IT FORENSIK
Forensik sangat identik dengan tindakan kriminal, saat ini
forensik hanya sebatas identifikasi, proses, dan analisa pada bagian umum.
Untuk kejahatan komputer di indonesia, forensik dibidang komputer biasanya
dilakukan tanpa melihat apa isi di dalam komputer. Metode yang digunakan untuk
forensik pada umumnya ada dua, yaitu search and seizure dan pencarian informasi
(discovery information).
Forensik merupakan proses ilmiah dalam mengumpulkan,
menganalisa, dan menghadirkan berbagaI bukti dalam sidang pengadilan terkait
adanya suatu kasus hukum.
Forensik Komputer menurut Moroni Parra (2002), adalah Suatu
proses mengidentifikasi, memelihara,menganalisa dan menggunakan bukti digital
menurut hukum yang berlaku.
Komputer forensik adalah aktivitas yang berhubungan dengan
pemeliharaan, identifikasi, pengambilan – penyaringan dan dokumentasi bukti
komputer dalam kejahatan komputer.
Dapat disimpulkan bahwa IT FORENSIK adalah Penggunaan
sekumpulan prosedur untuk melakukan pengujian secara menyeluruh suatu sistem
komputer dengan mempergunakan software dan tool untuk mengektrak dan memelihara
barang bukti tindakan kriminal IT FORENSIK bertujuan untuk mendapatkan fakta-fakta obyektif
dari sebuah insiden / pelanggaran keamanan sistem informasi.
Metodologi umum dalam proses pemeriksaan insiden sampai
proses hukum:
1. Pengumpulan data/fakta dari sistem komputer (harddisk,
usb-stick, log, memory-dump, internet dll) – termasuk di dalamnya data yang
sdh terhapus
2.Mendokumentasikan fakta-fakta yang ditemukan dan menjaga
integritas data selama proses forensik dan hukum dengan proteksi fisik,
penanganan khusus, pembuatan image, dan menggunakan algoritma HASH untuk
pembuktian / verifikasi
3.Merunut kejadian (chain of events) berdasarkan waktu
kejadian
4.Memvalidasi kejadian2 tersebut dengan metode
“sebab-akibat”
5.Dokumentasi hasil yang diperoleh dan menyusun laporan
6.Proses hukum (pengajuan delik, proses persidangan, saksi
ahli, dll)
Prinsip:
– Forensik bukan proses Hacking
– Data yang didapat harus dijaga jangan berubah
– Membuat image dari HD / Floppy / USB-Stick / Memory-dump
adalah prioritas tanpa merubah isi, kadang digunakan hardware khusus
– Image tsb yang diotak-atik (hacking) dan dianalisis –
bukan yang asli
– Data yang sudah terhapus membutuhkan tools khusus untuk
merekonstruksi
– Pencarian bukti dengan: tools pencarian teks khusus, atau
mencari satu persatu dalam image
INVESTIGASI KASUS TEKNOLOGI INFORMASI
A.Prosedur Forensik yang biasa dilakukan Investigator
1.Membuat copies dari keseluruhan log data, files dll yang
dianggap perlu pada suatu media yang terpisah.
2.Membuat fingerprint dari data secara matematis (contoh
hashing algorithm, MD5).
3.Membuat fingerprint dari copies secara matematis.
4.Membuat suatu hashes masterlist.
5.Dokumentasi yang baik dari segala sesuatu yang telah
dikerjakan.
Selain itu perlu dilakukan investigasi lanjutan dengan
menggunakan metodologi forensikTI. Metode Search and seizure biasanya lebih
banyak digunakan dibanding metode pencarian informasi.
Metode Search dan Seizure
Selain melakukan tahap Search dan Seizure mulai dari
identifikasi sampai dengan evaluasi hipotesa, metode ini juga memberikan
penekanan dan batas-batas untuk investigator agar hipotesa yang dihasilkan
sangat akurat, yaitu:
1.Jangan merubah bukti asli
2.Jangan mengeksekusi program pada bukti (komputer) terutama
Operating Systemnya
3.Tidak mengijinkan tersangka untuk berinteraksi dengan
bukti (komputer)
4.Sesegera mungkin mem-backup bukti yang ada dalam komputer
tersangka. Jika pada saat diidentifikasi komputer masih menyala, jangan
dimatikan sampai seluruh data termasuk temporary selesai dianalisa dan
disimpan.
5.Rekam seluruh aktifitas investigasi
6.Jika perlu, pindahkan bukti ketempat penyimpanan yang
lebih aman.
PencarianInformasi
Hal-hal yang harus diperhatikan dalam pencarian informasi
sebagai bukti tambahan untuk memperkuat hipotesa, yaitu :
1.Jika melakukan penggalian informasi lebih dalam ke saksi,
gunakan wawancara interaktif, sehingga bukti yang ada dapat di cross-check agar
keberadaan bukti tersebut diakui oleh tersangka.
2.Jika memungkinkan, rekonstruksi dilakukan dengan / tanpa
tersangka sehingga apa yang masih belum jelas dapat tergambar dalam
rekonstruksi.
Data Recovery
Data recovery merupakan bagian dari analisa forensik yang
merupakan komponen penting untuk mengetahui apa yang telah terjadi, rekaman
data, korespondensi dan petunjuklainnya.
Pengelompokan Analisa Media
Pengelompokan ini bertujuan untuk mengetahui aliran dan
proses dalam media yang digunakan dalam kejahatan. Dari pengelompokan ini dapat
disimpan informasi penting yang didukung oleh sistem yang ada. Pengelompokan
dalam bentuk laporan ini diisi dengan keadaan fakta dilapangan.
Pembuatan Laporan dalam Analisa Media
Beberapa hal penting yang perlu dimasukkan dalam laporan
analisa media adalah sbb :
1.Tanggal dan waktu terjadinya pelanggaran hukum pada CPU
2.Tanggal dan waktu pada saat investigasi
3.Permasalahan yang signifikan terjadi
4.Masa berlaku analisa laporan
5.Penemuan yang berharga (bukti)
6.Teknik khusus yang dibutuhkan atau digunakan (contoh; password
cracker)
7.Bantuan pihak yang lain (pihak ketiga)
Pada saat penyidikan, pelaporan dalam bentuk worksheet ini
dicross-check dengan saksi yang ada, baik yang terlibat langsung maupun tidak
langsung.
Log Out Evidence –Visual Inspection and Inventory
Tahapan yang dilalui dalam inspeksi komputer secara visual
adalah :
1.Log out seluruh komputer untuk dianalisa lebih lanjut
2.Jika ada media penyimpanan
yang lain (CD / disket), diberi
label khusus agar bukti tersebut tetap utuh.
3.Inspeksi visual dilakukan dengan melakukan physical makeup
4.Buka casing CPU, identifikasi dan analisa sirkuit
internal, buatcatatan apa saja yang ada dalam
CPU tersebut. Catat juga kartu
tambahan (expansion cards) jika ada.
5.Beri rekomendasi apakah CPU tersebut bisa dijadikan
sebagai barang bukti fisik atau tidak.
6.Catat keseluruhan letak perangkat keras (harddisk, CD ROM,
RAM dsb)
7.Dokumentasikan dalam bentuk gambar sebelum dan sesudah
identifikasi dan analisa.
KOMENTAR SAYA:
Dapat disimpukan bahwa dunia IT sangat rentan sekali dengan
yang namanya cybercrime atau penyerangan terhadap sistem informasi berharga.
Dalam menangani kasus – kasus cybercrime dapat menggunakan ilmu IT forensik
untuk mengumpulkan fakta dan bukti pelanggaran dari sistem informasi, dan
menyelesaikan dengan metode yang digunakannya.
