IT
FORENSICS
Pendahuluan
Definisi
sederhana, IT Forensics yaitu penggunaan sekumpulan prosedur untuk melakukan
pengujian secara menyeluruh suatu sistem komputer dengan mempergunakan software
dan tool untuk memelihara barang bukti tindakan kriminal. Menurut Noblett,
yaitu berperan untuk mengambil, menjaga, mengembalikan, dan menyajikan data
yang telah diproses secara elektronik dan disimpan di media komputer. Menurut
Judd Robin, yaitu penerapan secara sederhana dari penyidikan komputer dan
teknik analisisnya untuk menentukan bukti-bukti hukum yang mungkin.
Berikut
prosedur forensik yang umum di gunakan antara lain:
1. Membuat
copies dari keseluruhan log data, files, daln lain-lain yang dianggap perlu
pada media terpisah.
2.
Membuat fingerprint dari data secara
matematis.
3.
Membuat fingerprint dari copies secara
otomatis.
4.
Membuat suatu hashes masterlist.
5. Dokumentasi
yang baik dari segala sesuatu yang telah dikerjakan.
Sedangkan
menurut metode Search dan Seizure adalah:
1. Identifikasi
dan penelitian permasalahan.
2.
Membaut hipotesa.
3.
Uji hipotesa secara konsep dan empiris.
4. Evaluasi hipotesa berdasarkan hasil
pengujian dan pengujian ulang jika hipotesa tersebut jauh dari apa yang
diharapkan.
5.
Evaluasi hipotesa terhadap dampak yang
lain jika hipotesa tersebut dapat diterima.
Perbedaan Around The
Computer dan Through The Computer
1.
Audit
around the computer
Dilakukan
pada saat dokumen sumber
tersedia dalam bentuk kertas (bahasa non-mesin), artinya masih kasat mata dan
dilihat secara visual. Kemudian dokumen-dokumen disimpan
dalam file dengan cara yang mudah ditemukan. Keluaran dapat diperoleh dari
daftar yang terinci dan auditor mudah menelusuri setiap transaksi dari dokumen
sumber kepada keluaran dan sebaliknya.
Kelebihan dan kekurangan dari audit
around the computer, yaitu:
1. Proses audit tidak memakan waktu lama
karena hanya melakukan audit tidak secara mendalam.
2.
Tidak harus mengetahui seluruh proses
penanganan sistem
3. Umumnya database mencakup jumlah data
yang banyak dan sulit untuk ditelusuri secara manual
4.
Tidak membuat auditor memahami sistem
komputer lebih baik
5. Mengabaikan pengendalian sistem,
sehingga rawan terhadap kesalahan dan kelemahan potensial dalam sistem
6. Lebih berkenaan dengan hal yang
lalu daripada audit yang preventif
7.
Kemampuan komputer sebagai fasilitas
penunjang audit tidak terpakai
8.
Tidak mencakup keseluruhan maksud dan
tujuan audit
2.
Audit
through the computer
Dimana
auditor selain memeriksa data masukan dan keluaran, juga melakukan uji coba
proses program dan sistemnya atau yang disebut dengan white box,
sehinga auditor merasakan sendiri langkah demi langkah pelaksanaan sistem serta
mengetahui sistem bagaimana sistem dijalankan pada proses tertentu.
Audit
ini dilakukan pada saat sistem aplikasi komputer memproses input yang cukup
besar dan menghasilkan output yang cukup besar pula, sehingga memperluas audit
untuk meneliti keabsahannya. Bagian penting dari struktur pengendalian intern
perusahaan terdapat di dalam komputerisasi yang digunakan.
Kelebihan dari audit through the
computer, yaitu:
1.
Dapat
meningkatkan kekuatan pengujian system aplikasi secara efektif
2.
Dapat memeriksa secara langsung logika
pemprosesan dan system aplikasi
3. Kemampuan system dapat menangani
perubahan dan kemungkinan kehilangan yang terjadi pada masa yang akan dating
4. Auditor memperoleh kemampuan yang besar
dan efektif dalam melakukan pengujian terhadap system computer
5.
Auditor merasa lebih yakin terhadap
kebenaran hasil kerjanya
Kekurangan dari audit through the
computer, yaitu:
1. Biaya yang dibutuhkan relative tinggi
karena jumlah jam kerja yang banyak untuk dapat lenih memahami struktur
pengendalian intern dari pelaksanaan system aplikasi
2.
Butuh keahlian teknis yang mendalam
untuk memahami cara kerja sistem
Perbedaan
dari around the computer dan through the computer, yaitu:
Tools dalam IT Audit
1. ACL (Audit Command Language)
merupakan sebuah software CAAT (Computer Assisted Audit Techniques) yang sudah
sangat populer untuk melakukan analisa terhadap data dari berbagai macam
sumber.
2. Picalo
merupakan sebuah software CAAT (Computer Assisted Audit Techniques) seperti
halnya ACL yang dapat dipergunakan untuk menganalisa data dari berbagai macam
sumber.
3. Powertech Compliance Assessment
merupakan automated audit tool yang dapat dipergunakan untuk mengaudit dan
mem-benchmark user access to data, public authority to libraries, user
security, system security, system auditing dan administrator rights (special
authority) sebuah server AS/400.
4. Nipper
merupakan audit automation software yang dapat dipergunakan untuk mengaudit dan
mem-benchmark konfigurasi sebuah router.
5. Nessus
merupakan sebuah vulnerability assessment software.
6. Metasploit Framework
merupakan sebuah penetration testing tool.
7. NMAP merupakan open source utility untuk melakukan
security auditing.
8. Wireshark
merupakan network utility yang dapat dipergunakan untuk meng-capture paket data
yang ada di dalam jaringan komputer.
Tools dalam IT Forensik
1. Antiword Antiword
merupakan sebuah aplikasi yang digunakan untuk menampilkan teks dan gambar
dokumen Microsoft Word. Antiword hanya mendukung dokumen yang dibuat oleh MS
Word versi 2 dan versi 6 atau yang lebih baru.
2. Autopsy The Autopsy Forensic
Browser merupakan antarmuka grafis untuk tool analisis
investigasi diginal perintah baris The Sleuth Kit. Bersama, mereka dapat
menganalisis disk dan filesistem Windows dan UNIX (NTFS, FAT, UFS1/2, Ext2/3).
3. Binhash merupakan
sebuah program sederhana untuk melakukan hashing terhadap berbagai bagian file
ELF dan PE untuk perbandingan. Saat ini ia melakukan hash terhadap segmen
header dari bagian header segmen obyek ELF dan bagian segmen header obyek PE.
4. Sigtool merupakan
tool untuk manajemen signature dan database ClamAV. sigtool dapat digunakan
untuk rnenghasilkan checksum MD5, konversi data ke dalam format heksadesimal,
menampilkan daftar signature virus dan build/unpack/test/verify database CVD
dan skrip update.
5. Chaos Reader
merupakan sebuah tool freeware untuk melacak sesi TCP/UDP/… dan mengambil data
aplikasi dari log tcpdump. la akan mengambil sesi telnet, file FTP, transfer
HTTP (HTML, GIF, JPEG,…), email SMTP, dan sebagainya, dari data yang ditangkap
oleh log lalu lintas jaringan. Sebuah file index html akan tercipta yang
berisikan link ke seluruh detil sesi, termasuk program replay realtime untuk
sesi telnet, rlogin, IRC, X11 atau VNC; dan membuat laporan seperti laporan
image dan laporan isi HTTP GET/POST.
6. Chkrootkit
merupakan sebuah tool untuk memeriksa tanda-tanda adanya rootkit secara lokal.
la akan memeriksa utilitas utama apakah terinfeksi, dan saat ini memeriksa
sekitar 60 rootkit dan variasinya.
7. Dcfldd Tool
ini mulanya dikembangkan di Department of Defense Computer Forensics Lab
(DCFL). Meskipun saat ini Nick Harbour tidak lagi berafiliasi dengan DCFL, ia
tetap memelihara tool ini.
8. Ddrescue GNU
ddrescue merupakan sebuah tool penyelamat data, la menyalinkan data dari satu
file atau device blok (hard disc, cdrom, dsb.) ke yang lain, berusaha keras
menyelamatkan data dalam hal kegagalan pembacaan. Ddrescue tidak memotong file
output bila tidak diminta. Sehingga setiap kali anda menjalankannya kefile
output yang sama, ia berusaha mengisi kekosongan.
9. Foremost merupakan
sebuah tool yang dapat digunakan untuk me-recover file berdasarkan header, footer,
atau struktur data file tersebut. la mulanya dikembangkan oleh Jesse Kornblum
dan Kris Kendall dari the United States Air Force Office of Special
Investigations and The Center for Information Systems Security Studies and
Research. Saat ini foremost dipelihara oleh Nick Mikus seorang Peneliti di the
Naval Postgraduate School Center for Information Systems Security Studies and
Research.
10. Gqview
merupakan sebuah program untuk melihat gambar berbasis GTK la mendukung beragam
format gambar, zooming, panning, thumbnails, dan pengurutan gambar.
11. Galleta
merupakan sebuah tool yang ditulis oleh Keith J Jones untuk melakukan analisis
forensic terhadap cookie Internet Explorer.
12. Ishw (Hardware Lister)
merupakan sebuah tool kecil yang memberikan informasi detil mengenai
konfigurasi hardware dalam mesin. la dapat melaporkan konfigurasi memori dengan
tepat, versi firmware, konfigurasi mainboard, versi dan kecepatan CPU,
konfigurasi cache, kecepatan bus, dsb. pada sistem t>MI-capable x86 atau
sistem EFI.
13. Pasco
banyak penyelidikan kejahatan komputer membutuhkan rekonstruksi aktivitas
Internet tersangka. Karena teknik analisis ini dilakukan secara teratur, Keith
menyelidiki struktur data yang ditemukan dalam file aktivitas Internet Explorer
(file index.dat). Pasco, yang berasal dari bahasa Latin dan berarti “browse”,
dikembangkan untuk menguji isi file cache Internet Explorer. Pasco akan
memeriksa informasi dalam file index.dat dan mengeluarkan hasil dalam field
delimited sehingga dapat diimpor ke program spreadsheet favorit Anda.
14. Scalpel
adalah sebuah tool forensik yang dirancang untuk mengidentifikasikan,
mengisolasi dan merecover data dari media komputer selama proses investigasi
forensik. Scalpel mencari hard drive, bit-stream image, unallocated space file,
atau sembarang file komputer untuk karakteristik, isi atau atribut tertentu,
dan menghasilkan laporan mengenai lokasi dan isi artifak yang ditemukan selama
proses pencarian elektronik. Scalpel juga menghasilkan (carves) artifak yang
ditemukan sebagai file individual.
Source:
