A. Pengertian
IT Forensik adalah cabang dari ilmu komputer
tetapi menjurus ke bagian forensik yaitu berkaitan dengan bukti hukum yang
ditemukan di komputer dan media penyimpanan digital. Komputer forensik juga
dikenal sebagai Digital Forensik. Kata forensik itu sendiri secara umum artinya
membawa ke pengadilan.
IT Forensik merupakan ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode yang digunakan (misalnya metode sebab-akibat), di mana IT Forensik bertujuan untuk mendapatkan fakta-fakta objektif dari sistem informasi.
Fakta-fakta tersebut setelah di verifikasi akan menjadi bukti-bukti yang akan di gunakan dalam proses hukum, selain itu juga memerlukan keahlian dibidang IT (termasuk diantaranya hacking) dan alat bantu (tools) baik hardware maupun software.
Contoh barang bukti dalam bentuk elektronik atau data seperti :
• Komputer
• Hardisk
• MMC
• CD
• Flashdisk
• Camera Digital
• Simcard/hp
Data atau barang bukti tersebut diatas diolah dan dianalisis menggunakan software dan alat khusus untuk dimulainya IT Forensik, Hasil dari IT Forensik adalah sebuah Chart data Analisis komunikasi data target.
IT Forensik merupakan ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode yang digunakan (misalnya metode sebab-akibat), di mana IT Forensik bertujuan untuk mendapatkan fakta-fakta objektif dari sistem informasi.
Fakta-fakta tersebut setelah di verifikasi akan menjadi bukti-bukti yang akan di gunakan dalam proses hukum, selain itu juga memerlukan keahlian dibidang IT (termasuk diantaranya hacking) dan alat bantu (tools) baik hardware maupun software.
Contoh barang bukti dalam bentuk elektronik atau data seperti :
• Komputer
• Hardisk
• MMC
• CD
• Flashdisk
• Camera Digital
• Simcard/hp
Data atau barang bukti tersebut diatas diolah dan dianalisis menggunakan software dan alat khusus untuk dimulainya IT Forensik, Hasil dari IT Forensik adalah sebuah Chart data Analisis komunikasi data target.
B. Tujuan
Tujuan dari IT forensik adalah untuk menjelaskan keadaan artefak digital
terkini. Artefak Digital dapat mencakup sistem komputer, media penyimpanan
(seperti hard disk atau CD-ROM), dokumen elektronik (misalnya pesan email atau
gambar JPEG) atau bahkan paket-paket yang secara berurutan bergerak melalui
jaringan. Bidang IT forensik juga memiliki cabang-cabang di dalamnya seperti
firewall forensik, forensik jaringan, database forensik, dan forensik perangkat
mobile.
C. Prosedur
Berikut prosedur forensik yang umum di gunakan antara lain :
1. Membuat copies dari keseluruhan log data, files, daln lain-lain yang dianggap perlu pada media terpisah.
2. Membuat fingerprint dari data secara matematis.
3. Membuat fingerprint dari copies secvara otomatis.
4. Membuat suatu hashes masterlist.
5. Dokumentasi yang baik dari segala sesuatu yang telah dikerjakan.
Sedangkan tools yang biasa digunakan untuk kepentingan komputer forensik, secara garis besar dibedakan secara hardware dan software. Hardware tools forensik memiliki kemampuan yang beragam mulai dari yang sederhana dengan komponen singlepurpose seperti write blocker sampai sistem komputer lengkap dengan kemampuan server seperti F.R.E.D (Forensic Recovery of Evidence Device). Sementara software tools forensik dapat dikelompokkan kedalam dua kelompok yaitu aplikasi berbasis command line dan aplikasi berbasis GUI.
Berikut prosedur forensik yang umum di gunakan antara lain :
1. Membuat copies dari keseluruhan log data, files, daln lain-lain yang dianggap perlu pada media terpisah.
2. Membuat fingerprint dari data secara matematis.
3. Membuat fingerprint dari copies secvara otomatis.
4. Membuat suatu hashes masterlist.
5. Dokumentasi yang baik dari segala sesuatu yang telah dikerjakan.
Sedangkan tools yang biasa digunakan untuk kepentingan komputer forensik, secara garis besar dibedakan secara hardware dan software. Hardware tools forensik memiliki kemampuan yang beragam mulai dari yang sederhana dengan komponen singlepurpose seperti write blocker sampai sistem komputer lengkap dengan kemampuan server seperti F.R.E.D (Forensic Recovery of Evidence Device). Sementara software tools forensik dapat dikelompokkan kedalam dua kelompok yaitu aplikasi berbasis command line dan aplikasi berbasis GUI.
D.
Contoh Software
Berikut contoh Software tools forensik, yaitu
:
1. Viewers (QVP http://www.avantstar.com dan http://www.thumbsplus.de)
2. Erase/Unerase tools: Diskscrub/Norton utilities)
3. Hash utility (MD5, SHA1)
4. Text search utilities (search di http://www.dtsearch.com/)
5. Drive imaging utilities (Ghost, Snapback, Safeback,…)
6. Forensic toolkits. Unix/Linux: TCT The Coroners
Toolkit/ForensiX dan Windows: Forensic Toolkit
7. Disk editors (Winhex,…)
8. Forensic acquisition tools (DriveSpy, EnCase, Safeback,
SnapCopy,…)
9. Write-blocking tools (FastBloc
http://www.guidancesoftware.com) untuk memproteksi bukti-bukti.
10. Salah satu aplikasi yang dapat digunakan untuk analisis
digital adalah Forensic Tools Kit (FTK) dari Access Data Corp
(www.accesdata.com). FTK sebenarnya adalah aplikasi yang sangat memadai untuk
kepentingan implementasi komputer forensik. Tidak hanya untuk kepentingan
analisa bukti digital saja, juga untuk kepentingan pemrosesan bukti digital
serta pembuatan laporan akhir untuk kepentingan presentasi bukti digital.
E. Alasan Penggunaan
Ada banyak alasan-alasan untuk menggunakan teknik IT forensik:
Dalam kasus hukum, teknik komputer forensik sering digunakan untuk menganalisis sistem komputer milik terdakwa ( dalam kasus pidana ) atau milik penggugat ( dalam kasus perdata ).
Untuk memulihkan data jika terjadi kegagalan atau kesalahan hardware atau software.
Untuk menganalisa sebuah sistem komputer setelah terjadi perampokan, misalnya untuk menentukan bagaimana penyerang memperoleh akses dan apa yang penyerang itu lakukan.
Untuk mengumpulkan bukti untuk melawan seorang karyawan yang ingin diberhentikan oleh organisasi.
Untuk mendapatkan informasi tentang bagaimana sistem komputer bekerja untuk tujuan debugging, optimasi kinerja, atau reverse-engineering.
Ada banyak alasan-alasan untuk menggunakan teknik IT forensik:
Dalam kasus hukum, teknik komputer forensik sering digunakan untuk menganalisis sistem komputer milik terdakwa ( dalam kasus pidana ) atau milik penggugat ( dalam kasus perdata ).
Untuk memulihkan data jika terjadi kegagalan atau kesalahan hardware atau software.
Untuk menganalisa sebuah sistem komputer setelah terjadi perampokan, misalnya untuk menentukan bagaimana penyerang memperoleh akses dan apa yang penyerang itu lakukan.
Untuk mengumpulkan bukti untuk melawan seorang karyawan yang ingin diberhentikan oleh organisasi.
Untuk mendapatkan informasi tentang bagaimana sistem komputer bekerja untuk tujuan debugging, optimasi kinerja, atau reverse-engineering.
F. Contoh Kasus
Contoh kasus ini terjadi pada awal kemunculan IT Forensik. Kasus ini berhubungan dengan artis Alda, yang dibunuh di sebuah hotel di Jakarta Timur. Ruby Alamsyah menganalisa video CCTV yang terekam di sebuah server. Server itu memiliki hard disc. Ruby memeriksanya untuk mengetahui siapa yang datang dan ke luar hotel. Sayangnya, saat itu awareness terhadap digital forensik dapat dikatakan belum ada sama sekali. Jadi pada hari kedua setelah kejadian pembunuhan, Ruby ditelepon untuk diminta bantuan menangani digital forensik. Sayangnya, kepolisian tidak mempersiapkan barang bukti yang asli dengan baik. Barang bukti itu seharusnya dikarantina sejak awal, dapat diserahkan kepada Ruby bisa kapan saja asalkan sudah dikarantina. Dua minggu setelah peristiwa alat tersebut diserahkan kepada Ruby, tapi saat ia periksa alat tersebut ternyata sejak hari kedua kejadian sampai ia terima masih berjalan merekam. Akhirnya tertimpalah data yang penting karena CCTV di masing-masing tempat/hotel berbeda settingnya. Akibat tidak aware, barang bukti pertama tertimpa sehingga tidak berhasil diambil datanya.
Contoh kasus ini terjadi pada awal kemunculan IT Forensik. Kasus ini berhubungan dengan artis Alda, yang dibunuh di sebuah hotel di Jakarta Timur. Ruby Alamsyah menganalisa video CCTV yang terekam di sebuah server. Server itu memiliki hard disc. Ruby memeriksanya untuk mengetahui siapa yang datang dan ke luar hotel. Sayangnya, saat itu awareness terhadap digital forensik dapat dikatakan belum ada sama sekali. Jadi pada hari kedua setelah kejadian pembunuhan, Ruby ditelepon untuk diminta bantuan menangani digital forensik. Sayangnya, kepolisian tidak mempersiapkan barang bukti yang asli dengan baik. Barang bukti itu seharusnya dikarantina sejak awal, dapat diserahkan kepada Ruby bisa kapan saja asalkan sudah dikarantina. Dua minggu setelah peristiwa alat tersebut diserahkan kepada Ruby, tapi saat ia periksa alat tersebut ternyata sejak hari kedua kejadian sampai ia terima masih berjalan merekam. Akhirnya tertimpalah data yang penting karena CCTV di masing-masing tempat/hotel berbeda settingnya. Akibat tidak aware, barang bukti pertama tertimpa sehingga tidak berhasil diambil datanya.
G. Tanya Jawab seputar
IT Forensik
1. Apa saja yang termasuk barang bukti digital forensik ?
1. Apa saja yang termasuk barang bukti digital forensik ?
à Semua barang bukti digital (any digital evidence) termasuk handphone, notebook, server, alat teknologi apapun yang mempunyai media penyimpanan dan bisa dianalisa.
2. Kapan mulai marak di Indonesia ?
à Baru satu-dua tahun belakangan ini saja, itu pun para ahlinya masih terbatas. Ilmu ini harus benar-benar bisa dipertanggungjawabkan, tidak hanya di laporan saja tapi juga di pengadilan. Di Indonesia ahlinya masih sangat jarang karena mungkin tidak terlalu banyak orang IT yang aware di bidang ini. Yang kedua, mungkin masih banyak orang IT yang takut bila ini dikaitkan dengan hukum. Kalau saya senang sekali ilmu IT dikaitkan dengan ilmu hukum.
3. Apakah profesional digital forensik seperti anda banyak
atau tidak di Indonesia ?
à Terus terang kalau dari segi jumlah belum cukup. Selama tiga tahun terakhir saya juga menjadi trainer di IT security training, dan saya sudah melatih lebih dari 30 orang mengenai digital forensik, bukan IT yang lain. Kebanyakan peserta training saya adalah pekerja di sektor corporate, kerja di bank, perusahaan swasta. Jadi mereka menggunakan ilmu forensiknya untuk internal perusahaan semata sehingga jarang terekspos di publik.
4. Bagaimana mekanisme kerja seorang ahli digital forensik ?
à Ada beberapa tahap, yang utama adalah setelah menerima barang bukti digital harus dilakukan proses acquiring, imaging atau bahasa umumnya kloning yaitu mengkopi secara presisi 1 banding 1 sama persis. Misalnya ada hard disc A kita mau kloning ke hard disc B, maka hard disc itu 1:1 persis sama isinya seperti hard disc A walaupun di hard disc A sudah tersembunyi ataupun sudah dihapus (delete). Semuanya masuk ke hard disc B. Dari hasil kloning tersebut barulah seorang digital forensik melakukan analisanya. Analisa tidak boleh dilakukan dari barang bukti digital yang asli karena takut mengubah barang bukti. Kalau kita bekerja melakukan kesalahan di hard disk kloning maka kita bisa ulang lagi dari yang aslinya. Jadi kita tidak melakukan analisa dari barang bukti asli. Itu yang jarang orang tahu.
Kedua, menganalisa isi data terutama yang sudah terhapus, tersembunyi, terenkripsi, dan history internet seseorang yang tidak bisa dilihat oleh umum. Misalnya, apa saja situs yang telah dilihat seorang teroris, kemana saja mengirim email, dan lain-lain. Bisa juga untuk mencari dokumen yang sangat penting sebagai barang bukti di pengadilan. Jadi digital forensik sangat penting sekarang. Menurut saya, semua kasus perlu analisa digital forensik karena semua orang sudah memiliki digital device, kasarnya, maling ayam pun sekarang memiliki HP dan HP tersebut bisa kita analisa.
Asumsinya, orang yang mempunyai keahlian seperti Anda tentu harus berlatar belakang IT atau komputer, betulkah ?
Ya, karena ilmu digital forensik itu turunan dari IT Security. Jadi bisa dikatakan orang yang sudah terjun di IT Security maka mau tidak mau harus mengetahui secara general seluruh ilmu IT. Itu karena untuk menjaga keamanan IT-nya maka dia harus tahu detailnya.
H. Audit
teknologi informasi (Information technology (IT) audit atau
information systems (IS) audit)
1.
Pengertian
Adalah
bentuk pengawasan dan pengendalian dariinfrastruktur
teknologi informasi secara menyeluruh. Audit teknologi informasi
ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau
dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Catatan Audit biasanya hasil dari kegiatan seperti transaksi atau
komunikasi oleh orang-orang individu, sistem, rekening atau badan lainnya.
Audit IT sendiri berhubungan dengan berbagai macam ilmu, antara lain
Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu
Komputer, dan Behavioral Science. Audit IT bertujuan untuk meninjau dan
mengevaluasi faktor-faktor ketersediaan (availability), kerahasiaan
(confidentiality), dan keutuhan (integrity) dari sistem informasi organisasi
yang bersifat online atau real time.
Audit trail sebagai
yang menunjukkan catatan yang telah mengakses sistem operasi komputer dan apa
yang dia telah dilakukan selama periode waktu tertentu. Dalam informasi atau
keamanan komunikasi, audit informasi berarti catatan kronologis kegiatan sistem
untuk memungkinkan rekonstruksi dan pemeriksaan dari urutan peristiwa dan /
atau perubahan dalam suatu acara. Dalam akuntansi, mengacu pada dokumentasi
transaksi rinci mendukung entri ringkasan buku. Dokumentasi ini mungkin pada catatan
kertas atau elektronik.
2.
Cara kerja Audit Trail
Audit
Trail yang disimpan dalam suatu table
a.
Dengan menyisipkan perintah penambahan record ditiap
query Insert, Update dan Delete.
b.
Dengan memanfaatkan fitur trigger pada DBMS. Trigger
adalah kumpulan SQL statement, yang secara otomatis menyimpan log pada event
INSERT, UPDATE, ataupun DELETE pada sebuah tabel.
3. Fasilitas Audit Trail
Fasilitas Audit Trail diaktifkan, maka setiap
transaksi yang dimasukan ke Accurate, jurnalnya akan dicatat di dalam sebuah tabel,
termasuk oleh siapa, dan kapan. Apabila ada sebuah transaksi yang di-edit, maka
jurnal lamanya akan disimpan, begitu pula dengan jurnal barunya.
4. Hasil
Audit Trail
Record Audit Trail disimpan dalam bentuk, yaitu :
a.
Binary File – Ukuran tidak besar dan tidak bisa dibaca
begitu saja
b.
Text File – Ukuran besar dan bisa dibaca langsung
c.
Tabel.
5. Tools
yang digunakan untuk IT audit
Tool-Tool yang dapat digunakan untuk mempercepat
proses audit teknologi informasi, antara lain:
a.
ACL
ACL
(Audit Command Language) merupakan sebuah software CAAT (Computer Assisted
Audit Techniques) yang sudah sangat populer untuk
melakukan analisa terhadap data dari berbagai macam sumber.
b.
Picalo
Picalo
merupakan sebuah software CAAT (Computer Assisted Audit Techniques) seperti halnya
ACL yang dapat dipergunakan untuk menganalisa data dari berbagai macam sumber.
c.
Powertech Compliance Assessment
Powertech
Compliance Assessment merupakan automated audit tool yang dapat dipergunakan
untuk mengaudit dan mem-benchmark user access to data, public authority to
libraries, user security, system security, system auditing dan administrator
rights (special authority) sebuah server AS/400.
d.
Nipper
Nipper
merupakan audit automation software yang dapat dipergunakan untuk mengaudit dan
membenchmark konfigurasi sebuah router.
e.
Nessus
Nessus
merupakan sebuah vulnerability assessment software.
f.
Metasploit
Metasploit
Framework merupakan sebuah penetration testing tool.
g.
NMAP
NMAP
merupakan open source utility untuk melakukan security auditing.
h.
Wireshark
Wireshark
merupakan network utility yang dapat dipergunakan untuk meng-capture paket data
yang ada di dalam jaringan komputer.
Berikut prosedur forensik yang umum di gunakan antara
lain :
a)
Membuat copies dari keseluruhan log data, files, daln lain-lain
yang dianggap perlu pada media terpisah
b)
Membuat finerptint dari data secara matematis.
c)
Membuat fingerprint dari copies secvara otomatis.
d)
Membuat suatu hashes masterlist
e)
Dokumentasi yang baik dari segala sesuatu yang telah
dikerjakan.
Sedangkan menurut metode Search dan Seizure adalah :
a)
Identifikasi dan penelitian permasalahan.
b)
Membaut hipotesa.
c)
Uji hipotesa secara konsep dan empiris.
d)
Evaluasi hipotesa berdasarkan hasil pengujian dan
pengujian ulang jika hipotesa tersebut jauh dari apa yang diharapkan.
e)
Evaluasi hipotesa terhadap dampak yang lain jika
hipotesa tersebut dapat diterima.
I. Tools
dalam Forensik IT
1. Antiword
Antiword merupakan sebuah aplikasi yang digunakan
untuk menampilkan teks dan gambar dokumen Microsoft Word. Antiword hanya mendukung
dokumen yang dibuat oleh MS Word versi 2 dan versi 6 atau yang lebih baru.
2. Autopsy
The Autopsy Forensic Browser merupakan antarmuka
grafis untuk tool analisis investigasi diginal perintah baris The Sleuth Kit.
Bersama, mereka dapat menganalisis disk dan filesistem Windows dan UNIX (NTFS,
FAT, UFS1/2, Ext2/3).
3. Binhash
Binhash merupakan sebuah program sederhana untuk
melakukan hashing terhadap berbagai bagian file ELF dan PE untuk perbandingan.
Saat ini ia melakukan hash terhadap segmen header dari bagian header segmen
obyek ELF dan bagian segmen header obyekPE.
4. Sigtool
Sigtcol merupakan tool untuk manajemen signature dan
database ClamAV. sigtool dapat digunakan untuk rnenghasilkan checksum MD5,
konversi data ke dalam format heksadesimal, menampilkan daftar signature virus
dan build/unpack/test/verify database CVD dan skrip update.
5. ChaosReader
ChaosReader merupakan sebuah tool freeware untuk
melacak sesi TCP/UDP/… dan mengambil data aplikasi dari log tcpdump. la akan
mengambil sesi telnet, file FTP, transfer HTTP (HTML, GIF, JPEG,…), email SMTP,
dan sebagainya, dari data yang ditangkap oleh log lalu lintas jaringan. Sebuah
file index html akan tercipta yang berisikan link ke seluruh detil sesi,
termasuk program replay realtime untuk sesi telnet, rlogin, IRC, X11 atau VNC;
dan membuat laporan seperti laporan image dan laporan isi HTTP GET/POST.
6. Chkrootkit
Chkrootkit merupakan sebuah tool untuk memeriksa
tanda-tanda adanya rootkit secara lokal. la akan memeriksa utilitas utama
apakah terinfeksi, dan saat ini memeriksa sekitar 60 rootkit dan variasinya.
7. Dcfldd
Tool ini mulanya dikembangkan di Department of Defense
Computer Forensics Lab (DCFL). Meskipun saat ini Nick Harbour tidak lagi
berafiliasi dengan DCFL, ia tetap memelihara tool ini.
8. Ddrescue
GNU ddrescue merupakan sebuah tool penyelamat data, la
menyalinkan data dari satu file atau device blok (hard disc, cdrom, dsb.) ke
yang lain, berusaha keras menyelamatkan data dalam hal kegagalan pembacaan.
Ddrescue tidak memotong file output bila tidak diminta. Sehingga setiap kali
anda menjalankannya kefile output yang sama, ia berusaha mengisi kekosongan.
9. Foremost
Foremost merupakan sebuah tool yang dapat digunakan
untuk me-recover file berdasarkan header, footer, atau struktur data file
tersebut. la mulanya dikembangkan oleh Jesse Kornblum dan Kris Kendall dari the
United States Air Force Office of Special Investigations and The Center for
Information Systems Security Studies and Research. Saat ini foremost dipelihara
oleh Nick Mikus seorang Peneliti di the Naval Postgraduate School Center for
Information Systems Security Studies and Research.
10. Gqview
Gqview merupakan sebuah program untuk melihat gambar
berbasis GTK la mendukung beragam format gambar, zooming, panning, thumbnails,
dan pengurutan gambar.
11. Galleta
Galleta merupakan sebuah tool yang ditulis oleh Keith
J Jones untuk melakukan analisis forensic terhadap cookie Internet Explorer.
12. Ishw
Ishw (Hardware Lister) merupakan sebuah tool kecil
yang memberikan informasi detil mengenai konfigurasi hardware dalam mesin. la
dapat melaporkan konfigurasi memori dengan tepat, versi firmware, konfigurasi
mainboard, versi dan kecepatan CPU, konfigurasi cache, kecepatan bus, dsb. pada
sistem t>MI-capable x86 atau sistem EFI.
13. Pasco
Banyak penyelidikan kejahatan komputer membutuhkan
rekonstruksi aktivitas Internet tersangka. Karena teknik analisis ini dilakukan
secara teratur, Keith menyelidiki struktur data yang ditemukan dalam file
aktivitas Internet Explorer (file index.dat). Pasco, yang berasal dari bahasa Latin dan berarti “browse”,
dikembangkan untuk menguji isi file cache Internet Explorer. Pasco akan
memeriksa informasi dalam file index.dat dan mengeluarkan hasil dalam field delimited sehingga dapat
diimpor ke program spreadsheet favorit Anda.
14. Scalpel
Scalpel adalah sebuah tool forensik yang dirancang
untuk mengidentifikasikan, mengisolasi dan merecover data dari media komputer
selama proses investigasi forensik. Scalpel mencari hard drive, bit-stream
image, unallocated space file, atau sembarang file komputer untuk
karakteristik, isi atau atribut tertentu, dan menghasilkan laporan mengenai
lokasi dan isi artifak yang ditemukan selama proses pencarian elektronik.
Scalpel juga menghasilkan (carves) artifak yang ditemukan sebagai file
individual.
J. Tools
yang Digunakan dalam IT Forensik
Secara garis besar tools untuk kepentingan komputer
forensik dapat dibedakan secara hardware dan software.
Hardware:
§ Harddisk
IDE & SCSI kapasitas sangat besar, CD-R, DVR Drives.
§ Memory
yang besar (1-2GB RAM).
§ Hub,
Switch, keperluan LAN.
§ Legacy
Hardware (8088s, Amiga).
§ Laptop
forensic workstation.
§ Write
blocker
Software:
§ Viewers
(QVP, http://www.avantstar.com/)
§ Erase/unerase
tools (Diskscrub/Norton Utilities)
§ Hash
utility (MD5, SHA1)
§ Forensic
toolkit
§ Forensic
acquisition tools
§ Write-blocking
tools
§ Spy
Anytime PC Spy
Tidak ada komentar:
Posting Komentar