Bahasan IT Forensik

7/28/2019 Bahasan IT Forensik

1/27

MATAKULIAHETIKA PROFESI

BAHASANIT FORENSIK

Pertemuan ke-4 Erma Sulistyo Rini,SE.,M.MKom


2/27

DefinisiForensik :

Suatu cara atau metode yang digunakan untuk mengetahui halatau mendapatkan bukti dan fakta dari suatu kejadian.

Komputer ForensikPenggunaan sekumpulan prosedur untuk melakukan pengujian

secara menyeluruh suatu sistem komputer denganmempergunakan software dan tool untuk mengekstrak danmemelihara barang bukti tindakan kriminal

Menurut Judd Robin, seorang ahli komputer forensik:

Penerapan secara sederhana dari penyelidikan komputer dan teknik analisisnya untuk menentukan bukti-bukti hukum yangmungkin


3/27

New Technologies memperluas definisi Robin dengan:Komputer forensik berkaitan dengan pemeliharaan,identifikasi, ekstraksi dan dokumentasi dari bukti-buktikomputer yang tersimpan dalam wujud informasi magnetik(disket, hardisk dan memori )

Setiap organisasi membutuhkan banyak data untuk diolah menjadisebuah informasi yang berguna bagi organisasi tersebut . Dataseperti ini biasa disimpan atau di transfer oleh sistem komputer, personal digital assistants (PDA), networking equipment ( Perusahaan yangmembuat peralatan jaringan komputer termasuk LANs, WANs dan Router ) dan sumber sumber data lainnya. Untuk itu penting adanya analisadata. Karena analisa data dapat digunakan untuk berbagai tujuan, sepertimerekonstruksi kejadian keamanan komputer, trouble shooting (Semua masa lah yang be rhubung an dengan kom pute r ) permasalahan operasionaldan pemulihan dari kerusakan sistem yang terjadi secara mendadak.

Alasan diadakannya komputer forensik bagi perusahaan :


4/27

Kriteria penyelidik forensik

James J. Dougherty, Computer Forensics, SANS Institute, Thn. 2001 Seorang penyelidik yang baik harus mudah

berkomunikasi dengan siapapun , dan sangatkritis . Berpikir lojik , objektif (tidak memihak) dan tidak bias (tidak menyimpang dariprosedur) , tanpa kontroversi /pertentangan .Kemampuan verbal dan tulisan sehinggasetiap orang memahami apa yang terjadi, karenaakan ditanyai saran dan kepakaran saatdiperlukan.


5/27

Kriteria penyelidik forensik

Pengetahuan yang diperlukan ahli forensik diantaranya menurut Diana J. Michaud, Adventures inComputer Forensics, SANS Institute, Thn. 2001:

1. Dasar-dasar hardware dan pemahaman cara kerjasistem operasi

2. Bagaimana cara kerja partisi drive (mengetahuitempat penyimpanan file secara terpisah atauterbagi ), hidden partition (Bagaimana membaca file

yang disembunyikan secara terpisah pisah ), dandi mana tabel partisi bisa ditemukan pada sistemoperasi yang berbeda.


6/27

3. Bagaimana umumnya master boot record (m aster pros es perekam atau sistem pada

harddisk yang berlokasi pada silinder 0head 0 dan sector 1 / LBA 0 ) tersebut danbagaimana drive geometry .(design sofware

/ program grafis )4. Pemahaman untuk hide, delete, recover file

dan directory bisa mempercepat pemahamanpada bagaimana tool forensik dan sistem

operasi yang berbeda bekerja.5. Familiar dengan header dan ekstension file

yang bisa jadi berkaitan dengan file tertentu.


7/27

Kriteria penyelidik forensikMenurut Peter Sommer dari Virtual City AssociatesForensic Technician, serta Dan Farmer dan WietseVenema:

1. Metode yang berhati-hati pada pendekatan pencatatanrekaman.

2. Pengetahuan komputer, hukum, dan prosedur legal.3. Keahlian untuk mempergunakan utility

(alat bantu/perangkat bantuan)

4. Kepedulian teknis dan memahami implikasi teknis darisetiap tindakan.

5. Penguasaan bagaimana modifikasi (add,update,delete) bisa dilakukan pada data.


8/27

6. Berpikiran terbuka dan mampuberpandangan jauh.

7. Etika yang tinggi dab Selalu belajar.8. Selalu mempergunakan data dalam jumlah

redundan (pola data yang berulang sehinggadapat dihilangkan, tujuannya untuk kompresidata sehingga semakin tinggi redundasi makasemakin tinggi tingkat kompresi yang bisadilakukan) sebelum mengambil kesimpulan.


9/27

Hal hal yang perlu diperhatikanoleh investigator:

1. Jangan merubah bukti asli.2. Jangan mengeksekusi program pada bukti

(komputer) terutama Operating System-nya.3. Tidak mengizinkan tersangka untuk berinteraksi

dengan bukti (komputer).4. Segera mungkin mem-backup bukti yang ada di

dalam komputer tersangka.Jika pada saat diidentifikasi komputer masih nyala, jangan dimatikan sampai seluruh data termasuktemporary selesai dianalisa dan disimpan.

5. Rekam seluruh aktifitas investigasi.6. Jika perlu, pindahkan bukti ke tempat penyimpanan

yang lebih aman.


10/27

Bukti forensik komputer

Bukti yang biasanya digunakan dalam forensikkomputer adalah berupa :1. Logs. (Temp File, Recent link files, Spool printed files/ file

yang dapat diakses secara simultan , Informasi filefragmentasi disk/ file yang dialokasikan pada disk , Internethistory / temp, Registry, Recycle bin)

2. Stand alone system / sistem operasi3. Networked system.

4. Hard disk. (Space yang tidak digunakan pada disk,Sector pada disk)5. Floppy disk atau media lain yang bersifat removable.6. Email.


11/27

Elemen yang terlibat dalam forensikElemen yang terlibat dalam forensik

1. Network Administrator Sosok pertama yang umumnyamengetahui keberadaan cybercrime

2. Tim Respon Cybercrime (jika perusahaan memilikinya)sebelum sebuah kasus cybercrime diusut oleh cyberpolice

3. Petugas Keamanan (Officer/ as a First Responder ),Memiliki tugas-tugas yakni : ((i) Mengidentifikasi Peristiwa,(ii) Mengamankan Bukti dan (iii) Pemeliharaan bukti yangtemporer dan Rawan Kerusakan.

4. Penelaah Bukti (Investigator), Memiliki Tugas-tugasyakni : (i) Menetapkan instruksi-instruksi sebagaisosok paling berwenang, (ii) Melakukan pengusutanperistiwa kejahatan,(iii) Pemeliharaan integritas bukti.


12/27

5. Teknisi Khusus, Memiliki tugas-tugas(dihindari terjadi overlaping job denganInvestigator), yakni (i) Pemeliharaan buktiyang rentan kerusakan dan menyalin

storage bukti, (ii) Mematikan( shuting down )sistem yang sedang berjalan,(iii)Membungkus / memproteksi bukti-bukti,(iv)Mengangkut bukti,(v) Memproses bukti


13/27

1.Identifikasi dari Bukti DigitalMerupakan tahapan paling awal forensik dalam

teknologi informasi. Pada tahapan ini dilakukanidentifikasi dimana bukti itu berada, dimana buktiitu disimpan dan bagaimana penyimpanannyauntuk mempermudah tahapan selanjutnya .

2. Penyimpanan Bukti DigitalTermasuk tahapan yang paling kritis dalamforensik. Bukti digital dapat saja hilang karenapenyimpanannya yang kurang baik.

Elemen Kunci Foreksik


14/27

3. Analisa Bukti DigitalBagian penting dalam analisa bukti digitaladalah Pengambilan, Pemrosesan danInterprestasi dari bukti digital

4. Presentasi Bukti DigitalProses persidangan dimana bukti digitalakan diuji dengan kasus yang ada.

Presentasi disini berupa penunjukkan buktidigital yang berhubungan dengan kasusyang disidangkan.


15/27

Manajemen Bukti (BagaimanaMemelihara Barang Bukti )

1. The Chain of CustodyPemeliharaan dengan meminimalisir kerusakan yangdiakibatkan karena investigasi.Tujuannya untuk menjaga keaslian dari barang buktiUntuk menjaga bukti itu dalam mekanisme the chainof custody ini, dilakukan beberapa cara:

1. Gunakan catatan yang lengkap mengenai keluar-masuk bukti dari penyimpanan.

2. Simpan di tempat yang dianggap aman.3. Akses yang terbatas dalam tempat penyimpanan.4. Catat siapa saja yang dapat mengakses bukti

tersebut.


16/27

2. Rules of Evidenceadalah barang bukti harus memiliki hubungan yang

relevan dengan kasus yang ada.Syarat Rules of Evidence :

1. Dapat Diterima ( Admissible ). Harus mampuditerima dan digunakan demi hukum, mulai dari

kepentingan penyidikan sampai dengankepentingan pengadilan.

2. Asli ( Authentic ). Bukti tersebut harus berhubungandengan kejadian / kasus yang terjadi dan bukan

rekayasa.


17/27

3. Lengkap ( Complete ). Bukti bisa dikatakan

bagus dan lengkap jika di dalamnya terdapatbanyak petunjuk yang dapat membantuproses investigasi.

4. Dapat Dipercaya ( Believable & Reliable ).

Bukti dapat mengatakan hal yang terjadi dibelakangnya. Jika bukti tersebut dapatdipercaya, maka proses investigasi akanlebih mudah. Walau relatif, dapat dipercayaini merupakan suatu keharusan dalampenanganan perkara.


18/27

Prosedur ForensikProsedur Forensik yang Umum yang perludilakukan oleh investigator :

1. Membuat copies dari keseluruhan log data, files, dan lain-lain yang dianggap perlu pada suatu media yang terpisah.

2. Membuat fingerprint/sidik jari dari data secara matematis(contoh hashing algorithm, MD5).

3. Membuat fingerprint dari copies secara matematis.4. Membuat suatu hashes master list .(hash function adalah

suatu algoritma yang digunakan untuk menghasilkanfingerprint/sidikjari dari suatu strings biner. Digunakan untukintergritas data Akurasi data atau penyesuaiannya setelah data dipindakanatau diproses. )

5. Dokumentasi yang baik dari segala sesuatu yang telahdikerjakan.
http://www.total.or.id/info.php?kk=datahttp://www.total.or.id/info.php?kk=data


19/27

Metode forensik

1. Search dan seizure:Pemulihan dan Pemrosesan bukti fisik Investigator mampumengidentifikasi, menganalisa dan memproses bukti fisikserta penyitaan barang bukti guna membantu prosespenyidikan dibawah koridor hukum yang berlaku

Tahapan:1. Identifikasi dan penelitian permasalahan.2. Membuat hipotesa.3. Hipotesa diuji secara konsep dan empiris, apakah hipotesa

itu sudah dapat dijadikan kesimpulan atau tidak.4. Evaluasi hipotesa berdasarkan hasil pengujian dan pengujian

ulang jika hipotesa tersebut jauh dari apa yang diharapkan.5. Evaluasi hipotesa terhadap dampak yang lain jika hipotesa

tersebut dapat diterima .


20/27

2. Melacak Sumber Program Perusak

1. Kode executable Algoritma dan struktur data: Pilihan algoritma dan struktur data bisa menunjukkan background dari pembuat.Kompilator: Dalam kasus virus bisa ditentukan bahasapemrogramannya dan dari vendor mana, karena rutin-

rutin dan library yang dipergunakan.Pengetahuan pemrograman: Bisa dilihat tingkatkemampuan pemrogram dari penggunaan fungsi danerror checking semacam exception handling.

Pilihan system call. Kesalahan: Beberapa programmer membuat kesalahanserupa pada program-programnya.


21/27

2. Kode Sumber 1. Bahasa Menunjukkan pengetahuan dan

ketersediaan pada program.2. Format Biasanya konsisten, Misalnya identasi dan

deklarasiIdentasi adalah bentuk penulisan yang baris pertama,kedua dan seterusnya berbeda-beda masuk dan keluar dalam paragraf Macam - macam Identasi : 1. First Line Indent --> memasukan baris pertama dalam

tiap paragraf.2. Hanging Indent --> memasukan kecuali baris pertama

dalam tiap paragraf.


22/27

3. Left Indent -->memasukan baris pertamadan seterusnya dalam tiap

paragraf.4. Right Indent -->memasukan ke kanan

semua baris dalam tiap paragraf.Deklarasi adalah Proses pengenalan type data suatu

variabel sehingga diketahui berapa banyak memoriyang harus disiapkan untuk masing2 variabel

3. Komentar.4. Nama variabel.

5. Ejaan Ada pemrogram yang melakukan kesalahaneja secara tetap.


23/27

Feature bahasa Beberapa pemrogram lebihsuka menggunakan pilihan tertentu, misal

antara perulangan for dengan repeat until atau while.Scope pemilihan variabel lokal dan global

Jalur eksekus adanya kode yang tidakpernah dieksekusi.Bug Kesalahan serupa yang dibuat dalamprogram-programnya


24/27

3. Analisis U n k n o w n Program

1. Analisis statik:Mempelajari program tanpa benar-benar mengeksekusinya.Tool yang dipergunakan adalah dissasembler,

decompiler , tool analisis kode sumber, dan tooldasar semacam grep (menyaring masukan atautampilan baris). Dalam kenyataannya bisamemberikan suatu gambaran pendekatan

mengenai program.


25/27

2. Analisis dinamik:Mempelajari program saat dieksekusi. Tool yangdipergunakan adalah debugger (Pelacak), tracer (Pengusutan ), emulator mesin, analisis logikadan terkadang sniffer jaringan.Keuntungan dari analisis dinamik adalah cepat

dan akurat. Kasus khusus dari analisis dinamikadalah analisis kotak hitam (black box ), yaituanalisis dinamik tanpa mengakses internalprogram. Dalam kasus ini, pengamatandilakukan pada input dan output eksternal, sertakarakteristik pewaktuannya.


26/27

3. Analisis postmortem :Mempelajari perilaku perangkat lunakdengan mengamati dampak setelah eksekusiprogram. Bisa jadi ini merupakan satu-satunya alat yang tersedia setelahpenyusupan sistem.


27/27

Tools Komputer ForensikThe Coroner Toolkit - Dan Farmer & Wietse Venema ,www.porcupine.org/forensics/tct.html Byte Back oleh TechAssist, www.toolsthatwork.com/byteback.htm DriveSpy www.digitalintelligence.com/software/disoftware/drivespy/ EnCase oleh Guidance Software, http://www.encase.com/ Forensic ToolKit http://www.accessdata.com/ Maresware Suite http://www.dmares.com/ Drive Image Pro - PowerQuest

Linux "dd" - Red HatNorton Ghost 2000 - SymantecSafeBack - New TechnologiesSnapBack DatArrest oleh Columbia Data Products
http://www.porcupine.org/forensics/tct.htmlhttp://www.toolsthatwork.com/byteback.htmhttp://www.digitalintelligence.com/software/disoftware/drivespy/http://www.encase.com/http://www.accessdata.com/http://www.dmares.com/http://www.dmares.com/http://www.accessdata.com/http://www.encase.com/http://www.digitalintelligence.com/software/disoftware/drivespy/http://www.toolsthatwork.com/byteback.htmhttp://www.porcupine.org/forensics/tct.html

Documents

Bahasan IT Forensik