Tags

, ,

IT FORENSIC

Pernah mendengar kata-kata tersebut? Forensik setidaknya? Well, Forensik IT atau mungkin dikenal dengan computer forensic adalah suatu disipln ilmu turunan keamanan komputer yang membahas tentang temuan bukti digital setelah suatu peristiwa terjadi. Kegiatan forensic computer ini sendiri mencakup proses identifikasi, memelihara, menganalisa, dan mempergunakan bukti digital menurut hukum yang berlaku.

Menurut para ahli, definisi forensic IT diantaranya:

  • Menurut Noblett, yaitu berperan untuk mengambil, menjaga, mengembalikan, dan menyajikan data yang telah diproses secara elektronik dan disimpan di media komputer.
  • Menurut Judd Robin, yaitu penerapan secara sederhana dari penyidikan komputer dan teknik analisisnya untuk menentukan bukti-bukti hukum yang mungkin.
  • Menurut Ruby Alamsyah (salah seorang ahli forensik IT Indonesia), digital forensik atau terkadang disebut komputer forensik adalah ilmu yang menganalisa barang bukti digital sehingga dapat dipertanggungjawabkan di pengadilan. Barang bukti digital tersebut termasuk handphone, notebook, server, alat teknologi apapun yang mempunyai media penyimpanan dan bisa dianalisa.

Apa sebenarnya tujuan dari forensic IT ini? Tujuan utamanya adalah untuk mengamankan dan menganalisa bukti digital dengan menjabarkan keadaan terkini dari suatu artefak digital. Beberapa contoh bukti digital misalnya: e-mail, file bentuk image, video, audio, web browser bookmark, deleted file, registry suatu OS, logs, dll.

Menurut catatan dari dosen saya, Prof. I Wayan S.W, beberapa prinsip dalam forensic IT diantaranya adalah:

  • Forensik bukan proses Hacking
  • Data yang didapat harus dijaga jangan sampai berubah
  • Membuat image dari HD/Floppy/USB-Stick/Memory-dump adalah prioritas tanpa merubah isi, kadang digunakan hardware khusus
  • Image yang diutak-atik (hacking) dan dianalisis – bukan yang asli (which means it’s a copy)
  • Data yang sudah terhapus membutuhkan tools khusus untuk merekonstruksi
  • Pencarian bukti dengan : tools pencarian teks khusus, atau mencari sati persatu dalam image

Sebelum masuk ke studi kasus, ada tahap-tahap dalam forensic IT yang harus dilalui. Identifikasi atau tahap pengenalan bukti, Penyimpanan bukti digital- yaitu dimana bkti digital ini disimpan secara sementara-, Analisis bukti digital, dan terakhir adalah Presentasi bukti digital atau bagaimana nantinya hasil forensic akan digunakan dalam hokum.

Diantara keempat tahap tersebut, saya lebih condong membahas tahap analisis. Pada tahap analisis, forensic IT berkaitan lebih dari sekedar file yang ada. Seorang teknisi forensic akan memeriksa semua keseluruhan struktur dari hard disk, mencari semua kemungkinan bukti. Selama kegiatan operasi normal PC, data tambahan yang dimaksudkan untuk disimpan pada permukaan HD. Pada pemeriksaan, informasi dapat saja berada di:

  • File Slack. Bagian dari ruang dicadangkan untuk digunakan sebuah file yang belum sepenuhnya diisi oleh file tsb. Informasi ini terdiri dari data yang ditarik dari memori computer. Slack sering terdiri dari teks sampah, tetapi pada banyak kesempatan telah ditemukan teks yang berkaitan dengan investigasi.
  • Data Fragments. Unit ruang disk yang digunakan tetapi tidak dicatat dengan file pada disk. Fragmen ini biasanya merupakan material yang tersisa pada disk
    oleh file lama atau aplikasi.
  • System Slack. Data yang dituliskan ke daerah-daerah dari hard drive disediakan untuk digunakan oleh sistem operasi komputer. Beberapa program menggunakan areal ini sebagai penyimpanan sementara. Pada banyak kesempatan berharga bukti dari daerah ini telah dikumpulkan dari sistem komputer yang sebelumnya diyakini telah ‘bersih’.

Dalam investigasi dimana tersangka mengerti tentang computer, daerah-daerah tsb terkadang digunakan untuk menyembunyikan informasi. Tindakan tersangka dalam menghapus atau menyembunyikan bukti dari sebuah sistem komputer dapat memiliki efek sebaliknya, dan memperkuat bukti. Hal ini sering terjadi dengan menghapus file, atau format non-destruktif ” dari hard drive komputer.

Dalam PC yang berbasis sistem operasi, seperti Windows XP, ada berbagai varietas dari ‘cache files’, ‘swap files’, ‘audit logs’, dan ‘registry entries’ yang semua berisi informasi tentang tindakan pengguna. Seorang teknisi forensic yang berpengalaman dapat dengan cepat menyimpulkan profil penggunaan computer, dan mengidentifikas bukti potensial.

Nah, sekarang contoh studi kasusnya:

Investigation of defamatory ‘Hotmail’

Sebuah organisasi besar mengalami kesulitan dengan sirkulasi anonim email Hotmail pesan kepada karyawan. Email termasuk tuduhan yang memfitnah kepada manajemen senior.

Sebuah studi dari header email teridentifikasi sebagai ISP yang berbasis di Sydney yang terhubung dengan tersangka pada saat pesan yang dikirim. Sebuah pencarian perusahaan telepon memanggil informasi yang tersimpan oleh identifikasi mereka PABX bahwa satu panggilan yang dilakukan untuk ini ISP dari port telepon di dalam organisasi yang sama pada hari dan selama periode yang sama di mana pesan Hotmail terakhir dikirim. Port data dimana panggilan telepon dibuat terletak di komunal bidang unit bisnis tertentu dalam organisasi.

Komputer secara forensik dicitrakan dari daerah ini. Serangkaian kata kunci pencarian seluruh gambar diidentifikasi satu komputer yang berisi referensi ke Hotmail akun tersebut. Itu juga mengidentifikasi bahwa komputer ini baru saja ter de-fragmentasi, suatu proses yang secara permanen dapat merusak bukti potensial.

Analisisnya!

Analisis lebih rinci mengidentifikasi fragmen data yang dilampirkan ke file system sebagai ‘file slack’. Kata kunci yang ditemukan dalam fragmen dari kode HTML(format digunakan untuk menulis halaman web internet). Kode HTML tsb disusun ulang dan dilihat melalui browser internet. Ketika disusun ulang, fragmen yang ditemukan adalah file grafis internet yang telah awalnya diunduh untuk sementara pada komputer ‘temporary internet cache'(tempat penyimpanan sementara untuk grafis internet yang dirancang untuk mempercepat akses ke internet halaman web), tapi telah dihapus. Grafik file menunjukkan dua akses terpisah email berbasis web untuk pengguna Hotmail akun tersebut.

Satu-satunya cara informasi ini bisa muncul di komputer adalah jika operator telah menggunakan username dan password untuk mengakses account Hotmail dari komputer. Waktu dan tanggal yang terkait dengan teks mengungkapkan bahwa kegiatan ini terjadi sebelum karyawan lain dari perusahaan menerima email dari bersalah Alamat email hotmail.

Bukti ini merupakan bagian dari alasan untuk penghentian tersangka kerja.

Investigasi Selanjutnya!

Walaupun telah terdeteksi, dalam minggu-minggu setelah pemutusan hubungan kerja, anonim pesan email berlanjut. Kali ini pesan dikirim ke organisasi klien, dan mengancam kontrak berharga. Pesan ini dikirim dari ‘Anonim’ email berbasis web situs, yang menghapus semua informasi yang digunakan dalam proses tracing. Namun tersangka diamati secara teratur menggunakan sebuah kafe internet. Pemeriksaan forensik dari sistem komputer mengidentifikasi pesan yang dikirim dan juga ditemukan bukti-bukti dari pesan email yang sebelumnya dikirim empat bulan sebelumnya.

Hasilnya!

Bukti yang dikumpulkan melalui forensik komputer awalnya digunakan untuk mengakhiri kerja individu. Bukti lebih lanjut digunakan untuk memulai proses peradilan sipil, yang cepat diselesaikan.

So,, sudahkah Anda mendapat gambaran seperti apa IT Forensik sebenarnya..? Mudah-mudah post ini bisa berguna bagi readers semua.. ^^

sumber terkait:

http://iwayan.info/Lecture/EtikaProfesi_S1/

http://kikifirmansyah.blog.upi.edu/

http://www.pwc.com/au