Pengertian IT Forensik
IT Forensik adalah
cabang dari ilmu komputer tetapi menjurus ke bagian forensik yaitu
berkaitan dengan bukti hukum yang ditemukan di komputer dan media
penyimpanan digital. Komputer forensik juga dikenal sebagai Digital
Forensik. Kata forensik itu sendiri secara umum artinya membawa ke
pengadilan.
IT Forensik
merupakan ilmu yang berhubungan dengan pengumpulan fakta dan bukti
pelanggaran keamanan sistem informasi serta validasinya menurut metode
yang digunakan (misalnya metode sebab-akibat), di mana IT Forensik
bertujuan untuk mendapatkan fakta-fakta objektif dari sistem informasi.
Fakta-fakta
tersebut setelah di verifikasi akan menjadi bukti-bukti yang akan di
gunakan dalam proses hukum, selain itu juga memerlukan keahlian dibidang
IT (termasuk diantaranya hacking) dan alat bantu (tools) baik hardware
maupun software.
Contoh barang bukti dalam bentuk elektronik atau data seperti :
• Komputer
• Hardisk
• MMC
• CD
• Flashdisk
• Camera Digital
• Simcard/hp
Data atau barang
bukti tersebut diatas diolah dan dianalisis menggunakan software dan
alat khusus untuk dimulainya IT Forensik, Hasil dari IT Forensik adalah
sebuah Chart data Analisis komunikasi data target.
Tujuan IT Forensik
Mendapatkan
fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem
informasi. Fakta-fakta tersebut setelah diverifikasi akan menjadi
bukti-bukti (evidence) yang akan digunakan dalam proses hukum.
Mengamankan dan
menganalisa bukti digital. Dari data yang diperoleh melalui survey oleh
FBI dan The Computer Security Institute, pada tahun 1999 mengatakan
bahwa 51% responden mengakui bahwa mereka telah menderita kerugian
terutama dalam bidang finansial akibat kejahatan komputer. Kejahatan
Komputer dibagi menjadi dua, yaitu :
- Komputer fraud : kejahatan atau pelanggaran dari segi sistem organisasi komputer.
- Komputer crime: kegiatan berbahaya dimana menggunakan media komputer dalam melakukan pelanggaran hukum.
Prosedur IT Forensik
Prosedur forensik
yang umum digunakan, antara lain :Membuat copies dari keseluruhan log
data, file, dan lain-lain yang dianggap perlu pada suatu media yang
terpisah. Membuat copies secara matematis.Dokumentasi yang baik dari
segala sesuatu yang dikerjakan.
Bukti yang digunakan dalam IT Forensics berupa :Hard disk, Floopy disk atau media lain yang bersifat removeable.Network system.
Metode/prosedure IT Forensik yang umum digunakan pada komputer ada dua jenis yaitu :
Search dan seizure : dimulai dari perumusan suatu rencana.
- Identifikasi dengan penelitian permasalahan.
- Membuat hipotesis.
- Uji hipotesa secara konsep dan empiris.
- Evaluasi hipotesa berdasarkan hasil pengujian dan pengujian ulang jika hipotesa tersebut jauh dari apa yang diharapkan.
- Evaluasi hipotesa terhadap dampak yang lain jika hipotesa tersebut dapat diterima.
Pencarian informasi
(discovery information). Ini dilakukan oleh investigator dan merupakan
pencarian bukti tambahan dengan mengendalikan saksi secara langsung
maupun tidak langsung.
- Membuat copies dari keseluruhan log data, files, dan lain-lain yang dianggap perlu pada media terpisah.
- Membuat fingerprint dari data secara matematis.
- Membuat fingerprint dari copies secara otomatis.
- Membuat suatu hashes masterlist
- Dokumentasi yang baik dari segala sesuatu yang telah dikerjakan.
Tools dalam Forensik IT
1. Antiword
Antiword merupakan
sebuah aplikasi yang digunakan untuk menampilkan teks dan gambar dokumen
Microsoft Word. Antiword hanya mendukung dokumen yang dibuat oleh MS
Word versi 2 dan versi 6 atau yang lebih baru.
2. Autopsy
The Autopsy
Forensic Browser merupakan antarmuka grafis untuk tool analisis
investigasi diginal perintah baris The Sleuth Kit. Bersama, mereka dapat
menganalisis disk dan filesistem Windows dan UNIX (NTFS, FAT, UFS1/2,
Ext2/3).
3. binhash
binhash merupakan
sebuah program sederhana untuk melakukan hashing terhadap berbagai
bagian file ELF dan PE untuk perbandingan. Saat ini ia melakukan hash
terhadap segmen header dari bagian header segmen obyek ELF dan bagian
segmen header obyekPE.
4. sigtool
sigtcol merupakan
tool untuk manajemen signature dan database ClamAV. sigtool dapat
digunakan untuk rnenghasilkan checksum MD5, konversi data ke dalam
format heksadesimal, menampilkan daftar signature virus dan
build/unpack/test/verify database CVD dan skrip update.
5. ChaosReader
ChaosReader
merupakan sebuah tool freeware untuk melacak sesi TCP/UDP/… dan
mengambil data aplikasi dari log tcpdump. la akan mengambil sesi telnet,
file FTP, transfer HTTP (HTML, GIF, JPEG,…), email SMTP, dan
sebagainya, dari data yang ditangkap oleh log lalu lintas jaringan.
Sebuah file index html akan tercipta yang berisikan link ke seluruh
detil sesi, termasuk program replay realtime untuk sesi telnet, rlogin,
IRC, X11 atau VNC; dan membuat laporan seperti laporan image dan laporan
isi HTTP GET/POST.
6. chkrootkit
chkrootkit
merupakan sebuah tool untuk memeriksa tanda-tanda adanya rootkit secara
lokal. la akan memeriksa utilitas utama apakah terinfeksi, dan saat ini
memeriksa sekitar 60 rootkit dan variasinya.
7. dcfldd
Tool ini mulanya
dikembangkan di Department of Defense Computer Forensics Lab (DCFL).
Meskipun saat ini Nick Harbour tidak lagi berafiliasi dengan DCFL, ia
tetap memelihara tool ini.
8. ddrescue
GNU ddrescue
merupakan sebuah tool penyelamat data, la menyalinkan data dari satu
file atau device blok (hard disc, cdrom, dsb.) ke yang lain, berusaha
keras menyelamatkan data dalam hal kegagalan pembacaan. Ddrescue tidak
memotong file output bila tidak diminta. Sehingga setiap kali anda
menjalankannya kefile output yang sama, ia berusaha mengisi kekosongan.
9. foremost
Foremost merupakan
sebuah tool yang dapat digunakan untuk me-recover file berdasarkan
header, footer, atau struktur data file tersebut. la mulanya
dikembangkan oleh Jesse Kornblum dan Kris Kendall dari the United States
Air Force Office of Special Investigations and The Center for
Information Systems Security Studies and Research. Saat ini foremost
dipelihara oleh Nick Mikus seorang Peneliti di the Naval Postgraduate
School Center for Information Systems Security Studies and Research.
10. gqview
Gqview merupakan
sebuah program untuk melihat gambar berbasis GTK la mendukung beragam
format gambar, zooming, panning, thumbnails, dan pengurutan gambar.
11. galleta
Galleta merupakan
sebuah tool yang ditulis oleh Keith J Jones untuk melakukan analisis
forensic terhadap cookie Internet Explorer.
12. Ishw
Ishw (Hardware
Lister) merupakan sebuah tool kecil yang memberikan informasi detil
mengenai konfigurasi hardware dalam mesin. la dapat melaporkan
konfigurasi memori dengan tepat, versi firmware, konfigurasi mainboard,
versi dan kecepatan CPU, konfigurasi cache, kecepatan bus, dsb. pada
sistem t>MI-capable x86 atau sistem EFI.
13. pasco
Banyak penyelidikan
kejahatan komputer membutuhkan rekonstruksi aktivitas Internet
tersangka. Karena teknik analisis ini dilakukan secara teratur, Keith
menyelidiki struktur data yang ditemukan dalam file aktivitas Internet
Explorer (file index.dat). Pasco, yang berasal dari bahasa Latin dan
berarti “browse”, dikembangkan untuk menguji isi file cache Internet
Explorer. Pasco akan memeriksa informasi dalam file index.dat dan
mengeluarkan hasil dalam field delimited sehingga dapat diimpor ke
program spreadsheet favorit Anda.
14. scalpel
calpel adalah
sebuah tool forensik yang dirancang untuk mengidentifikasikan,
mengisolasi dan merecover data dari media komputer selama proses
investigasi forensik. Scalpel mencari hard drive, bit-stream image,
unallocated space file, atau sembarang file komputer untuk
karakteristik, isi atau atribut tertentu, dan menghasilkan laporan
mengenai lokasi dan isi artifak yang ditemukan selama proses pencarian
elektronik. Scalpel juga menghasilkan (carves) artifak yang ditemukan
sebagai file individual.
Contoh Kasus
Contoh kasus ini terjadi pada awal kemunculan IT Forensik. Kasus ini
berhubungan dengan artis Alda, yang dibunuh di sebuah hotel di Jakarta
Timur. Ruby Alamsyah menganalisa video CCTV yang terekam di sebuah
server. Server itu memiliki hard disc. Ruby memeriksanya untuk
mengetahui siapa yang datang dan ke luar hotel. Sayangnya, saat itu
awareness terhadap digital forensik dapat dikatakan belum ada sama
sekali. Jadi pada hari kedua setelah kejadian pembunuhan, Ruby ditelepon
untuk diminta bantuan menangani digital forensik. Sayangnya, kepolisian
tidak mempersiapkan barang bukti yang asli dengan baik. Barang bukti
itu seharusnya dikarantina sejak awal, dapat diserahkan kepada Ruby bisa
kapan saja asalkan sudah dikarantina. Dua minggu setelah peristiwa alat
tersebut diserahkan kepada Ruby, tapi saat ia periksa alat tersebut
ternyata sejak hari kedua kejadian sampai ia terima masih berjalan
merekam. Akhirnya tertimpalah data yang penting karena CCTV di
masing-masing tempat/hotel berbeda settingnya. Akibat tidak aware,
barang bukti pertama tertimpa sehingga tidak berhasil diambil datanya.
* Sumber : http://moondanz1509.blogspot.com/2015/04/it-forensik.html
Tidak ada komentar:
Posting Komentar