IT FORENSIK (Software)
Apa
itu IT Forensik ?
IT Forensik adalah cabang dari ilmu komputer tetapi
menjurus ke bagian forensik yaitu berkaitan dengan bukti hukum yang ditemukan
di komputer dan media penyimpanan digital.
Komputer forensik juga dikenal sebagai Digital Forensik
yang terdiri dari aplikasi dari ilmu pengetahuan kepada indetifikasi, koleksi,
analisa, dan pengujian dari bukti digital.
Manfaat
dari IT Forensik, antara lain :
a. Memulihkan
data dalam hal suatu hardware/ software yang mengalami kerusakan (failure).
b. Dalam
kasus hukum, teknik digital forensik sering digunakan untuk meneliti sistem
komputer milik terdakwa (dalam perkara pidana) atau tergugat (dalam perkara
perdata).
c. Meneliti
suatu sistem komputer setelah suatu pembongkaran/ pembobolan, sebagai contoh
untuk menentukan bagaimana penyerang memperoleh akses dan serangan apa yang
dilakukan.
d. Memperoleh
informasi tentang bagaimana sistem komputer bekerja untuk tujuan debugging,
optimisasi kinerja, atau membalikkan rancang-bangun.
Tools
dalam IT Forensik
Berikut adalah Tools dalam
IT Forensik yang umum antara lain yaitu :
1. antiword
Antiword merupakan sebuah
aplikasi yang digunakan untuk menampilkan teks dan gambar dokumen Microsoft
Word. Antiword hanya mendukung dokumen yang dibuat oleh MS Word versi 2 dan
versi 6 atau yang lebih baru.
2. Autopsy
The Autopsy Forensic Browser
merupakan antarmuka grafis untuk tool analisis investigasi diginal perintah
baris The Sleuth Kit. Bersama, mereka dapat menganalisis disk dan filesistem
Windows dan UNIX (NTFS, FAT, UFS1/2, Ext2/3).
3. binhash
binhash merupakan sebuah
program sederhana untuk melakukan hashing terhadap berbagai bagian file ELF dan
PE untuk perbandingan. Saat ini ia melakukan hash terhadap segmen header dari
bagian header segmen obyek ELF dan bagian segmen header obyekPE.
4. sigtool
sigtcol merupakan tool untuk
manajemen signature dan database ClamAV. sigtool dapat digunakan untuk
rnenghasilkan checksum MD5, konversi data ke dalam format heksadesimal,
menampilkan daftar signature virus dan build/unpack/test/verify database CVD
dan skrip update.
5. ChaosReader
ChaosReader merupakan sebuah
tool freeware untuk melacak sesi TCP/UDP/… dan mengambil data aplikasi dari log
tcpdump. la akan mengambil sesi telnet, file FTP, transfer HTTP (HTML, GIF,
JPEG,…), email SMTP, dan sebagainya, dari data yang ditangkap oleh log lalu
lintas jaringan. Sebuah file index html akan tercipta yang berisikan link ke
seluruh detil sesi, termasuk program replay realtime untuk sesi telnet, rlogin,
IRC, X11 atau VNC; dan membuat laporan seperti laporan image dan laporan isi HTTP
GET/POST.
6. chkrootkit
chkrootkit merupakan sebuah
tool untuk memeriksa tanda-tanda adanya rootkit secara lokal. la akan memeriksa
utilitas utama apakah terinfeksi, dan saat ini memeriksa sekitar 60 rootkit dan
variasinya.
7. dcfldd
Tool ini mulanya dikembangkan
di Department of Defense Computer Forensics Lab (DCFL). Meskipun saat ini Nick
Harbour tidak lagi berafiliasi dengan DCFL, ia tetap memelihara tool ini.
8. ddrescue
GNU ddrescue merupakan
sebuah tool penyelamat data, la menyalinkan data dari satu file atau device
blok (hard disc, cdrom, dsb.) ke yang lain, berusaha keras menyelamatkan data
dalam hal kegagalan pembacaan. Ddrescue tidak memotong file output bila tidak
diminta. Sehingga setiap kali anda menjalankannya kefile output yang sama, ia berusaha
mengisi kekosongan.
9. foremost
Foremost merupakan sebuah
tool yang dapat digunakan untuk me-recover file berdasarkan header, footer,
atau struktur data file tersebut. la mulanya dikembangkan oleh Jesse Kornblum
dan Kris Kendall dari the United States Air Force Office of Special
Investigations and The Center for Information Systems Security Studies and
Research. Saat ini foremost dipelihara oleh Nick Mikus seorang Peneliti di the
Naval Postgraduate School Center for Information Systems Security Studies and
Research.
10. gqview
Gqview merupakan sebuah
program untuk melihat gambar berbasis GTK la mendukung beragam format gambar,
zooming, panning, thumbnails, dan pengurutan gambar.
11. galleta
Galleta merupakan sebuah
tool yang ditulis oleh Keith J Jones untuk melakukan analisis forensic terhadap
cookie Internet Explorer.
12. Ishw
Ishw (Hardware Lister)
merupakan sebuah tool kecil yang memberikan informasi detil mengenai
konfigurasi hardware dalam mesin. la dapat melaporkan konfigurasi memori dengan
tepat, versi firmware, konfigurasi mainboard, versi dan kecepatan CPU,
konfigurasi cache, kecepatan bus, dsb. pada sistem t>MI-capable x86 atau
sistem EFI.
13. pasco
Banyak penyelidikan
kejahatan komputer membutuhkan rekonstruksi aktivitas Internet tersangka.
Karena teknik analisis ini dilakukan secara teratur, Keith menyelidiki struktur
data yang ditemukan dalam file aktivitas Internet Explorer (file index.dat).
Pasco, yang berasal dari bahasa Latin dan berarti “browse”, dikembangkan untuk
menguji isi file cache Internet Explorer. Pasco akan memeriksa informasi dalam
file index.dat dan mengeluarkan hasil dalam field delimited sehingga dapat
diimpor ke program spreadsheet favorit Anda.
14. scalpel
calpel adalah sebuah tool
forensik yang dirancang untuk mengidentifikasikan, mengisolasi dan merecover
data dari media komputer selama proses investigasi forensik. Scalpel mencari
hard drive, bit-stream image, unallocated space file, atau sembarang file
komputer untuk karakteristik, isi atau atribut tertentu, dan menghasilkan
laporan mengenai lokasi dan isi artifak yang ditemukan selama proses pencarian
elektronik. Scalpel juga menghasilkan (carves) artifak yang ditemukan sebagai
file individual.
Prodesur
IT Forensik
1. Prosedur forensik yang
umum digunakan, antara lain : Membuat copies dari keseluruhan log data, file,
dan lain-lain yang dianggap perlu pada suatu media yang terpisah. Membuat
copies secara matematis. Dokumentasi yang baik dari segala sesuatu yang
dikerjakan.
2. Bukti yang digunakan
dalam IT Forensics berupa : Harddisk, Floopy disk atau media lain yang bersifat
removeable, Network system.
3. Metode atau prosedure IT
Forensik yang umum digunakan pada komputer ada dua jenis yaitu :
a. Search
dan seizure : dimulai dari perumusan suatu rencana. Menurut metode ini yang
umum digunakan yaitu :
-
Identifikasi dengan penelitian permasalahan.
-
Membuat hipotesis.
-
Uji hipotesa secara konsep dan empiris.
-
Evaluasi hipotesa berdasarkan hasil pengujian
dan pengujian ulang jika hipotesa tersebut jauh dari apa yang diharapkan.
-
Evaluasi hipotesa terhadap dampak yang lain
jika hipotesa tersebut dapat diterima.
b. Pencarian
informasi (discovery information). Ini dilakukan oleh investigator dan
merupakan pencarian bukti tambahan dengan mengendalikan saksi secara langsung
maupun tidak langsung.
Berikut prosedur IT Forensik
yang umum di gunakan antara lain yaitu :
-
Membuat copies dari keseluruhan log data,
files, dan lain-lain yang dianggap perlu pada media terpisah.
-
Membuat fingerprint dari data secara
matematis.
-
Membuat fingerprint dari copies secara
otomatis.
-
Membuat suatu hashes masterlist.
-
Dokumentasi yang baik dari segala sesuatu
yang telah dikerjakan.
Sedangkan tools yang biasa
digunakan untuk kepentingan komputer forensik, secara garis besar dibedakan
secara hardware dan software. Hardware tools forensik memiliki kemampuan yang
beragam mulai dari yang sederhana dengan komponen single purpose seperti write
blocker sampai sistem komputer lengkap dengan kemampuan server seperti F.R.E.D
(Forensic Recovery of Evidence Device). Sementara software tools forensik dapat
dikelompokkan kedalam dua kelompok yaitu aplikasi berbasis command line dan
aplikasi berbasis GUI (Graphical User Interface).
Contoh
Software IT Forensik
Berikut contoh Software
tools forensik, antara lain yaitu :
a. Viewers
(QVP http://www.avantstar.com dan http://www.thumbsplus.de)
b. Erase/Unerase
tools: Diskscrub/Norton utilities)
c. Hash
utility (MD5, SHA1)
d. Text
search utilities (search di http://www.dtsearch.com/)
e. Drive
imaging utilities (Ghost, Snapback, Safeback,…)
f. Forensic
toolkits. Unix/Linux: TCT The Coroners Toolkit/ForensiX dan Windows: Forensic
Toolkit
g. Disk
editors (Winhex,…)
h. Forensic
acquisition tools (DriveSpy, EnCase, Safeback, SnapCopy,…)
i. Write-blocking
tools (FastBloc http://www.guidancesoftware.com) untuk memproteksi bukti-bukti.
Salah satu aplikasi yang
dapat digunakan untuk analisis digital adalah Forensic Tools Kit (FTK) dari
Access Data Corp (www.accesdata.com). FTK sebenarnya adalah aplikasi yang
sangat memadai untuk kepentingan implementasi komputer forensik. Tidak hanya
untuk kepentingan analisa bukti digital saja, juga untuk kepentingan pemrosesan
bukti digital serta pembuatan laporan akhir untuk kepentingan presentasi bukti
digital.
4
(empat) Elemen Kunci IT Forensik
Terdapat empat elemen Kunci
Forensik yang harus diperhatikan berkenaan dengan bukti digital dalam Teknologi
Informasi, adalah sebagai berikut :
1. Identifikasi dalam bukti
digital (Identification atau Collecting Digital Evidence)
Merupakan tahapan paling
awal dalam teknologi informasi. Pada tahapan ini dilakukan identifikasi dimana
bukti itu berada, dimana bukti itu disimpan, dan bagaimana penyimpanannya untuk
mempermudah penyelidikan.
2. Penyimpanan bukti digital
(Preserving Digital Evidence)
Bentuk, isi, makna bukti
digital hendaknya disimpan dalam tempat yang steril. Untuk benar-benar
memastikan tidak ada perubahan-perubahan, hal ini vital untuk diperhatikan.
Karena sedikit perubahan saja dalam bukti digital, akan merubah juga hasil
penyelidikan. Bukti digital secara alami bersifat sementara (volatile),
sehingga keberadaannya jika tidak teliti akan sangat mudah sekali rusak,
hilang, berubah, mengalami kecelakaan.
3. Analisa bukti digital
(Analizing Digital Evidence)
Barang bukti setelah
disimpan, perlu diproses ulang sebelum diserahkan pada pihak yang membutuhkan.
Pada proses inilah skema yang diperlukan akan fleksibel sesuai dengan
kasus-kasus yang dihadapi. Barang bukti yang telah didapatkan perlu diexplore
kembali beberapa poin yang berhubungan dengan tindak pengusutan, antara lain
yaitu :
a. Siapa
yang telah melakukan.
b. Apa
yang telah dilakukan (Ex. Penggunaan software apa),
c. Hasil
proses apa yang dihasilkan.
d. Waktu
melakukan. Setiap bukti yang ditemukan, hendaknya kemudian dilist bukti-bukti
potensial apa sajakah yang dapat didokumentasikan.
4. Presentasi bukti digital
(Presentation of Digital Evidence).
Kesimpulan akan didapatkan
ketika semua tahapan tadi telah dilalui, terlepas dari ukuran obyektifitas yang
didapatkan, atau standar kebenaran yang diperoleh, minimal bahan-bahan inilah
nanti yang akan dijadikan “modal” untuk ke pengadilan. Proses digital dimana
bukti digital akan dipersidangkan, diuji otentifikasi dan dikorelasikan dengan
kasus yang ada. Pada tahapan ini menjadi penting, karena disinilah
proses-proses yang telah dilakukan sebelumnya akan diurai kebenarannya serta
dibuktikan kepada hakim untuk mengungkap data dan informasi kejadian.
Tidak ada komentar:
Posting Komentar