Kamis, 03 Juni 2010

IT forensik


IT Forensik:
Ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode yang digunakan (misalnya metode sebab-akibat).
Memerlukan keahlian dibidang IT ( termasuk diantaranya hacking) – dan alat bantu (tools) baik hardware maupun software


Metodologi umum dalam proses pemeriksaan insiden sampai proses hukum:

  • Pengumpulan data/fakta dari sistem komputer (harddisk, usb-stick, log, memory-dump, internet, dll) – termasuk di dalamnya data yang sdh terhapus
  • Mendokumentasikan fakta-fakta yang ditemukan dan menjaga integritas data selama proses forensik dan hukum dengan proteksi fisik, penanganan khusus, pembuatan image, dan menggunakan algoritma HASH untuk pembuktian / verifikasi
  • Merunut kejadian (chain of events) berdasarkan waktu kejadian
  • Memvalidasi kejadian2 tersebut dengan metode “sebab-akibat”
  • Dokumentasi hasil yang diperoleh dan menyusun laporan
  • Proses hukum (pengajuan delik, proses persidangan, saksi ahli, dll)

Sedangkan tools yang biasa digunakan untuk kepentingan komputer forensik, secara garis besar dibedakan secara hardware dan software. Hardware tools forensik memiliki kemampuan yang beragam mulai dari yang sederhana dengan komponen singlepurpose seperti write blocker sampai sistem komputer lengkap dengan kemampuan server seperti F.R.E.D (Forensic Recovery of Evidence Device). Sementara software tools forensik dapat dikelompokkan kedalam dua kelompok yaitu aplikasi berbasis command line dan aplikasi berbasis GUI.

Berikut contoh Software tools forensik, yaitu :
  • Viewers (QVP http://www.avantstar.com dan http://www.thumbsplus.de)
  • Erase/Unerase tools: Diskscrub/Norton utilities)
  • Hash utility (MD5, SHA1)
  • Text search utilities (search di http://www.dtsearch.com/)
  • Drive imaging utilities (Ghost, Snapback, Safeback,…)
  • Forensic toolkits. Unix/Linux: TCT The Coroners Toolkit/ForensiX dan Windows: Forensic Toolkit
  • Disk editors (Winhex,…)
  • Forensic acquisition tools (DriveSpy, EnCase, Safeback, SnapCopy,…)
  • Write-blocking tools (FastBloc http://www.guidancesoftware.com) untuk memproteksi bukti-bukti.


Hardware:
  • Harddisk IDE & SCSI kapasitas sangat besar, CD-R, DVR drives
  • Memori yang besar (1-2GB RAM)
  • Hub, Switch, keperluan LAN
  • Legacy hardware (8088s, Amiga, …)
  • Laptop forensic workstations

Prinsip:
  • Forensik bukan proses Hacking
  • Data yang didapat harus dijaga dan jangan berubah
  • Membuat image dari HD / Floppy / USB-Stick / Memory-dump adalah prioritas tanpa merubah isi, kadang digunakan hardware khusus
  • Image tsb yang diotak-atik (hacking) dan dianalisis – bukan yang asli
  • Data yang sudah terhapus membutuhkan tools khusus untuk merekonstruksi
  • Pencarian bukti dengan: tools pencarian teks khusus, atau mencari satu persatu dalam image
Kejahatan komputer dibagi menjadi dua, yaitu:
1. Computer Fraud: Kejahatan atau pelanggaran dari segi sistem organisasi komputer.
2. Computer Crime: Merupakan kegiatan berbahaya dimana menggunakan media komputer dalam melakukan pelanggaran hukum. 

    Bitstream image adalah methode penyimpanan digital dengan mengkopi setiap bit demi bit dari data orisinil, termasuk File yang tersembunyi (hidden files), File temporer (temp file), File yang terfragmentasi (fragmen file), file yang belum ter-overwrite. Dengan kata lain, setiap biner digit demi digit terkopi secara utuh dalam media baru. Tekhnik pengkopian ini menggunakan teknik Komputas i CRC. Teknik ini umumnya diistilahkan dengan Cloning Disk atauGhos ting.


Software-software yang dapat digunakan dalam aktivitas ini antara lain adalah:

• Safe Back. Dipasarkan sejak tahun 1990 untuk penegakan Hukum dan Kepolisian. Digunakan oleh FBI dan Divisi Investigasi Kriminal IRS. Berguna untuk pemakaian partisi tunggal secara virtual dalam segala ukuran. File Image dapat ditransformasikan dalam format SCSI atau media storage magnetik lainnya.

• EnCase. Seperti SafeBack yang merupakan program berbasis karakter, EnCase adalah program dengan fitur yang relatif mirip, dengan Interface GUI yang mudah dipakai oleh tekhnisi secara umum. Dapat dipakai dengan Multiple Platform seperti Windows NT atau Palm OS. Memiliki fasilitas dengan Preview Bukti, Pengkopian target,Searching dan Analyzing.

• Pro Discover. Aplikasi berbasis Windows yang didesain oleh tim Technology Pathways forensics. Memiliki kemampuan untuk me- recover file yang telah terhapus dari space storage yang longgar, mengalanalisis Windows 2000/NT data stream untuk data yang terhidden,menganalisis data image yang diformat oleh kemampuan UNIX dan menghasilkan laporan kerja.


Contoh Kasus oleh Ruby Alamsyah
Apa kasus pertama yang Anda tangani?


Kasus pertama saya adalah artis Alda, yang dibunuh di sebuah hotel di Jakarta Timur. Saya menganalisa video CCTV yang terekam di sebuah server. Server itu memiliki hard disc. Saya memeriksanya untuk mengetahui siapa yang datang dan ke luar hotel. Sayangnya, saat itu awareness terhadap digital forensik dapat dikatakan belum ada sama sekali. Jadi pada hari kedua setelah kejadian pembunuhan, saya ditelepon untuk diminta bantuan menangani digital forensik. Sayangnya, kepolisian tidak mempersiapkan barang bukti yang asli dengan baik. Barang bukti itu seharusnya dikarantina sejak awal, dapat diserahkan kepada saya bisa kapan saja asalkan sudah dikarantina. Dua minggu setelah peristiwa alat tersebut diserahkan kepada saya, tapi saat saya periksa alat tersebut ternyata sejak hari kedua kejadian sampai saya terima masih berjalan merekam. Akhirnya tertimpalah data yang penting karena CCTV di masing-masing tempat/hotel berbeda settingnya. Akibat tidak aware, barang bukti pertama tertimpa sehingga tidak berhasil diambil datanya.




Pertama kali Anda diminta oleh kepolisian atau para penegak hukum untuk membantu meneliti, bagaimana mereka mengetahui Anda karena digital forensik merupakan pengetahuan baru?


Terus terang sewaktu awal memperkenalkan digital forensik ke publik pada 2006, saya bisa dikatakan nekat. Kalau saya tidak terjun membantu kepolisian, maka ilmu saya tidak berguna karena saat itu awareness terhadap digital forensik belum ada. Jadi saya mencoba mendekatkan dulu kepada penegak hukum agar bisa saya rekatkan awareness tersebut. Alhamdulillah, setelah tiga bulan di lingkup penegak hukum yang saya kenal pada level kepolisian daerah (Polda) dan markas besar (Mabes), mereka sudah sangat aware terhadap digital forensik. Sampai 2009 banyak kasus yang saya bantu. Saya senang mendengar ketika polisi mengatakan, “Ada barang bukti digital, tunggu Ruby.” Ini bukan masalah Ruby sebenarnya, tapi masalah digital forensiknya. Ketika sudah aware maka mereka tidak menganalisa barang bukti sembarangan sehingga nantinya tidak dibantah di pengadilan. 

sumber referensi
  1. http://www.dutamasyarakat.com/artikel-24476-teknik-forensik-teliti-bukti-digital.html
  2. http://www.indowebster.web.id/showthread.php?t=13476
  3. http://rungga.blogspot.com/2010/04/beberapa-aplikasi-untuk-digital.html
  4. http://docs.google.com/viewer?a=v q=cache:9doYd0a6_xcJ:puslit2.petra.ac.id/ejournal/index.php/tik/article/viewPDFInterstitial/16936/16921+contoh+kasus+encase+forensik&hl=id&gl=id&pid=bl&srcid=ADGEESjmwIexyHfoO7lf6wjse-LigG68gMkN10xwZqvvXkmjMTblPOYpPMHypStWPAojMP4IcsEdS-Y1exr2c8W_B6I7jVzpAU3eerXT8AuXscfpy_licSPqy_5F8FjGPxy37PyA-8ar&sig=AHIEtbRsNbfeWrNWPCz9C2b_XuiGfSQIfA

Anggota kelompok
Bnekuntarto.A
M. Masykur

Read More...

Diposting oleh cheno_ghost di 21.07 0 komentar

Langganan: Postingan (Atom)
Template by : kendhin x-template.blogspot.com