IT Forensik adalah cabang
dari ilmu komputer tetapi menjurus ke bagian forensik yaituberkaitan dengan
bukti hukum yang ditemukan di komputer dan media penyimpanandigital. Komputer
forensik juga dikenal sebagai Digital Forensik. Kata forensik itusendiri secara
umum artinya membawa ke pengadilan. IT Forensik merupakan ilmuyang berhubungan
dengan pengumpulan fakta dan bukti pelanggaran keamanan sisteminformasi serta
validasinya menurut metode yang digunakan (misalnya metode sebab-akibat), di
mana IT Forensik bertujuan untuk mendapatkan fakta-fakta objektif darisistem
informasi. Fakta-fakta tersebut setelah di verifikasi akan menjadi
bukti-buktiyang akan di gunakan dalam proses hukum, selain itu juga memerlukan
keahliandibidang IT (termasuk diantaranya hacking) dan alat bantu (tools) baik
hardwaremaupun software.
Tujuan
IT Forensik
Tujuan dari IT forensik
adalah untuk menjelaskan keadaan artefak digital terkini.Artefak Digital dapat
mencakup sistem komputer, media penyimpanan (seperti harddisk atau CD-ROM),
dokumen elektronik (misalnya pesan email atau gambar JPEG)atau bahkan
paket-paket yang secara berurutan bergerak melalui jaringan. Bidang ITforensik
juga memiliki cabang-cabang di dalamnya seperti firewall forensik, forensik jaringan,
database forensik, dan forensik perangkat mobile.Dari data yang diperoleh
melalui survey oleh FBI dan The Computer Security Institute,pada tahun 1999
mengatakan bahwa 51% responden mengakui bahwa mereka telahmenderita kerugian
terutama dalam bidang finansial akibat kejahatan komputer. Kejahatan Komputer
dibagi menjadi dua, yaitu :
- Komputer fraud.Kejahatan atau pelanggaran dari segi sistem organisasi komputer.
- Komputer crime.Merupakan kegiatan berbahaya dimana menggunakan media komputer dalammelakukan pelanggaran hukum
Sejarah
IT Forensik
Barang bukti yang berasal
dari komputer telah muncul dalam persidangan hampir 30 tahun. Awalnya, hakim
menerima bukti tersebut tanpa melakukan pembedaan dengan bentuk bukti lainnya.
Sesuai dengan kemajuan teknologi komputer, perlakuan serupa dengan bukti
tradisional menjadi ambigu. US Federal Rules of Evidence 1976 menyatakan
permasalahan tersebut sebagai masalah yang rumit. Hukum lainnya yang berkaitan
dengan kejahatan komputer:
- The Electronic Communications Privacy Act 1986, berkaitan dengan penyadapan peralatan elektronik.
- The Computer Security Act 1987 (Public Law 100-235), berkaitan dengan keamanan sistem komputer pemerintahan.
- Economic Espionage Act 1996, berhubungan dengan pencurian rahasia dagang.
Pada akhirnya, jika ingin
menyelesaikan suatu “misteri komputer” secara efektif, diperlukan pengujian
sistem sebagai seorang detektif, bukan sebagai user. Sifat alami dari teknologi
Internet memungkinkan pelaku kejahatan untuk menyembunyikan jejaknya. Kejahatan
komputer tidak memiliki batas geografis. Kejahatan bisa dilakukan dari jarak
dekat, atau berjarak ribuan kilometer jauhnya dengan hasil yang serupa.
Bagaimanapun pada saat yang sama, teknologi memungkinkan menyingkap siapa dan
bagaimana itu dilakukan. Dalam komputer forensik, sesuatu tidak selalu seperti
kelihatannya. Penjahat biasanya selangkah lebih maju dari penegak hukum, dalam
melindungi diri dan menghancurkan barang bukti. Merupakan tugas ahli komputer
forensik untuk menegakkan hukum dengan mengamankan barang bukti, rekonstruksi
kejahatan, dan menjamin jika bukti yang dikumpulkan itu berguna di persidangan.
Tools dalam Forensik IT
1. Antiword Antiword merupakan sebuah aplikasi
yang digunakan untuk menampilkan teks dan gambar dokumen Microsoft Word.
Antiword hanya mendukung dokumen yang dibuat oleh MS Word versi 2 dan versi 6
atau yang lebih baru.
2. Autopsy The Autopsy
Forensic Browser merupakan antarmuka grafis untuk tool analisis investigasi
diginal perintah baris The Sleuth Kit. Bersama, mereka dapat menganalisis disk
dan filesistem Windows dan UNIX (NTFS, FAT, UFS1/2, Ext2/3).
3. Binhash Binhash merupakan
sebuah program sederhana untuk melakukan hashing terhadap berbagai bagian file
ELF dan PE untuk perbandingan. Saat ini ia melakukan hash terhadap segmen
header dari bagian header segmen obyek ELF dan bagian segmen header obyekPE.
4. Sigtool Sigtcol merupakan
tool untuk manajemen signature dan database ClamAV. sigtool dapat digunakan
untuk rnenghasilkan checksum MD5, konversi data ke dalam format heksadesimal,
menampilkan daftar signature virus dan build/unpack/test/verify database CVD
dan skrip update.
5. ChaosReader
ChaosReader merupakan sebuah tool freeware untuk melacak sesi TCP/UDP/… dan
mengambil data aplikasi dari log tcpdump. la akan mengambil sesi telnet, file
FTP, transfer HTTP (HTML, GIF, JPEG,…), email SMTP, dan sebagainya, dari data
yang ditangkap oleh log lalu lintas jaringan. Sebuah file index html akan
tercipta yang berisikan link ke seluruh detil sesi, termasuk program replay
realtime untuk sesi telnet, rlogin, IRC, X11 atau VNC; dan membuat laporan
seperti laporan image dan laporan isi HTTP GET/POST.
6. Chkrootkit Chkrootkit
merupakan sebuah tool untuk memeriksa tanda-tanda adanya rootkit secara lokal.
la akan memeriksa utilitas utama apakah terinfeksi, dan saat ini memeriksa
sekitar 60 rootkit dan variasinya.
7. Dcfldd Tool ini
mulanya dikembangkan di Department of Defense Computer Forensics Lab (DCFL).
Meskipun saat ini Nick Harbour tidak lagi berafiliasi dengan DCFL, ia tetap
memelihara tool ini.
8. Ddrescue GNU ddrescue
merupakan sebuah tool penyelamat data, la menyalinkan data dari satu file atau
device blok (hard disc, cdrom, dsb.) ke yang lain, berusaha keras menyelamatkan
data dalam hal kegagalan pembacaan. Ddrescue tidak memotong file output bila
tidak diminta. Sehingga setiap kali anda menjalankannya kefile output yang
sama, ia berusaha mengisi kekosongan.
9. Foremost Foremost
merupakan sebuah tool yang dapat digunakan untuk me-recover file berdasarkan
header, footer, atau struktur data file tersebut. la mulanya dikembangkan oleh
Jesse Kornblum dan Kris Kendall dari the United States Air Force Office of
Special Investigations and The Center for Information Systems Security Studies
and Research. Saat ini foremost dipelihara oleh Nick Mikus seorang Peneliti di
the Naval Postgraduate School Center for Information Systems Security Studies
and Research.
10. Gqview Gqview
merupakan sebuah program untuk melihat gambar berbasis GTK la mendukung beragam
format gambar, zooming, panning, thumbnails, dan pengurutan gambar.
11. Galleta Galleta
merupakan sebuah tool yang ditulis oleh Keith J Jones untuk melakukan analisis
forensic terhadap cookie Internet Explorer.
12. Ishw Ishw (Hardware
Lister) merupakan sebuah tool kecil yang memberikan informasi detil mengenai
konfigurasi hardware dalam mesin. la dapat melaporkan konfigurasi memori dengan
tepat, versi firmware, konfigurasi mainboard, versi dan kecepatan CPU,
konfigurasi cache, kecepatan bus, dsb. pada sistem t>MI-capable x86 atau
sistem EFI.
13. Pasco Banyak
penyelidikan kejahatan komputer membutuhkan rekonstruksi aktivitas Internet
tersangka. Karena teknik analisis ini dilakukan secara teratur, Keith
menyelidiki struktur data yang ditemukan dalam file aktivitas Internet Explorer
(file index.dat). Pasco, yang berasal dari bahasa Latin dan berarti “browse”,
dikembangkan untuk menguji isi file cache Internet Explorer. Pasco akan
memeriksa informasi dalam file index.dat dan mengeluarkan hasil dalam field
delimited sehingga dapat diimpor ke program spreadsheet favorit Anda.
14. Scalpel Scalpel
adalah sebuah tool forensik yang dirancang untuk mengidentifikasikan,
mengisolasi dan merecover data dari media komputer selama proses investigasi
forensik. Scalpel mencari hard drive, bit-stream image, unallocated space file,
atau sembarang file komputer untuk karakteristik, isi atau atribut tertentu,
dan menghasilkan laporan mengenai lokasi dan isi artifak yang ditemukan selama
proses pencarian elektronik. Scalpel juga menghasilkan (carves) artifak yang
ditemukan sebagai file individual.
Elemen
kunci IT Forensik
Empat Elemen Kunci
Forensik yang harus diperhatikan berkenaan dengan bukti digital dalam Teknologi
Informasi, adalah sebagai berikut:
-
Identifikasi dalam bukti digital (Identification/Collecting Digital Evidence)
Merupakan tahapan paling
awal dalam teknologi informasi. Pada tahapan ini dilakukan identifikasi dimana
bukti itu berada, dimana bukti itu disimpan, dan bagaimana penyimpanannya untuk
mempermudah penyelidikan. Network Administratormerupakan sosok pertama yang
umumnya mengetahui keberadaan cybercrime, atau Tim Respon
cybercrimecybercrimediusut oleh cyberpolice.
-
Penyimpanan bukti digital (Preserving Digital Evidence)
Software-software yang
dapat digunakan dalam aktivitas ini antara lain adalah:
• Safe Back. Dipasarkan
sejak tahun 1990 untuk penegakan Hukum dan Kepolisian. Digunakan oleh FBI dan
Divisi Investigasi Kriminal IRS. Berguna untuk pemakaian partisi tunggal secara
virtual dalam segala ukuran. File Image dapat ditransformasikan dalam format
SCSI atau media storage magnetik lainnya.
• EnCase. Seperti
SafeBack yang merupakan program berbasis karakter, EnCase adalah program dengan
fitur yang relatif mirip, dengan Interface GUI yang mudah dipakai oleh tekhnisi
secara umum. Dapat dipakai dengan Multiple Platform seperti Windows NT atau
Palm OS. Memiliki fasilitas dengan Preview Bukti, Pengkopian
target,SearchingAnalyzing. dan
• Pro Discover. Aplikasi
berbasis Windows yang didesain oleh tim Technology Pathways forensics. Memiliki
kemampuan untuk me-recover file yang telah terhapus dari space storage yang
longgar, mengalanalisis Windows 2000/NT data stream untuk data yang terhidden.
- Analisa bukti digital
(Analizing Digital Evidence)
Tiap-tiap data yang ditemukan sebenarnya merupakan informasi yang belum diolah, sehingga keberadaannya memiliki sifat yang vital dalam kesempatan tertentu. Data yang dimaksud antara lain :
- Alamat URL yang telah dikunjungi (dapat ditemukan pada Web cache, History, temporary internet files)
- Pesan e-mail atau kumpulan alamat e-mail yang terdaftar (dapat ditemukan pada e-mail server)
- Program Word processing atau format ekstensi yang dipakai (format yang sering dipakai adalah .doc, .rtf, .wpd, .wps, .txt)
- Dokumen spreedsheat yang dipakai (yang sering dipakai adalah .xls, .wgl, .xkl)
- Format gambar yang dipakai apabila ditemukan (.jpg, .gif, .bmp, .tif dan yang lainnya)
- Registry Windows (apabila aplikasi)
- Log Event viewers
- Log Applications
- File print spool
- Dan file-file terkait lainnya.
- Presentasi bukti digital (Presentation of Digital
Evidence)
Pada tahapan final ini ada beberapa hal yang mutlak
diperhatikan, karena memang pada level ini ukuran kebenaran akan ditetapkan
oleh pengadilan sebagai pemilik otoritas. Hal-hal yang dimaksud adalah :
- Cara Presentasi
- Keahlian Presentasi
- Kualifikasi Presenter
- Kredibilitas setiap tahapan pengusutan
Sumber :
iqbalhabibie.staff.gunadarma.ac.id/Downloads/files/30322/4.IT+forensics.pdf
