Kamis, 29 Juli 2010

PENGANTAR IT FORENSIC

Seiring dengan perkembangan zaman, istilah forensik tidak hanya dalam dunia kedokteran. Kini, bidang IT pun memiliki suatu metode yang dikenal dengan nama IT Forensik.

IT Forensik merupakan sebuah cabang ilmu forensik yang bertujuan untuk mendapatkan bukti-bukti legal dari komputer dan media penyimpanan digital lainnya mengenai penyimpangan dan pelanggaran sebuah sistem informasi. Berdasarkan definisi tersebut, IT Forensik memiliki prinsip-prinsip yang sama dengan forensik yang dikenal dalam dunia kedokteran, antara lain menetapkan fakta-fakta pada masalah serta berkaitan dengan penentuan identitas yang ada kaitannya dengan kehakiman dan peradilan. IT Forensik bersama dengan forensik jaringan, forensik database, dan forensik perangkat genggam merupakan bagian dari ilmu forensik komputer.

IT Forensik bertujuan untuk mendapatkan kebenaran obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi. kemudian setelah diverifikasi akan menjadi bukti(evidence) yang akan digunakan dalam proses hukum.

Dalam melakukan forensik IT, terdapat beberapa standar yang harus diterapkan agar tercapai hasil yang diinginkan. Salah satu ukuran paling penting adalah memastikan bahwa bukti-bukti dikumpulkan secara akurat dan adanya dokumentasi kronologis mengenai kejadian.

Demi menjaga integritas data, ACPO (Association of Chief Police Officers) mengeluarkan beberapa panduan mengenai forensik IT.

1. Data tidak boleh dirubah oleh siapapun.

2. Investigator harus dapat bertanggung jawab apabila ia ingin mengakses data asli dan dapat memberikan bukti yang menjelaskan relevansi penggunaan data tersebut dan implikasi dari tindakan mereka.

3. Jejak audit atau record lainnya dari seluruh proses yang diterapkan di komputer harus didokumentasikan. Pihak ketiga akan memeriksa dokumentasi tersebut.

4. Terdapat satu orang yang bertanggung jawab atas keseluruhan proses untuk memastikan prinsip-prinsip dan hukum dipatuhi.

Metodologi umum dalam proses pemeriksaan insiden sampai proses hukum:

  1. Pengumpulan data/fakta dari sistem komputer (harddisk, usb-stick, log, memory-dump, internet, dll) – termasuk di dalamnya data yang sudah terhapus.
  2. Mendokumentasikan fakta-fakta yang ditemukan dan menjaga integritas data selama proses forensik dan hukum dengan proteksi fisik, penanganan khusus, pembuatan image, dan menggunakan algoritma HASH untuk pembuktian / verifikasi.
  3. Merunut kejadian (chain of events) berdasarkan waktu kejadian.
  4. Memvalidasi kejadian2 tersebut dengan metode “sebab-akibat”.
  5. Dokumentasi hasil yang diperoleh dan menyusun laporan.
  6. Proses hukum (pengajuan delik, proses persidangan, saksi ahli, dll).

Prinsip :

· Forensik bukan proses Hacking

· Data yang didapat harus dijaga jgn berubah

· Membuat image dari HD / Floppy / USB-Stick / Memory-dump adalah prioritas tanpa merubah isi, kadang digunakan hardware khusus

· Image tsb yang diotak-atik (hacking) dan dianalisis – bukan yang asli

· Data yang sudah terhapus membutuhkan tools khusus untuk merekonstruksi

· Pencarian bukti dengan: tools pencarian teks khusus, atau mencari satu persatu dalam image

Ada beberapa peralatan untuk melakukan forensik di bidang IT, antara lain:

Hardware :

1. Harddisk IDE & SCSI kapasitas sangat besar, CD-R, DVR drives

2. Memori yang besar (1-2GB RAM)

3. Hub, Switch, keperluan LAN

4. Legacy hardware (8088s, Amiga, …)

5. Laptop forensic workstations

Software

1. Viewers (QVP http://www.avantstar.com/, http://www.thumbsplus.de/)

2. Erase/Unerase tools: Diskscrub/Norton utilities

3. Hash utility (MD5, SHA1)

4. Text search utilities (dtsearch http://www.dtsearch.com/)

5. Drive imaging utilities (Ghost, Snapback, Safeback,…)

6. Forensic toolkits

Kesimpulan :

Dengan berkembangnya taknologi yang semakin pesat, dibutuhkan suatu cabang ilmu forensik yang menguatkan IT forensic, agar bisa meminimalkan terjadinya penyimpangan-penyimpangan dan pelanggaran dalam media digital. Selain itu, IT forensik juga dapat digunakan untuk memulihkan data-data yang disebabkan karena kegagalan software maupun hardware. Seorang IT forensik dapat menentukan kronologis kejadian sebuah pelanggaran sistem.

referensi :

1. http:// en.wikipedia.org/wiki/Computer_Forensics

2. http://www.forensicwiki.org

3. http://avinanta.staff.gunadarma.ac.id/Downloads/files/8049/ITAuditForensic.pdf

METODE INVESTIGASI

Beberapa hal yang perlu dilakukan dan dijelaskan oleh investigator sebagai berikut:

  1. Membuat copies dari keseluruhan log data, dan lain-lain yang dianggap perlu pada suatu media yang terpeisah
  2. Membuat fingerprint dari data secara matematis
  3. Membuat fingerprint dari copies secara matematies
  4. Membuat suatu hashes masterlist
  5. Dokumentasi yang baik dari segala suatu yang telah dikerjakan

Beberapa yang biasa digunakan dalam forensik sebagai bukti, yaitu :

  1. Logs
  2. Stanf alone system
  3. Networked system
  4. Harddisk
  5. Floppy disk atau media lain yang bersifat removable

Selain itu perlu dilakukan investigasi lanjutan dimana digunakan dua metodologi yang telah disebut sebelumnya. Dari kedua metode tersebut, metode search and seizure lebih banyak digunakan dari pada pencarian informasi. Walaupun di sisilain, tidak ada salahnya jika metode search dan seizure tersebut dilengkapi dengan pencarian informasi yang lebih rinci

Tahapan dalam search dan seizure ini dapat dijabarkan sebagai berikut:

1. Identifikasi dan penelitian permasalahan

Dalam hal ini identifikasi adalah identifkasi permasalahan yang sedang dihadapi apakah memerlukan respon yang cepat atau tidak. Jika tidak maka dilankutkan dalam penelitian permasalahan secara mendalam

2. Membuat hipotesa

Pembuatan hipotesa setelah melalui proses identifikasi dan penelitian permasalahan yang timbul, sehingga data yang didapat selama kedua proses di atas dihsilkan hipotesa

3. Uji hipotesa secara konsep dan empiris

Hipotesa diuji secara konsep dan empiris apakan hipotesa itu sudah dapatt dijadikan kesimmpulan atau tidak

4. Evaluasi hipotesa berdasarkan hasil pengujian dan pengujian ulang jika hipiotesa tersebut jauh dari apa yagn diharapkan

5. Evaluasi hipotesa terhadap dampak yang lain jika hipotesa tersebut dapat diterima

Rabu, 28 Juli 2010

PROSES

Proses

Untuk melakukan analisis menggunakan IT-forensik proses adalah diperlukan terpisahkan. Proses ini terdiri dalam arti biasa dari empat langkah berikut:

§ Identifikasi

§ Jaminan

§ Analisa

§ Presentasi / Pengobatan

Dalam langkah-langkah individu dari proses keseluruhan pada dasarnya untuk mengklarifikasi hal-hal berikut dalam kaitannya dengan peristiwa yang menyebabkan penyelidikan:

§ 'Siapa' - yang pindah atau berubah data? Siapa yang hadir dan terlibat?

§ 'Ketika' - tanggal dan waktu.

§ 'Mengapa' - Mengapa perubahan, gerakan dan / atau penyimpangan telah dibuat?

§ 'Di mana lokasi - tepat.

§ 'Apa - apa yang sebenarnya dilakukan?

§ , Sebagai '- Bagaimana diambil dan apa alat dan / atau sumber daya fisik apa yang digunakan?

Identifikasi

Seperti yang akan ditampilkan di bagian proses posisi awal, kegiatan utama adalah dokumentasi yang paling akurat dari situasi yang dihadapi. Selain inventarisasi insiden keamanan aktual dan menebak pertama tentu memiliki pertanyaan lebih untuk penyelidikan lebih lanjut yang perlu diperjelas. Ini mengikuti struktur yang begitu, apa jenis bukti pihak memiliki akses. Jika bukti, misalnya dalam bentuk log khusus file yang tersedia? Ketika datang ke bukti dalam bentuk data non-volatile set di media ini? Hal ini lebih lanjut mencatat bahwa di mana bukti- bukti tersedia. Lingkungan yang tersedia di mana bukti (misalnya sistem operasi) akan didokumentasikan dan dicatat.

Pada akhirnya, dapat dibuat mengenai hal itu dengan melihat fakta-fakta dasar keputusan untuk yang berarti bukti harus disediakan (relevansi). Perhatian khusus pertanyaan dari metode backup (cadangan) adalah diklarifikasi. Proses berikut merupakan salah satu langkah pada non-volatile (seperti data pada hard disk) dan data volatile (misalnya data dalam memori RAM datang), merupakan bukti. Karena itu perlu memilih yang benar berarti untuk mengamankan bukti tersebut. Di sini juga pertanyaan dari bantuan luar mungkin memainkan peran penting.

Memastikan

Langkah ini melibatkan bukti yang sebenarnya. Menggunakan matriks pertanyaan sebelumnya diperkenalkan dalam proses ini, integritas dari bukti digital dan menjaga rantai bukti, tugas pusat. Biasanya, ini berarti mengamankan bukti pada media elektronik. Ini harus digunakan media yang unik untuk menggambarkan. Penggunaan metode kriptografi untuk digital sign bukti data harus dipertimbangkan dan diterapkan jika mungkin, untuk menjamin integritas data.

Dalam proses ini sering muncul pertanyaan penting: Apakah sistem TI yang terkena dampak mematikan karena situasi berbahaya atau dapat itu dioperasikan? Pertanyaan ini adalah sangat penting, karena merupakan langkah untuk mengamankan data volatile set seperti memori RAM, koneksi jaringan dan membuka file serta data non-volatile file seperti file pada hard drive berjalan. Dalam kasus mematikan set volatile data akan hilang.

Analisis

Setelah data dikumpulkan dan bukti yang relevan disimpan dengan aman pada media yang tepat, diikuti dengan analisis terlebih dahulu. Berikut Allroundwissen topologi jaringan sekitar, aplikasi, dan kerentanan sistem yang sekarang dikenal sebagai juga, mungkin meminta tingkat yang sangat tinggi improvisasi. Di sini harus berpikir organisasi, apakah ahli eksternal dikonsultasikan. Pengetahuan yang dibutuhkan jauh melampaui murni administrasi jaringan atau sistem operasi dan membutuhkan betriebssystemnahe kadang-kadang bahkan keterampilan pemrograman. Analisis sukses selalu tergantung pada interpretasi yang benar dari bukti yang tersedia. Tujuan dari analisis ini adalah ilustrasi dan pemeriksaan bukti, menilai penyebab kejadian dan tindakan insiden itu terjadi. Analisis ini biasanya terjadi pada sistem yang asli dan tidak pernah memerlukan dokumentasi lebih cermat daripada di langkah sebelumnya.

Persiapan dan Presentasi

Pada langkah terakhir, proses yang terlibat dalam analisis orang-orang mempersiapkan temuan mereka dalam bentuk laporan. Berikut adalah laporan motivasi dasar penyelidikan harus disepakati. Tersebut dapat diringkas dengan cara berikut:

§ Tentukan identitas pelaku / pelaku,

§ Menentukan periode dari tindakan (menciptakan "Time Line"),

§ Tentukan lingkup tindakan,

§ Tentukan motivasi tindakan dan

§ Tentukan penyebab dan implementasi

Apakah yang akan menjelaskan semua poin yang sepenuhnya tergantung baik pada bukti yang tersedia dan kualitas analisis.

IT FORENSIK

TI forensik atau forensik komputer atau forensik digital adalah cabang forensik . TI forensik berkaitan dengan penyelidikan insiden yang mencurigakan yang melibatkan TI dan sistem penentuan. Fakta – fakta dan pelaku melalui akuisisi , analisis dan evaluasi jejak digital dalam sistem komputer. Sementara itu, penyelidikan sistem komputer juga terkait dengan "kejahatan konvensional", tetapi juga didirikan untuk tujuan penghindaran pajak. Studi tentang kejahatan yang berkaitan dengan komputer (server jaringan atau break-in, dll) kebanyakan memainkan peran kecil.