Cyber Forensic atau Computer Forensic adalah satu cabang ilmuforensik yang berkaitan dengan bukti legal yang ditemukan pada sistemkomputer dan media penyimpanan digital. Computer forensicmerupakan penggunaan teknik analisis dan investigasi untukmengidentifikasi/ menemukan, mengumpulkan, memeriksa danmenyimpan bukti/informasi pada sistem komputer atau media penyimpanan digital dengan sebuah standard dan dokumentasi tertentuuntuk dapat diajukan sebagai bukti hukum yang sah

Investigator Forensic melakukan penyelidikan dan analisis komputeruntuk menentukan potensi bukti legal

Metode metode yang digunakan untuk Penemuan informasi atau data pada sistem komputer Pengembalian/Recovery file yang sudah di hapus, enkripsi, atau mengalami

kerusakan. Monitoring aktifitas seseorang Mendeteksi pelanggaran terhadap kebijakan (policy) perusahaan

Cyber crime adalah istilah yang mengacu kepada aktivitaskejahatan dengan komputer atau jaringan komputer menjadi alat, sasaran atau tempat terjadinya kejahatanContoh: Illegal Contents (Konten Tidak Sah). Data Forgery (Pemalsuan Data) Cyber Spionase (Mata-mata) Data Theft (Mencuri Data) Misuse of devices (Menyalahgunakan Peralatan Komputer) Unethical Hacking & Cracking Cybersquatting and Typosquatting Cyber Terorism Fraud (Manipulasi rangka mengambil keuntungan secara tidak sah)

Pencurian Bandwitdh pada Provider Penyebaran/Penggunaan Malware

(Worm/Trojan pada PC/Server) Un-ethical Hacking/Defacing Penipuan transaksi melalui Email Penipuan transaksi di OLX Prostitusi dan Pornography Online Pembunuhan Berencana

Kasus antara 2012-2013 Sebuah ISP di JKT 1 Gbps

Berhasil menjual 100 Mbps

Trafik termonitor pemakaian lebih dari 110 Mbps

Bagian Keuangan hanya menerima 100 Mbps

10 Mbps ??

Network Forensic - BW Configuration Investigation – Internal Fraud

Salah satu Direktorat di Kementerian Pertaniandi JKT tahun 2014

Total Bandwith Internet 150Mbps Serasa 5 Mbps pada waktu tertentu? Worm /Malware active pada jam jam tertentu

(Pengamatan di Traffik Monitoring Graphic maupun Live/Real Time)

Ternyata salah satu Server WebServer Windows Based (Tidak terawat) telah menjadiBot/Malware yang di kontrol sewaktu waktuuntuk menyerang jaringan lain.

Network Forensic – Malware Forensic

Return-Path: <registri@server.registrindo.co.id>Envelope-To: support@idwebhost.comDelivery-Date: Sat, 16 Jul 2016 20:43:17 +0700Received: from [103.8.224.34] (port=36562 helo=server.registrindo.co.id) by

perintis.id.or.id with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256) (Exim 4.87) (envelope-from <registri@server.registrindo.co.id>) id 1bOPsC-0004GG-Tg

for support@idwebhost.com; Sat, 16 Jul 2016 20:43:16 +0700

Received: from registri by server.registrindo.co.id with local (Exim 4.85) (envelope-from <registri@server.registrindo.co.id>) id 1bOPrU-0008Q9-W0 for support@idwebhost.com; Sat, 16 Jul 2016 20:42:33 +0700

To: support@idwebhost.comSubject: =?UTF-8?Q?Pergantian_NS?=X-PHP-Script: manage.registrindo.co.id/phpsrs/mail.php for 202.67.40.23From: =?UTF-8?Q?Hendra_Pratama?= <humaspolrestayka@gmail.com>Reply-To:Message-ID: <313371.1@gmail.com>MIME-Version: 1.0

Content-Type: text/html; charset=UTF-8Content-Transfer-Encoding: quoted-printableDate: Sat, 16 Jul 2016 20:42:32 +0700X-Antiabuse: This header was added to track abuse, please include it with any

abuse reportX-Antiabuse: Primary Hostname - server.registrindo.co.idX-Antiabuse: Original Domain - idwebhost.comX-Antiabuse: Originator/Caller UID/GID - [507 507] / [47 12]X-Antiabuse: Sender Address Domain - server.registrindo.co.idX-Get-Message-Sender-Via: server.registrindo.co.id: authenticated_id:

registri/only user confirmed/virtual account not confirmed

Halo,

Saya ingin melakukan pergantian NS pada domain polresjogja.com

untuk menambahkan ekstensi SSL Cloudflare.

Berikut adalah daftar NS baru :

ingrid.ns.cloudflare.comjeremy.ns.cloudflare.com

Terima kasih

Hendra PratamaHumas Polres Kota Yogyakarta

Berkoordinasi antar Polda-Provider-Ahli Akusisi Server Log

access-log

cpanel-log

History Apache Conf

Pelaku hacking POLRESJOGJA.COM

202.67.40.241202.67.46.30

202.67.40.241 - u5620155 [07/17/2016:15:36:58 -0000] "GET /cpsess4569049329/frontend/paper_lantern/autodir/autocomplete.xml?path=polresjogja.com&dirsonly=1 HTTP/1.1" 200 0 "https://srv9.niagahoster.com:2083/cpsess4569049329/frontend/paper_lantern/addon/index.html" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.63 Safari/537.36" "s" "-" 2083

115.178.193.82 - - [07/18/2016:03:32:14 -0000] "GET / HTTP/1.1" 401 0 "http://polresjogja.com/cpanel" "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0" "-" "-" 2083

202.67.46.30 - u5620155 [07/25/2016:15:24:33 -0000] "GET /cpsess8769797836/frontend/paper_lantern/addon/confirmdodeldomain.html?domain=polresjogja.com&subdomain=polresjogja_stielhokseumawe.ac.id&user=polresjogja&fullsubdomain=polresjogja.stielhokseumawe.ac.id HTTP/1.1" 200 0 "https://srv9.niagahoster.com:2083/cpsess8769797836/frontend/paper_lantern/addon/index.html" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:47.0) Gecko/20100101 Firefox/47.0" "s" "-" 2083

202.67.46.30 - u5620155 [07/25/2016:15:24:38 -0000] "POST /cpsess8769797836/frontend/paper_lantern/addon/dodeldomain.html HTTP/1.1" 200 0 "https://srv9.niagahoster.com:2083/cpsess8769797836/frontend/paper_lantern/addon/confirmdodeldomain.html?domain=polresjogja.com&subdomain=polresjogja_stielhokseumawe.ac.id&user=polresjogja&fullsubdomain=polresjogja.stielhokseumawe.ac.id" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:47.0) Gecko/20100101 Firefox/47.0" "s" "-" 2083

Pelaku Hacking PERSIJA.CO.ID114.121.238.108114.121.234.95

114.121.238.108 - u5620155 [06/26/2016:15:39:55 -0000] "GET /cpsess7678494695/frontend/paper_lantern/autodir/autocomplete.xml?path=public_html%2Fpersija.co.id&dirsonly=1 HTTP/1.1" 200 0 "https://srv9.niagahoster.com:2083/cpsess7678494695/frontend/paper_lantern/addon/index.html" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:47.0) Gecko/20100101 Firefox/47.0" "s" "-" 2083

114.121.238.108 - u5620155 [06/26/2016:15:40:08 -0000] "GET /cpsess7678494695/frontend/paper_lantern/autodir/autocomplete.xml?path=persija&dirsonly=1 HTTP/1.1" 200 0 "https://srv9.niagahoster.com:2083/cpsess7678494695/frontend/paper_lantern/addon/index.html" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:47.0) Gecko/20100101 Firefox/47.0" "s" "-" 2083

114.121.238.108 - u5620155 [06/26/2016:15:39:55 -0000] "GET /cpsess7678494695/frontend/paper_lantern/autodir/autocomplete.xml?path=public_html%2Fpersija.co.id&dirsonly=1 HTTP/1.1" 200 0 "https://srv9.niagahoster.com:2083/cpsess7678494695/frontend/paper_lantern/addon/index.html" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:47.0) Gecko/20100101 Firefox/47.0" "s" "-" 2083

114.121.234.95 - u5620155 [06/28/2016:07:01:10 -0000] "GET /cpsess7082743484/frontend/paper_lantern/addon/confirmdodeldomain.html?domain=persij

a.co.id&subdomain=nganu_stielhokseumawe.ac.id&user=nganu&fullsubdomain=nganu.stielhokseumawe.ac.id HTTP/1.1" 200 0 "https://srv9.niagahoster.co

m:2083/cpsess7082743484/frontend/paper_lantern/addon/index.html" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome

Polresjogja.com dan Persija.co.id korbanSocEng pemindahan NS, kemudianmemanfaatkan akun hosting/cpanel yang lemah (stiexxxxxxxxxxxx.ac.id), CMS yang buggy (LFI dan SQLi lokomedia) yang user cpanelnya sama dengan user DB/MySQL.

Komunikasi antar Partner Bisnis (Perusahaan Distributor Lokal di Semarang denganPerusahaan Produsen Bahan bangunan di China)

Partnership sudah lebih 5 Tahun Diawali email Spoofing dan Akses Ilegal

terhadap email Yahoo.com (Baca: Yahoo Says 1 Billion User Accounts Were Hacked since 2014 https://www.nytimes.com/2016/12/14/technology/yahoo-hack.html )

Kerugian Ratusan Juta rupiah. Laporan Digital Forensic Email

X-Apparently-To: irdanielb@yahoo.com; Fri, 04 Sep 2015 08:24:59 +0000Received-SPF: fail (domain of 126.com does not designate 69.175.69.94 as

permitted sender)X-YMailISG: 7KlejbkWLDvhvTyVX00n4O0asupH5BCpto3ZBorpx5358EjE

X-Originating-IP: [69.175.69.94]Authentication-Results: mta1145.mail.gq1.yahoo.com from=126.com;

domainkeys=neutral (no sig); from=126.com; dkim=neutral (no sig)Received: from 127.0.0.1 (EHLO delivery.mailspamprotection.com) (69.175.69.94)by mta1145.mail.gq1.yahoo.com with SMTPS; Fri, 04 Sep 2015 08:24:59 +0000

Received: from ns1.siteground245.com ([184.154.225.4] helo=serv01.siteground245.com)by se4.mailspamprotection.com with esmtps (TLSv1.2:DHE-RSA-AES256-SHA:256)(Exim 4.85)(envelope-from <zhangliliforever@126.com>)id 1ZXmIn-0004co-4jfor irdanielb@yahoo.com; Fri, 04 Sep 2015 03:24:58 -0500

Received: from [127.0.0.1] (port=55210 helo=secure245.sgcpanel.com)by serv01.siteground245.com with esmtpa (Exim 4.80.1)(envelope-from <zhangliliforever@126.com>)id 1ZXmIp-0004ct-RKfor irdanielb@yahoo.com; Fri, 04 Sep 2015 03:24:55 -0500

MIME-Version: 1.0Content-Type: multipart/alternative;boundary="=_ae0f9289c36e0ac0a42277cfb8b3eac0"Date: Fri, 04 Sep 2015 03:24:55 -0500From: Lily <zhangliliforever@126.com>To: irdanielb@yahoo.comSubject: Re:Re: Fw: Purchase RequestReply-To: zhengliliforever@126.comMail-Reply-To: zhengliliforever@126.comMessage-ID: <a180b953d4a6a9e8a3e1ed1f3ec9cfa5@jacomgroup.com>X-Sender: zhangliliforever@126.com

User-Agent: Roundcube Webmail/1.0.5X-AntiAbuse: This header was added to track abuse, please include it

with any abuse reportX-AntiAbuse: Primary Hostname - serv01.siteground245.comX-AntiAbuse: Original Domain - yahoo.comX-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]X-AntiAbuse: Sender Address Domain - 126.comX-Get-Message-Sender-Via: serv01.siteground245.com: noneX-Filter-ID:

hi0LX7IBg3nWpFjtdLiGQxc8PirGRB8pzikSsJC/OQ==X-Report-Abuse-To: spam@quarantine.mailspamprotection.comX-Filter-Fingerprint:

IFrWXGses7OKB5S5G8/dJb0kolOUiviGeQyDsBgQ6PBA3cTUQ1R++keuE7RDJ8Kg3RbMLUalw1oC

mj99/u+Poh38tEMU4IgC4sNz49qn3HHnhRv/ZJ3kEy8bfiAr+Fb/UpndEJ0YoaLytXXo8BMTabwN

kORlIFJ73KEwNYCGVrXifUN+W7GEVdpd1LYupdH5yfTdfKhWjEKrz/uplT4ll3WhGFu/A/m0T0pN

5F0rjz0Fq6xBMyLCa6D9uNktO/bt/FhQvq6U0+CWL6A41XmVMN3yPbJhMtBLqanwjerJ+mY=

X-Originating-IP: 184.154.225.4X-SpamExperts-Domain: siteground245.comX-SpamExperts-Username: 184.154.225.4Authentication-Results: mailspamprotection.com; auth=pass

smtp.auth=184.154.225.4@siteground245.comX-SpamExperts-Outgoing-Class: hamX-SpamExperts-Outgoing-Evidence: SB/global_tokens (0.00338079861303)X-Recommended-Action: accept

Komunikasi antar Partner Bisnis (Perusahaan Pengrajin di Jogja dengan Perusahaan Distributor di Eropa)

Partnership sudah lebih 5 Tahun Kerugian ½ Milliyar Rupiah Masih proses Investigasi (akhir 2016 lalu)

Ada 3 Kasus dengan 3 tersangka yang salingberhubungan

2 tersangka tertangkap tangan (dijebak) 1 tersangka lain merupakan Pengelola puluhan Group

Secret (Esek-Esek) di FB. Hingga sidang ke-3 tersangka tidak mengakui jika

akun akun FB tersebut miliknya. Berkilah jika akun bukan miliknya dan akun sudah di hack

orang lain Setelah Ahli memaparkan hasil Digital Forensik,

akhirnya terdakwa mengakui semua akun tersebut. Laporan Digital Forensik Tablet Tersangka

salon_bj@yahoo.com

noda_putih@yahoo.co.id

boyyooo@yahoo.com

anggara_mardha@yahoo.com

mardha_anggara@yahoo.com

bidadari_jogja@yahoo.com

SDM Kepolisian – Kejaksaan – Advocat – Pengadilan Ahli IT vs Ahli Digital Forensic (Ingat kasus Jessica?)

Kerjasama dan Koordinasi Kerja sama Lintas Negara (Interpol/Bilateral)? Kerja sama Lintas Lembaga/Perusahaan (Antar Private Sector

atau Government) Kerja sama dengan antar Provider (ISP dan Operator)

Perkembangan Teknologi Cloud Computing ~ Butuh framework Digital Forensic baru,

berbeda dengan Computer Forensic Konvensional IoT dan setiap person punya banyak Device Storage semakin besar App berubah dan bertambah dengan cepat

Terimakasih