IT Forensics
Apa itu IT
Forensics?
Sebelum membahas mengenai perbedaan "around the computer" dan
"through the computer" serta tools IT forensic, saya akan menjelaskan
mengenai apa itu IT forensic.
Menurut Wikipedia, IT forensic atau
forensic computer atau forensic digital adalah cabang forensic, TI forensic
berkaitan dengan penyelidikan insiden yang mencurigakan yang melibatkan IT
sistem dan penentuan fakta-fakta dan pelaku akuisisi, analisis, dan evaluasi
jejak digital dalam sistem computer.
DEFINISI IT FORENSIK
Definisi dari
IT Forensik yaitu suatu ilmu yang berhubungan dengan pengumpulan fakta dan
bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode yang
digunakan (misalnya metode sebab-akibat). Fakta-fakta tersebut setelah
diverifikasi akan menjadi bukti-bukti yang akan digunakan dalam proses
selanjutnya. Selain itu juga diperlukan keahlian dalam bidang IT ( termasuk
diantaranya hacking) dan alat bantu (tools) baik hardware maupun software untuk
membuktikan pelanggaran-pelanggaran yang terjadi dalam bidang teknologi sistem
informasi tersebut.
IT Forensik atau banyak ditempatkan dalam
berbagai keperluan, bukan hanya untuk menangani beberapa kasus kriminal
yangmelibatkan hukum,seperti rekonstruksi perkara insiden keamanan komputer,
upaya pemulihan kerusakan sistem,pemecahan masalah yang melibatkan hardware
ataupun software, dan dalam memahami sistem atau pun berbagai perangkat digital
agar mudah dimengerti
PENGERTIAN IT FORENSIK MENURUT PARA
AHLI
1. Menurut Noblett,
yaitu berperan untuk mengambil, menjaga, mengembalikan, dan menyajikan data
yang telah diproses secara elektronik dan disimpan dimedia komputer.
2. Menurut Judd
Robin, yaitu penerapan secara sederhana dari penyidikan komputer dan
teknik analisisnya untuk menentukan bukti-bukti hukum yang mungkin.
3. Menurut Ruby
Alamsyah (salah seorang ahli forensik IT Indonesia), digital
forensik atau terkadang disebut komputer forensik adalah ilmu yang menganalisa
barang bukti digital sehingga dapat dipertanggungjawabkan di pengadilan. Barang
bukti digital tersebut termasuk handphone, notebook, server, alat teknologi
apapun yang mempunyai media penyimpanan dan bisa dianalisa.
SEJARAH IT
FORENSIK
Pada tahun 2002
diperkirakan terdapat sekitar 544 juta orang terkoneksi secara online.
Meningkatnya populasi orang yang terkoneksi dengan internet akan menjadi
peluang bagi munculnya kejahatan komputer dengan beragam variasi kejahatannya.
Dalam hal ini terdapat sejumlah tendensi dari munculnya berbagai gejala
kejahatan komputer, antara lain:
a.
Permasalahan finansial. Cybercrime adalah alternatif
baru untuk mendapatkan uang. Perilaku semacam carding (pengambil alihan hak
atas kartu kredit tanpa seijin pihak yang sebenarnya mempunyai otoritas),
pengalihan rekening telepon dan fasilitas lainnya, ataupun perusahaan dalam
bidang tertentu yang mempunyai kepentingan untuk menjatuhkan kompetitornya
dalam perebutan market, adalah sebagian bentuk cybercrime dengan tendensi
finansial.
b.
Adanya permasalahan terkait dengan persoalan politik,
militer dan sentimen Nasionalisme.
c.
Salah satu contoh adalah adanya serangan hacker pada
awal tahun 1990, terhadap pesawat pengebom paling rahasia Amerika yaitu Stealth
Bomber. Teknologi tingkat tinggi yang terpasang pada pesawat tersebut telah
menjadi lahan yang menarik untuk dijadikan ajang kompetisi antar negara dalam
mengembangkan peralatan tempurnya.
d.
Faktor kepuasan pelaku, dalam hal ini terdapat
permasalahan psikologis dari pelakunya.
e.
Terdapat kecenderungan bahwasanya seseorang dengan
kemampuan yang tinggi dalam bidang penyusupan keamanan akan selalu tertantang
untuk menerobos berbagai sistem keamanan yang ketat. Kepuasan batin lebih
menjadi orientasi utama dibandingkan dengan tujuan finansial ataupun sifat
sentimen.
“Elemen penting dalam penyelesaian masalah keamanan
dan kejahatan dunia komputer adalah penggunaan sains dan teknologi itu sendiri.
Dalam hal ini sains dan teknologi dapat digunakan oleh fihak berwenang seperti:
penyelidik, kepolisian, dan kejaksaan untuk mengidentifikasi tersangka pelaku
tindak criminal”.
“Bukti digital (Digital Evidence) merupakan
salah satu perangkat vital dalam mengungkap tindak cybercrime. Dengan
mendapatkan bukti-bukti yang memadai dalam sebuah tindak kejahatan, Bukti
Digital yang dimaksud dapat berupa adalah : E-mail, file-file wordprocessors, spreadsheet,
sourcecode dari perangkat lunak, Image, web browser, bookmark, cookies,
Kalender”.
Ada 4 Elemen Forensik:
1. Identifikasi
bukti digital
2. Penyimpanan
bukti digital
3. Analisa bukti
digital
4. Presentasi
bukti digital
TUJUAN IT FORENSIK
Tujuan dari IT forensik itu sendiri adalah untuk
mengamankan dan menganalisa bukti-bukti digital. Menurut Noblett, yaitu
berperan untuk mengambil, menjaga, mengembalikan, dan menyajikan data yang
telah diproses secara elektronik dan disimpan di media komputer.
Menurut Judd Robin, yaitu penerapan secara sederhana dari penyidikan komputer dan teknik analisisnya untuk menentukan bukti-bukti hukum yang mungkin. Tujuan IT forensik:
Menurut Judd Robin, yaitu penerapan secara sederhana dari penyidikan komputer dan teknik analisisnya untuk menentukan bukti-bukti hukum yang mungkin. Tujuan IT forensik:
1.
Untuk membantu memulihkan, menganalisa, dan
mempresentasikan materi/entitas berbasis digital atau elektronik sedemikian
rupa sehingga dapat dipergunakan sebagai alat buti yang sah di pengadilan
2.
Untuk mendukung proses identifikasi alat bukti dalam
waktu yang relatif cepat, agar dapat diperhitungkan perkiraan potensi dampak
yang ditimbulkan akibat perilaku jahat yang dilakukan oleh kriminal terhadap
korbannya, sekaligus mengungkapkan alasan dan motivitasi tindakan tersebut
sambil mencari pihak-pihak terkait yang terlibat secara langsung maupun tidak
langsung dengan perbuatan tidak menyenangkan dimaksud.
ALASAN MENGAPA MENGGUNAKAN IT FORENSIK, ANTARA LAIN.
Dalam kasus hukum, teknik digital
forensik sering digunakan untuk meneliti sistem komputer milik terdakwa (dalam
perkara pidana) atau tergugat (dalam perkara perdata).
·
Memulihkan data dalam hal suatu hardware atau software
mengalami kegagalan/kerusakan (failure).
·
Meneliti suatu sistem komputer setelah suatu
pembongkaran/pembobolan, sebagai contoh untuk menentukan bagaimana penyerang
memperoleh akses dan serangan apa yang dilakukan.
·
Mengumpulkan bukti menindak seorang karyawan yang
ingin diberhentikan oleh suatu organisasi.
·
Memperoleh informasi tentang bagaimana sistem komputer
bekerja untuk tujuan debugging, optimisasi kinerja, atau membalikkan
rancang-bangun.
SIAPA YANG MENGGUNAKAN IT FORENSIK?
Network Administrator merupakan
sosok pertama yang umumnya mengetahui keberadaan cybercrime sebelum sebuah
kasus cybercrime diusut oleh pihak yang berwenang. Ketika pihak yang berwenang
telah dilibatkan dalam sebuah kasus, maka juga akan melibatkan elemenelemen
vital lainnya, antara lain:
1. Petugas
Keamanan (Officer/as a First Responder)
Memiliki
kewenangan tugas antara lain : mengidentifikasi peristiwa, mengamankan bukti,
pemeliharaan bukti yang temporer dan rawan kerusakan.
2. Penelaah
Bukti (Investigator)
Sosok yang
paling berwenang dan memiliki kewenangan tugas antara lain: menetapkan
instruksi-instruksi, melakukan pengusutan peristiwa kejahatan, pemeliharaan
integritas bukti.
3. Tekhnisi Khusus
Memiliki kewenangan tugas antara
lain : memeliharaan bukti yang rentan kerusakan dan menyalin storage bukti,
mematikan (shuting down) sistem yang sedang berjalan, membungkus/memproteksi
bukti-bukti, mengangkut bukti dan memproses bukti. IT forensic digunakan saat
mengidentifikasi tersangka pelaku tindak kriminal untuk penyelidik, kepolisian,
dan kejaksaan.
PENGETAHUAN YANG DIPERLUKAN IT FORENSIK
Dasar-dasar hardware dan pemahaman bagaimana umumnya
sistem operasi bekerja
Bagaimana partisi drive, hidden partition, dan di mana tabel partisi bisa ditemukan pada sistem operasi yang berbeda. Bagaimana umumnya master boot record tersebut dan bagaimana drive geometry. Pemahaman untuk hide, delete, recover file dan directory bisa mempercepat pemahaman pada bagaimana tool forensik dan sistem operasi yang berbeda bekerja.
Familiar dengan header dan ekstension file yang bisa jadi berkaitan dengan file tertentu
Bagaimana partisi drive, hidden partition, dan di mana tabel partisi bisa ditemukan pada sistem operasi yang berbeda. Bagaimana umumnya master boot record tersebut dan bagaimana drive geometry. Pemahaman untuk hide, delete, recover file dan directory bisa mempercepat pemahaman pada bagaimana tool forensik dan sistem operasi yang berbeda bekerja.
Familiar dengan header dan ekstension file yang bisa jadi berkaitan dengan file tertentu
TOOLS DALAM IT FORENSIK
Dalam IT Forensik, terdapat beberapa
tools atau peralatan yang umum digunakan. Tools yang dimaksud adalah:
1. Antiword
Antiword
merupakan sebuah aplikasi yang digunakan untuk menampilkan teks dan gambar
dokumen Microsoft Word. Antiword hanya mendukung dokumen yang dibuat oleh MS
Word versi 2 dan versi 6 atau yang lebih baru.
2. Autopsy
The Autopsy
Forensic Browser merupakan antarmuka grafis untuk tool analisis investigasi
diginal perintah baris The Sleuth Kit. Bersama, mereka dapat menganalisis disk
dan filesistem Windows dan UNIX (NTFS, FAT, UFS1/2, Ext2/3).
3. Binhash
Binhash merupakan
sebuah program sederhana untuk melakukan hashing terhadap berbagai bagian file ELF
dan PE untuk perbandingan. Saat ini ia melakukan hash terhadap segmen header
dari bagian header segmen obyek ELF dan bagian segmen header obyekPE.
4. Sigtool
Sigtcol
merupakan tool untuk manajemen signature dan database ClamAV. sigtool dapat
digunakan untuk rnenghasilkan checksum MD5, konversi data ke dalam format
heksadesimal, menampilkan daftar signature virus dan build/unpack/test/verify
database CVD dan skrip update.
5. ChaosReader
ChaosReader
merupakan sebuah tool freeware untuk melacak sesi TCP/UDP/… dan mengambil data
aplikasi dari log tcpdump. la akan mengambil sesi telnet, file FTP, transfer
HTTP (HTML, GIF, JPEG,…), email SMTP, dan sebagainya, dari data yang ditangkap
oleh log lalu lintas jaringan. Sebuah file index html akan tercipta yang
berisikan link ke seluruh detil sesi, termasuk program replay realtime untuk
sesi telnet, rlogin, IRC, X11 atau VNC; dan membuat laporan seperti laporan
image dan laporan isi HTTP GET/POST.
6. Cchkrootkit
Chkrootkit merupakan
sebuah tool untuk memeriksa tanda-tanda adanya rootkit secara lokal. la akan
memeriksa utilitas utama apakah terinfeksi, dan saat ini memeriksa sekitar 60
rootkit dan variasinya.
7. Ddcfldd
Tool ini
mulanya dikembangkan di Department of Defense Computer Forensics Lab (DCFL).
Meskipun saat ini Nick Harbour tidak lagi berafiliasi dengan DCFL, ia tetap
memelihara tool ini.
8. Ddrescue
GNU ddrescue
merupakan sebuah tool penyelamat data, la menyalinkan data dari satu file atau
device blok (hard disc, cdrom, dsb.) ke yang lain, berusaha keras menyelamatkan
data dalam hal kegagalan pembacaan. Ddrescue tidak memotong file output bila
tidak diminta. Sehingga setiap kali anda menjalankannya kefile output yang
sama, ia berusaha mengisi kekosongan.
9. Fforemost
Foremost merupakan
sebuah tool yang dapat digunakan untuk me-recover file berdasarkan header,
footer, atau struktur data file tersebut. la mulanya dikembangkan oleh Jesse
Kornblum dan Kris Kendall dari the United States Air Force Office of Special
Investigations and The Center for Information Systems Security Studies and
Research. Saat ini foremost dipelihara oleh Nick Mikus seorang Peneliti di the
Naval Postgraduate School Center for Information Systems Security Studies and
Research.
10. Gqview
Gqview
merupakan sebuah program untuk melihat gambar berbasis GTK la mendukung beragam
format gambar, zooming, panning, thumbnails, dan pengurutan gambar.
11. Galleta
Galleta merupakan sebuah
tool yang ditulis oleh Keith J Jones untuk melakukan analisis forensic terhadap
cookie Internet Explorer.
12. Ishw
Ishw (Hardware
Lister) merupakan sebuah tool kecil yang memberikan informasi detil mengenai
konfigurasi hardware dalam mesin. la dapat melaporkan konfigurasi memori dengan
tepat, versi firmware, konfigurasi mainboard, versi dan kecepatan CPU,
konfigurasi cache, kecepatan bus, dsb. Pada sistem t>MI-capable x86 atau
sistem EFI.
13. Pasco
Banyak penyelidikan kejahatan
komputer membutuhkan rekonstruksi aktivitas Internet tersangka. Karena teknik
analisis ini dilakukan secara teratur, Keith menyelidiki struktur data yang
ditemukan dalam file aktivitas Internet Explorer (file index.dat). Pasco, yang
berasal dari bahasa Latin dan berarti “browse”, dikembangkan untuk menguji isi
file cache Internet Explorer. Pasco akan memeriksa informasi dalam file
index.dat dan mengeluarkan hasil dalam field delimited sehingga dapat diimpor
ke program spreadsheet favorit Anda.
14. Scalpel
Calpel adalah sebuah tool forensik yang dirancang untuk
mengidentifikasikan, mengisolasi dan merecover data dari media komputer selama
proses investigasi forensik. Scalpel mencari hard drive, bit-stream image,
unallocated space file, atau sembarang file komputer untuk karakteristik, isi
atau atribut tertentu, dan menghasilkan laporan mengenai lokasi dan isi artifak
yang ditemukan selama proses pencarian elektronik. Scalpel juga menghasilkan
(carves) artifak yang ditemukan sebagai file individual.
IT Audit
IT Audit
merupakan bentuk pengawasan dan pengendalian dari infrastruktur teknologi
informasi secara menyeluruh. Audit teknologi informasi ini dapat berjalan
bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan
dan evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal dengan audit
pemrosesan daa elektronik, dan sekarang audit teknologi informasi secara umum
merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi
dalam perusahaan itu.
Istilah lain
dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk
menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara
efektif, dan integratif dalam mencapai target organisasinya.
Tujuan IT Audit
IT Audit
bertujuan untuk meninjau dan mengevaluasi faktor-faktor ketersediaan
(availability), kerahasiaan (confidentiality) dan keutuhan(integrity) dari
sistem informasi organisasi.
Jenis-jenis IT
AUDIT.
- Sistem dan Aplikasi. yaitu Audit yang berfungsi untuk memeriksa apakah sistem dan aplikasi sesuai dengan kebutuhan organisasi, berdayaguna, dan memiliki kontrol yang cukup baik untuk menjamin keabsahan, kehandalan, tepat waktu, dan keamanan pada input, proses, output pada semua tingkat kegiatan sistem.
- Fasilitas Pemrosesan Informasi. Audit yang berfungsi untuk memeriksa apakah fasilitas pemrosesan terkendali untuk menjamin ketepatan waktu, ketelitian, dan pemrosesan aplikasi yang efisien dalam keadaan normal dan buruk.
- Pengembangan Sistem. Audit yang berfungsi untuk memeriksa apakah sistem yang dikembangkan mencakup kebutuhan obyektif organisasi.
- Arsitektur perusahaan dan manajemen TI. Audit yang berfungsi untuk memeriksa apakah manajemen TI dapat mengembangkan struktur organisasi dan prosedur yang menjamin kontrol dan lingkungan yang berdaya guna untuk pemrosesan informasi.
- Client/Server, Telekomunikasi, Intranet dan Internet. Suatu audit yang berfungsi untuk memeriksa apakah kontrol-kontrol berfungsi pada client, server, dan jaringan yang menghubungkan client dan server.
Perbedaan Auditing Around The Computer dan Through The
Computer
Auditing adalah
proses sistematik dengan tujuan untuk mendapatkan dan mengevaluasi fakta yang
berkaitan dengan asersi mengenai kejadian dan tindakan ekonomi untuk memastikan
kesesuaian antara asersi dengan kriteria yang ditetapkan dan mengkomunikasikan
hasilnya kepada pemakai yang berkepentingan.
Auditing-around the computer
Pendekatan
audit dengan memperlakukan komputer sebagai kotak hitam, teknik ini tidak
menguji langkah langkah proses secara langsung, hanya berfokus pada input dan
output dari sistem computer.
Keunggulan metode Audit around computer
:
1. Pelaksanaan audit lebih sederhana.
2. Auditor yang memiliki pengetahuan minimal di bidang
komputer dapat dilihat dengan mudah untuk melaksanakan audit.
Kelemahannya:
- Umumnya data base mencakup jumlah data yang banyak dan sulit untuk ditelusuri secara manual
- Tidak membuat auditor memahami sistem computer lebih baik
- Mengabaikan pengendalian sistem, sehingga rawan terhadap kesalahan dan kelemahan potensial dalam system.
- Lebih berkenaan dengan hal yang lalu dari pada audit yang preventif
- Kemampuan computer sebagai fasilitas penunjang audit mubazir
- Tidak mencakup keseluruhan maksud dan tujuan audit
Auditing-through the computer
Pendekatan
audit yang berorientasi computer yang secara langsung berfokus pada operasi
pemrosesan dalam system computer dengan asumsi bila terdapat pengendalian yang
memadai dalam pemrosesan, maka kesalahan dan penyalahgunaan dapat dideteksi.
Keunggulan pendekatan Audit Through the
computer :
1. Auditor memperoleh kemampuasn yang besar dan efketif
dalam melakukan pengujian terhadap sistem komputer.
2.
Auditor akan
merasa lebih yakin terhadap kebenaran hasil kerjanya.
3. Auditor dapat melihat kemampuan sistem komputer
tersebut untuk menghadapi perubahan lingkungan.
PERBEDAAN ANTARA AUDIT AROUND THE COMPUTER DENGAN AUDIT THROUGH THE
COMPUTER
Perbedaan
antara audit around the computer dengan audit through
the computer dilihat dari prosedur lembar kerja IT audit.
AUDIT AROUND
THE COMPUTER
|
AUDIT THROUG
THE COMPUTER
|
1. Sistem harus
sederhana dan berorientasi pada sistem batch.
Pada umumnya sistem batch komputer merupakan suatu pengembangan langsung
dari sistem manual.
2. Melihat
keefektifan biaya.
Seringkali keefektifan biaya dalam Audit Around The Computer pada saat
aplikasi yang digunakan untuk keseragaman kemasan dalam program software.
3. Auditor harus
besikap userfriendly.
Biasanya pendekatan sederhana yang berhubungan dengan audit dan dapat
dipraktekkan oleh auditor yang mempunyai pengetahuan teknik tentang komputer.
|
1. Volume input dan output.
Input dari
proses sistem aplikasi dalam volume besar dan output yang dihasilkan dalam
volume yang sangat besar dan luas. Pengecekan langsung dari sistem input dan
output yang sulit dikerjakan.
2. Pertimbangan efisiensi.
Karena adanya
pertimbangan keuntungan biaya, jarak yang banyak dalam uji coba penampakan
audit adalah biasa dalam suatu sistem.
|
Sumber :
Tidak ada komentar:
Posting Komentar