Upload
miriam-stark
View
233
Download
8
Embed Size (px)
DESCRIPTION
INVESTIGASI KASUS TI. Pengantar Komputer Forensik Teknologi Informasi. UNIVERSITAS GUNADARMA TEKNIK INDUSTRI - TEKNIK INFORMATIKA. INVESTIGASI KASUS TEKNOLOGI INFORMASI. A. Prosedur Forensik yang biasa dilakukan Investigator - PowerPoint PPT Presentation
Citation preview
INVESTIGASI KASUS TI Pengantar Komputer Forensik Teknologi Informasi
UNIVERSITAS GUNADARMATEKNIK INDUSTRI - TEKNIK INFORMATIKA
2010 1Komputer Forensik
INVESTIGASI KASUS TEKNOLOGI INFORMASI
A. Prosedur Forensik yang biasa dilakukan Investigator
1. Membuat copies dari keseluruhan log data, files dll yang dianggap perlu pada suatu media yang terpisah.
2. Membuat fingerprint dari data secara matematis (contoh hashing algorithm, MD5).
3. Membuat fingerprint dari copies secara matematis.4. Membuat suatu hashes masterlist.5. Dokumentasi yang baik dari segala sesuatu yang telah
dikerjakan.
Selain itu perlu dilakukan investigasi lanjutan dengan menggunakan metodologi forensik TI. Metode Search and seizure biasanya lebih banyak digunakan dibanding metode pencarian informasi.
2010 2Komputer Forensik
.
A1. Metode Search dan Seizure Selain melakukan tahap Search dan Seizure mulai dari identifikasi
sampai dengan evaluasi hipotesa, metode ini juga memberikan penekanan dan batas-batas untuk investigator agar hipotesa yang dihasilkan sangat akurat, yaitu :
1. Jangan merubah bukti asli2. Jangan mengeksekusi program pada bukti (komputer) terutama
Operating Systemnya3. Tidak mengijinkan tersangka untuk berinteraksi dengan bukti
(komputer)4. Sesegera mungkin mem-backup bukti yang ada dalam komputer
tersangka. Jika pada saat diidentifikasi komputer masih menyala, jangan dimatikan sampai seluruh data termasuk temporary selesai dianalisa dan disimpan.
5. Rekam seluruh aktifitas investigasi6. Jika perlu, pindahkan bukti ke tempat penyimpanan yang lebih
aman
2010 3Komputer Forensik
A2. Pencarian Informasi Hal-hal yang harus diperhatikan dalam pencarian
informasi sebagai bukti tambahan untuk memperkuat hipotesa, yaitu :
1. Jika melakukan penggalian informasi lebih dalam ke saksi, gunakan wawancara interaktif, sehingga bukti yang ada dapat di cross-check agar keberadaan bukti tersebut diakui oleh tersangka
2. Jika memungkinkan, rekonstruksi dilakukan dengan / tanpa tersangka sehingga apa yang masih belum jelas dapat tergambar dalam rekonstruksi.
2010 4Komputer Forensik
B. Data RecoveryData recovery merupakan bagian dari analisa
forensik yang merupakan komponen penting untuk mengetahui apa yang telah terjadi, rekaman data, korespondensi dan petunjuk lainnya
2010 5Komputer Forensik
C. Pengelompokan Analisa Media Pengelompokan ini bertujuan untuk mengetahui
aliran dan proses dalam media yang digunakan dalam kejahatan. Dari pengelompokan ini dapat disimpan informasi penting yang didukung oleh sistem yang ada. Pengelompokan dalam bentuk laporan ini diisi dengan keadaan fakta di lapangan
2010 6Komputer Forensik
.
D. Pembuatan Laporan dalam Analisa Media
Beberapa hal penting yang perlu dimasukkan dalam laporan analisa media adalah sbb :
1. Tanggal dan waktu terjadinya pelanggaran hukum pada CPU
2. Tanggal dan waktu pada saat investigasi
3. Permasalahan yang signifikan terjadi
4. Masa berlaku analisa laporan
5. Penemuan yang berharga (bukti)
6. Teknik khusus yang dibutuhkan atau digunakan (contoh; password cracker)
7. Bantuan pihak yang lain (pihak ketiga) Pada saat penyidikan, pelaporan dalam bentuk worksheet ini di cross-check
dengan saksi yang ada, baik yang terlibat langsung maupun tidak langsung
2010 7Komputer Forensik
E. Log Out Evidence – Visual Inspection and Inventory
Tahapan yang dilalui dalam inspeksi komputer secara visual adalah :1. Log out seluruh komputer untuk dianalisa lebih lanjut2. Jika ada media penyimpanan yang lain (CD / disket), diberi
label khusus agar bukti tersebut tetap utuh.3. Inspeksi visual dilakukan dengan melakukan physical makeup4. Buka casing CPU, identifikasi dan analisa sirkuit internal, buat
catatan apa saja yang ada dalam CPU tersebut. Catat juga kartu tambahan (expansion cards) jika ada.
5. Beri rekomendasi apakah CPU tersebut bisa dijadikan sebagai barang bukti fisik atau tidak.
6. Catat keseluruhan letak perangkat keras (harddisk, CD ROM, RAM dsb)
7. Dokumentasikan dalam bentuk gambar sebelum dan sesudah identifikasi dan analisa.
2010 8Komputer Forensik
Data FileMemahami media penyimpanan
FormatPartisi
PartisiMenbagi media secara logika
File systemMendefinisikan bagaimana file dinamai,
disimpan, diakses dan diorganisir pada logical volume
2010 9Komputer Forensik
Jenis File SystemFAT12FAT16FAT32NTFSHPFSext2fsext3fs
HFSHFS plusUFSCDFSISO 9660
MSDos dan windows
windows
Linux OS
MAC OS
Unix
CDRom
2010 10Komputer Forensik
Teknik meng-copy fileLogical backup
Mengcopy file dan directori secara logika tersimpan di media penyimpanan
Bit stream imagingCopy mebcakup free space dan slack space
2010 11Komputer Forensik
Informasi lainInformasi yang dibutuhkan dan menjelaskan
data file sewaktu user beraktivitas :Waktu modifikasiWaktu pengaksesanWaktu pembuatan
2010 12Komputer Forensik
Memeriksa DataPemeriksaan dilakukan terhadap data backupProses :
Akses read only Untuk menjaga konsistensi – integritas data
Write bloker Untuk mencegah memodifikasi terhadap data yang
diperiksa
2010 13Komputer Forensik
Mengekstrak DataMelakukan ekstraksi data, dengan melihat
kerakteristik fileJika ragu gunakan aplikasi untuk mengetahui
header information fileContoh aplikasi :
Program identifyimagefileAtau program lain
2010 14Komputer Forensik
Menggunakan Software ForensikTerdapat beberapa software foerensik untuk
menangani data file :File viewerUncompressing filesMenampilkan struktur direktori dlam interface
grafisMengidentifikasi file yang tidak dikenalMelakukan pencarian terhadap string atau
pola tertentuMengakses metadata
2010 15Komputer Forensik
Data Sistem OperasiData non - volatile
File konfigurasiLogs fileApplication fileData filesSwap filesDump filesHibernation filesTemporary files
Data volatileSlack spaceFree spaceNetwork
configurationNetwork connectionRunning processOpen filesLogin sessionOperating system
time2010 16Komputer Forensik
Penanganan Data Berdasarkan PrioritasNetwork connectionLogin sessionsContents of memoryRunning processesOpen filesNetwork configurationOperating system time
2010 17Komputer Forensik
Kuis 6Sebutkan sumber daya dalam komputer
forensik ?Jelaskan mengapa database memiliki ruang
dan fungsi tersendiri dalam konteks sumber daya ?
Jelaskan komponen – komponen pengolahan ?
Jelaskan pembagian dari brainware ?Jelaskan tentang BUS, cache memory dan
RAM ?2010 18Komputer Forensik
2010 19Komputer Forensik