·
Pengertian
IT Forensik
Definisi dari IT Forensik yaitu
suatu ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran
keamanan sistem informasi serta validasinya menurut metode yang digunakan
(misalnya metode sebab-akibat). Fakta-fakta tersebut setelah diverifikasi akan
menjadi bukti-bukti yang akan digunakan dalam proses selanjutnya.Selain itu
juga diperlukan keahlian dalam bidang IT ( termasuk diantaranya hacking) dan
alat bantu (tools) baik hardwaremaupun software untuk membuktikan
pelanggaran-pelanggaran yang terjadi dalam bidang teknologi sistem informasi
tersebut. Tujuan dari IT forensik itu sendiri adalah untuk mengamankan dan
menganalisa bukti-bukti digital.
Pengertian IT forensic menurut para ahli adalah
sebagai berikut:
a) Menurut
Noblett, yaitu berperan untuk mengambil, menjaga, mengembalikan, dan menyajikan
data yang telah diproses secara elektronik dan disimpan di media computer.
b) Menurut
Judd Robin, yaitu penerapan secara sederhana dari penyidikan komputer dan
teknik analisisnya untuk menentukan bukti-bukti hukum yang mungkin.
c) Menurut Ruby Alamsyah (salah seorang ahli forensik IT
Indonesia), digital forensik atau terkadang disebut komputer forensik adalah
ilmu yang menganalisa barang bukti digital sehingga dapat dipertanggungjawabkan
di pengadilan. Barang bukti digital tersebut termasuk handphone, notebook,
server, alat teknologi apapun yang mempunyai media penyimpanan dan bisa
dianalisa.
d)
New Technologies memperluas definisi Robin dengan: “Komputer
forensik berkaitan dengan pemeliharaan, identifikasi, ekstraksi dan dokumentasi
dari bukti-bukti komputer yang tersimpan dalam wujud-informasi-magnetik”.
·
Tools
Berikut
ini adalah tools yang ada didalam IT
forensic secara umum, diantaranya:
1)
antiword
Antiword merupakan sebuah aplikasi yang digunakan untuk menampilkan teks dan gambar dokumen Microsoft Word. Antiword hanya mendukung dokumen yang dibuat oleh MS Word versi 2 dan versi 6 atau yang lebih baru.
Antiword merupakan sebuah aplikasi yang digunakan untuk menampilkan teks dan gambar dokumen Microsoft Word. Antiword hanya mendukung dokumen yang dibuat oleh MS Word versi 2 dan versi 6 atau yang lebih baru.
2)
Autopsy
The Autopsy Forensic Browser merupakan antarmuka grafis untuk tool analisis investigasi diginal perintah baris The Sleuth Kit. Bersama, mereka dapat menganalisis disk dan filesistem Windows dan UNIX (NTFS, FAT, UFS1/2, Ext2/3).
The Autopsy Forensic Browser merupakan antarmuka grafis untuk tool analisis investigasi diginal perintah baris The Sleuth Kit. Bersama, mereka dapat menganalisis disk dan filesistem Windows dan UNIX (NTFS, FAT, UFS1/2, Ext2/3).
3)
binhash
binhash merupakan sebuah program sederhana untuk melakukan hashing terhadap berbagai bagian file ELF dan PE untuk perbandingan. Saat ini ia melakukan hash terhadap segmen header dari bagian header segmen obyek ELF dan bagian segmen header obyekPE.
binhash merupakan sebuah program sederhana untuk melakukan hashing terhadap berbagai bagian file ELF dan PE untuk perbandingan. Saat ini ia melakukan hash terhadap segmen header dari bagian header segmen obyek ELF dan bagian segmen header obyekPE.
4)
sigtool
sigtcol merupakan tool untuk manajemen signature dan database ClamAV. sigtool dapat digunakan untuk rnenghasilkan checksum MD5, konversi data ke dalam format heksadesimal, menampilkan daftar signature virus dan build/unpack/test/verify database CVD dan skrip update.
sigtcol merupakan tool untuk manajemen signature dan database ClamAV. sigtool dapat digunakan untuk rnenghasilkan checksum MD5, konversi data ke dalam format heksadesimal, menampilkan daftar signature virus dan build/unpack/test/verify database CVD dan skrip update.
5)
ChaosReader
ChaosReader merupakan sebuah tool freeware untuk melacak sesi TCP/UDP/… dan mengambil data aplikasi dari log tcpdump. la akan mengambil sesi telnet, file FTP, transfer HTTP (HTML, GIF, JPEG,…), email SMTP, dan sebagainya, dari data yang ditangkap oleh log lalu lintas jaringan. Sebuah file index html akan tercipta yang berisikan link ke seluruh detil sesi, termasuk program replay realtime untuk sesi telnet, rlogin, IRC, X11 atau VNC; dan membuat laporan seperti laporan image dan laporan isi HTTP GET/POST.
ChaosReader merupakan sebuah tool freeware untuk melacak sesi TCP/UDP/… dan mengambil data aplikasi dari log tcpdump. la akan mengambil sesi telnet, file FTP, transfer HTTP (HTML, GIF, JPEG,…), email SMTP, dan sebagainya, dari data yang ditangkap oleh log lalu lintas jaringan. Sebuah file index html akan tercipta yang berisikan link ke seluruh detil sesi, termasuk program replay realtime untuk sesi telnet, rlogin, IRC, X11 atau VNC; dan membuat laporan seperti laporan image dan laporan isi HTTP GET/POST.
6)
Chkrootkit
chkrootkit merupakan sebuah tool untuk memeriksa tanda-tanda adanya rootkit secara lokal. la akan memeriksa utilitas utama apakah terinfeksi, dan saat ini memeriksa sekitar 60 rootkit dan variasinya.
chkrootkit merupakan sebuah tool untuk memeriksa tanda-tanda adanya rootkit secara lokal. la akan memeriksa utilitas utama apakah terinfeksi, dan saat ini memeriksa sekitar 60 rootkit dan variasinya.
7)
dcfldd
Tool ini mulanya dikembangkan di Department of Defense Computer Forensics Lab (DCFL). Meskipun saat ini Nick Harbour tidak lagi berafiliasi dengan DCFL, ia tetap memelihara tool ini.
Tool ini mulanya dikembangkan di Department of Defense Computer Forensics Lab (DCFL). Meskipun saat ini Nick Harbour tidak lagi berafiliasi dengan DCFL, ia tetap memelihara tool ini.
8)
ddrescue
GNU ddrescue merupakan sebuah tool penyelamat data, la menyalinkan data dari satu file atau device blok (hard disc, cdrom, dsb.) ke yang lain, berusaha keras menyelamatkan data dalam hal kegagalan pembacaan. Ddrescue tidak memotong file output bila tidak diminta. Sehingga setiap kali anda menjalankannya kefile output yang sama, ia berusaha mengisi kekosongan.
GNU ddrescue merupakan sebuah tool penyelamat data, la menyalinkan data dari satu file atau device blok (hard disc, cdrom, dsb.) ke yang lain, berusaha keras menyelamatkan data dalam hal kegagalan pembacaan. Ddrescue tidak memotong file output bila tidak diminta. Sehingga setiap kali anda menjalankannya kefile output yang sama, ia berusaha mengisi kekosongan.
9)
foremost
Foremost merupakan sebuah tool yang dapat digunakan untuk me-recover file berdasarkan header, footer, atau struktur data file tersebut. la mulanya dikembangkan oleh Jesse Kornblum dan Kris Kendall dari the United States Air Force Office of Special Investigations and The Center for Information Systems Security Studies and Research. Saat ini foremost dipelihara oleh Nick Mikus seorang Peneliti di the Naval Postgraduate School Center for Information Systems Security Studies and Research.
Foremost merupakan sebuah tool yang dapat digunakan untuk me-recover file berdasarkan header, footer, atau struktur data file tersebut. la mulanya dikembangkan oleh Jesse Kornblum dan Kris Kendall dari the United States Air Force Office of Special Investigations and The Center for Information Systems Security Studies and Research. Saat ini foremost dipelihara oleh Nick Mikus seorang Peneliti di the Naval Postgraduate School Center for Information Systems Security Studies and Research.
10)
gqview
Gqview merupakan sebuah program untuk melihat gambar berbasis GTK la mendukung beragam format gambar, zooming, panning, thumbnails, dan pengurutan gambar.
Gqview merupakan sebuah program untuk melihat gambar berbasis GTK la mendukung beragam format gambar, zooming, panning, thumbnails, dan pengurutan gambar.
11)
galleta
Galleta merupakan sebuah tool yang ditulis oleh Keith J Jones untuk melakukan analisis forensic terhadap cookie Internet Explorer.
Galleta merupakan sebuah tool yang ditulis oleh Keith J Jones untuk melakukan analisis forensic terhadap cookie Internet Explorer.
12)
Ishw
Ishw (Hardware Lister) merupakan sebuah tool kecil yang memberikan informasi detil mengenai konfigurasi hardware dalam mesin. la dapat melaporkan konfigurasi memori dengan tepat, versi firmware, konfigurasi mainboard, versi dan kecepatan CPU, konfigurasi cache, kecepatan bus, dsb. pada sistem t>MI-capable x86 atau sistem EFI.
Ishw (Hardware Lister) merupakan sebuah tool kecil yang memberikan informasi detil mengenai konfigurasi hardware dalam mesin. la dapat melaporkan konfigurasi memori dengan tepat, versi firmware, konfigurasi mainboard, versi dan kecepatan CPU, konfigurasi cache, kecepatan bus, dsb. pada sistem t>MI-capable x86 atau sistem EFI.
13)
pasco
Banyak penyelidikan kejahatan komputer membutuhkan rekonstruksi aktivitas Internet tersangka. Karena teknik analisis ini dilakukan secara teratur, Keith menyelidiki struktur data yang ditemukan dalam file aktivitas Internet Explorer (file index.dat). Pasco, yang berasal dari bahasa Latin dan berarti “browse”, dikembangkan untuk menguji isi file cache Internet Explorer. Pasco akan memeriksa informasi dalam file index.dat dan mengeluarkan hasil dalam field delimited sehingga dapat diimpor ke program spreadsheet favorit Anda.
Banyak penyelidikan kejahatan komputer membutuhkan rekonstruksi aktivitas Internet tersangka. Karena teknik analisis ini dilakukan secara teratur, Keith menyelidiki struktur data yang ditemukan dalam file aktivitas Internet Explorer (file index.dat). Pasco, yang berasal dari bahasa Latin dan berarti “browse”, dikembangkan untuk menguji isi file cache Internet Explorer. Pasco akan memeriksa informasi dalam file index.dat dan mengeluarkan hasil dalam field delimited sehingga dapat diimpor ke program spreadsheet favorit Anda.
14)
scalpel
calpel adalah sebuah tool forensik yang dirancang untuk mengidentifikasikan, mengisolasi dan merecover data dari media komputer selama proses investigasi forensik. Scalpel mencari hard drive, bit-stream image, unallocated space file, atau sembarang file komputer untuk karakteristik, isi atau atribut tertentu, dan menghasilkan laporan mengenai lokasi dan isi artifak yang ditemukan selama proses pencarian elektronik. Scalpel juga menghasilkan (carves) artifak yang ditemukan sebagai file individual.
calpel adalah sebuah tool forensik yang dirancang untuk mengidentifikasikan, mengisolasi dan merecover data dari media komputer selama proses investigasi forensik. Scalpel mencari hard drive, bit-stream image, unallocated space file, atau sembarang file komputer untuk karakteristik, isi atau atribut tertentu, dan menghasilkan laporan mengenai lokasi dan isi artifak yang ditemukan selama proses pencarian elektronik. Scalpel juga menghasilkan (carves) artifak yang ditemukan sebagai file individual.
·
Prosedur
IT Forensik
1)
Prosedur forensik yang umum digunakan, antara lain : Membuat
copies dari keseluruhan log data, file, dan lain-lain yang dianggap perlu pada
suatu media yang terpisah. Membuat copies secara matematis. Dokumentasi yang
baik dari segala sesuatu yang dikerjakan.
2)
Bukti yang digunakan dalam IT Forensics berupa : Harddisk,
Floopy disk atau media lain yang bersifat removeable, Network system.
3)
Metode atau prosedure IT Forensik yang umum digunakan pada
komputer ada dua jenis yaitu :
a) Identifikasi dengan penelitian
permasalahan.
b) Membuat hipotesis.
c) Uji hipotesa secara konsep dan
empiris.
d) Evaluasi hipotesa berdasarkan hasil
pengujian dan pengujian ulang jika hipotesa tersebut jauh dari apa yang
diharapkan.
e) Evaluasi hipotesa terhadap dampak
yang lain jika hipotesa tersebut dapat diterima.
Pencarian
informasi (discovery information). Ini dilakukan oleh investigator dan
merupakan pencarian bukti tambahan dengan mengendalikan saksi secara langsung
maupun tidak langsung. Berikut prosedur IT Forensik yang umum di gunakan antara
lain yaitu :
a)
Membuat copies dari keseluruhan log data, files, dan
lain-lain yang dianggap perlu pada media terpisah.
b)
Membuat fingerprint dari data secara matematis.
c)
Membuat fingerprint dari copies secara otomatis.
d)
Membuat suatu hashes masterlist.
e)
Dokumentasi yang baik dari segala sesuatu yang telah dikerjakan.
·
Alur
dan studi kasus
Contoh Kasus Penggunaan IT Forensik
“Pembobolan ATM
Dengan Teknik ATM Skimmer Scam”
Belakangan ini Indonesia sedang diramaikan dengan
berita “pembobolan ATM“. Para nasabah tiba-tiba saja kehilangan saldo
rekeningnya akibat dibobol oleh orang-orang yang tidak bertanggung jawab. Untuk
masalah tipu-menipu dan curi-mencuri adalah hal yang sepertinya sudah sangat
biasa di Indonesia. Hal ini mungkin diakibatkan oleh kurangnya kesempatan kerja
dan tidak meratanya pendapatan.
Berdasarkan data yang ada di TV dan surat kabar.
Kasus pembobolan ATM ini di Indonesia (minggu-minggu ini) dimulai di Bali,
dengan korban nasabah dari 5 bank besar yakni BCA, Bank Mandiri, BNI, BII dan
Bank Permata. Diindikasikan oleh polisi dilakukan dengan menggunakan teknik
skimmer.
Modus pembobolan
ATM dengan menggunakan skimmer adalah :
Pelaku datang ke mesin ATM dan memasangkan skimmer
ke mulut slot kartu ATM. Biasanya dilakukan saat sepi. Atau biasanya mereka
datang lebih dari 2 orang dan ikut mengantri. Teman yang di belakang bertugas
untuk mengisi antrian di depan mesin ATM sehingga orang tidak akan
memperhatikan dan kemudian memeriksa pemasangan skimmer.
Setelah dirasa cukup (banyak korban), maka saatnya
skimmer dicabut.
Inilah saatnya menyalin data ATM yang direkam oleh
skimmer dan melihat rekaman no PIN yang ditekan korban.
Pada proses ketiga pelaku sudah memiliki kartu ATM
duplikasi (hasil generate) dan telah memeriksa kevalidan kartu. Kini saatnya
untuk melakukan penarikan dana. Biasanya kartu ATM duplikasi disebar melalui
jaringannya keberbagai tempat. Bahkanada juga yang menjual kartu hasil
duplikasi tersebut.
Tools
(kebutuhan) yang digunakan pada IT Forensik
1) Hardware
:
a) Harddisk
IDE & SCSI kapasitas sangat besar, CD-R, DVR Drives.
b) Memory
yang besar (1-2GB RAM).
c) Hub,
Switch, keperluan LAN.
d) Legacy
Hardware (8088s, Amiga).
e) Laptop
forensic workstation.
f) Write
blocker
2) Software
:
a) Encase
b) Helix,
http://www.e-fense.com/helix/
c) Viewers
(QVP, http://www.avantstar.com/)
d) Erase/unerase
tools (Diskscrub/Norton Utilities)
e) Hash
utility (MD5, SHA1)
f) Forensic
toolkit
g) Forensic
acquisition tools
h) Write-blocking
tools
i)
Spy Anytime PC Spy
Tools yang
digunakan pada contoh kasus
Tools yang digunakan pada contoh kasus nyata diatas
adalah dengan menggunakan hardware berupa head atau card reader, dimana
hardware tersebut dapat membaca data yang tersimpan pada bidang magnet melalui
pita magnet seperti halnya kaset. Tools hardware tersebut biasa dikenal dengan
nama skimmer. Skimmer adalah sebuah perangkat yang yang terpasang didepan mulut
keluar masuk kartu pada sebuah mesin ATM, yang akan bekerja mengumpulkan data
dari Credit Card atau kartu ATM yang masuk dan keluar dalam mesin ATM.
Alur Aktivitas
Forensik
Secara metodologis, terdapat paling tidak 14 (empat
belas) alur yang perlu dilakukan dalam aktivitas forensik, sebagai berikut:
1)
Pernyataan Terjadinya
Kejahatan Komputer merupakan tahap dimana secara formal pihak yang
berkepentingan melaporkan telah terjadinya suatu aktivitas kejahatan berbasis
computer.
2)
Pengumpulan Petunjuk
atau Bukti Awal – merupakan tahap dimana ahli forensik mengumpulkan semua
petunjuk atau bukti awal yang dapat dipergunakan sebagai bahan kajian forensik,
baik yang bersifat tangible maupun intangible.
3)
Penerbitan Surat
Pengadilan – merupakan tahap dimana sesuai dengan peraturan dan
perundang-undangan yang berlaku, pihak pengadilan memberikan ijin resmi kepada
penyelidik maupun penyidik untuk melakukan aktiivitas terkait dengan pengolahan.
4)
Pelaksanaan Prosedur
Tanggapan Dini – merupakan tahap dimana ahli forensik melakukan serangkaian
prosedur pengamanan tempat kejadian perkara, baik fisik maupun maya, agar
steril dan tidak tercemar/terkontaminasi, sehingga dapat dianggap sah dalam
pencarian barang-barang bukti.
5)
Pembekuan Barang Bukti
pada Lokasi Kejahatan – merupakan tahap dimana seluruh barang bukti yang ada
diambil, disita, dan/atau dibekukan melalui teknik formal tertentu.
6)
Pemindahan Bukti ke
Laboratorium Forensik – merupakan tahap dimana dilakukan transfer barang bukti
dari tempat kejadian perkara ke laboratorium tempat dilakukannya analisa
forensic.
7)
Pembuatan Salinan “2
Bit Stream” terhadap Barang Bukti – merupakan tahap dimana dilakukan proses
duplikasi barang bukti ke dalam bentuk salinan yang identik.
8)
Pengembangan “MD5
Checksum” Barang Bukti – merupakan tahap untuk memastikan tidak adanya
kontaminasi atau perubahan kondisi terhadap barang bukti yang ada.
9)
Penyiapan Rantai Posesi
Barang Bukti – merupakan tahap menentukan pengalihan tanggung jawab dan
kepemilikan barang bukti asli maupun duplikasi dari satu wilayah otoritas ke
yang lainnya.
10) Penyimpanan
Barang Bukti Asli di Tempat Aman – merupakan tahap penyimpanan barang bukti
asli (original) di tempat yang aman dan sesuai dengan persyratan teknis tertentu
untuk menjaga keasliannya.
11) Analisa
Barang Bukti Salinan – merupakan tahap dimana ahli forensik melakuka analisa
secara detail terhadap salinan barang-brang bukti yang dikumpulkan untuk
mendapatkan kesimpulan terkait dengan seluk beluk terjadinya kejahatan.
12) Pembuatan
Laporan Forensik – merupakan tahap dimana ahli forensik menyimpulkan secara
detail hal-hal yang terjadi seputar aktivititas kejahatan yang dianalisa berdasarkan
fakta forensik yang ada.
13) Penyerahan
Hasil Laporan Analisa – merupakan tahap dimana secara resmi dokumen rahasia
hasil forensik komputer diserahkan kepada pihak yang berwajib.
14) Penyertaan
dalam Proses Pengadilan – merupakan tahap dimana ahli forensic menjadi saksi di
pengadilan terkait dengan kejahatan yang terjadi.
·
Yang
dilakukan oleh IT forensic
Terdapat empat elemen Kunci
Forensik yang harus diperhatikan berkenaan dengan bukti digital dalam Teknologi
Informasi, adalah sebagai berikut :
1) Identifikasi
dalam bukti digital (Identification/Collecting Digital Evidence)
Merupakan
tahapan paling awal dalam teknologi informasi. Pada tahapan ini dilakukan
identifikasi dimana bukti itu berada, dimana bukti itu disimpan, dan bagaimana
penyimpanannya untuk mempermudah penyelidikan.
2) Penyimpanan
bukti digital (Preserving Digital Evidence)
Bentuk,
isi, makna bukti digital hendaknya disimpan dalam tempat yang steril. Untuk
benar-benar memastikan tidak ada perubahan-perubahan, hal ini vital untuk
diperhatikan. Karena sedikit perubahan saja dalam bukti digital, akan merubah
juga hasil penyelidikan. Bukti digital secara alami bersifat sementara
(volatile), sehingga keberadaannya jika tidak teliti akan sangat mudah sekali
rusak, hilang, berubah, mengalami kecelakaan.
3) Analisa
bukti digital (Analizing Digital Evidence)
Barang
bukti setelah disimpan, perlu diproses ulang sebelum diserahkan pada pihak yang
membutuhkan. Pada proses inilah skema yang diperlukan akan fleksibel sesuai
dengan kasus-kasus yang dihadapi. Barang bukti yang telah didapatkan perlu
diexplore kembali beberapa poin yang berhubungan dengan tindak pengusutan,
antara lain: (a) Siapa yang telah melakukan. (b) Apa yang telah dilakukan (Ex.
Penggunaan software apa), (c) Hasil proses apa yang dihasilkan. (d) Waktu
melakukan. Setiap bukti yang ditemukan, hendaknya kemudian dilist bukti-bukti
potensial apa sajakah yang dapat didokumentasikan.
4) Presentasi
bukti digital (Presentation of Digital Evidence).
Kesimpulan
akan didapatkan ketika semua tahapan tadi telah dilalui, terlepas dari ukuran
obyektifitas yang didapatkan, atau standar kebenaran yang diperoleh, minimal
bahan-bahan inilah nanti yang akan dijadikan “modal” untuk ke pengadilan.
Proses digital dimana bukti digital akan dipersidangkan, diuji otentifikasi dan
dikorelasikan dengan kasus yang ada. Pada tahapan ini menjadi penting, karena
disinilah proses-proses yang telah dilakukan sebelumnya akan diurai
kebenarannya serta dibuktikan kepada hakim untuk mengungkap data dan informasi
kejadian.
Dalam melakukan
pekerjaan IT Forensik, terdapat beberapa kegiatan yang dilakukan. Berikut ini
adalah beberapa contoh kegiatan yang dilakukan oleh IT Forensik adalah sebagai
berikut :
a) Setelah
menerima barang bukti digital, harus dilakukan proses acquiring, imaging, atau
bahasa umumnya kloning yaitu mengkopi secara presisi 1 banding 1 sama persis.
Analisa tidak boleh dilakukan daei
barang bukti digital yang asli karena takut mengubah barang bukti.
b) Menganalisa
isi data terutama yang sudah terhapus, tersembunyi, terenkripsi, dan history
internet seseorang yang tidak bisa dilihat secara umum.