Sejarah IT
Forensik
Pada tahun 2002 diperkirakan terdapat
sekitar 544 juta orang terkoneksi secara online. Meningkatnya populasi orang
yang terkoneksi dengan internet akan menjadi peluang bagi munculnya kejahatan
komputer dengan beragam variasi kejahatannya. Dalam hal ini terdapat sejumlah
tendensi dari munculnya berbagai gejala kejahatan komputer, antara lain :
A.
Permasalahan
finansial. Cybercrime adalah alternatif baru untuk mendapatkan uang. Perilaku
semacam carding (pengambil alihan hak atas kartu kredit tanpa seijin pihak yang
sebenarnya mempunyai otoritas), pengalihan rekening telepon dan fasilitas
lainnya, ataupun perusahaan dalam bidang tertentu yang mempunyai kepentingan
untuk menjatuhkan kompetitornya dalam perebutan market, adalah sebagian bentuk
cybercrime dengan tendensi finansial.
B.
Adanya
permasalahan terkait dengan persoalan politik, militer dan sentimen
Nasionalisme.
C.
Salah satu contoh
adalah adanya serangan hacker pada awal tahun 1990, terhadap pesawat pengebom
paling rahasia Amerika yaitu Stealth Bomber. Teknologi tingkat tinggi yang
terpasang pada pesawat tersebut telah menjadi lahan yang menarik untuk
dijadikan ajang kompetisi antar negara dalam mengembangkan peralatan tempurnya.
D.
Faktor kepuasan
pelaku, dalam hal ini terdapat permasalahan psikologis dari pelakunya.
E.
Terdapat
kecenderungan bahwasanya seseorang dengan kemampuan yang tinggi dalam bidang
penyusupan keamanan akan selalu tertantang untuk menerobos berbagai sistem
keamanan yang ketat. Kepuasan batin lebih menjadi orientasi utama dibandingkan
dengan tujuan finansial ataupun sifat sentimen.
Pengertian
IT Forensik
IT Forensik adalah cabang dari ilmu
komputer tetapi menjurus ke bagian forensik yaitu berkaitan dengan bukti hukum
yang ditemukan di komputer dan media penyimpanan digital. Komputer forensik
juga dikenal sebagai Digital Forensik yang terdiri dari aplikasi dari ilmu
pengetahuankepada indetifikasi, koleksi, analisa, dan pengujian dari bukti
digital. IT Forensik adalah penggunaan sekumpulan prosedur untuk melakukan
pengujian secara menyeluruh suatu sistem komputer dengan mempergunakan software
dan tool untuk memelihara barang bukti tindakan kriminal. IT forensik dapat
menjelaskan keadaan artefak digital terkini. Artefak Digital dapat mencakup
sistem komputer, media penyimpanan (seperti hard disk atau CD-ROM, dokumen
elektronik (misalnya pesan email atau gambar JPEG) atau bahkan paket-paket yang
secara berurutan bergerak melalui jaringan. Bidang IT Forensik juga memiliki
cabang-cabang di dalamnya seperti firewall forensik, forensik jaringan ,
database forensik, dan forensik perangkat mobile.
· Menurut Noblett,
yaitu berperan untuk mengambil, menjaga, mengembalikan, dan menyajikan data
yang telah diproses secara elektronik dan disimpan di media komputer.
·
Menurut Judd
Robin, yaitu penerapan secara sederhana dari penyidikan komputer dan teknik
analisisnya untuk menentukan bukti-bukti hukum yang mungkin.
·
Menurut Ruby
Alamsyah (salah seorang ahli forensik IT Indonesia), digital forensik atau
terkadang disebut komputer forensik adalah ilmu yang menganalisa barang bukti
digital sehingga dapat dipertanggungjawabkan di pengadilan. Barang bukti
digital tersebut termasuk handphone, notebook, server, alat teknologi apapun
yang mempunyai media penyimpanan dan bisa dianalisa.
Pada praktiknya terdapat beberapa cabang pekerjaan
untuk IT Forensik yang lebih spesifik seperti :
·
Database Forensik
Mengumpulkan dan menganalisis
database/table ataupun transaksi yang spesifik untuk merekonstruksi data atau
event yang telah terjadi pada sisten. Sistem database yang memiliki fitur log
audit akan memudahkan pekerjaan ini.
·
Network Forensik
Melihat dan melakukan penelurusan terhadap
traffic network untuk memeriksa kejanggalan. Contohnya pemeriksaan paket data
yang meningkat secara tidak wajar dan kemungkinan terjadinya serangan DDoS.
·
Mobile device
Forensik
Perkembangan penggunaan smartphone semakin
meningkat, penyimpanan data pada setiap individu ataupun komunikasi yang
dilakukan lewat device mobile dapat dilacak sepenuhnya berdasarkan history yang
tercatat pada log system, misalnya smartphone berbasis android.
·
Fotografi Forensik
Salah satu teknik forensik menggunakan
analisa vektor untuk pembuktian media seperti video digital yang kualitasnya
buruk. Pelaku memalsukan bukti menggunakan teknik pengolahan media seperti foto
maupun video untuk menghindari kemungkinan dirinya menjadi terdakwa.
4
(EMPAT) ELEMEN KUNCI IT FORENSIK
Terdapat empat elemen Kunci Forensik yang harus
diperhatikan berkenaan dengan bukti digital dalam Teknologi Informasi, adalah
sebagai berikut :
1.
Identifikasi dalam
bukti digital (Identification/Collecting Digital Evidence).
Merupakan tahapan paling awal dalam
teknologi informasi. Pada tahapan ini dilakukan identifikasi dimana bukti itu
berada, dimana bukti itu disimpan, dan bagaimana penyimpanannya untuk
mempermudah penyelidikan.
2.
Penyimpanan bukti
digital (Preserving Digital Evidence)
Bentuk, isi, makna bukti digital hendaknya
disimpan dalam tempat yang steril. Untuk benar-benar memastikan tidak ada
perubahan-perubahan, hal ini vital untuk diperhatikan. Karena sedikit perubahan
saja dalam bukti digital, akan merubah juga hasil penyelidikan. Bukti digital
secara alami bersifat sementara (volatile), sehingga keberadaannya jika tidak
teliti akan sangat mudah sekali rusak, hilang, berubah, mengalami kecelakaan.
3.
Analisa bukti
digital (Analizing Digital Evidence)
Barang bukti setelah disimpan, perlu
diproses ulang sebelum diserahkan pada pihak yang membutuhkan. Pada proses
inilah skema yang diperlukan akan fleksibel sesuai dengan kasus-kasus yang
dihadapi. Barang bukti yang telah didapatkan perlu diexplore kembali beberapa
poin yang berhubungan dengan tindak pengusutan, antara lain: (a) Siapa yang
telah melakukan. (b)Apa yang telah dilakukan (Ex. Penggunaan software apa), (c)
Hasil proses apa yang dihasilkan. (d) Waktu melakukan. Setiap bukti yang
ditemukan, hendaknya kemudian dilist bukti-bukti potensial apa sajakah yang
dapat didokumentasikan.
4.
Presentasi bukti
digital (Presentation of Digital Evidence).
Kesimpulan akan didapatkan ketika semua
tahapan tadi telah dilalui, terlepas dari ukuran obyektifitas yang didapatkan,
atau standar kebenaran yang diperoleh, minimal bahan-bahan inilah nanti yang
akan dijadikan “modal” untuk ke pengadilan. Proses digital dimana bukti digital
akan dipersidangkan, diuji otentifikasi dan dikorelasikan dengan kasus yang
ada. Pada tahapan ini menjadi penting, karena disinilah proses-proses yang
telah dilakukan sebelumnya akan diurai kebenarannya serta dibuktikan kepada
hakim untuk mengungkap data dan informasi kejadian.
Tujuan IT Forensik
1.
Mendapatkan
fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem
informasi. Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-bukti
(evidence) yang akan digunakan dalam proses hukum.
2.
Mengamankan dan
menganalisa bukti digital. Dari data yang diperoleh melalui survey oleh FBI dan
The Computer Security Institute, pada tahun 1999 mengatakan bahwa 51% responden
mengakui bahwa mereka telah menderita kerugian terutama dalam bidang finansial
akibat kejahatan komputer. Kejahatan Komputer dibagi menjadi dua, yaitu :
˗
Komputer fraud : Kejahatan atau pelanggaran dari segi sistem
organisasi komputer.
˗
Komputer crime : kegiatan berbahaya dimana menggunakan media
komputer dalam melakukan pelanggaran hukum.
3.
Untuk membantu
memulihkan, menganalisa, dan mempresentasikan materi/entitas berbasis digital
atau elektronik sedemikian rupa sehingga dapat dipergunakan sebagai alat buti
yang sah di pengadilan
4.
Untuk mendukung
proses identifikasi alat bukti dalam waktu yang relatif cepat, agar dapat
diperhitungkan perkiraan potensi dampak yang ditimbulkan akibat perilaku jahat
yang dilakukan oleh kriminal terhadap korbannya, sekaligus mengungkapkan alasan
dan motivitasi tindakan tersebut sambil mencari pihak-pihak terkait yang
terlibat secara langsung maupun tidak langsung dengan perbuatan tidak
menyenangkan dimaksud.
Alasan
Penggunaan IT Forensik
1.
Dalam kasus hukum,
teknik komputer forensik sering digunakan untuk menganalisis sistem komputer
milik terdakwa (dalam kasus pidana) atau milik penggugat (dalam kasus perdata).
2.
Untuk memulihkan
data jika terjadi kegagalan atau kesalahan hardware atau software.
3.
Untuk menganalisa
sebuah sistem komputer setelah terjadi perampokan, misalnya untuk menentukan
bagaimana penyerang memperoleh akses dan apa yang penyerang itu lakukan.
4.
Untuk mengumpulkan
bukti untuk melawan seorang karyawan yang ingin diberhentikan oleh organisasi.
5.
Untuk mendapatkan
informasi tentang bagaimana sistem komputer bekerja untuk tujuan debugging,
optimasi kinerja, ataureverse-engineering.
Prodesur
IT Forensik
Prosedur forensik yang umum digunakan,
antara lain : Membuat copies dari
keseluruhan log data, file, dan lain-lain yang dianggap perlu pada suatu media
yang terpisah. Membuat copies secara matematis.Dokumentasi yang baik dari
segala sesuatu yang dikerjakan.
Bukti yang digunakan dalam IT Forensics
berupa : Harddisk.Floopy disk atau media lain yang bersifat removeable.Network
system.
Metode/prosedure IT Forensik yang umum
digunakan pada komputer ada dua jenis yaitu :
1.
Search dan seizure
: dimulai dari perumusan suatu rencana.
-
Identifikasi
dengan penelitian permasalahan.
-
Membuat hipotesis.
-
Uji hipotesa
secara konsep dan empiris.
-
Evaluasi hipotesa
berdasarkan hasil pengujian dan pengujian ulang jika hipotesa tersebut jauh
dari apa yang diharapkan.
-
Evaluasi hipotesa
terhadap dampak yang lain jika hipotesa tersebut dapat diterima.
2. Pencarian
informasi (discovery information). Ini dilakukan oleh investigator dan
merupakan pencarian bukti tambahan dengan mengendalikan saksi secara langsung
maupun tidak langsung.
-
Membuat copies
dari keseluruhan log data, files, dan lain-lain yang dianggap perlu pada media
terpisah.
-
Membuat
fingerprint dari data secara matematis.
-
Membuat
fingerprint dari copies secara otomatis.
-
Membuat suatu
hashes masterlist
Tools yang
digunakan pada IT Forensik
1. Antiword
Antiword
merupakan sebuah aplikasi yang digunakan untuk menampilkan teks dan gambar
dokumen Microsoft Word. Antiword hanya mendukung dokumen yang dibuat oleh MS
Word versi 2 dan versi 6 atau yang lebih baru.
2. Autopsy
The
Autopsy Forensic Browser merupakan antarmuka grafis untuk tool analisis
investigasi diginal perintah baris The Sleuth Kit. Bersama, mereka dapat
menganalisis disk dan filesistem Windows dan UNIX (NTFS, FAT, UFS1/2, Ext2/3).
3. Binhash
Binhash
merupakan sebuah program sederhana untuk melakukan hashing terhadap berbagai
bagian file ELF dan PE untuk perbandingan. Saat ini ia melakukan hash terhadap
segmen header dari bagian header segmen obyek ELF dan bagian segmen header
obyekPE.
4. Sigtool
Sigtcol
merupakan tool untuk manajemen signature dan database ClamAV. sigtool dapat
digunakan untuk rnenghasilkan checksum MD5, konversi data ke dalam format
heksadesimal, menampilkan daftar signature virus dan build/unpack/test/verify
database CVD dan skrip update.
5. ChaosReader
ChaosReader
merupakan sebuah tool freeware untuk melacak sesi TCP/UDP/… dan mengambil data
aplikasi dari log tcpdump. la akan mengambil sesi telnet, file FTP, transfer
HTTP (HTML, GIF, JPEG,…), email SMTP, dan sebagainya, dari data yang ditangkap
oleh log lalu lintas jaringan. Sebuah file index html akan tercipta yang
berisikan link ke seluruh detil sesi, termasuk program replay realtime untuk
sesi telnet, rlogin, IRC, X11 atau VNC; dan membuat laporan seperti laporan
image dan laporan isi HTTP GET/POST.
6. Chkrootkit
Chkrootkit
merupakan sebuah tool untuk memeriksa tanda-tanda adanya rootkit secara lokal.
la akan memeriksa utilitas utama apakah terinfeksi, dan saat ini memeriksa
sekitar 60 rootkit dan variasinya.
7. Dcfldd
Tool
ini mulanya dikembangkan di Department of Defense Computer Forensics Lab
(DCFL). Meskipun saat ini Nick Harbour tidak lagi berafiliasi dengan DCFL, ia
tetap memelihara tool ini.
8. Ddrescue
GNU
ddrescue merupakan sebuah tool penyelamat data, la menyalinkan data dari satu
file atau device blok (hard disc, cdrom, dsb.) ke yang lain, berusaha keras menyelamatkan
data dalam hal kegagalan pembacaan. Ddrescue tidak memotong file output bila
tidak diminta. Sehingga setiap kali anda menjalankannya kefile output yang
sama, ia berusaha mengisi kekosongan.
9. Foremost
Foremost
merupakan sebuah tool yang dapat digunakan untuk me-recover file berdasarkan
header, footer, atau struktur data file tersebut. la mulanya dikembangkan oleh
Jesse Kornblum dan Kris Kendall dari the United States Air Force Office of
Special Investigations and The Center for Information Systems Security Studies
and Research. Saat ini foremost dipelihara oleh Nick Mikus seorang Peneliti di
the Naval Postgraduate School Center for Information Systems Security Studies
and Research.
10. Gqview
Gqview
merupakan sebuah program untuk melihat gambar berbasis GTK la mendukung beragam
format gambar, zooming, panning, thumbnails, dan pengurutan gambar.
11. Galleta
Galleta
merupakan sebuah tool yang ditulis oleh Keith J Jones untuk melakukan analisis
forensic terhadap cookie Internet Explorer.
12. Ishw
Ishw
(Hardware Lister) merupakan sebuah tool kecil yang memberikan informasi detil
mengenai konfigurasi hardware dalam mesin. la dapat melaporkan konfigurasi
memori dengan tepat, versi firmware, konfigurasi mainboard, versi dan kecepatan
CPU, konfigurasi cache, kecepatan bus, dsb. pada sistem t>MI-capable x86
atau sistem EFI.
13. Pasco
Banyak
penyelidikan kejahatan komputer membutuhkan rekonstruksi aktivitas Internet
tersangka. Karena teknik analisis ini dilakukan secara teratur, Keith
menyelidiki struktur data yang ditemukan dalam file aktivitas Internet Explorer
(file index.dat). Pasco, yang berasal dari bahasa Latin dan berarti “browse”,
dikembangkan untuk menguji isi file cache Internet Explorer. Pasco akan
memeriksa informasi dalam file index.dat dan mengeluarkan hasil dalam field
delimited sehingga dapat diimpor ke program spreadsheet favorit Anda.
14. Scalpel
Scalpel
adalah sebuah tool forensik yang dirancang untuk mengidentifikasikan,
mengisolasi dan merecover data dari media komputer selama proses investigasi
forensik. Scalpel mencari hard drive, bit-stream image, unallocated space file,
atau sembarang file komputer untuk karakteristik, isi atau atribut tertentu,
dan menghasilkan laporan mengenai lokasi dan isi artifak yang ditemukan selama
proses pencarian elektronik. Scalpel juga menghasilkan (carves) artifak yang
ditemukan sebagai file individual.
Tools yang
digunakan untuk Audit IT dan Audit Forensik
·
Hardware :
˗
Harddisk IDE &
SCSI. kapasitas sangat besar, CD-R,DVR drives
˗
Memori yang besar
(1-2GB RAM)
˗
Hub, Switch,
keperluan LAN
˗
Legacy hardware (8088s, Amiga, …)
˗
Laptop forensic
workstations
·
Software :
˗
Viewers (QVP
http://www.avantstar.com dan http://www.thumbsplus.de
˗
Erase/Unerase
tools: Diskscrub/Norton utilities)
˗
Hash utility (MD5,
SHA1)
˗
Text search
utilities (search di http://www.dtsearch.com/)
˗
Drive imaging
utilities (Ghost, Snapback, Safeback,…)
˗
Forensic toolkits.
Unix/Linux: TCT The Coroners Toolkit/ForensiX dan Windows: Forensic Toolkit
˗
Disk editors
(Winhex,…)
˗
Forensic
acquisition tools (DriveSpy, EnCase, Safeback, SnapCopy,…)
˗
Write-blocking
tools (FastBloc http://www.guidancesoftware.com) untuk memproteksi bukti bukti.
SUMBER :
