IT
Forensik
Secara umum IT Forensik adalah
ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan
sistem informasi serta validasinya menurut metode yang digunakan (misalnya
metode sebab-akibat). Tujuan dari IT Forensik atau forensik komputer adalah
yaitu melakukan penyelidikan terstruktur dengan mempertahankan rantai dari
dokumentasi bukti untuk mencari tahu persis apa yang terjadi pada komputer dan
siapa yang bertanggung jawab untuk itu.
IT Forensik biasanya mempunyai suatu
standar prosedur: Untuk memperoleh suatu bukti dari komputer, penyidik harus
melakukan langkah-langkah berikut ini. Suatu komputer harus diamankan dari
pengubah atau perusak untuk menjamin data-data yang terdapat dalam komputer
yang dirusak masih dapat diselamatkan, sehingga penyidik mendapatkan informasi
yang sesungguhnya. Untuk itu penyidik harus mengisolir suatu komputer dari
sebuah jaringan atau koneksi yang bisa menjadi cara untuk menghilangkan atau
mengubah barang bukti.
Dalam pengetahuan IT forensik terdapat
berbagai bidang ilmu yang terdiri dari Jaringan Komputer (Computer Networks),
Keamanan Komputer, Komputer Forensik, Kriptografi, dll.
Pemanfaatan
IT Forensik
Dalam kasus hukum, teknik digital
forensik sering digunakan untuk meneliti sistem komputer milik terdakwa (dalam
perkara pidana) atau tergugat (dalam perkara perdata).
- Memulihkan data dalam hal suatu hardware
atau software mengalami kegagalan/kerusakan (failure).
- Meneliti suatu sistem komputer setelah
suatu pembongkaran/ pembobolan, sebagai contoh untuk menentukan bagaimana
penyerang memperoleh akses dan serangan apa yang dilakukan.
- Mengumpulkan bukti menindak seorang
karyawan yang ingin diberhentikan oleh suatu organisasi.
- Memperoleh informasi tentang bagaimana
sistem komputer bekerja untuk tujuan debugging, optimisasi kinerja, atau
membalikkan rancang-bangun.
Tujuan dan Fokus Data IT
Forensik
IT
Forensic bertujuan untuk mengamankan dan menganalisa bukti digital. Dari data
yang diperoleh melalui survey oleh FBI dan The Computer Security Institute,
pada tahun 1999 mengatakan bahwa 51% responden mengakui bahwa mereka telah
menderita kerugian terutama dalam bidang finansial akibat kejahatan komputer.
Kejahatan Komputer dibagi menjadi dua, yaitu :
- Komputer fraud, Kejahatan atau pelanggaran
dari segi sistem organisasi komputer.
- Komputer crime, Merupakan kegiatan
berbahaya dimana menggunakan media komputer dalam melakukan pelanggaran hukum.
Untuk
mendukung proses identifikasi alat bukti dalam waktu yang relatif cepat, agar
dapat diperhitungkan perkiraan potensi dampak yang ditimbulkan akibat perilaku
jahat yang dilakukan oleh kriminal terhadap korbannya, sekaligus mengungkapkan
alasan dan motivitasi tindakan tersebut sambil mencari pihak-pihak terkait yang
terlibat secara langsung maupun tidak langsung dengan perbuatan tidak
menyenangkan dimaksud.
Dalam
satu Dekade terakhir, jumlah kejahatan yang melibatkan komputer telah meningkat
dengan pesat, mengakibatkan bertambahnya perusahaan dan produk yang berusaha
membantu penegak hukum dalam menggunakan bukti berbasis komputer untuk
menentukan siapa , apa, dimana, kapan, dan bagaimana dalam sebuah kejahatan.
Akibatnya komputer forensik telah berkembang untuk memastikan Presentasi yang
tepat bagi data kejahatan komputer dipengadilan. Teknik dan Tool sering kali di
bayangkan dalam kaitannya dengan penyelidikan kriminal dan penanganan insiden
keamanan komputer, digunakan untuk menaggapi sebuah kejadian dengan menyelidiki
sistem tersangka, mengumpulkan dan memelihara bukti, merekonstruksi kejadian,
dan memprakirakan status sebuah kejadian. Komputer forensik juga banyak sekali
digunakan untuk tugas-tugas lainya seperti :
1. Operational Troubleshooting
Banyak
Tool dan Teknik forensik dapat digunakan untuk melakukan troubleshooting atas
masalah-masalah operasional, seperti melacak lokasi fisik dan Virtual sebuah
Host dengan Konfigurasi jaringan yang tidak tepat, sehingga dapat mengatasi
fungsional dalam sebuah Aplikasi, baik itu berbasis GUI atau Command Line, yang
pasti itu sangat membantu Network Enginer dalam melakukan pekerjaannya sehingga
waktu menjadi lebih Efesien.
2. Log Monitoring
Beragam
Tool dan Teknik dapat membantu dalam melakukan monitoring og, seperti
menganalisis enteri log dan mengkorelasi enteri log dan beragam sistem. Hal ini
dapat membantu dalam penanganan insiden, mengidentifikasi pelanggaran
kebijakan, audit dan usaha lainnya.
3. Data Recovery
Terdapat
lusinan Tool yang dapat mengembalikan data yang hilang dari sistem, termasuk
data yang telah dihapus atau dimodifikasi baik disengaja atau tidak, dan pasti
tool yang satu ini sangat dibutuhkan disetiap user untuk mengembalikan
data-data pentingnya.
4. Data Acquisition
Beberapa
Organisasi menggunakan tool forensik untuk mengambil data dari host yang telah
dipensiunkan. Sederhananya, Ketika seorang user meninggalkan Organisasi, data
dari komputer user tersebut dapat diambil dan pasti sangat dibutuhkan dimasa
mendatang. Media komputer tersebut lalu disanitasi untuk menghapus semua data
user tersebut.
5. Due Diligence ( regulatory compliance )
Regulasi
yang ada dan yang akan muncul mengharuskan organisasi melindungi informasi
sensitif dan memelihara beberapa catatan tentu demi kepentingan audit. Juga
ketika informasi yang dilindungi terekspos ke pihak lain, organisasi mungkin
diharuskan untuk memberitahu pihak atau individu yang terkena dampaknya.
forensik dapat membantu oraganisasi melakukan due diligence dan mematuhi
persyaratan tersebut.
Software IT Forensik
Beriku
merupakan software yang digunakan IT Forensik, yaitu:
1. Viewers (QVP http://www.avantstar.com/,
http://www.thumbsplus.de/)
2. Erase/Unerase tools (Diskscrub/Norton
utilities)
3. Hash utility (MD5, SHA1)
4. Text search utilities (Dtsearch
http://www.dtsearch.com/)
5. Drive imaging utilities (Ghost, Snapback,
Safeback)
6. forensik toolkits (Unix/Linux : TCT The
Coroners Toolkit/forensikX)
7. Antiword, merupakan sebuah aplikasi yang
digunakan untuk menampilkan teks dan gambar dokumen Microsoft Word. Antiword
hanya mendukung dokumen yang dibuat oleh MS Word versi 2 dan versi 6 atau yang
lebih baru.
8. The Autopsy forensik Browser, merupakan
antarmuka grafis untuk tool analisis investigasi diginal perintah baris The
Sleuth Kit. Bersama, mereka dapat menganalisis disk dan filesistem Windows dan
UNIX (NTFS, FAT, UFS1/2, Ext2/3).
9. Binhash, merupakan sebuah program
sederhana untuk melakukan hashing terhadap berbagai bagian file ELF dan PE
untuk perbandingan. Saat ini ia melakukan hash terhadap segmen header dari
bagian header segmen obyek ELF dan bagian segmen header obyekPE.
10.
Sigtool, merupakan tool untuk manajemen signature dan database ClamAV. sigtool
dapat digunakan untuk rnenghasilkan checksum MD5, konversi data ke dalam format
heksadesimal, menampilkan daftar signature virus dan build/unpack/test/verify
database CVD dan skrip update.
11.
ChaosReader, merupakan sebuah tool freeware untuk melacak sesi TCP/UDP dan
mengambil data aplikasi dari log tcpdump. la akan mengambil sesi telnet, file
FTP, transfer HTTP (HTML, GIF, JPEG), email SMTP, dan sebagainya, dari data
yang ditangkap oleh log lalu lintas jaringan. Sebuah file index html akan
tercipta yang berisikan link ke seluruh detil sesi, termasuk program replay
realtime untuk sesi telnet, rlogin, IRC, X11 atau VNC; dan membuat laporan
seperti laporan image dan laporan isi HTTP GET/POST.
12.
Chkrootkit, merupakan sebuah tool untuk memeriksa tanda-tanda adanya rootkit
secara lokal. la akan memeriksa utilitas utama apakah terinfeksi, dan saat ini
memeriksa sekitar 60 rootkit dan variasinya.
13.
dcfldd.Tool ini mulanya dikembangkan di Department of Defense Computer forensik
Lab (DCFL). Meskipun saat ini Nick Harbour tidak lagi berafiliasi dengan DCFL,
ia tetap memelihara tool ini.
14.
Ddrescue, merupakan sebuah tool penyelamat data, la menyalinkan data dari satu
file atau device blok (hard disc, cdrom, dsb.) ke yang lain, berusaha keras
menyelamatkan data dalam hal kegagalan pembacaan. Ddrescue tidak memotong file
output bila tidak diminta. Sehingga setiap kali anda menjalankannya kefile
output yang sama, ia berusaha mengisi kekosongan.
15.
Foremost, merupakan sebuah tool yang dapat digunakan untuk me-recover file
berdasarkan header, footer, atau struktur data file tersebut. la mulanya
dikembangkan oleh Jesse Kornblum dan Kris Kendall dari the United States Air
Force Office of Special Investigations and The Center for Information Systems
Security Studies and Research. Saat ini foremost dipelihara oleh Nick Mikus
seorang Peneliti di the Naval Postgraduate School Center for Information
Systems Security Studies and Research.
16.
Gqview,merupakan sebuah program untuk melihat gambar berbasis GTK la mendukung
beragam format gambar, zooming, panning, thumbnails, dan pengurutan gambar.
17.
Galleta, merupakan sebuah tool yang ditulis oleh Keith J Jones untuk melakukan
analisis forensik terhadap cookie Internet Explorer.
18.
Ishw, merupakan sebuah tool kecil yang memberikan informasi detil mengenai
konfigurasi hardware dalam mesin. la dapat melaporkan konfigurasi memori dengan
tepat, versi firmware, konfigurasi mainboard, versi dan kecepatan CPU,
konfigurasi cache, kecepatan bus, dsb. pada sistem t>MI-capable x86 atau
sistem EFI.
19.
Pasco. Banyak penyelidikan kejahatan komputer membutuhkan rekonstruksi
aktivitas Internet tersangka. Karena teknik analisis ini dilakukan secara
teratur, Keith menyelidiki struktur data yang ditemukan dalam file aktivitas
Internet Explorer (file index.dat). Pasco, yang berasal dari bahasa Latin dan
berarti “browse”, dikembangkan untuk menguji isi file cache Internet Explorer.
Pasco akan memeriksa informasi dalam file index.dat dan mengeluarkan hasil
dalam field delimited sehingga dapat diimpor ke program spreadsheet favorit
Anda.
20.
Scalpel, adalah sebuah tool forensik yang dirancang untuk mengidentifikasikan,
mengisolasi dan merecover data dari media komputer selama proses investigasi
forensik. Scalpel mencari hard drive, bit-stream image, unallocated space file,
atau sembarang file komputer untuk karakteristik, isi atau atribut tertentu,
dan menghasilkan laporan mengenai lokasi dan isi artifak yang ditemukan selama
proses pencarian elektronik. Scalpel juga menghasilkan (carves) artifak yang
ditemukan sebagai file individual.
Contoh Kasus Berkaitan dengan IT Forensik
1. MEMBONGKAR KORUPSI DAN FRAUD
Coba
copy satu file microsoft word anda dari satu folder ke folder yang lain.
Kemudian klik kanan dan bandingkan‘properties’dimasing-masingfile. Kalau kita
sekedar ‘copy’ dan ‘paste’, di masing-masing file itu akan terdapat perbedaan
dalam informasi file ‘created’, ‘modified’, dan ‘accessed’ (lihat bagian yang
ditandai kotak warna merah). Itu berarti file tidak dianggap ‘otentik’ lagi
karena sudah ada perubahan/perbedaan dari kondisi awal.
Di
situlah letak keistimewaan IT forensik, dengan hardware atau software khusus,
data yang diambil untuk dianalisa akan benar-benar otentik atau persis sama
sesuai dengan aslinya. Lebih istimewa lagi, software IT forensik juga dapat
memeriksa data atau file bahkan yang sudah terhapus sekalipun (biasanya pelaku
korupsi atau fraud berupaya menghilangkan jejak kejahatannya dengan menghapus
file-filetertentu). Beberapa vendor yang menyediakan teknologi IT forensik
misalnya Paraben, Guidance (EnCase), GetData (Mount Image), dll.
2. KASUS PEMBUNUHAN
Contoh
kasus ini terjadi pada awal kemunculan IT Forensik. Kasus ini berhubungan
dengan artis Alda, yang dibunuh di sebuah hotel di Jakarta Timur. Ruby Alamsyah
menganalisa video CCTV yang terekam di sebuah server. Server itu memiliki hard
disc. Ruby memeriksanya untuk mengetahui siapa yang datang dan ke luar hotel.
Sayangnya, saat itu awareness terhadap digital forensik dapat dikatakan belum
ada sama sekali.
Jadi
pada hari kedua setelah kejadian pembunuhan, Ruby ditelepon untuk diminta
bantuan menangani digital forensik. Sayangnya, kepolisian tidak mempersiapkan
barang bukti yang asli dengan baik. Barang bukti itu seharusnya dikarantina
sejak awal, dapat diserahkan kepada Ruby bisa kapan saja asalkan sudah
dikarantina. Dua minggu setelah peristiwa alat tersebut diserahkan kepada Ruby,
tapi saat ia periksa alat tersebut ternyata sejak hari kedua kejadian sampai ia
terima masih berjalan merekam. Akhirnya tertimpalah data yang penting karena
CCTV di masing-masing tempat/hotel berbeda settingnya. Akibat tidak aware,
barang bukti pertama tertimpa sehingga tidak berhasil diambil datanya.
Sumber :
