Upload File

email forensic nitroba

10
INTERNET FORENSIC 03/21/2016 Laporan Email Forensic Studi Kasus You are a staff member at the Nitroba University Incident Response Team. Lily Tuckrige is teaching chemistry CHEM109 this summer at NSU. Tuckrige has been receiving harassing email at her personal email address. – Tuckrige's personal email is [email protected]She thinks that it is from one of the students in her class. Tuckrige contacted IT support. – She sent a screen shot of one of the harassing email messages. – She wants to know who is doing it. Informasi atau Petunjuk a. Email Header b. Setelah melakukan pengecekan IP didapatkan host, yang ternyata berasal dari dalam kampus c. The Dorm Room Three women share the room: – Alice – Barbara – Candice Nitroba provides 10mbps Ethernet in every room but no Wi- Fi. INTERNET FORENSIC FUAD MUZAKI

Upload: fuad-muzaki

Post on 11-Jul-2016

177 views

Category:

Documents


38 download

Report

DESCRIPTION

Email Forensic

TRANSCRIPT

Page 1: Email Forensic Nitroba

Internet Forensic 03/21/2016

Laporan Email Forensic

Studi Kasus

● You are a staff member at the Nitroba University Incident Response Team.

● Lily Tuckrige is teaching chemistry CHEM109 this summer at NSU.

● Tuckrige has been receiving harassing email at her personal email address. –  Tuckrige's personal email is [email protected] –  She thinks that it is from one of the students in her class.

● Tuckrige contacted IT support. –  She sent a screen shot of one of the harassing email messages. –  She wants to know who is doing it.

Informasi atau Petunjuk

a. Email Header

b. Setelah melakukan pengecekan IP didapatkan host, yang ternyata berasal dari dalam kampus

c. The Dorm Room● Three women share the room: –  Alice –  Barbara –  Candice ● Nitroba provides 10mbps Ethernet in every room but no Wi-Fi.● Barbara's boyfriend Kenny installed a Wi-Fi router in the room. ● There is no password on the router.

d. Untuk mendeteksi serangan kembali, pihak kampus melakukan sniffing jaringan pada kampus.

Internet Forensic Fuad Muzaki

Page 2: Email Forensic Nitroba

Internet Forensic 03/21/2016

Si penyerang melakukan serangan kembali

Isi dari email tersebut adalah pesan yang berisi sebuah link ke alamat www.willselfdestruct.com yang berisi pesan berwaktu.

Internet Forensic Fuad Muzaki

http://www.willselfdestruct.com/
Page 3: Email Forensic Nitroba

Internet Forensic 03/21/2016

e. Siapakah PelakunyaChemistry 109 class list: Teacher: Lily TuckrigeStudents: ●  Amy Smith ●  Burt Greedom ●  Tuck Gorge●  Ava Book ●  Johnny Coach●  Jeremy Ledvkin ●  Nancy Colburne ●  Tamara Perkins ●  Esther Pringle ●  Asar Misrad ●  Jenny Kant

f. Untuk mencari pelaku tahapan yang dilakukan adalah1. Petakan jaringan “dorm room”2. Temukan siapa pengirim email ke [email protected] 3. Cari dengan tool paket TCP yang mengandung isi pesan email4. Temukan informasi yang bisa menghubungkan antara isi pesan dengan web

browser yang digunakan pengirim5. Identifikasi paket TCP lain yang berhubungan dengan penyerang6. Dapatkan informasi pada paker TCP tersebut yang mana terdapat ID attacker

Internet Forensic Fuad Muzaki

Page 4: Email Forensic Nitroba

Internet Forensic 03/21/2016

Pembacaan Paket Data dengan Wireshark

1. Temukan IP pengirim atau isi pesan atau informasi yang bisa didapatkan tentang penyerang. Contohnya menggunakan isi pesan sebagai kata kunci untuk mencari paket TCP dari penyerang. Gunakan menu find (Ctrl + F) pilih pada bagian String kemudian masukkan kata kunci berupa “stop teaching”.

Dari pencarian tersebut kita bisa mendapatkan isi dari email pengirim, berikut IP pengirim, mac address, sistem operasi yang digunakan dan lainnya.

Isi Email

Internet Forensic Fuad Muzaki

Page 5: Email Forensic Nitroba

Internet Forensic 03/21/2016

Informasi IP yang didapatkan

Mac Address (00:17:f2:e2:c0:ce)Dengan informasi yang kita peroleh kemudian kita perkecil pencarian pada wireshark dengan filter “ip.src = = 192.168.15.4 and dns”. Dari filter itu bisa diperoleh apa saja web yang telah dibuka oleh IP tersebut.

Bisa dilihat dari situs apa saja yang telah dibuka IP tersebut, kemudian kita analisa kira-kira web apa saja yang bisa mengarah ke pelaku, contoh dari hasil tersebut www.facebook.com, www.amazon.com, www.gmail.com, dsb. Kita asumsikan si pelaku membuka layanan yang sering dibuka seperti gmail, lakukan pencarian dengan kata kunci @gmail.com atau dengan kata kunci yang lain, yang sekiranya bisa didapatkan ID pelaku. Bisa berupa email atau lainnya yang masih berhubungan dengan situs yang telah dibuka pelaku.

Internet Forensic Fuad Muzaki

http://www.gmail.com/
http://www.amazon.com/
http://www.facebook.com/
Page 6: Email Forensic Nitroba

Internet Forensic 03/21/2016

Di sini bisa kita dapatkan akun email yaitu [email protected]. Dengan Mac Address 00:17:f2:e2:c0:ce.

Dari hasil analisa di atas, ternyata mac address [email protected] bersesuaian dengan mac address si penyerang pada hasil analisa sebelumnya, jadi bisa disimpulkan tersangka utama adalah yang mempunyai email [email protected], jika dicocokkan dengan daftar nama siswa di atas, tersangkanya adalah Jhonny Coach.

Internet Forensic Fuad Muzaki

mailto:[email protected]
mailto:[email protected]
mailto:[email protected]
Page 7: Email Forensic Nitroba

Internet Forensic 03/21/2016

Pembacaan Paket Data dengan Network Miner

1. Dengan menggunakan tool network miner pembacaan paket data lebih mudah karena sudah di klasifikasikan sesuai dengan kategori masing-masing seperti host yang terekam, files, gambar, pesan, akun, session dan kategori lainnya.

2. Dari berbagai kategori tersebut, langsung saja mencari isi pesan email pada tab messages, bisa dilihat IP pengirim pesan, host tujuan dan juga isi pesan.

Internet Forensic Fuad Muzaki

Page 8: Email Forensic Nitroba

Internet Forensic 03/21/2016

3. Kemudian lanjutkan analisa pada tab credentials, di tab tersebut bisa dilihat IP 192.168.15.4 mengakses banyak website, dari situ bisa dicari siapa kira-kira pelaku pengirim email. Bisa didapatkan bahwa IP 192.168.15.4 pernah membuka website www.sendanonymousemail.com dan juga gmail dengan akun [email protected]

4. Pada menu hosts bisa dilihat mac address pemilik IP 192.168.15.4. Kemudian bisa kita cocokkan dengan hasil pembacaan pada wireshark.

Dari analisa tersebut bisa disimpulkan terduga pelaku yang paling kuat adalah pemilik akun email [email protected], jika dicocokkan dengan daftar nama siswa bisa jadi pelakunya adalah Jhonny Coach.

Internet Forensic Fuad Muzaki

mailto:[email protected]
mailto:[email protected]
http://www.sendanonymousemail.com/

eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski

Uts Akuntansi Forensic

Forensic Software & Service Japan Forensic Japan …aostech.co.jp/img/pdf/b/fss.pdfコンピュータ・フォレンジック Forensic Software & Service フォレンジック ソフトウェア

Forensic Duplication

Forensic Identification Eka

Forensic Structural Investigation

Forensic Kit Forensic Kit Stain Identification

Forensic Engineering 3

Internet Forensic

Ppt Forensic New

FORENSIC BIOMECHANICS Criminalistic and Forensic Applications

Traumatology Forensic I

DNA FORENSIC ANALYSIS

Mobile Forensic Tesina

Forensic Ballistic

Mem forensic

Refrat Forensic

Digital Forensic

Forensic Medicin

Slide Forensic

Cyber Forensic atau Computer Forensic

Refrate Forensic

Forensic FOCA Manual

Forensic Justice - BAK

Forensic Anthropology الاستعراف

Forensic audit - NBAA · performance of a forensic audit such as ISA/IFRS • Regulation for forensic audits stems from professional regulatory

Ip Forensic

Forensic science 2012

Audio Forensic

Forensik Jaringan Komputer - Gunadarma Universitynryulia.staff.gunadarma.ac.id/Downloads/files/45729/M10-Forensik... · Forensik Jaringan (Network Forensic) Server, Email, Log Pengantar

Forensic odontologist

OS Artifacts Registry - ZenK-Security Artifacts... · 2011. 3. 14. · OS Artifacts – Registry Twitter : @pr0neer Blog : forensic-proof.com Email : [email protected] Kim Jinkook

Deloitte Forensic

Forensic nursing

FORENSIC TECHNIQUES