__
Abstrak Seiring dengan kemajuan teknologi yang sangat cepat, semakin sulit juga untuk
menemukan barang bukti yang terkandung dalam media digital. Meskipun hal ini sering
tidak dianggap menjadi masalah bagi kebanyakan orang, namun para pengacara dalam
beberapa tahun terakhir mulai mengalami masalah substansial dalam menangani
kompleksitas bukti digital di jaman modern ini, salah satu masalah yang dihadapi adalah
ketidakmampuan untuk mengetahui apa yang harus dicari, dan bagaimana mendapatkannya.
Kesulitan-kesulitan ini telah menyebabkan munculnya ahli forensik dan ahli-ahli lainnya
yang dapat membantu pengacara dalam menangani seluk-beluk bukti digital. Dalam
Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE)
telah diatur tentang kejahatan dalam internet atau yang sering kita dengar dengan istilah
cyber crime. Kasus pidana dalam kategori ITE melibatkan barang bukti yang berkaitan
dengan digital, seperti yang sering terjadi saat ini adalah kejahatan dalam internet. Untuk
membuktikan bahwa terjadi kejahatan di dunia internet, kita perlu mendapatkan data baik itu
foto/log/document/video atau yang lainya di dalam perangkat digital yang digunakan untuk
tindak kejahatan. Diperlukan teknik khusus untuk mendapatkan barang bukti digital, begitu
juga untuk menganalisa nya. Setiap tahap untuk mendapatkan bukti digital harus dilakukan
secara terperinci dan sesuai dengan prosedur yang di tentukan, hal ini bertujuan agar barang
bukti tetap terjaga keasliannya dan tidak mengalami perubahan sedikitpun. Di dalam
makalah ini akan membahas tentang Incident Handling pada kasus web defacement dan
melakukan simulasi computer forensic dengan menggunakan pendekatan NIST SP 800-86.
1
I. Pendahuluan
2
Metodologi Penelitian
Tahap-tahap yang digunakan untuk Incdent Handling barang bukti digital pada
makalah ini menggunakan pendekatan yang telah di jelaskan pada NIST-800-86 tentang
computer security yaitu:
Tahap Persiapan
Pada tahap ini akan melakukan,
o Membentuk tim untuk melakukan rekonstruksi kejadian dan melakukan tahapan
forensic.
O Memahami insiden yang terjadi.
Tahap Identifikasi
Pada tahap ini akan melakukan,
o Mengumpulkan informasi yang cukup tentang insiden yang terjadi untuk
membuat langkah – langkah selanjutnya.
o Mengidentifikasi insiden yang terjadi serta membuat rencana rekonstruksi
kejadian.
o Mengidentifikasi barang bukti serta membuat rencana forensic yang akan
dilakukan.
O Menyiapkan tool dan media yang dibutuhkan.
Tahap Rekonstruksi Kejadian
o Melakukan rekonstruksi kejadian.
Tahap Pembuktian
o Melakukan computer forensic sebagai tahap pembuktian serta untuk
mendapatkan barang bukti
Tahap Analisis
o Melakukan analisis terhadap rekonstruksi kejadian serta computer forensic
3
Website Defacement
Pemindaian
Setelah penyerang mendapatkan informasi target dari serangannya, maka
tahap selanjutnya adalah mencari celah untuk masuk ke dalam sistem.
Mendapatkan akses
Pada tahap ini terjadi proses untuk melakukan ekploitasi terhadap kesalahan
implementasi dan kerentanan dari sistem komputer maupun jaringan. Bisaanya
disebut juga dengan fase penetrasi. Penyerang mulai memanfaatkan kesalahan-
kesalahan ataupun kelemahan-kelemahan yang terdapat pada suatu sistem.
4
Mempertahankan akses
Pada tahap ini terjadi proses penguasaan terhadap sistem, dan bisaanya disertai
dengan proses untuk mempertahankan akses tersebut dengan cara memasang
backdoor, rootkit, atau trojan. Web defacemant terjadi pada tahap ini. Sistem yang
sudah dikuasai ini bisa juga dimanfaatkan untuk melakukan serangan terhadap sistem
lain.
Membersihkan jejak
Pada tahap ini penyerang akan membersihkan jejak dengan cara
memanipulasi atau menghapus bukti yang terdapat pada catatan/log sistem atau
IDS yang merekam aktifitas yang telah dilakukan.[3]
5
Google Dork
Seperti yang kita ketahui, mesin pencari dirancang untuk mencari informasi
secara efisien di internet. Biasanya, pengguna cukup memasukkan istilah pencarian
(kata kunci) dan mesin pencari akan mengembalikan hasil berupa situs yang relevan
dengan informasi yang terkait. Namun mesin pencarian juga mendukung beberapa
operator khusus untuk penelusuran yang relatif kompleks, seperti inurl, intitle, dan
intext. Ketika melakukan pencarian dengan operator khusus ini disebut Google
Dorks. Dengan bantuan Google Dorks, pengguna dapat dengan mudah dan dengan
cepat menemukan hasil pencarian yang lebih akurat.
Dalam beberapa tahun terakhir, Google Dorks juga telah oleh penyerang untuk
melakukan Google Hacking [11]. Sebagai contoh, inurl: \ search results.php? Browse
= 1 " adalah Google Dork yang dapat mengungkapkan situs web dengan skrip SQL
injection yaitu Dating SoftBiz, kerentanan yang memungkinkan penyerang untuk
mengeksekusi SQL injection dengan remote. Gambar 1 menunjukkan beberapa hasil
pencarian Google seperti Google Dork. Di makalah ini, kami juga menggunakan
Google Dorks tersebut sebagai masukan untuk menemukan situs web yang rentan.[4]
Website Vulneralbility
Dengan semakin banyaknya aplikasi yang dapat berinteraksi melalui antarmuka
web, seperti perbankan online, belanja online, dan jejaring sosial online, maka
serangan jarak jauh pada aplikasi web sedang meningkat karena keuntungan besar
dan masalah skalabilitas. Dengan demikian, kerentanan terkait web menarik lebih
banyak perhatian penyerang daripada eksplotasi kerentanan perangkat lunak secara
lokal dan tradisional. Berdasarkan database yang ada di CVE, 90% kerentanan web
terbagi menjadi 4 kategori sebagai berikut.[4]
SQL Injection [5]
6
Dilakukan dengan menyuntikkan string ke dalam query database sehingga mengubah
konten database atau membuang informasi basis data seperti password.
Cross-Site Scripting (XSS) [6]
Dilakukan dengan menyuntikkan JavaScript ke aplikasi web untuk memotong akses
kontrol.
Remote Execution [7]
Memungkinkan penyerang untuk menjalankan kode arbitrer dalam target server untuk
menjalankan perintahnya sendiri.
Path Traversal [8]
Memungkinkan penyerang untuk mengakses file yang seharusnya tidak dapat
diakses.
Website Log
Merupakan file yang dihasilkan oleh Web server untuk merekam aktivitas di
Web server. Biasanya memiliki fitur-fitur berikut:
Masing-masing dari sebelas item yang tercantum dalam sintaks di atas akan
dijelaskan sebagai berikut:
Situs atau alamat IP yang membuat permintaan HTTP. Dalam contoh di atas
remotehost adalah 204.31.113.138.
Nama login LogName dari pengguna yang memiliki akun yang membuat
permintaan HTTP. Tidak semua web server menyediakan informasi ini, untuk
gantinya menggunakan dash (-).
Nama lengkap dari pengguna yang memiliki akun yang membuat permintaan
HTTP. Jika server memerlukan id pengguna untuk memenuhi permintaan
HTTP, maka id pengguna akan ditempatkan di bagian ini.
Tanggal permintaan HTTP. Pada contoh di atas adalah 03 / Jul / 1996.
Waktu permintaan HTTP. Waktu akan disajikan dalam format 24 jam. Pada
contoh waktunya adalah 06:56:12
Offset yang ditandatangani oleh GMT offset dari Greenwich Mean Time.
GMT adalah referensi waktu internasional. Pada contoh garis offset adalah -
0800, delapan jam lebih awal dari GMT.
Perintah Req-HTTP. Untuk permintaan halaman WWW, bagian ini akan
selalu diawali dengan perintah GET.Pada contoh, permintaan tersebut adalah
GET.
File-path dan nama file dari file yang diminta. Pada contoh, file path adalah
/PowerBuilder/Compny3.htm. Ada tiga jenis kombinasi path/filename.[9]
bWAPP
bWAPP adalah aplikasi web PHP / MySQL yang sangat rentan. Tujuan
utamanya adalah untuk membantu profesi bidang keamanan untuk menguji
keterampilan dan alat-alat yang dimiliki dalam lingkungan hukum, membantu
pengembang web lebih memahami proses mengamankan aplikasi web dan
membantu para siswa & guru untuk belajar tentang keamanan aplikasi web di kelas
yang terkontrol. Tujuan DVWA adalah untuk mempraktekkan beberapa kerentanan
web yang paling umum, dengan berbagai tingkat kesulitan, dengan antarmuka
sederhana yang sederhana. Namun, ada kerentanan baik didokumentasikan dan tidak
8
berdokumen dengan perangkat lunak ini. Sehingga dapat mendorong orang – orang
untuk mencoba dan menemukan sebanyak mungkin masalah.[10]
Computer Forensic
Komputer Forensik adalah salah satu cabang ilmu forensik yang berkaitan
dengan bukti legal yang ditemui pada komputer dan media penyimpanan digital.
Komputer forensik menjadi bidang ilmu baru yang mengawinkan dua bidang
keilmuan, hukum dan komputer.
Tujuan dari Komputer forensik adalah untuk menjabarkan keadaan kini dari
suatu artefak digital. Istilah artefak digital bisa mencakup sebuah sistem komputer,
media penyimpanan (seperti flash disk, hard disk, atau CD-ROM), sebuah dokumen
elektronik (misalnya sebuah pesan email atau gambar JPEG), atau bahkan sederetan
paket yang berpindah dalam jaringan komputer. Penjelasan bisa sekadar "ada
informasi apa disini?" sampai serinci "apa urutan peristiwa yang menyebabkan
terjadinya situasi kini?".
1. Pengumpulan data
2. Pengujian
9
3. Analisis
Ada beberapa faktor yang mempengaruhi hasil dokumentasi dan laporan, seperti:
10
Imaging
Pada tahapan ini, barang bukti elektronik seperti komputer, diambil harddisk-
nya yang berfungsi sebagai media penyimpanan untuk selanjutnya dilakukan proses
akuisisi. Sebelum dilakukan proses tersebut, komputer yang digunakan untuk
kegiatan tersebut harus sudah dilengkapi dengan write protect sebelumnya. Ini
dimaksudkan untuk menjaga keutuhan isi dari barang bukti, yaitu mencegah
terjadinya proses penulisan terhadap barang bukti elektronik. Diharapkan isi barang
bukti tidak mengalami perubahan sama sekali. Setelah itu dilanjutkan dengan proses
forensic imaging, yaitu menggandakan isi dari barang bukti harddisk tersebut secara
physical (sektor per sektor, atau bit-stream copy) sehingga hasil imaging akan sama
persis dengan barang bukti secara physical. Derajat kesamaan ini dapat dipastikan
melalui proses hashing yang diterapkan pada keduanya. Jika nilai hash antara hasil
imaging dengan barang bukti adalah sama, maka dapat dipastikan bahwa keduanya
adalah identik dan hasil imaging bersifat forensik, yang artinya dapat
dipertanggungjawabkan secara ilmiah dan hukum, untuk selanjutnya hasil imaging
ini dapat digunakan untuk pemeriksaaan dan analisis lebih lanjut. Sebaliknya, jika
nilai hash antara keduanya berbeda, maka proses forensic imaging harus diulang
sampai mendapatkan nilai hash yang sama.
Gambar 2. Aplikasi FTK Imager melakukan forensic imaging bit per bit dengan
menggunakan metode disk to image file
11
Untuk proses forensic imaging, ada 2 (dua) metode, yaitu disk to disk (artinya
hasil imaging akan berupa harddisk), dan disk to file (artinya hasil imaging akan
berwujud image file) seperti pada Gambar II.6 di atas. Dari kedua metode ini, metode
yang kedua yang lebih sering digunakan oleh forensic analyst saat ini dikarenakan
metode kedua ini lebih fleksibel, efisien dan integrity dapat lebih terjamin.
Permasalahan menggunakan metode yang pertama adalah ketika kasus yang
diinvestigasi memiliki banyak harddisk yang harus di-imaging. Jika menggunakan
metode disk to disk, maka forensic analyst dan investigator harus menyediakan
banyak blank harddisk (harddisk kosong) sebagai target dari proses forensic imaging,
dan ini pada banyak kasus, sangat tidak fleksibel dan malah memperlambat
investigasi itu sendiri. Kalaupun mampu untuk menyediakan banyak blank harddisk
sebagai target dari imaging, itupun akan memakan banyak biaya lebih mahal dan
tidak efisien. Permasalahan yang kedua adalah integrity. Dikarenakan target forensic
imaging berupa harddisk, maka ada kemungkinan harddisk hasil imaging ini akan
rusak sektornya (bad sector) selama pemeriksaan, analisis atau penyimpanannya.
Bila hal ini terjadi maka nilai hash harddisk ini akan berubah dari nilai hash aslinya.
Ini akan menjadi masalah di kemudian hari untuk integrity isi dari harddisk barang
bukti.
Gambar 3. Hasil Imaging dengan menggunakan FTK Imager menunjukkan nilai hash
antara sumber dengan Image file
Setelah selesai proses forensic imaging yang menghasilkan image file, seperti
disinggung di atas, forensic analyst dan investigator harus mengecek terlebih dahulu
nilai hash MD5 dan SHA1 antara barang bukti media penyimpanan dengan image
file. Jika nilai dari keduanya adalah sama, maka itu artinya forensic imaging sukses,
sebaliknya jika tidak, maka proses forensic imaging harus diulangi. Setelah itu
(forensic imaging sukses) harddisk dari barang bukti komputer disimpan atau
12
dimasukkan kembali pada tempatnya, sedangkan image file-nya bisa digunakan untuk
tahapan pemeriksaan.
Analisis Registry
Registry terdiri dari 5 sampai 7 root keys (kunci-kunci setting pada posisi root
directory) yang juga dikenal dengan istilah hives, atau dengan singkatan HKEY
(Handle to a KEY). Registry dengan HKEY-HKEY ini yang terdiri dari 4 elemen
yang terstruktur, yaitu registry keys, nama entry, tipe data dan nilai data. Elemen-
elemen ini dapat dilihat dengan aplikasi regedit (Registry Editor) seperti gambar di
bawah ini.
Pada gambar di atas, dapat dilihat bahwa registry keys terdiri dari 5 root keys
yang berbeda, yaitu
13
a. HKEY_CLASSES_ROOT (disingkat HKCR), berisikan informasi detil
tentang user interface (tampilan yang sesuai dengan setting dari user),
shortcuts (link-link ke aplikasi tertentu) dan aturan drag-and-drop. HKCR ini
merupakan alias dari HKLM\SOFTWARE\Classes.
b. HKEY_CURRENT_USER (HKCU), berisikan informasi yang sifatnya „user-
specific’ yang dimulai dari user log on dan dikonstruksi oleh informasi yang
ada di HKU. Infromasi-informasi ini terbagi dalam direktori-direktori subkeys
yang berbeda, antara lain AppEvents, Console, Control Panel, Environment,
EUDC, Identities, Keyboard Layout, Network, Printers, Software, System dan
Volatile Environment. HKCU ini merupakan alias dari salah satu user dari
HKU.
c. HKEY_LOCAL_MACHINE (HKLM), berisikan informasi yang sifatnya
“machine-specific‟ yang berkaitan dengan mesin di mana sistem operasi
sedang running (berjalan). Hal ini termasuk antara lain drives (media
penyimpanan) yang ter-mounting (diakses/dibuka), hardware-hardware dan
konfigurasi umum dari aplikasi-aplikasi yang ter-install. Informasi- informasi
tersebut terbagi dalam beberapa direktori subkeys, seperti HARDWARE,
SAM (Security Accounts Manager) yang menyimpan informasi mengenai
users dan groups, SECURITY, SOFTWARE dan SYSTEM.
d. HKEY_USERS (HKU), berisikan informasi tentang semua user yang
memiliki account pada sistem operasi. Informasi-informasi ini antara lain
tentang konfigurasi aplikasi dan visual settings.
e. HKEY_CURRENT_CONFIG (HKCC), berisikan informasi tentang
konfigurasi sistem yang sedang berjalan. Informasi-informasi tersebut
tersimpan dalam direktori-direktori subkeys seperti Software dan System.
Beberapa data subkeys merupakan alias dari HKLM.
Dari penjelasan di atas, dapat dilihat bahwa sistem registry keys pada Windows
sebenarnya hanya terdiri dari 2 bagian yang penting, yaitu HKLM (Local machine)
dan HKU/HKCU (Users/Current Users). Untuk registry keys yang lain merupakan
alias (link) dari HKLM.
14
Autopsy
Autopsy sebenarnya adalah sebuah mini web server dengan script CGI berbasis
perl. Autopsy menggunakan perl untuk menjalankan program-program sleuthkit dan
mengubah hasilnya ke HTML. Oleh karena itu, pengguna Autopsy membutuhkan
web client untuk mengakses fungsi-fungsi Autopsy. Selain sebagai user interface
sleuthkit, Autopsy menyediakan fungsi-fungsi administratif tambahan. Beberapa
fungsi tersebut adalah logging (mencatat tindakan / perintah sleuthkit yang telah
dijalankan), notes (mencatat keterangan tambahan yang diperoleh penyelidik), dan
report (mencatat hasil analisis).
Autopsy dirancang sebagai platform end-to-end dengan modul yang tersedia dari
pihak ketiga. Beberapa modul yang tersedia:
15
II. Simulasi Rekonstruksi Kejadian
Dalam proses simulasi rekonstruksi kejadian, terdapat 3 tahap. Antara lain,
tahap persiapan, dan simulasi.
2.1. Tahap Persiapan
Pada tahap ini langkah – langkah yang akan dilakukan adalah memahami
kronologis kejadian. Dengan begitu akan lebih mudah dalam menentukan prosedur,
tool yang digunakan dan implementasi.
Sesuai dengan kronologis kejadian pada bab 2, telah disebutkan bahwa pelaku
menggunakan google dork untuk menemukan kerentanan website di internet. Setelah
mengetahui kerentanan website tersebut, maka pelaku mencari media pendukung,
dalam kasus ini file shell backdoor yaitu file yang berekstensi .phtml. Setelah
mengupload file tersebut ke bagian form pengaduan dari website, pelaku dapat
membuka database dari website sehingga bisa melakukan pergantian nama index.php
menjadi indexasli.php, dan mengupload index.html sebagai tampilan beranda hasil
defacement.
Berdasarkan uraian di atas, maka dapat ditentukan file yang dibutuhkan yaitu,
file backdoor, file tampilan beranda setelah defacement. Kemudian media yang
dibutuhkan yaitu website yang akan dilakukan defacement. Namun pada simulasi ini,
tidak akan menggunakan google dork, karena google dork akan berfungsi pada
website yang telah di hosting dan ada pada database google. Jika dilakukan hal
tersebut maka sama saja melakukan tindak kejahatan. Utnuk itu, website yang
digunakan merupakan bWAPP yaitu sebuah website php yang dijalankan melalui
XAMPP server. Pemilihan website bWAPP dikarenakan website tersebut memang
legal untuk dilakukan penyerangan dan mendukung file upload vulneralbility.
Kemudian untuk file backdoor akan digunakan c99shell.php, yaitu sebuah file yang
ketika akses akan menuju halaman database dari website. Penggunaan file backdoor
ini disesuaikan dengan kemampuan file backdoor yang digunakan pada kasus
sebenarnya. Kemudian file untuk tampilan beranda, dibuat sesuai dengan tampilan
hasil defacement yang sebenarnya. Berikut tampilan beranda hasil defacement sesuai
dengan kasus yang sebenarnya.
16
Gambar 5. Tampilan XAMPP setelah Apache dan MySQL dijalankan
17
Selanjutnya berkas dari bWAPP akan ditambahkan ke direktori XAMPP. File
bWAPP dapat ditambahkan pada folder /xampp/htdocs seperti gambar dibawah
18
Gambar 9. Tampilan halaman file upload pada website bWAPP
Selanjutnya akan melakukan upload file backdoor dalam hal ini
c99shell10.php. Dan setelah itu, masuk ke halaamn file tersebut melalui browser.
Ketika menggunakan file upload, maka file hasil upload akan masuk ke direktori
/bWAPP/bWAPPimages/. Untuk membuka file backdoor tersebut maka masuk
melalui URL localhost:80/bWAPP/bWAPP/images/c99shell10.php. Dan tampilan
akan berubah seperti gambar dibawah.
19
dimana file backdoor diuplod yaitu di /bWAPP/bWAPP/images/. Untuk menuju ke halaman
direktori utama dari website yaitu /bWAPP/bWAPP/ maka dilakukan back ke parent
direktorinya. Berikut merupakan parent direktori dari website.
Gambar 11. Tampilan isi direktori dari /bWAPP/bWAPP/ dibuka melalui browser
Pada gambar di atas dapat dilihat terdapat file index.php, yaitu file yang digunakan
untuk konfigurasi tampilan beranda website. Kemudian file tersebut dapat diedit sesuai
dengan hasil defacement pada kasus ini.
Gambar 12. Tampilan halaman edit file index.php ketika c99shell.php dibuka melalui browser
20
Pada tahap persiapan telah ditentukan file index.php yang baru yang berisi
tampilan hasil defacement. Seperti gambar dibawah.
Gambar 13. Kode index.php yang baru untuk tampilan ketika defacing
Setelah itu, kode index.php pada website tersebut akan diganti dengan file index.php yang
sudah dibuat. Sehingga ketika masuk ke localhost:80/bWAPP/bWAPP/ maka tampilan akan
menjadi seperti berikut.
21
2.3. Rekonstruksi Akses Storage Komputer
Seleksi Folder Sisi Penyerang
Pada umumnya proses forensik dilakukan terhadap semua isi hardisk. Hal tersebut
sangat memakan waktu dan membutuhkan hardisk internal untuk proses pengujian. Maka
dari itu pada simulasi ini diambil folder yang akan diuji untuk
kemudian dimasukkan padaflashdisk. Flashdisk yang digunakan adalah dengan kapasitas
memori 14,9 GB. Bagian yang akan dilakukan pengujian adalah:
Folder Registry
Folder penyimpan data web browser
isi drive yang berisi file-file rogue.
Direktori folder registry berbeda-beda untu setiap sistem operasi. Pada simulasi ini
digunakan sistem operasi Windows 10. Registry untuk windows 10 dapat ditemukan
pada direktori C:\Windows\System32\config dan C:\User\<username>\NTUSER.DAT. Pada
alamat C:\Windows \System32\config berisi registry yang berisi bagian HKLM (Local
Machine). Sedangkan alamat C:\User\<username>\NTUSER.DAT berisi registry yang
berhubungan dengan user tertentu (HKCU). File-file hive yang berada pada alamat tersebut
merupakan file sistem sehingga ketika menyalin folder tersebut akan muncul peringatan
seperti pada gambar dibawah. Untuk mengatasi hal tersebut maka perlu digunakan tools yang
dapat menyalin file yang sedang dibuka di System. Beberapa tools yang dapat digunakan
diantaranya adalah ShadowCopy, HoboCopy, ShadowSpawn, atau OSForensics.
Gambar 15. File menunjukkan tidak bisa disalin karena terbuka pada
sistem
Bagian web browser data berisi data-data terkait history penggunaan web browser.
Pada simulasi ini digunaka web browser Google Chrome sehingga direktori untuk
mendapatkan history penggunaan web rowser tersebut adalah
C:\Users\[Username]\AppData\Local\Google\Chrome\User Data \Default. Beberapa file pada
direktori ini ketika disalin akan menampakkan peringaan seperti pada gambar diatas,
maka digunakan tools yang sama untuk menyalin folder tersebut ke
22
flashdisk. Sedangkan file-file rogue dimasukkan pada suatu folder tersendiri diantara
beberapa file normal yang tidak mencurigakan. Pada simulasi kali ini digunakan folder
beserta keterangannya sebagai berikut:
Tabel 1. Daftar folder untuk simulasi computer forensik pada sisi penyerang
23
III. Tahap Forensik dan Analisis
Pada bab ini akan dibahas mengenai forensik yang akan dilakukan untuk mendapatkan
barang bukti. Forensik yang akan dilakukan yaitu pada dua sisi. Yang pertama adalah sisi
penyerang, dimana akan dilakukan forensic pada laptop / pc yang digunakan untuk
melakukan defacement. Dengan computer forensic, maka akan mendapatkan barang bukti
berupa file backdoor, file untuk tampilan beranda hasil defacement dan browser log dari
browser pelaku. Yang kedua yaitu dari sisi korban. Pada kasus ini, korban adalah website,
karena kejahatan dilakukan melalui website dengan file upload vulneralbility, maka dapat
dilakukan computer forensic berupa melihat direktori dari website apakah benar terdapat file
hasil upload serta melihat website log. Pada tahap forensik hanya dijelaskan bagaimana
melakukan tahap tahap untuk mendapatkan barang bukti, untuk analisis dari hasil forensik
maka akan dijelaskan pada bagian analisis.
3.1. Tahap Forensik
Website Log
Pada tahap forensik website log, langkah – langkah yang akan dilakukan seperti beikut.
Imaging pada direktori website.
Melalui file yang telah diexporsaat melakukan imaging, selanjutnya mencari
direktori dimana file .log berada, jika pada apache server terletak di direktori
/apache/logs/.
Membuka aplikasi apache log viewer, dan pilih menu file dan add access log,
dari menu tersebut dipilih format log yang akan ditampilkan dan rentang waktu yang
dipilih.
Kemudian akan terbuka jendela file tersebut. Untuk dijadikan barang bukti dapat
dilakukan xxport file ke txt,csv,html, dan log.
Kemudian untuk keperluan analisis dapat melalui jendela aplikasi atau melalui hasil
export dari file .log tersebut.
24
Computer Forensic untuk Sisi Penyerang
Testing Environment
Untuk melakukan computer forensic, maka testing environment yang
digunakan sebagai berikut.
o Windows 10 64 bit Operating System
o Google Chrome
o RegViewer
o Autopsy
Imaging Drive Barang Bukti
Prosedur pertama yang dilakukan adalah menggunakan write blocker supaya tidak
terdapat proses write ke data Flashdisk yang akan diuji. Adapun write blocker yang
digunakan adalah USB Write Blocker All Windows dengan tampilan awal sebagai berikut:
25
Gambar 18. Proses Create Image
Pada simulasi ini digunakan input berupa physical file dari flashdisk model SanDisk
Cruzer Glide USB Device dengan Destination Image Type berupa file E01. Hasil
dari proses imaging dapat diamati berdasarkan keterangan dibawah.
Created By AccessData® FTK® Imager 3.1.4.8
Case Information:
Acquired using: ADI3.1.4.8
Case Number: case 1
Evidence Number: evidence 1
Unique description: Isi Drive 1 (config & rogue file)
Examiner: Hasbi Asshidiq
Notes: berisi folder config & rogue file
--------------------------------------------------------------
26
Source Type: Physical
[Drive Geometry]
Cylinders: 1.945
Tracks per Cylinder: 255
Sectors per Track: 63
Bytes per Sector: 512
Sector Count: 31.260.672
[Physical Drive Information]
Drive Model: SanDisk Cruzer Glide USB Device
Drive Serial Number: 4C530001161122103325
Drive Interface Type: USB
Removable drive: True
Source data size: 15264 MB
Sector count: 31260672
[Computed Hashes]
MD5 checksum: 7f6575b7893c41865a0fe10487990373
SHA1 checksum: 4a09a6a336d6f3ed3dda0e08a82abbd38a12076b
Image Information:
Acquisition started: Sun Apr 15 16:16:39 2018
Acquisition finished: Sun Apr 15 16:26:52 2018
Segment list:
D:\examination\Defacing.E01
D:\examination\Defacing.E02
D:\examination\Defacing.E03
D:\examination\Defacing.E04
D:\examination\Defacing.E05
D:\examination\Defacing.E06
D:\examination\Defacing.E07
D:\examination\Defacing.E08
D:\examination\Defacing.E0
27
D:\examination\Defacing.E10
Pada bagian terakhir dapat diketahui bahwa hashing hasil image verification telah
terverifikasi. Hal tersebut mengindikasikan bahwa MD5 checksum dan SHA1 checksum pada
image verification results sama seperti MD5 checksum dan SHA1 checksum pada Computed
Hashes. Hasil imaging dapat dilihat pada bagian segment list yaitu file Defacing.E01 sampai
Defacing.E10 pada direktori D:\examination\.
Export File
Langkah selanjutnya adalah menambahkan evidence item dengan cara pilih File -> Add
Evidence Item. Selanjutnya pilih tipe file yang akan ditambahkan sebagai evidence. Pilih tipe
imaging file dan pilih Defacing.E01. Setelah dilakukan pengamatan, folder yang sebelumnya
dihapus yaitu folder Default ternyata mampu direcover oleh FTK Imager. Hal tersebut dapat
diamati berdasarkan gambar dibawah ini, dimana terdapat tanda silang merah pada folder
maupun file.
Dengan begitu, file rogue yang terhapus pada folder SI juga akan terecover. Folder
Default selanjutnya dieksport untuk dilakukan pengujian lebih lanjut, begitu juga untuk folder
config dan SI. Selanjutnya folder-folder hasil pada evidence tersebut dieksport kedalam suatu
folder karena beberap pengujian memerlukan format file yang seperti aslinya (bukan file
imaging). Proses export dapat dilakukan dengan melakukan klik kanan pada folder yang akan
28
dieksport lalu pilih Export File. Selanjutnya pilih destinasi tempat file hasil eksport tadi akan
ditempatkan.
Case Information:
Acquired using: ADI3.1.4.8
Case Number: 1
Evidence Number: 2
Unique description: Log Admin
Examiner: Hasbi Asshidiq
Notes: hasil imaging data log admin
--------------------------------------------------------------
29
Information for D:\examination\Log Admin:
Image Information:
Acquisition started: Sun Apr 22 10:27:15 2018
Acquisition finished: Sun Apr 22 10:37:14 2018
Segment list:
D:\examination\Log Admin.E01
D:\examination\Log Admin.E02
D:\examination\Log Admin.E03
D:\examination\Log Admin.E04
30
D:\examination\Log Admin.E05
D:\examination\Log Admin.E06
D:\examination\Log Admin.E07
D:\examination\Log Admin.E08
D:\examination\Log Admin.E09
D:\examination\Log Admin.E10
Setelah didapatkan file image maka selanjutnya dilakukan proses eksport terhadap
semua isi dari folder XAMPP. Proses ini dilakukan dengan menggunakan
AccessData FTK Imager. Nantinya file hasil eksport ini akan dianalisis lebih lanjut
dalam bagian analisis Log Admin menggunakan apache log viewer.
3.2. Analisis
Analisis Website Log
Seperti yang telah dijelaskan pada bab 2, bahwa website log merupakan file
yang dihasilkan oleh web server untuk merekam aktivitas di web server. Dengan
begitu, dapat dilakukan pemeriksaan ketika terjadi perubahan file, memeriksa apakah
ada malicious file yang tertanam pada web server, ataupun memeriksa isi database
jika terdapat sesuatu yang berbahaya. Sesuai dengan website server yang digunakan
pada tahap rekonstruksi kejadian yaitu apache server. Apache server pada dasarnya
memiliki 2 log file yaitu access log dan error log. Access log berisi semua request
yang telah diproses oleh apache. Biasanya lokasi file ini secara default berada pada
/apache/logs/access.log. Kemudian error log berisi informasi diagnostik dan pesan
kesalahan yang ditemukan saat memproses suatu request di apache server. Biasanya
lokasi file ini secara default berada di /apache/logs/error.log. Untuk memeriksa log
file tersebut digunakan apache log viewer untuk memudahkan dalam melakukan
31
filter yang diinginkan ataupun memudahkan dalam melihat isi dari log file tersebut.
Berikut merupakan tampilan apache logs viewer.
Gambar 21. Tampilan Apache Log Viewer ketika pertama kali dibuka
Setelah itu, akan dibuka file access.log website yang telah dilakukan defacing.
Saat menambahkan access.log untuk dilihat, maka terdapat pilihan format untuk
menampilkan log serta rentang waktu yang dinginkan. Pada apache log viewer
terdapat 3 format yaitu, common log format, combined log format, dan W3C logs.
Common log format terdiri dari informasi yang dibutuhkan untuk mengidentifikasi
host dan request. Tampilan seperti pada gambar. Sedangkan combined log format
mengandung informasi yang tersedia pada common log format tetapi juga termasuk
informasi berupa previous webpage serta browser dari klien seperti pada
gambar .W3C logs merupakan format standar yang digunakan oleh Microsoft
Internet Information Services IIS seperti pada gambar.
32
Gambar 22. Format common log format
Gambar 25.Tampilan access.log website bWAPP yang dibuka pada jendela Apache
Logs Viewer
Pada kasus ini, data yang akan dianalisis dalam format combined log format.
Yang terdiri dari IP Address, date, request, status, size, country, referrer, user agent.
IP Address, jika dilihat dari log file, maka IP Address yang tertera adalah
::1. ::1 merupakan format ipv6 untuk 127.0.0.1. Hal ini dikarenakan pada
file konfigurasi untuk website bWAPP memang website di hosting ke
localhost. Dan akses ke website yang akan diserang melalui localhost,
sehingga ip address yang muncul yaitu ip address 127.0.0.1. Dengan adanya
ip address maka akan memudahkan untuk mencari tahu ip berapa saja yang
membuka / mengakses website.
Date, merupakan rentetan waktu dimana website tersebut dibuka. Sehingga
akan lebih mudah untuk melihat kapan saja website dibuka / diakses.
Request, pada log file website hanya ada 2 request yaitu GET dan POST.
GET dan POST merupakan cara yang digunakan untuk mengirimkan data
dalam HTTP request. Jika melalui URL, sesuai dengan parameter yang
diberikan maka menggunakan GET. Namun jika melalui entity body dalam
HTTP request maka menggunakan POST.
Kemudian, status. Status ini mengindikasikan status request. Terdapat
beberapa status seperti gambar dibawah.
Tabel 2. Respon status pada log file
Respon Status Arti
200 OK
206 Partial Content
301 Moved Permanently
33
302 Found (request has been re-directed)
304 Not Modified
401 Unauthorized
403 Forbidden
404 Not Found
Setelah mengetahui beberapa indikator, maka mulai analisis isi dari file log.
Dapat dilihat pada tanggal 18/04/2018 pukul 22.28.19, terdapat request GET pada
index.php. Hal ini berarti, terdapat tindakan membuka website bWAPP. Biasnya
developer website akan menamai file index atau home yang mengindikasikan bahwa
file yang digunakan untuk konfigurasi halaman utama atau beranda dari website.
Kemudian dapat dilihat juga status dari HTTP response adalah 200 yang berarti
sukses atau berhasil masuk ke URL tersebut. Kemudian pada tanggal 18/04/2018
pukul 22.28.19 terdapat request GET pada portal.php, dan status dari HTTP response
adalah 302, yang mengindikasikan bahwa setiap masuk ke halaman utama dari
website bWAPP akan langsung dialihkan ke halaman portal.php. Kemudian dapat
dilihat setiap terdapat HTTP request terdapat HTTP/1.1 yang berarti cara koneksi
antara client dengan server menggunakan protokol versi 1.1 artinya setiap melakukan
HTTP request tidak perlu membuat koneksi baru atau secara kolektif, versi lain yang
ada yaitu 1.0 artinya bahwa setiap akan request harus membuat koneksi baru lagi.
Dapat dilihat pada gambar dibawah.
Gambar 26. Access.log dari website bWAPP yang dibuka melalui jendela Apache
Logs Viewer
Selanjutnya pada tanggal 18/04/2018 pada pukul 22.32.11, terdapat request
GET pada unrestricted_file_upload.php, yang berarti terdapat tindakan membuka
halaman website yang digunakan untuk tempat uplod file, dapat dilihat juga bahwa
status nya juga berhasil masuk yaitu 200. Setelah itu, pada tanggal 18/04/2018 pada
pukul 22.32.28 terdapat request POST pada unrestricted_file_upload.php yang berarti
terdapat tindakan melakukan upload file. Biasanya developer website, sekarang ini
banyak yang menggunakan metode POST untuk mengupload file ke website. Metode
GET dapat juga digunakan untuk melakukan upload file, namun tidak praktis, dan
membutuhkan waktu yang lama. Terdapat 3 tindakan yang sama secara berturut –
turut yaitu pada pukul 22.34.34 dan 22.35.19, yang berarti melakukan 3 kali upload
file dan semuanya berhasil diupload karena HTTP response menunjukkan status 200.
34
Setelah itu, pada tanggal 18/04/2018 pada pukul 22.35.22, terdapat request GET pada
file c99shell10.php, yang berarti terdapat tindakan masuk ke halaman. Php tersebut
dan berhasil masuk. Selanjutnya pada tanggal 18/04/2018 pada pukul 22.36.23,
terdapat request GET. Berdasarkan request tersebut, dapat diartikan bahwa act=ls
merupakan aksi masuk ke dalam direktori, dan d= merupakan direktori yang
dituju/dibuka. Ini berarti ketika masuk ke file c99shell10.php, terdapat tindakan
masuk ke file system dari website, namun direktori yang terbuka belum masuk ke
direktori utama dari website, melainkan direktori ketika melakukan upload file. Hal
ini dapat dilihat dari isi request pada d=. Selain itu, dapat disimpulkan juga bahwa
c99shell10.php merupakan file backdoor yang digunakan oleh pelaku. Pada tanggal
18/04/2018 pada pukul 22.37.18, terdapat request GET dengan act=f&f=index.php
yang berarti melakukan aksi pada file index.php, dan terdapat ft=edit yang artinya
masuk ke menu edit pada file tersebut, file tersebut berada pada direktori yang dapat
dilihat melalui d=. Disini, pelaku melakukan editing file
index.php dengan file yang sudah dibuat sebelumnya yang digunakan untuk defacing
website bWAPP. Dapat dilihat pada gambar dibawah.
Gambar 27. Access.log dari website bWAPP yang dibuka melalui jendela Apache
Logs Viewer
Selanjutnya, pada tanggal 18/04/2018 pada pukul 22.42.40, terdapat request
GET pada index.php. Hal ini mengindikasikan bahwa pelaku setelah mengganti isi
dari file index.php, akan melakukan pengecekan apakah penggantian isi tersebut
berhasil melalui membuka halaman index.php tersebut. Dapat dilihat pada gambar
dibawah.
Gambar 28. Access.log dari website bWAPP yang dibuka melalui jendela Apache
Logs Viewer
Selain informasi mengenai IP, HTTP Request, dan HTTP Response yang dapat
dianalisis adalah referral dan user agent. Dapat dilihat pada gambar dibawah.
35
Gambar 29. Access.log dari website bWAPP yang dibuka melalui jendela Apache
Logs Viewer
Dapat dilihat bahwa terdapat, referral menunjukkan alamat URL yang sebelumnya
diakses. Seperti contoh ketika masuk ke halaman unrestricted_file_upload.php,
referral nya adalah halamn portal.php, yang berarti sebelum masuk ke halam
unrestricted_file_upload.php, akses yang dilakukan sebelumnya adalah halaman
portal.php. Kemudian user agent, melalui user agent informasi yang dapat diperoleh
adalah browser yang digunakan untuk mengakses halaman website serta operating
system dimana browser tersebut dijalankan. Pada gambar di atas, user agent nya
adalah Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36. Mozilla/5.0 merupakan
rendering engine yang digunakan oleh chrome. Umumnya rendering engine untuk
broswer tergantung dari developer browser nya, seperti contoh opera menggunakan
rendering engine chromium. Selanjutnya (Windows NT 10.0; Win64; x64),
memberikan informasi bahwa operating system untuk menjalankan browser tersebut
adalah windows 10 64 bit. Sedangkan AppleWebKit/537.36 merupakan platform
untuk browser, (KHTML, like Gecko) merupakan detail dari browser platform.
Kemudian Chrome/65.0.3325.181 Safari/537.36 merupakan inforamsi browser yang
digunakan yaitu chrome dengan main version 65.
36
Gambar 30. C99shell10.php pada image data log admin
37
SHA1 checksum: deaaad6b60292ef3ff31fd0b88dfa6429566241c : verified
Berdasarkan data verifikasi image tersebut dapat diketahui bahwa nilai hash hasil
verifikasi sama persis seperti nilai computed hash. Dari fakta tersebut maka dapat
disimpulkan bahwa tidak ada proses alterasi terhadap image selama proses analisis
berlangsung.
Analisis Registry
38
Gambar 32. beberapa informasi sistem operasi yang didapat
b. Last Shutdown
39
Gambar 34 Informasi terkait LastShutdown
Analisis registry juga dapat dilakukan dengan mencari file terkini yang diakses.
Adapun alamat file tersebut berada pada HKCU\Software\Microsoft\Windows\
CurrentVersion\Explorer\RecentDocs. Pada simulasi ini didapatkan suatu registry
value yang menyatakan bahwa suatu file yang bersangkutan dengan web defacing
telah diakses. Hal tersebut dapat dilihat pada gambar berikut.
40
Gambar 36. Pengamatan registry value dengan file terkini yang mencurigakan
Pada gambar tersebut didapatkan hasil pengamatan registry terhadap akses file
terkini dengan akses file yang mencurigakan. Pada bagian yang ditandai dengan
warna kuning didapatkan suatu file dengan judul Panduan-2-Web-Deface.pdf telah
diakses. Hal ini merupakan suatu bukti yang dapat digunakan untuk memperkuat
dugaan kasus defacing.
Aplikasi pada komputer juga perlu diperhatikan apakah terdapat suatu aplikasi
yang mencurigakan atau tidak. Untuk kasus defacing ini aplikasi utama yang menjadi
perantara adalah web browser. Pada HKCU\Software terdapat web browser Google
Chrome. Berdasarkan analisis logfile dari admin telah diketahui bahwa Google
Chrome merupakan web browser yang terbukti telah digunakan untuk melakukan
defacing. Maka dari itu Google Chrome ini nantinya akan diuji untuk dilakukan
pelacakan terhadap history pemakaiannya.
Selain mengamati aplikasi yang teramati pada komputer, pengecekan terhadap aplikasi
startup juga penting. Aplikasi startup terkadang digunakan pelaku kejahatan untuk
melakukan kejahatan bagi siapa saja yang dijadikan target olehnya. Beberapa aplikasi
startup seperti keylogger dapat dideteksi lewat alamat
HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run maupun pada alamat
HKCU\software \Microsoft\Windows\ CurrentVersion\Run.
41
Pada simulasi kali ini kedua alamat tersebut tidak memberikan informasi mengena
aplikasi yang berbahaya. Beberapa aplikasi yang terdeteksi sebagai aplikasi startup
adalah OneDrive, uTorrent, Web Companion pada HKCU serta AvastUI, IAStorIcon,
RTHDVCPL, RtHDVBg_TrueHarmony, dan SecurityHealth pada HKLM. Aplikasi-
aplikasi tersebut tidak termasuk aplikasi yang berbahaya.
Gambar 37. USB disk yang pernah terpasang pada komputer uji
Selain informasi usb disk yang pernah terakses, dapat pula dicari informasi mengenai usb
disk yang pernah dimounting oleh sistem operasi. Informasi ini dapat ditemukan pada alamat
registry SYSTEM\MountedDevices. Adapun data tentang usb disk yang pernah dimounting
dapat dilihat pada gambar berikut :
42
Tabel 3. USB Disk yang pernah dimounting oleh
sistem operasi komputer
disk yang termount pada sistem
TOSHIBA Prod TransMemory
Lenovo Prod USB Flash Drive
JetFlash Prod Transcend
Sandisk Prod Ultra
Kingston Prod DataTraveler
Sandisk Prod Cruzer Glide
RSPER Prod RTS520SLUNO
Berdasarkan analisis registry yang telah dilakukan tersebut dapat diambil beberapa
data sebagai sebagai berikut:
Aplikasi Pada Terdapat aplikasi Google Chrome. Pada log admin terekam
Komputer aktifitas penyerang menggunakan web browser Google
Chrome.
43
Kingston Prod DataTraveler
Sandisk Prod Cruzer Glide
RSPER Prod RTS520SLUNO
44
Gambar 39. Extracted Content yang didapatkan dari Autopsy
Berdasarkan gambar diatas dapat diketahui berbagai jenis file mulai dari file
image, video, audio, archives, document dan executable. File yang telah terhapus
juga mampu direcover dan dimunculkan pada autopsy. Selanjutnya pada Autopsy
digunakan Keyword Search sebagai berikut:
Website
Kata kunci ini untuk mencari apakah tersangka telah melakukan pengaksesan
alamat di internet. Hasil dari pencarian kata kunci ini adalah sebagai berikut:
Dari data tersebut didapatkan web history artifact yang menyatakan bahwa
tersangka telah mengakses situs di internet dengan waktu akses pada tanggal 15 April
2018. Beberapa informasi lain juga bisa didapatkan yaitu akses halaman utama di
internet pada tanggal tersebut dilakukan dua kali hal tersebut. Selain itu juga
45
didapatkan informasi mengenai halaman lain yang diakses seperti pengakesan
halaman pengaduan. Pada halaman inilah form pengaduan dapat diakses oleh
tersangka untuk mengupload file backdoor sehingga mendapatkan kontrol terhadap
situs. Berdasarkan data tersebut dapat diketahui bahwa pengaksesan formDate pada
halaman pengaduan dilakukan dua kali.
Deface
kata kunci ini untuk mencari apakah tersangka telah melakukan pengaksesan alamat-
alamat situs yang memberikan tutorial atau bahan ajaran terkait defacing. Hasil dari
pencarian kata kunci ini adalah sebagai berikut:
46
Index.html
Pada gambar diatas didapatkan file index.html yang muncul. Namun Location
yang terdeteksi bukan sesuai pada pengesetan lokasi awal dimana index.html dan
index.phtml dihapus. Pada pengesetan lokasi awal diketahui bahwa index.html
dihapus dari direktori F:\SI yang apabila dilakukan imaging file akan menghasilkan
direktori /img_Defacing.E01/vol_vol2/SI. Maka dari itu dicoba untuk mencari file di
pada bagian Views -> Deleted Files -> All. Setelah didapatkan data file terhapus
maka selanjutnya dilakukan sorting berdasarkan nama supaya mudah untuk dicari.
Cara lainnya adalah dengan manaruh cursor pada nama file lalu ketik nama file yang
akan dicari, maka program akan menunjukkan ke tempat file yang dimaksudkan.
Hasil pencarian file index.html pada group deleted files adalah sebagai berikut :
47
Gambar 43. index.html yang terdeteksi pada deleted files
Index.phtml
48
Gambar 45 index.phtml yang terdeteksi pada deleted files
File index.phtml yang didapatkan pada deleted files ternyata sama seperti pada
pencarian kata kunci index.phtml. Hal tersebut menyatakan bahwa hanya satu file
index.phtml saja yang terdeteksi dan file tersebut merupakan file rogue yang
dimaksud.
Gambar 46. Rangkuman jumlah kata kunci yang didapatkan pada sumber data
Data-data yang telah didapatkan berdasarkan kata kunci tadi selanjutnya diambil
beberapa saja yang penamaan filenya paling cocok dengan yang dimaksud. Hal ini
dilakukan dengan pengelompokan berdasarkan tag pada file yang dimaksud. Adapun
tag dibagi kedalam 4 jenis sesuai pencaria keyword yang telah dilakukan sebelumnya
yaitu tag Web Artifact Akses Website, Web Artifact Defacing, index.html, dan
index.phtml. Dari pengelompokan tag ini dapat digenerate suatu timeline kapan tag-
tag tersebut diakses Hasil generat timelin adalah sebagai berikut :
49
Gambar 47. Rangkuman jumlah kata kunci yang
didapatkan pada sumber data
Berdasarkan gambar diatas diketahui bahwa keempat kata kunci tersebut terdeteksi
pada tanggal 15 April 2018. Hal ini sesuai dengan waktu simulasi dimana semua
proses dilakukan secara serentak pada satu hari yaitu pada tanggal tersebut.
50
Verification finished: Sun Apr 15 21:55:32 2018
MD5 checksum: 7f6575b7893c41865a0fe10487990373 : verified
SHA1 checksum: 4a09a6a336d6f3ed3dda0e08a82abbd38a12076b : verified
Berdasarkan data verifikasi image tersebut dapat diketahui bahwa nilai hash hasil
verifikasi sama persis seperti nilai computed hash. Dari fakta tersebut maka dapat
disimpulkan bahwa tidak ada proses alterasi terhadap image selama proses analisis
berlangsung.
51
Jarang melakukan pengecekan terhadap security update, jarang mengunjungi
dan mengikuti perkembangan yang ada di situs-situs security jagad maya.
Sehingga website sudah keduluan di deface oleh sebelum dilakukan update
dan patch oleh webmaster.
Kurangnya security awareness dari masing-masing personel webmaster
dan administrator. Sehingga kewaspadaan terhadap celah-celah keamanan
cukup minim, kadangkala setelah website terinstall dibiarkan begitu saja.
Kurangnya training dan kesadaraan akan keamanan website seperti ini akan
menjadikan website layaknya sebuah istana yang tak punya benteng.
52
I.V. Kesimpulan
Kesimpulan
Berdasarkan simulasi, tahap forensik, dan analisis yang dilakukan dapat
disimpulkan bahwa.
Tahap simulasi rekonstruksi kejadian telah menunjukkan hasil yang sesuai
yang diharapkan.
Tahap simulasi rekonstruksi kejadian kurang mirip dengan kejadian
sebenarnya, karena untuk mengetahui apakah website mempunyai fasilitas
file upload harusnya menggunakan google dork.
Dengan website log, dapat ditelusuri ip address yang mengakses ke website,
serta dapat mengetahui apa saja yang dilakukan oleh klien terhadap website
melalui request yang dilakukan oleh klien tersebut. Dengan begitu, website
log sangat penting jika ingin mengetahui apa saja yang telah terjadi terhadap
website.
53
DAFTAR PUSTAKA
54
[17] Raymond cc: “7 Tools to Copy Locked or In Use Files”, (data diperoleh dari
situs internet: https://www.raymond.cc/blog/copy-locked-file-in-use-with-
hobocopy/). Diakses pada tanggal 15 Mei 2018.
[18] Silisoftware: “ Time Online Decoder Tools”, ( data diperoleh dari situs internet:
http://www.silisoftware.com). Diakses pada tanggal 15 Mei 2018.
[19] Wikipedia:”Forensika Komputer”, (data diperoleh dari situs internet:
https://id.wikipedia.org/wiki/Forensika_komputer). Diakses pada tanggal 15 Mei
2018.
[20] Download autopsy link : https://www.sleuthkit.org/autopsy/.
55