IT FORENSIC

Dengan meningkatnya kejahatan di dunia komputer khususnya jaringan seperti internet mendorong pihak kepolisian untuk berbenah diri agar dapat mengungkap kasus demi kasus di dunia cyber dan komputer tersebut. Kepolisian kemudian membentuk suatu tim yang diberi nama IT Forensic.
IT Forensic adalah bagian kepolisian yang menelusuri kejahatan-kejahatan dalam dunia komputer/ internet. Komputer forensik yang juga dikenal dengan nama digital forensic adalah salah satu cabang ilmu forensik yang menggunakan sekumpulan prosedur untuk melakukan pengujian secara menyeluruh terhadap suatu sistem komputer dan media penyimpanan digital dengan menggunakan software dan tool untuk mengambil dan memelihara barang bukti tindakan kriminal.
Komputer forensik merupakan ilmu baru yang akan terus berkembang. Ilmu ini didasari oleh beberapa bidang keilmuan lainnya yang sudah ada. Komputer forensik dapat dispesifikasikan lagi menjadi beberapa bagian, seperti Disk Forensic, System Forensic, Network Forensic dan Internet Forensic.
Pengetahuan Disk Forensic sudah terdokumentasi dengan baik dibandingkan dengan bidang forensik lainnya. Beberapa kasus yang dapat dilakukan dengan bantuan ilmu Disk Forensic antara lain mengembalikan file yang sudah terhapus, mendapatkan password, menganalisis file akses dan system atau aplikasi logs dan sebagainya.
Tujuan dari IT Forensic adalah untuk mendapatkan fakta-fakta obyektif dari suatu insiden/ pelanggaran keamanan sistem informasi. Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-bukti (evidence) yang akan digunakan dalam proses hukum.

Metodologi umum dalam proses pemeriksaan insiden sampai proses hukum :
1. Pengumpulan data/ fakta dari sistem komputer, media penyimpanan (harddisk, usb-stick, memory-dump atau CD-ROM), dokumen elektronik (pesan email atau gambar JPEG), sederetan paket yang berpindah dalam jaringan komputer (internet) juga termasuk di dalamnya data yang sudah terhapus.
2. Mendokumentasikan fakta-fakta yang ditemukan dan menjaga integritas data selama proses forensik dan hukum dengan proteksi fisik, penanganan khusus, pembuatan image dan menggunakan algoritma HASH untuk pembuktian/ verifikasi.
3. Merunut kejadian (chain of events) berdasarkan waktu kejadian.
4. Memvalidasi kejadian-kejadian tersebut dengan metode “sebab-akibat”.
5. Mendokumentasikan hasil yang diperoleh dan menyusun laporan.
6. Proses hukum (pengajuan delik, proses persidangan, saksi ahli, dll).

Hardware dan software yang dibutuhkan dalam IT Forensic adalah sebagai berikut :
• Hardware
– Harddisk IDE & SCSI kapasitas sangat besar, CD-R, DVR drives.
– Memori yang besar (1 – 2 GB RAM).
– Hub, switch, keperluan LAN.
– Legacy hardware (8088s, Amiga, dll).
– Laptop forensic workstations.
• Software
– Viewers (QVP http://www.avantstar.com/, http://www.thumbsplus.de/).
– Erase/ Unerase tools : Diskscrub/ Norton utilities).
– Hash utility (MD5, SHA1).
– Text search utilities (dtsearch http://www.dtsearch.com/).
– Drive imaging utilities (Ghost, Snapback, Safeback, dll).
– Forensic toolkits
* Unix/ Linux : TCT The Coroners Toolkit/ ForensiX.
* Windows : Forensic Toolkit.
– Disk editors (Winhex, dll).
– Forensic acquisition tools (DriveSpy, EnCase yang dikembangkan oleh Guidance Software Pasadena, Safeback, SnapCopy, dll).
– Write-blocking tools (FastBloc http://www.guidancesoftware.com) untuk memproteksi bukti-bukti.

Beberapa tools yang digunakan dalam IT Forensic adalah sebagai berikut:
1. Antiword
Antiword merupakan sebuah aplikasi yang digunakan untuk menampilkan teks dan gambar dokumen Microsoft Word. Antiword hanya mendukung dokumen yang dibuat oleh MS Word versi 2 dan versi 6 atau yang lebih baru.
2. Autopsy
The Autopsy Forensic Browser merupakan antar muka grafis untuk tool analisis investigasi digital perintah baris The Sleuth Kit. Bersama, mereka dapat menganalisis disk dan file sistem Windows dan UNIX (NTFS, FAT, UFS1/2, Ext2/3).
3. Binhash
Binhash merupakan sebuah program sederhana untuk melakukan hashing terhadap berbagai bagian file ELF dan PE untuk perbandingan. Saat ini ia melakukan hash terhadap segmen header dari bagian header segmen obyek ELF dan bagian segmen header obyek PE.
4. Sigtool
Sigtool merupakan tool untuk manajemen signature dan database ClamAV. Sigtool dapat digunakan untuk menghasilkan checksum MD5, konversi data ke dalam format heksa desimal, menampilkan daftar signature virus dan build/ unpack/ test/ verify database CVD dan skrip update.
5. ChaosReader
ChaosReader merupakan sebuah tool freeware untuk melacak sesi TCP/ UDP/ dll dan mengambil data aplikasi dari log tcpdump. la akan mengambil sesi telnet, file FTP, transfer HTTP (HTML, GIF, JPEG, dll), email SMTP dan sebagainya, dari data yang ditangkap oleh log lalu lintas jaringan. Sebuah file index html akan tercipta yang berisikan link ke seluruh detil sesi, termasuk program replay real time untuk sesi telnet, rlogin, IRC, X11 atau VNC; dan membuat laporan seperti laporan image dan laporan isi HTTP GET/ POST.
6. Chkrootkit
Chkrootkit merupakan sebuah tool untuk memeriksa tanda-tanda adanya rootkit secara lokal. la akan memeriksa utilitas utama apakah terinfeksi, dan saat ini memeriksa sekitar 60 rootkit dan variasinya.
7. Dcfldd
Tool ini mulanya dikembangkan di Department of Defense Computer Forensics Lab (DCFL). Meskipun saat ini Nick Harbour tidak lagi berafiliasi dengan DCFL, ia tetap memelihara tool ini.
8. Ddrescue
GNU Ddrescue merupakan sebuah tool penyelamat data. Ia menyalinkan data dari satu file atau device blok (harddisk, CD-ROM, dsb) ke yang lain, berusaha keras menyelamatkan data dalam hal kegagalan pembacaan. Ddrescue tidak memotong file output bila tidak diminta. Sehingga setiap kali anda menjalankannya ke file output yang sama, ia berusaha mengisi kekosongan.
9. Foremost
Foremost merupakan sebuah tool yang dapat digunakan untuk me-recover file berdasarkan header, footer, atau struktur data file tersebut. la mulanya dikembangkan oleh Jesse Kornblum dan Kris Kendall dari the United States Air Force Office of Special Investigations and The Center for Information Systems Security Studies and Research. Saat ini foremost dipelihara oleh Nick Mikus seorang peneliti di the Naval Postgraduate School Center for Information Systems Security Studies and Research.
10. Gqview
Gqview merupakan sebuah program untuk melihat gambar berbasis GTK. Ia mendukung beragam format gambar, zooming, panning, thumbnails dan pengurutan gambar.
11. Galleta
Galleta merupakan sebuah tool yang ditulis oleh Keith J Jones untuk melakukan analisis forensic terhadap cookie Internet Explorer.
12. Ishw
Ishw (Hardware Lister) merupakan sebuah tool kecil yang memberikan informasi detil mengenai konfigurasi hardware dalam mesin. Ia dapat melaporkan konfigurasi memori dengan tepat, versi firmware, konfigurasi mainboard, versi dan kecepatan CPU, konfigurasi cache, kecepatan bus, dsb. Pada sistem t>MI-capable x86 atau sistem EFI.
13. Pasco
Banyak penyelidikan kejahatan komputer membutuhkan rekonstruksi aktivitas internet tersangka. Karena teknik analisis ini dilakukan secara teratur, Keith menyelidiki struktur data yang ditemukan dalam file aktivitas Internet Explorer (file index.dat). Pasco, yang berasal dari bahasa latin dan berarti “browse”, dikembangkan untuk menguji isi file cache Internet Explorer. Pasco akan memeriksa informasi dalam file index.dat dan mengeluarkan hasil dalam field delimited sehingga dapat diimpor ke program spreadsheet favorit anda.
14. Scalpel
Scalpel adalah sebuah tool forensik yang dirancang untuk mengidentifikasi, mengisolasi dan merecovery data dari media komputer selama proses investigasi forensik. Scalpel mencari hard drive, bit-stream image, unallocated space file atau sembarang file komputer untuk karakteristik, isi atau atribut tertentu dan menghasilkan laporan mengenai lokasi dan isi artifak yang ditemukan selama proses pencarian elektronik. Scalpel juga menghasilkan (carves) artifak yang ditemukan sebagai file individual.

Contoh kasus nyata yang terjadi sehubungan dengan IT Forensic diantaranya :
- Aksi kejahatan di mesin ATM (pembobolan ATM).
- Kasus kejahatan foto pornografi.
- Penyelidikan dalam kasus Nurdin M Top (penyelidikan laptop Nurdin M Top).
- Pencurian data dari suatu website dengan menggunakan SQL Injection.
- Pencurian informasi dan data penting lainnya dari komputer.
- CC Cloning.
- Dan masih banyak yang lainnya.

Alasan mengapa menggunakan digital forensic, antara lain :
1. Dalam kasus hukum, teknik digital forensic sering digunakan untuk meneliti sistem komputer milik terdakwa (dalam perkara pidana) atau tergugat (dalam perkara perdata).
2. Memulihkan data dalam hal suatu hardware atau software mengalami kegagalan/ kerusakan (failure).
3. Meneliti suatu sistem komputer setelah suatu pembongkaran/ pembobolan, sebagai contoh untuk menentukan bagaimana penyerang memperoleh akses dan serangan apa yang dilakukan.
4. Mengumpulkan bukti menindak seorang karyawan yang ingin diberhentikan oleh suatu organisasi.
5. Memperoleh informasi tentang bagaimana sistem komputer bekerja untuk tujuan debuging, optimisasi kinerja atau membalikkan rancang-bangun.

0 Response to "IT FORENSIC"

Posting Komentar

IT FORENSIC

Dengan meningkatnya kejahatan di dunia komputer khususnya jaringan seperti internet mendorong pihak kepolisian untuk berbenah diri agar dapat mengungkap kasus demi kasus di dunia cyber dan komputer tersebut. Kepolisian kemudian membentuk suatu tim yang diberi nama IT Forensic.
IT Forensic adalah bagian kepolisian yang menelusuri kejahatan-kejahatan dalam dunia komputer/ internet. Komputer forensik yang juga dikenal dengan nama digital forensic adalah salah satu cabang ilmu forensik yang menggunakan sekumpulan prosedur untuk melakukan pengujian secara menyeluruh terhadap suatu sistem komputer dan media penyimpanan digital dengan menggunakan software dan tool untuk mengambil dan memelihara barang bukti tindakan kriminal.
Komputer forensik merupakan ilmu baru yang akan terus berkembang. Ilmu ini didasari oleh beberapa bidang keilmuan lainnya yang sudah ada. Komputer forensik dapat dispesifikasikan lagi menjadi beberapa bagian, seperti Disk Forensic, System Forensic, Network Forensic dan Internet Forensic.
Pengetahuan Disk Forensic sudah terdokumentasi dengan baik dibandingkan dengan bidang forensik lainnya. Beberapa kasus yang dapat dilakukan dengan bantuan ilmu Disk Forensic antara lain mengembalikan file yang sudah terhapus, mendapatkan password, menganalisis file akses dan system atau aplikasi logs dan sebagainya.
Tujuan dari IT Forensic adalah untuk mendapatkan fakta-fakta obyektif dari suatu insiden/ pelanggaran keamanan sistem informasi. Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-bukti (evidence) yang akan digunakan dalam proses hukum.

Metodologi umum dalam proses pemeriksaan insiden sampai proses hukum :
1. Pengumpulan data/ fakta dari sistem komputer, media penyimpanan (harddisk, usb-stick, memory-dump atau CD-ROM), dokumen elektronik (pesan email atau gambar JPEG), sederetan paket yang berpindah dalam jaringan komputer (internet) juga termasuk di dalamnya data yang sudah terhapus.
2. Mendokumentasikan fakta-fakta yang ditemukan dan menjaga integritas data selama proses forensik dan hukum dengan proteksi fisik, penanganan khusus, pembuatan image dan menggunakan algoritma HASH untuk pembuktian/ verifikasi.
3. Merunut kejadian (chain of events) berdasarkan waktu kejadian.
4. Memvalidasi kejadian-kejadian tersebut dengan metode “sebab-akibat”.
5. Mendokumentasikan hasil yang diperoleh dan menyusun laporan.
6. Proses hukum (pengajuan delik, proses persidangan, saksi ahli, dll).

Hardware dan software yang dibutuhkan dalam IT Forensic adalah sebagai berikut :
• Hardware
– Harddisk IDE & SCSI kapasitas sangat besar, CD-R, DVR drives.
– Memori yang besar (1 – 2 GB RAM).
– Hub, switch, keperluan LAN.
– Legacy hardware (8088s, Amiga, dll).
– Laptop forensic workstations.
• Software
– Viewers (QVP http://www.avantstar.com/, http://www.thumbsplus.de/).
– Erase/ Unerase tools : Diskscrub/ Norton utilities).
– Hash utility (MD5, SHA1).
– Text search utilities (dtsearch http://www.dtsearch.com/).
– Drive imaging utilities (Ghost, Snapback, Safeback, dll).
– Forensic toolkits
* Unix/ Linux : TCT The Coroners Toolkit/ ForensiX.
* Windows : Forensic Toolkit.
– Disk editors (Winhex, dll).
– Forensic acquisition tools (DriveSpy, EnCase yang dikembangkan oleh Guidance Software Pasadena, Safeback, SnapCopy, dll).
– Write-blocking tools (FastBloc http://www.guidancesoftware.com) untuk memproteksi bukti-bukti.

Beberapa tools yang digunakan dalam IT Forensic adalah sebagai berikut:
1. Antiword
Antiword merupakan sebuah aplikasi yang digunakan untuk menampilkan teks dan gambar dokumen Microsoft Word. Antiword hanya mendukung dokumen yang dibuat oleh MS Word versi 2 dan versi 6 atau yang lebih baru.
2. Autopsy
The Autopsy Forensic Browser merupakan antar muka grafis untuk tool analisis investigasi digital perintah baris The Sleuth Kit. Bersama, mereka dapat menganalisis disk dan file sistem Windows dan UNIX (NTFS, FAT, UFS1/2, Ext2/3).
3. Binhash
Binhash merupakan sebuah program sederhana untuk melakukan hashing terhadap berbagai bagian file ELF dan PE untuk perbandingan. Saat ini ia melakukan hash terhadap segmen header dari bagian header segmen obyek ELF dan bagian segmen header obyek PE.
4. Sigtool
Sigtool merupakan tool untuk manajemen signature dan database ClamAV. Sigtool dapat digunakan untuk menghasilkan checksum MD5, konversi data ke dalam format heksa desimal, menampilkan daftar signature virus dan build/ unpack/ test/ verify database CVD dan skrip update.
5. ChaosReader
ChaosReader merupakan sebuah tool freeware untuk melacak sesi TCP/ UDP/ dll dan mengambil data aplikasi dari log tcpdump. la akan mengambil sesi telnet, file FTP, transfer HTTP (HTML, GIF, JPEG, dll), email SMTP dan sebagainya, dari data yang ditangkap oleh log lalu lintas jaringan. Sebuah file index html akan tercipta yang berisikan link ke seluruh detil sesi, termasuk program replay real time untuk sesi telnet, rlogin, IRC, X11 atau VNC; dan membuat laporan seperti laporan image dan laporan isi HTTP GET/ POST.
6. Chkrootkit
Chkrootkit merupakan sebuah tool untuk memeriksa tanda-tanda adanya rootkit secara lokal. la akan memeriksa utilitas utama apakah terinfeksi, dan saat ini memeriksa sekitar 60 rootkit dan variasinya.
7. Dcfldd
Tool ini mulanya dikembangkan di Department of Defense Computer Forensics Lab (DCFL). Meskipun saat ini Nick Harbour tidak lagi berafiliasi dengan DCFL, ia tetap memelihara tool ini.
8. Ddrescue
GNU Ddrescue merupakan sebuah tool penyelamat data. Ia menyalinkan data dari satu file atau device blok (harddisk, CD-ROM, dsb) ke yang lain, berusaha keras menyelamatkan data dalam hal kegagalan pembacaan. Ddrescue tidak memotong file output bila tidak diminta. Sehingga setiap kali anda menjalankannya ke file output yang sama, ia berusaha mengisi kekosongan.
9. Foremost
Foremost merupakan sebuah tool yang dapat digunakan untuk me-recover file berdasarkan header, footer, atau struktur data file tersebut. la mulanya dikembangkan oleh Jesse Kornblum dan Kris Kendall dari the United States Air Force Office of Special Investigations and The Center for Information Systems Security Studies and Research. Saat ini foremost dipelihara oleh Nick Mikus seorang peneliti di the Naval Postgraduate School Center for Information Systems Security Studies and Research.
10. Gqview
Gqview merupakan sebuah program untuk melihat gambar berbasis GTK. Ia mendukung beragam format gambar, zooming, panning, thumbnails dan pengurutan gambar.
11. Galleta
Galleta merupakan sebuah tool yang ditulis oleh Keith J Jones untuk melakukan analisis forensic terhadap cookie Internet Explorer.
12. Ishw
Ishw (Hardware Lister) merupakan sebuah tool kecil yang memberikan informasi detil mengenai konfigurasi hardware dalam mesin. Ia dapat melaporkan konfigurasi memori dengan tepat, versi firmware, konfigurasi mainboard, versi dan kecepatan CPU, konfigurasi cache, kecepatan bus, dsb. Pada sistem t>MI-capable x86 atau sistem EFI.
13. Pasco
Banyak penyelidikan kejahatan komputer membutuhkan rekonstruksi aktivitas internet tersangka. Karena teknik analisis ini dilakukan secara teratur, Keith menyelidiki struktur data yang ditemukan dalam file aktivitas Internet Explorer (file index.dat). Pasco, yang berasal dari bahasa latin dan berarti “browse”, dikembangkan untuk menguji isi file cache Internet Explorer. Pasco akan memeriksa informasi dalam file index.dat dan mengeluarkan hasil dalam field delimited sehingga dapat diimpor ke program spreadsheet favorit anda.
14. Scalpel
Scalpel adalah sebuah tool forensik yang dirancang untuk mengidentifikasi, mengisolasi dan merecovery data dari media komputer selama proses investigasi forensik. Scalpel mencari hard drive, bit-stream image, unallocated space file atau sembarang file komputer untuk karakteristik, isi atau atribut tertentu dan menghasilkan laporan mengenai lokasi dan isi artifak yang ditemukan selama proses pencarian elektronik. Scalpel juga menghasilkan (carves) artifak yang ditemukan sebagai file individual.

Contoh kasus nyata yang terjadi sehubungan dengan IT Forensic diantaranya :
- Aksi kejahatan di mesin ATM (pembobolan ATM).
- Kasus kejahatan foto pornografi.
- Penyelidikan dalam kasus Nurdin M Top (penyelidikan laptop Nurdin M Top).
- Pencurian data dari suatu website dengan menggunakan SQL Injection.
- Pencurian informasi dan data penting lainnya dari komputer.
- CC Cloning.
- Dan masih banyak yang lainnya.

Alasan mengapa menggunakan digital forensic, antara lain :
1. Dalam kasus hukum, teknik digital forensic sering digunakan untuk meneliti sistem komputer milik terdakwa (dalam perkara pidana) atau tergugat (dalam perkara perdata).
2. Memulihkan data dalam hal suatu hardware atau software mengalami kegagalan/ kerusakan (failure).
3. Meneliti suatu sistem komputer setelah suatu pembongkaran/ pembobolan, sebagai contoh untuk menentukan bagaimana penyerang memperoleh akses dan serangan apa yang dilakukan.
4. Mengumpulkan bukti menindak seorang karyawan yang ingin diberhentikan oleh suatu organisasi.
5. Memperoleh informasi tentang bagaimana sistem komputer bekerja untuk tujuan debuging, optimisasi kinerja atau membalikkan rancang-bangun.

0 komentar:

Posting Komentar