IT Forensic (Detectiv Cyber)

IT Forensic (Detectiv Cyber)

 

IT Forensik adalah penggunaan sekumpulan prosedur untuk melakukan pengujian secara menyeluruh suatu sistem komputer dengan mempergunakan software atau tools untuk memelihara, mengamankan dan menganalisa barang bukti digital dari suatu tindakan kriminal yang telah diproses secara elektronik dan disimpan di media komputer.

Kita tahu banyak sekali kasus di dunia IT computer, dan pada umumnya kita sebagai orang awam kesusahan untuk membuktikan telah terjadinya penyalahgunaan sistem kita oleh orang lain. Lain halnya dengan pihak kepolisian yang saat ini telah berbenah diri untuk dapat mengungkap kasus demi kasus di dunia cyber dan komputer ini.

Komputer forensik, suatu disiplin ilmu baru di dalam keamanan komputer, yang membahas atas temuan bukti digital setelah suatu peristiwa keamanan komputer terjadi. Komputer forensik akan lakukan analisa penyelidikan secara sistematis dan harus menemukan bukti pada suatu sistem digital yang nantinya dapat dipergunakan dan diterima di depan pengadilan, otentik, akurat, komplit, menyakinkan dihadapan juri, dan diterima didepan masyarakat. Hal ini dilakukan oleh pihak berwajib untuk membuktikan pidana dari tindak suatu kejahatan. Maka saat ini menjadi seorang detective tidak hanya didunia nyata tapi juga didunia cyber. Coba kita bayangkan seorang hacker telah berhasil masuk ke system kita atau merubah data kita, baik itu menyalin, menghapus, menambah data baru, dll, Susah untuk kita buktikan karena keterbatasan alat dan tools. Dengan metode computer forensic kita dapat melakukan analisa seperti layaknya kejadian olah TKP….

Apa saja peralatan yang dibutuhkan untuk menjadi seorang detective cyber ini ?

Yang pasti peralatan standar polisi seperti, rompi anti peluru, dll, namun tidak seperti polisi biasa seperti pasukan khusus atau penjinak bom, detektif cyber ini atau forensic dunia digital ini dilengkapi dengan peralatan lain seperti hardware dan software tertentu, dan yang pasti mereka mengerti dan menguasai OS tertentu, misal Windows, Linux atau OS lain. Dari segi hardware dilengkapi dengan lampu senter, laptop, kamera digital dan computer forensics toolkit.

Hardware disini bisa berupa sebuah computer khusus seperti FREDM (Forensics Recovery of Evidence Device, Modular), FRED (Forensics Recovery of Evidence Device) FREDDIE (Forensics Recovery of Evidence Device Diminutive Interrogation Equipment).

Tool hardware lain seperti ;
· Hardisk kapasitas besar (minimal 250 GB)
· IDE ribbon cable
· Boot Disk atau utility akusisi data
· Laptop IDE 40 pin adapter
· IDE Disk ekternal write protector
· Kantong plastic anti-static
· Label untuk barang bukti

Software khususnya ;
· Forensics Data seperti : En case, Safe Back, Norton Ghost
· Password Recovery toolkit
· Pembangkit data setelah delete : WipeDrive dan Secure Clean
· Menemukan perubahan data digital : DriveSpy
· dll
Apa yang harus dilakukan oleh seorang forensics atau detective ini setelah penyitaan barang bukti ?
Prosedurnya hampir sama dengan yang biasa pada kepolisian namun ada beberapa hal yang menjadi catatan, yaitu ;
· dilengkapi surat perintah sita dan menunjukan apa yang akan disita
· metode penyimpanan, pengantar dan penjagaan barang bukti harus terjamin.
· penyitaan biasanya tidak hanya computer tapi bisa juga peralatan lain yang dapat meyimpan data dan sebagai alat   komunikasi data, mis : mesin fax, telpon hp, printer, PDA, DVD rec, camera digital mesin fotocopy, dll
· kita tidak boleh melakukan booting pc atau laptop tersebut, kita harus membuat image restorenya atau raw datanya.
· Jangan pernah menyalin, menulis bahkan menghapus data yang ada di disk tersangka walaupun itu termasuk file yang tidak penting
· Kita harus dapat menelaah dan menganalisa terhadap barang bukti
· Catatlah sebuah temuan, perubahan, dan kegiatan yang kita lakukan
· Lakukan percobaan berulang kali dan pastikan hasilnya sama

Tadi dibilang dalam langkah setelah penyitaan adalah kita tidak boleh melakukan booting pada mesin tersebut, mengapa dan lantas gimana kita mengetahui isi dari hardisknya ? OK maksudnya kenapa kita ngak boleh boot dari mesin korban karena bisa saja pada saat kita boot dari hardisknya, tersangka telah membuat semacam script yang apabila kita melakukan boot tidak dengan cara yang dibuatnya maka isi dari seluruh hardisk nya akan hancur alias
terhapus. Atau bisa saja pada saat di boot maka struktur file dan system OS nya berubah secara total, karena setiap OS cenderung mempunyai karakteristik masing-masing.

Nah agar kita aman dan tidak merusah data yang ada didalam hardisk mesin tersebut, kita dapat melakukan berbagai cara, diantaranya telah menjadi standar adalah dengan membuat raw image copy dari hardisk tersangka, dengan jalan mencabut hardisk dan memasangkannya pada IDE (ATA) port ke computer forensic kita. Pada proses ini kita harus ekstra hati-hati karena bisa saja secara tidak sengaja kita menghapus filenya, maka kita memerlukan suatu alat
disebut sebagai IDE HARDWARE BASED BLOCK WRITE BLOCKER seperti dari FireFly.

Untuk memindahkan datanya tanpa menganggu file tersangka kita dapat menggunakan Norton Ghost atau encase untuk menyalin datanya agar dapat kita pelajari lebih jauh, intinya Norton ghost dan Encase membuat restore datanya. Analisa terhadap barang bukti bertujuan untuk membentuk petunjuk yang ada, mengidentifikas
tersangka, format data, pengembangan barang bukti mengrekontruksi kejahatan yang dilakukan dan mengumpulkan lebih banyak data. Data yang didapat mungkin saja mengarah ke IP address tertentu, nama-nama file yang ada, system name, jenis file dan isinya, software yang terinstall, motif, cara dan tools lain yang digunakan dapat kita ungkap. Format data harus menjadi perhatian kita karena ada banyak system yang standar sampai yang non standar, data yang terkompresi, dienkrpsi biasanya data yang menjadi perhatian adalah data yang telah dihapus atau sengaja disembunyikan dengan metode enkripsi tertentu.

Computer forensics sangat berhubungan dengan pembuktian fakta maupun interpretasi, fakta dikumpulkan dan didokumentasi, sedangkan interpretasi bersifat subyektif, untuk itu kebenaran harus dapat diturunkan daro eksperiman.

IT Forensik merupakan Ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode yang digunakan (misalnya metode sebab-akibat), di mana IT Forensik bertujuan untuk mendapatkan fakta-fakta objektif dari sistem informasi. Fakta-fakta tersebut setelah di verifikasi akan menjadi bukti-bukti yang akan di gunakan dalam proses hukum, selain itu juga memerlukan keahlian dibidang IT (termasuk diantaranya hacking) dan alat bantu (tools) baik hardware maupun software.

Contoh barang bukti dalam bentuk elektronik atau data seperti :
•Komputer

•Hardisk

•MMC

•CD

•Flashdisk

•Camera Digital

•Simcard/hp

Data atau barang bukti tersebut diatas diolah dan dianalisis menggunakan software dan alat khusus untuk dimulainya IT Forensik, Hasil dari IT Forensik adalah sebuah Chart data Analisis komunikasi data target.

Berikut prosedur forensik yang umum di gunakan antara lain :
•Membuat copies dari keseluruhan log data, files, daln lain-lain yang dianggap perlu pada media terpisah.

•Membuat fingerprint dari data secara matematis.

•Membuat fingerprint dari copies secara otomatis.

•Membuat suatu hashes masterlist.

•Dokumentasi yang baik dari segala sesuatu yang telah dikerjakan.

Sedangkan tools yang biasa digunakan untuk kepentingan komputer forensik, secara garis besar dibedakan secara hardware dan software. Hardware tools forensik memiliki kemampuan yang beragam mulai dari yang sederhana dengan komponen singlepurpose seperti write blocker sampai sistem komputer lengkap dengan kemampuan server seperti F.R.E.D (Forensic Recovery of Evidence Device). Sementara software tools forensik dapat dikelompokkan kedalam dua kelompok yaitu aplikasi berbasis command line dan aplikasi berbasis GUI.

Berikut contoh Software tools forensik, yaitu :
•Viewers

•Erase/Unerase tools: (Diskscrub/Norton utilities)
•Hash utility (MD5, SHA1)
•Text search utilities
)
•Drive imaging utilities (Ghost, Snapback, Safeback)

•Forensic toolkits. Unix/Linux: TCT The Coroners Toolkit/ForensiX dan Windows: Forensic Toolkit

•Disk editors (Winhex)

•Forensic acquisition tools (DriveSpy, EnCase, Safeback, SnapCopy)

•Write-blocking tools : untuk memproteksi bukti-bukti.

Salah satu aplikasi yang dapat digunakan untuk analisis digital adalah Forensic Tools Kit (FTK) dari Access Data Corp. FTK sebenarnya adalah aplikasi yang sangat memadai untuk kepentingan implementasi komputer forensik. Tidak hanya untuk kepentingan analisa bukti digital saja, juga untuk kepentingan pemrosesan bukti digital serta pembuatan laporan akhir untuk kepentingan presentasi bukti digital.

IT Forensic dan Mobile Forensic

Definisi

Dengan semakin berkembanganya dunia IT semakin banyak pula oknum-oknum yang tidak bertanggungjawab menyalahgunakan IT untuk kepentingan diri sendiri dan merugikan

banyak pihak.

Tujuan

IT forensic Bertujuan untuk mendapatkan fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi.

Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-bukti (evidence) yang akan digunakan dalam proses hukum.

Beberapa pengertian tentang IT Forensic:

* Ilmu yang berhubungan dengan

pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode yang digunakan (misalnya metode sebab-akibat)

* Memerlukan keahlian dibidang IT

( termasuk diantaranya hacking) dan alat bantu (tools) baik hardware maupun software.

Forensic Tool Testing : Program pengujian ini telah dipertimbangkan

oleh berbagai organisasi. Pengujian alat itu penting dari sisi teknologi

informasi (IT), untuk memastikan perangkat lunak dan keras beroperasi seperti yang diharapkan.

Institute of Electrical and Electronics Engineers (IEEE) telah menetapkan standar sejak tahun 1993

untuk pengujian alat. Organisasi internasional untuk standarisasi dan komisi elektronik (ISO/IEC) mendirikan persyaratan umum untuk pengujian

kompetensi dan pencocokan laboratorium (ISO/ IEC 17025) pada tahun 1999 (“Methodology pengujian umum”,2001).

NIST merupakan alat penguji komputer forensik (CFTT), maksud yang benar dari program ini adalah prespektif teknis.

NIST menetapkan beberapa persyaratan umum untuk pengujian alat, yaitu :

1. Menetapkan kategori dan syarat forensik

2. Mengidentifikasi persyaratan untuk kategori tertentu

3. Mengembangkan uji pernyataan berdasarkan persyaratan

4. Mengembangkan uji kode untuk pernyataan

5. Mengidentifikasi uji kasus yang relevan

6. Mengembangkan pengujian metode dan prosedur

7. Laporan hasil uji

Tools Pada Mobile Forensik

Tools atau alat bantu dalam penyelidikan yang terpaut dengan mobile forensik banyak tersaji, tapi tak jarang yang bisa di jadikan alat bantu tercepat dan termudah.

Dua diantara banyak alat bantu berupa perangkat lunak berikut adalah yang termudah penggunaannya dan tercepat prosesnya, demikian :

1. PARABEN

Paraben Device Seizure dirancang untuk memungkinkan peneliti untuk memperoleh data yang terdapat pada ponsel, smartphones, GPS dan perangkat PDA tanpa mempengaruhi

integritas data.

Dengan ponsel, ia dirancang untuk mengambil data seperti nomor telepon, tanggal, gambar, riwayat panggilan, dan dump data penuh (mirip dengan dump flasher). Ini juga menyediakan pilihan beberapa analitik dengan built in mesin pencari serta alat-alat manajemen kasus seperti bookmark dan data impor.

2. XRY

XRY adalah aplikasi software yang dirancang untuk berjalan pada sistem operasi Windows yang memungkinkan Anda untuk melakukan ekstraksi data forensik yang aman dari berbagai macam perangkat mobile, seperti

smartphone, gps navigasi unit, modem 3G, pemutar musik portabel dan tablet terbaru prosesor seperti iPad. XRY dikembangkan oleh Micro Systemation AB, (www.msab.com).

Mengekstrak Data dari ponsel / telepon seluler adalah keterampilan spesialis dan tidak sama dengan memulihkan informasi dari komputer.

Kebanyakan perangkat mobile tidak berbagi sistem operasi yang sama dan perangkat embedded proprietary yang memiliki konfigurasi yang unik dan sistem operasi.

Ada beberapa varian yang berbeda tersedia XRY tergantung pada kebutuhan Anda:

1. XRY Logis

XRY logis adalah solusi perangkat lunak

berbasis untuk setiap PC berbasis Windows, lengkap dengan perangkat keras yang diperlukan untuk penyelidikan forensik perangkat mobile. XRY adalah standar dalam forensik perangkat mobile dan pilihan pertama di antara lembaga penegak hukum di seluruh dunia.

2. XRY Fisik

XRY fisik adalah paket perangkat lunak untuk pemulihan fisik data dari perangkat mobile. Dump memori dari masing-masing perangkat individu adalah sebuah struktur data yang

kompleks, sehingga Systemation Micro telah mengembangkan XRY fisik untuk membuatnya lebih mudah untuk menavigasi ini kekayaan informasi.

3. XRY Complete

XRY lengkap adalah sistem semua-In-satu forensik mobile dari Systemation Mikro, menggabungkan kedua solusi kami logis dan fisik ke dalam satu paket. XRY Lengkap memungkinkan peneliti akses penuh ke semua metode yang mungkin untuk memulihkan data dari perangkat mobile.

XRY adalah tujuan dibangun solusi perangkat lunak berbasis, lengkap dengan semua perangkat keras yang diperlukan untuk memulihkan data dari perangkat mobile dengan cara forensik aman.

 

Referensi: Detectiv cyber.pdf