Jumat, 09 Juni 2017

IT PROFESI FORENSIK

Diposting oleh Unknown di 03.19 0 komentar
·        Pengertian IT Forensik
Definisi dari IT Forensik yaitu suatu ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode yang digunakan (misalnya metode sebab-akibat). Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-bukti yang akan digunakan dalam proses selanjutnya.Selain itu juga diperlukan keahlian dalam bidang IT ( termasuk diantaranya hacking) dan alat bantu (tools) baik hardwaremaupun software untuk membuktikan pelanggaran-pelanggaran yang terjadi dalam bidang teknologi sistem informasi tersebut. Tujuan dari IT forensik itu sendiri adalah untuk mengamankan dan menganalisa bukti-bukti digital.
Pengertian IT forensic menurut para ahli adalah sebagai berikut:
a)      Menurut Noblett, yaitu berperan untuk mengambil, menjaga, mengembalikan, dan menyajikan data yang telah diproses secara elektronik dan disimpan di media computer.
b)      Menurut Judd Robin, yaitu penerapan secara sederhana dari penyidikan komputer dan teknik analisisnya untuk menentukan bukti-bukti hukum yang mungkin.
c)      Menurut Ruby Alamsyah (salah seorang ahli forensik IT Indonesia), digital forensik atau terkadang disebut komputer forensik adalah ilmu yang menganalisa barang bukti digital sehingga dapat dipertanggungjawabkan di pengadilan. Barang bukti digital tersebut termasuk handphone, notebook, server, alat teknologi apapun yang mempunyai media penyimpanan dan bisa dianalisa.
d)     New Technologies memperluas definisi Robin dengan: “Komputer forensik berkaitan dengan pemeliharaan, identifikasi, ekstraksi dan dokumentasi dari bukti-bukti komputer yang tersimpan dalam wujud-informasi-magnetik”.


·        Tools

Berikut ini adalah tools yang ada didalam IT  forensic secara umum, diantaranya:
1)         antiword
Antiword merupakan sebuah aplikasi yang digunakan untuk menampilkan teks dan gambar dokumen Microsoft Word. Antiword hanya mendukung dokumen yang dibuat oleh MS Word versi 2 dan versi 6 atau yang lebih baru.
2)         Autopsy
The Autopsy Forensic Browser merupakan antarmuka grafis untuk tool analisis investigasi diginal perintah baris The Sleuth Kit. Bersama, mereka dapat menganalisis disk dan filesistem Windows dan UNIX (NTFS, FAT, UFS1/2, Ext2/3).
3)         binhash
binhash merupakan sebuah program sederhana untuk melakukan hashing terhadap berbagai bagian file ELF dan PE untuk perbandingan. Saat ini ia melakukan hash terhadap segmen header dari bagian header segmen obyek ELF dan bagian segmen header obyekPE.
4)         sigtool
sigtcol merupakan tool untuk manajemen signature dan database ClamAV. sigtool dapat digunakan untuk rnenghasilkan checksum MD5, konversi data ke dalam format heksadesimal, menampilkan daftar signature virus dan build/unpack/test/verify database CVD dan skrip update.
5)         ChaosReader
ChaosReader merupakan sebuah tool freeware untuk melacak sesi TCP/UDP/… dan mengambil data aplikasi dari log tcpdump. la akan mengambil sesi telnet, file FTP, transfer HTTP (HTML, GIF, JPEG,…), email SMTP, dan sebagainya, dari data yang ditangkap oleh log lalu lintas jaringan. Sebuah file index html akan tercipta yang berisikan link ke seluruh detil sesi, termasuk program replay realtime untuk sesi telnet, rlogin, IRC, X11 atau VNC; dan membuat laporan seperti laporan image dan laporan isi HTTP GET/POST.
6)         Chkrootkit
chkrootkit merupakan sebuah tool untuk memeriksa tanda-tanda adanya rootkit secara lokal. la akan memeriksa utilitas utama apakah terinfeksi, dan saat ini memeriksa sekitar 60 rootkit dan variasinya.
7)         dcfldd
Tool ini mulanya dikembangkan di Department of Defense Computer Forensics Lab (DCFL). Meskipun saat ini Nick Harbour tidak lagi berafiliasi dengan DCFL, ia tetap memelihara tool ini.
8)         ddrescue
GNU ddrescue merupakan sebuah tool penyelamat data, la menyalinkan data dari satu file atau device blok (hard disc, cdrom, dsb.) ke yang lain, berusaha keras menyelamatkan data dalam hal kegagalan pembacaan. Ddrescue tidak memotong file output bila tidak diminta. Sehingga setiap kali anda menjalankannya kefile output yang sama, ia berusaha mengisi kekosongan.
9)         foremost
Foremost merupakan sebuah tool yang dapat digunakan untuk me-recover file berdasarkan header, footer, atau struktur data file tersebut. la mulanya dikembangkan oleh Jesse Kornblum dan Kris Kendall dari the United States Air Force Office of Special Investigations and The Center for Information Systems Security Studies and Research. Saat ini foremost dipelihara oleh Nick Mikus seorang Peneliti di the Naval Postgraduate School Center for Information Systems Security Studies and Research.
10)     gqview
Gqview merupakan sebuah program untuk melihat gambar berbasis GTK la mendukung beragam format gambar, zooming, panning, thumbnails, dan pengurutan gambar.
11)      galleta
Galleta merupakan sebuah tool yang ditulis oleh Keith J Jones untuk melakukan analisis forensic terhadap cookie Internet Explorer.
12)     Ishw
Ishw (Hardware Lister) merupakan sebuah tool kecil yang memberikan informasi detil mengenai konfigurasi hardware dalam mesin. la dapat melaporkan konfigurasi memori dengan tepat, versi firmware, konfigurasi mainboard, versi dan kecepatan CPU, konfigurasi cache, kecepatan bus, dsb. pada sistem t>MI-capable x86 atau sistem EFI.
13)     pasco
Banyak penyelidikan kejahatan komputer membutuhkan rekonstruksi aktivitas Internet tersangka. Karena teknik analisis ini dilakukan secara teratur, Keith menyelidiki struktur data yang ditemukan dalam file aktivitas Internet Explorer (file index.dat). Pasco, yang berasal dari bahasa Latin dan berarti “browse”, dikembangkan untuk menguji isi file cache Internet Explorer. Pasco akan memeriksa informasi dalam file index.dat dan mengeluarkan hasil dalam field delimited sehingga dapat diimpor ke program spreadsheet favorit Anda.
14)     scalpel
calpel adalah sebuah tool forensik yang dirancang untuk mengidentifikasikan, mengisolasi dan merecover data dari media komputer selama proses investigasi forensik. Scalpel mencari hard drive, bit-stream image, unallocated space file, atau sembarang file komputer untuk karakteristik, isi atau atribut tertentu, dan menghasilkan laporan mengenai lokasi dan isi artifak yang ditemukan selama proses pencarian elektronik. Scalpel juga menghasilkan (carves) artifak yang ditemukan sebagai file individual.

·        Prosedur IT Forensik

1)      Prosedur forensik yang umum digunakan, antara lain : Membuat copies dari keseluruhan log data, file, dan lain-lain yang dianggap perlu pada suatu media yang terpisah. Membuat copies secara matematis. Dokumentasi yang baik dari segala sesuatu yang dikerjakan.

2)      Bukti yang digunakan dalam IT Forensics berupa : Harddisk, Floopy disk atau media lain yang bersifat removeable, Network system.


3)      Metode atau prosedure IT Forensik yang umum digunakan pada komputer ada dua jenis yaitu :
a)      Identifikasi dengan penelitian permasalahan.
b)      Membuat hipotesis.
c)      Uji hipotesa secara konsep dan empiris.
d)     Evaluasi hipotesa berdasarkan hasil pengujian dan pengujian ulang jika hipotesa tersebut jauh dari apa yang diharapkan.
e)      Evaluasi hipotesa terhadap dampak yang lain jika hipotesa tersebut dapat diterima.

Pencarian informasi (discovery information). Ini dilakukan oleh investigator dan merupakan pencarian bukti tambahan dengan mengendalikan saksi secara langsung maupun tidak langsung. Berikut prosedur IT Forensik yang umum di gunakan antara lain yaitu :
a)      Membuat copies dari keseluruhan log data, files, dan lain-lain yang dianggap perlu pada media terpisah.
b)      Membuat fingerprint dari data secara matematis.
c)      Membuat fingerprint dari copies secara otomatis.
d)     Membuat suatu hashes masterlist.
e)      Dokumentasi yang baik dari segala sesuatu yang telah dikerjakan.

·         Alur dan studi kasus
Contoh Kasus Penggunaan IT Forensik
“Pembobolan ATM Dengan Teknik ATM Skimmer Scam”       
Belakangan ini Indonesia sedang diramaikan dengan berita “pembobolan ATM“. Para nasabah tiba-tiba saja kehilangan saldo rekeningnya akibat dibobol oleh orang-orang yang tidak bertanggung jawab. Untuk masalah tipu-menipu dan curi-mencuri adalah hal yang sepertinya sudah sangat biasa di Indonesia. Hal ini mungkin diakibatkan oleh kurangnya kesempatan kerja dan tidak meratanya pendapatan.
Berdasarkan data yang ada di TV dan surat kabar. Kasus pembobolan ATM ini di Indonesia (minggu-minggu ini) dimulai di Bali, dengan korban nasabah dari 5 bank besar yakni BCA, Bank Mandiri, BNI, BII dan Bank Permata. Diindikasikan oleh polisi dilakukan dengan menggunakan teknik skimmer.
Modus pembobolan ATM dengan menggunakan skimmer adalah :
Pelaku datang ke mesin ATM dan memasangkan skimmer ke mulut slot kartu ATM. Biasanya dilakukan saat sepi. Atau biasanya mereka datang lebih dari 2 orang dan ikut mengantri. Teman yang di belakang bertugas untuk mengisi antrian di depan mesin ATM sehingga orang tidak akan memperhatikan dan kemudian memeriksa pemasangan skimmer.
Setelah dirasa cukup (banyak korban), maka saatnya skimmer dicabut.
Inilah saatnya menyalin data ATM yang direkam oleh skimmer dan melihat rekaman no PIN yang ditekan korban.
Pada proses ketiga pelaku sudah memiliki kartu ATM duplikasi (hasil generate) dan telah memeriksa kevalidan kartu. Kini saatnya untuk melakukan penarikan dana. Biasanya kartu ATM duplikasi disebar melalui jaringannya keberbagai tempat. Bahkanada juga yang menjual kartu hasil duplikasi tersebut.
Tools (kebutuhan) yang digunakan pada IT Forensik
1)      Hardware :
a)      Harddisk IDE & SCSI kapasitas sangat besar, CD-R, DVR Drives.
b)      Memory yang besar (1-2GB RAM).
c)      Hub, Switch, keperluan LAN.
d)     Legacy Hardware (8088s, Amiga).
e)      Laptop forensic workstation.
f)       Write blocker



2)      Software :
a)      Encase
b)      Helix, http://www.e-fense.com/helix/
c)      Viewers (QVP, http://www.avantstar.com/)
d)     Erase/unerase tools (Diskscrub/Norton Utilities)
e)      Hash utility (MD5, SHA1)
f)       Forensic toolkit
g)      Forensic acquisition tools
h)      Write-blocking tools
i)        Spy Anytime PC Spy
Tools yang digunakan pada contoh kasus
Tools yang digunakan pada contoh kasus nyata diatas adalah dengan menggunakan hardware berupa head atau card reader, dimana hardware tersebut dapat membaca data yang tersimpan pada bidang magnet melalui pita magnet seperti halnya kaset. Tools hardware tersebut biasa dikenal dengan nama skimmer. Skimmer adalah sebuah perangkat yang yang terpasang didepan mulut keluar masuk kartu pada sebuah mesin ATM, yang akan bekerja mengumpulkan data dari Credit Card atau kartu ATM yang masuk dan keluar dalam mesin ATM.
Alur Aktivitas Forensik
Secara metodologis, terdapat paling tidak 14 (empat belas) alur yang perlu dilakukan dalam aktivitas forensik, sebagai berikut:
1)         Pernyataan Terjadinya Kejahatan Komputer merupakan tahap dimana secara formal pihak yang berkepentingan melaporkan telah terjadinya suatu aktivitas kejahatan berbasis computer.
2)         Pengumpulan Petunjuk atau Bukti Awal – merupakan tahap dimana ahli forensik mengumpulkan semua petunjuk atau bukti awal yang dapat dipergunakan sebagai bahan kajian forensik, baik yang bersifat tangible maupun intangible.
3)         Penerbitan Surat Pengadilan – merupakan tahap dimana sesuai dengan peraturan dan perundang-undangan yang berlaku, pihak pengadilan memberikan ijin resmi kepada penyelidik maupun penyidik untuk melakukan aktiivitas terkait dengan pengolahan.
4)         Pelaksanaan Prosedur Tanggapan Dini – merupakan tahap dimana ahli forensik melakukan serangkaian prosedur pengamanan tempat kejadian perkara, baik fisik maupun maya, agar steril dan tidak tercemar/terkontaminasi, sehingga dapat dianggap sah dalam pencarian barang-barang bukti.
5)         Pembekuan Barang Bukti pada Lokasi Kejahatan – merupakan tahap dimana seluruh barang bukti yang ada diambil, disita, dan/atau dibekukan melalui teknik formal tertentu.
6)         Pemindahan Bukti ke Laboratorium Forensik – merupakan tahap dimana dilakukan transfer barang bukti dari tempat kejadian perkara ke laboratorium tempat dilakukannya analisa forensic.
7)         Pembuatan Salinan “2 Bit Stream” terhadap Barang Bukti – merupakan tahap dimana dilakukan proses duplikasi barang bukti ke dalam bentuk salinan yang identik.
8)         Pengembangan “MD5 Checksum” Barang Bukti – merupakan tahap untuk memastikan tidak adanya kontaminasi atau perubahan kondisi terhadap barang bukti yang ada.
9)         Penyiapan Rantai Posesi Barang Bukti – merupakan tahap menentukan pengalihan tanggung jawab dan kepemilikan barang bukti asli maupun duplikasi dari satu wilayah otoritas ke yang lainnya.
10)     Penyimpanan Barang Bukti Asli di Tempat Aman – merupakan tahap penyimpanan barang bukti asli (original) di tempat yang aman dan sesuai dengan persyratan teknis tertentu untuk menjaga keasliannya.
11)     Analisa Barang Bukti Salinan – merupakan tahap dimana ahli forensik melakuka analisa secara detail terhadap salinan barang-brang bukti yang dikumpulkan untuk mendapatkan kesimpulan terkait dengan seluk beluk terjadinya kejahatan.
12)     Pembuatan Laporan Forensik – merupakan tahap dimana ahli forensik menyimpulkan secara detail hal-hal yang terjadi seputar aktivititas kejahatan yang dianalisa berdasarkan fakta forensik yang ada.
13)     Penyerahan Hasil Laporan Analisa – merupakan tahap dimana secara resmi dokumen rahasia hasil forensik komputer diserahkan kepada pihak yang berwajib.
14)     Penyertaan dalam Proses Pengadilan – merupakan tahap dimana ahli forensic menjadi saksi di pengadilan terkait dengan kejahatan yang terjadi.

·        Yang dilakukan oleh IT forensic
Terdapat empat elemen Kunci Forensik yang harus diperhatikan berkenaan dengan bukti digital dalam Teknologi Informasi, adalah sebagai berikut :
1)      Identifikasi dalam bukti digital (Identification/Collecting Digital Evidence)

Merupakan tahapan paling awal dalam teknologi informasi. Pada tahapan ini dilakukan identifikasi dimana bukti itu berada, dimana bukti itu disimpan, dan bagaimana penyimpanannya untuk mempermudah penyelidikan.

2)      Penyimpanan bukti digital (Preserving Digital Evidence)

Bentuk, isi, makna bukti digital hendaknya disimpan dalam tempat yang steril. Untuk benar-benar memastikan tidak ada perubahan-perubahan, hal ini vital untuk diperhatikan. Karena sedikit perubahan saja dalam bukti digital, akan merubah juga hasil penyelidikan. Bukti digital secara alami bersifat sementara (volatile), sehingga keberadaannya jika tidak teliti akan sangat mudah sekali rusak, hilang, berubah, mengalami kecelakaan.

3)      Analisa bukti digital (Analizing Digital Evidence)

Barang bukti setelah disimpan, perlu diproses ulang sebelum diserahkan pada pihak yang membutuhkan. Pada proses inilah skema yang diperlukan akan fleksibel sesuai dengan kasus-kasus yang dihadapi. Barang bukti yang telah didapatkan perlu diexplore kembali beberapa poin yang berhubungan dengan tindak pengusutan, antara lain: (a) Siapa yang telah melakukan. (b) Apa yang telah dilakukan (Ex. Penggunaan software apa), (c) Hasil proses apa yang dihasilkan. (d) Waktu melakukan. Setiap bukti yang ditemukan, hendaknya kemudian dilist bukti-bukti potensial apa sajakah yang dapat didokumentasikan.



4)      Presentasi bukti digital (Presentation of Digital Evidence).

Kesimpulan akan didapatkan ketika semua tahapan tadi telah dilalui, terlepas dari ukuran obyektifitas yang didapatkan, atau standar kebenaran yang diperoleh, minimal bahan-bahan inilah nanti yang akan dijadikan “modal” untuk ke pengadilan. Proses digital dimana bukti digital akan dipersidangkan, diuji otentifikasi dan dikorelasikan dengan kasus yang ada. Pada tahapan ini menjadi penting, karena disinilah proses-proses yang telah dilakukan sebelumnya akan diurai kebenarannya serta dibuktikan kepada hakim untuk mengungkap data dan informasi kejadian.

Dalam melakukan pekerjaan IT Forensik, terdapat beberapa kegiatan yang dilakukan. Berikut ini adalah beberapa contoh kegiatan yang dilakukan oleh IT Forensik adalah sebagai berikut :
a)      Setelah menerima barang bukti digital, harus dilakukan proses acquiring, imaging, atau bahasa umumnya kloning yaitu mengkopi secara presisi 1 banding 1 sama persis. Analisa tidak  boleh dilakukan daei barang bukti digital yang asli karena takut mengubah barang bukti.
b)      Menganalisa isi data terutama yang sudah terhapus, tersembunyi, terenkripsi, dan history internet seseorang yang tidak bisa dilihat secara umum.



 

Restika's Template by Ipietoon Blogger Template | Gadget Review