosen from 1 choice Jun 6 12:52:59 www kernel: input: Logitech USB Optical Mouse as /devices/ pci0000:00/0000:00:1d.0/usb2/2-1/2-1.2/2-1.2:1.0/input/input12Jun 6 12:52:59 www kernel: generic-usb 0003:046D:C058.0001: input,hidraw0: USB HID v1.11 Mouse [Logitech USB Optical Mouse] on usb-0000:00:1d.0-1.2/input0Jun 6 12:53:09 www ntfs-3g[4932]: Version 2010.10.2 integrated FUSE 27 Jun 6 12:53:09 www ntfs-3g[4932]: Mounted /dev/sda5 (Read-Write, label "", NTFS 3.1) Jun 6 12:53:09 www ntfs-3g[4932]: Cmdline options: rw,nosuid,nodev,uhelper=udisks, uid=500,gid=500,dmask=0077 Jun 6 12:53:09 www ntfs-3g[4932]: Mount options: rw,nosuid,nodev,uhelper=udisks, allow_other,nonempty,relatime,fsname=/dev/sda5,blkdev,blksize=4096,default_ permissionsJun 6 12:53:09 www ntfs-3g[4932]: Global ownership and permissions enforced, configuration type 1 Jun 6 13:02:41 www kernel: warning: `VirtualBox' uses 32-bit capabilities (legacy support in use) Jun 6 13:02:51 www pulseaudio[4561]: ratelimit.c: 9 events suppressed2. cek status dan didapat inode 132571
[root@[member='www'] owl-9]# stat /var/log/messages File: `/var/log/messages' Size: 149732 Blocks: 296 IO Block: 4096 regular file Device: 806h/2054d Inode: 132571 Links: 1 Access: (0600/-rw-------) Uid: ( 0/ root) Gid: ( 0/ root) Access: 2012-06-06 13:02:52.113595163 +0700 Modify: 2012-06-06 13:02:51.112951011 +0700 Change: 2012-06-06 13:02:51.112951011 +0700
3. menghapus file messages
[root@[member='www'] owl-9]# rm -rf /var/log/messages
4. cek apakh file tersebut sudah terhapus? ternyata sudah.
[root@[member='www'] owl-9]# ls -la /var/log/messages ls: cannot access /var/log/messages: No such file or directory5. kemudian mencari info untuk mendapatkan nilai process id dan descriptor.
[root@[member='www'] owl-9]# lsof | grep 132571 rsyslogd 3627 root 1w REG 8,6 149732 132571 /var/log/messages (deleted) abrt-dump 4210 root 4r REG 8,6 149732 132571 /var/log/messages (deleted)
6. karena terdapat file, jadi kita cek secara spesifik, dan kita memilih yang
bukan null. Terdapat pula penghapusan file messages tanggal 6 juni jam 12:55.
[root@[member='www'] owl-9]# ls -l /proc/3627/fd/1 l-wx------ 1 root root 64 Jun 6 12:55 /proc/3627/fd/1-> /var/log/messages (deleted) [root@[member='www'] owl-9]# ls -l /proc/4210/fd/1 l-wx------ 1 root root 64 Jun 6 12:55 /proc/4210/fd/1 -> /dev/null7. setelah itu dilakukan pengecekan file pada /proc ternyata masih ada.
[root@[member='www'] owl-9]# file /proc/3627/fd/1 /proc/3627/fd/1: broken symbolic link to `/var/log/messages (deleted)'
8. kemudian kita recovery dengan mengcopy file messages dari informasi yang di
dapat sebelumnya.
[root@[member='www'] owl-9]# cp /proc/3627/fd/1 messages
9. setelah berhasil dicopy, kita cek isi di dalam file messages tersebut, dan ternyata
masih ada dan masih bisa terbaca.
[root@[member='www'] owl-9]# tail -f messages Jun 6 12:52:59 www kernel: input: Logitech USB Optical Mouse as /devices/ pci0000:00/0000:00:1d.0/usb2/2-1/2-1.2/2-1.2:1.0/input/input12Jun 6 12:52:59 www kernel: generic-usb 0003:046D:C058.0001: input,hidraw0: USB HID v1.11 Mouse [Logitech USB Optical Mouse] on usb-0000:00:1d.0-1.2/input0Jun 6 12:53:09 www ntfs-3g[4932]: Version 2010.10.2 integrated FUSE 27 Jun 6 12:53:09 www ntfs-3g[4932]: Mounted /dev/sda5 (Read-Write, label "", NTFS 3.1) Jun 6 12:53:09 www ntfs-3g[4932]: Cmdline options: rw,nosuid,nodev,uhelper=udisks, uid=500,gid=500,dmask=0077 Jun 6 12:53:09 www ntfs-3g[4932]: Mount options: rw,nosuid,nodev,uhelper=udisks, allow_other,nonempty,relatime,fsname=/dev/sda5,blkdev,blksize=4096,default_ permissionsJun 6 12:53:09 www ntfs-3g[4932]: Global ownership and permissions enforced, configuration type 1 Jun 6 13:02:41 www kernel: warning: `VirtualBox' uses 32-bit capabilities (legacy support in use) Jun 6 13:02:51 www pulseaudio[4561]: ratelimit.c: 9 events suppressed Jun 6 13:19:21 www pulseaudio[4561]: ratelimit.c: 472 events suppressed
--[ Referensi
http://en.wikipedia....puter_forensics
http://linuxpoison.blogspot.com/
PDF: PutuShinoda--paper keamanan sistem
--[ Greetz
-CentOs -RGM -ORTU -om.dru, abi71, dewae, kitt99, hexspoofer, dan semua anak2 RNDC.
Tidak ada komentar:
Posting Komentar