Forensik sangat identik dengan tindakan kriminal, saat ini forensik hanya sebatas identifikasi, proses, dan analisa pada bagian umum. Untuk kejahatan komputer di indonesia, forensik dibidang komputer biasanya dilakukan tanpa melihat apa isi di dalam komputer. Metode yang digunakan untuk forensik pada umumnya ada dua, yaitu search and seizure dan pencarian informasi (discovery information).
Forensik merupakan proses ilmiah dalam mengumpulkan, menganalisa, dan menghadirkan berbagai bukti dalam sidang pengadilan terkait adanya suatu kasus hukum.
Forensik Komputer menurut Moroni Parra (2002), adalah Suatu prosesmengidentifikasi, memelihara, menganalisa dan menggunakan bukti digital menurut hukum yang berlaku.
Komputer forensik adalah aktivitas yang berhubungan dengan pemeliharaan, identifikasi, pengambilan – penyaringan dan dokumentasi bukti komputer dalam kejahatan komputer.
Dapat disimpulkan bahwa IT FORENSIK adalah Penggunaan sekumpulan prosedur untuk melakukan pengujian secara menyeluruh suatu sistem komputer dengan mempergunakan software dan tool untuk mengektrak dan memelihara barang bukti tindakan kriminal
IT FORENSIK bertujuan untuk mendapatkan fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi.
Metodologi umum dalam proses pemeriksaan insiden sampai proses hukum:
1. Pengumpulan data/fakta dari sistem komputer (harddisk, usb-stick, log, memory-dump, internet, dll) – termasuk di dalamnya data yang sdh terhapus
2.Mendokumentasikan fakta-fakta yang ditemukan dan menjaga integritas data selama proses forensik dan hukum dengan proteksi fisik, penanganan khusus, pembuatan image, dan menggunakan algoritma HASH untuk pembuktian / verifikasi
3.Merunut kejadian (chain of events) berdasarkan waktu kejadian
4.Memvalidasi kejadian2 tersebut dengan metode “sebab-akibat”
5.Dokumentasi hasil yang diperoleh dan menyusun laporan
6.Proses hukum (pengajuan delik, proses persidangan, saksi ahli, dll)
Prinsip:
– Forensik bukan proses Hacking
– Data yang didapat harus dijaga jangan berubah
– Membuat image dari HD / Floppy / USB-Stick / Memory-dump adalah prioritas tanpa merubah isi, kadang digunakan hardware khusus
– Image tsb yang diotak-atik (hacking) dan dianalisis – bukan yang asli
– Data yang sudah terhapus membutuhkan tools khusus untuk merekonstruksi
– Pencarian bukti dengan: tools pencarian teks khusus, atau mencari satu persatu dalam image
INVESTIGASI KASUS TEKNOLOGI INFORMASI
A.Prosedur Forensik yang biasa dilakukan Investigator
1.Membuat copies dari keseluruhan log data, files dll yang dianggap perlu pada suatu media yang terpisah.
2.Membuat fingerprint dari data secara matematis (contoh hashing algorithm, MD5).
3.Membuat fingerprint dari copies secara matematis.
4.Membuat suatu hashes masterlist.
5.Dokumentasi yang baik dari segala sesuatu yang telah dikerjakan.
Selain itu perlu dilakukan investigasi lanjutan dengan menggunakan metodologi forensikTI. Metode Search and seizure biasanya lebih banyak digunakan dibanding metode pencarian informasi.
Metode Search dan Seizure
Selain melakukan tahap Search dan Seizure mulai dari identifikasi sampai dengan evaluasi hipotesa, metode ini juga memberikan penekanan dan batas-batas untuk investigator agar hipotesa yang dihasilkan sangat akurat, yaitu:
1.Jangan merubah bukti asli
2.Jangan mengeksekusi program pada bukti (komputer) terutama Operating Systemnya
3.Tidak mengijinkan tersangka untuk berinteraksi dengan bukti (komputer)
4.Sesegera mungkin mem-backup bukti yang ada dalam komputer tersangka. Jika pada saat diidentifikasi komputer masih menyala, jangan dimatikan sampai seluruh data termasuk temporary selesai dianalisa dan disimpan.
5.Rekam seluruh aktifitas investigasi
6.Jika perlu, pindahkan bukti ketempat penyimpanan yang lebih aman.
PencarianInformasi
Hal-hal yang harus diperhatikan dalam pencarian informasi sebagai bukti tambahan untuk memperkuat hipotesa, yaitu :
1.Jika melakukan penggalian informasi lebih dalam ke saksi, gunakan wawancara interaktif, sehingga bukti yang ada dapat di cross-check agar keberadaan bukti tersebut diakui oleh tersangka.
2.Jika memungkinkan, rekonstruksi dilakukan dengan / tanpa tersangka sehingga apa yang masih belum jelas dapat tergambar dalam rekonstruksi.
Data Recovery
Data recovery merupakan bagian dari analisa forensik yang merupakan komponen penting untuk mengetahui apa yang telah terjadi, rekaman data, korespondensi dan petunjuklainnya.
Pengelompokan Analisa Media
Pengelompokan ini bertujuan untuk mengetahui aliran dan proses dalam media yang digunakan dalam kejahatan. Dari pengelompokan ini dapat disimpan informasi penting yang didukung oleh sistem yang ada. Pengelompokan dalam bentuk laporan ini diisi dengan keadaan fakta dilapangan.
Pembuatan Laporan dalam Analisa Media
Beberapa hal penting yang perlu dimasukkan dalam laporan analisa media adalah sbb :
1.Tanggal dan waktu terjadinya pelanggaran hukum pada CPU
2.Tanggal dan waktu pada saat investigasi
3.Permasalahan yang signifikan terjadi
4.Masa berlaku analisa laporan
5.Penemuan yang berharga (bukti)
6.Teknik khusus yang dibutuhkan atau digunakan (contoh; password cracker)
7.Bantuan pihak yang lain (pihak ketiga)
Pada saat penyidikan, pelaporan dalam bentuk worksheet ini dicross-checkdengan saksi yang ada, baik yang terlibat langsung maupun tidak langsung.
Log Out Evidence –Visual Inspection and Inventory
Tahapan yang dilalui dalam inspeksi komputer secara visual adalah :
1.Log out seluruh komputer untuk dianalisa lebih lanjut
2.Jika ada media penyimpanan yang lain (CD / disket), diberi label khusus agar bukti tersebut tetap utuh.
3.Inspeksi visual dilakukan dengan melakukan physical makeup
4.Buka casing CPU, identifikasi dan analisa sirkuit internal, buatcatatan apa saja yang ada dalam CPU tersebut. Catat juga kartu tambahan (expansion cards) jika ada.
5.Beri rekomendasi apakah CPU tersebut bisa dijadikan sebagai barang bukti fisik atau tidak.
6.Catat keseluruhan letak perangkat keras (harddisk, CD ROM, RAM dsb)
7.Dokumentasikan dalam bentuk gambar sebelum dan sesudah identifikasi dan analisa.
Tool Forensik
Tool yang dipergunakan oleh ahli forensik harus bekerja baik dan tidak mengubah data. Di samping itu, komunitas komputer forensik harus menerima tool dan hasilnya.
Tool kit untuk pengujian forensik memungkinkan untuk mengumpulkan dan analisis data, seperti tcpdump, Argus, NFR, tcpwrapper, sniffer, nstat, tripwire, diskcopy (/v pada DOS), DD pada Unix. Karena ahli hukum percaya bit lebih mudah dipalsukan daripada kertas, maka aturan utamanya adalah “preserve then examine”. Beberapa tool untuk komputer forensik:
- The Coroner Toolkit -Dan Farmer & WietseVenema, http://www.fish.com
- Byte Back –oleh TechAssist, http://www.toolsthatwork.com/
- DriveSpy-http://www.digitalintel.com/
- EnCase-oleh Guidance Software, http://www.encase.com/
- Forensic ToolKit-http://www.accessdata.com/
- MareswareSuite -http://www.dmares.com/
- Drive Image Pro -PowerQuest
- Linux “dd” -Red Hat
- Norton Ghost 2000 -Symantec
- SafeBack-New Technologies
- SnapBack DatArrest oleh Columbia Data Products
Model forensik melibatkan tiga komponen :
1.Manusia [People]
2.Peralatan [Equipment]
3.Aturan [Protocol]
1.MANUSIA [People]
•Manusia berhubungan dengan brainware
•Kriteria :
a.Computer forensic examiner
b.Computer investigator
c.Digital evidence collection specialist
1. MANUSIA [People]
a. Computer Forensic Examiner
•Melakukan pengujian terhadap media original
•Mengekstrak data bagi investigator untuk di review
•Dibutuhkan 4 sampai 6 minggu pelatihan
b. Computer Investigator
•Harus memiliki pengalaman yang sudah teruji dan ahli
•Memahami jaringan komputer, internet, komunikasi dan teknologi komputer dan informasi
•Dibutuhkan sampai 2 minggu pelatihan
c. Digital evidence collection specialist
•Sebagai first responder
•Mendapatkan dan menghadirkan bukti komputer mencakup media penyimpanan
•Dibutuhkan 2 sampai 3 hari pelatihan
2. PERALATAN [Equipment]
•Dibutuhkan peralatan guna mendapatkan bukti – bukti (evidence) yang berkualitas dan bersih
•Jenis peralatan :
–Perangkat lunak
–Perangkat keras
–Media penyimpanan
3. ATURAN [Protocol]
•Merupakan hal yang terpenting
•Aturan :
–Aturan dalam menggali
–Aturan mendapatkan
–Aturan menganalisa
–Aturan penyajian laporan
•Pemahaman hukum dan etika
TAHAP KOMPUTER FORENSIK
•Pengumpulan
•Pengujian
•Analisa
•Laporan
PENGUMPULAN DATA
•Data bertumpu pada :
– Personal computer
– Mobile computer
– Jaringan komputer
– Media penyimpanan
– Integrasi penyimpanan
Pengumpulan data mencakup :
– Identifikasi
– Penamaan
– Perekaman
– Mendapatkan data
•Langkah yang dibutuhkan :
– Membuat perencanaan untuk mendapatkan data
•Kemiripan nilai
•Volatility (Volatile)
•Upaya dalam mendapatkan data
– Mendapatkan data
– Analisa integritas data
•Mengidentifikasi sumber – sumber potensial dan bagaimana kemudian data dikumpulkan
PENGUJIAN
•Melakukan pengujian, menilai dan mengekstrak kepingan informasi yang relevan dari data – data yang dikumpulkan
•Tahap ini melibatkan :
–Bypassing fitur – fitur sistem
–Filtrasi (eliminasi data)
–Meng-exclude file
–Mengalokasi file
–Mengekstrak file
ANALISA
•Melakukan analisa untuk merumuskan kesimpulan dalam menggambarkan informasi
•Cakupan analisa :
–Identifikasi user di luar pengguna
–Identifikasi lokasi
–Identifikasi barang
–Identifikasi kejadian
–Menentukan bagaimana komponen terrelasi satu dengan lainnya
DOKUMENTASI dan LAPORAN
•Merepresentasikan informasi yang merupakan hasil dari proses analisis
•Faktor yang mempengaruhi reporting
–Alternative explanation (penjelasan alternatif)
–Audience consideration (pertimbangan peserta)
–Actionable information
Dapat disimpukan bahwa dunia IT sangat rentan sekali dengan yang namanya cybercrime atau penyerangan terhadap sistem informasi berharga. Dalam menangani kasus – kasus cybercrime dapat menggunakan ilmu IT forensik untuk mengumpulkan fakta dan bukti pelanggaran dari sistem informasi, dan menyelesaikan dengan metode yang digunakannya.
sumber :
- http://nina_mr.staff.gunadarma.ac.id/Downloads/files/28323/01.+Pendahuluan+Forensik+TI.pd