WA: 0812 8595 8481
â‹®
View : 668 kali.
Materi Kuliah Komputer Forensik
04.01 Metodologi Komputer Forensik, Perlindungan Bukti dan Ancaman Terhadap Bukti
#
Ahli forensik bisa mengidentifikasikan penyusupan dengan mengetahui apa yang harus dicari, di mana, dan bukti lain yang diperlukan. Informasi harus mencukupi untuk menentukan apakah upaya penegakan hukum harus disertakan. Proteksi barang bukti merupakan suatu hal yang krusial. Barang bukti tidak boleh rusak atau berubah selama tahapan dan proses recovery dan analisis, juga diproteksi dari kerusakan virus dan mekanis/elektromekanis. Proses harus dilakukan secepat mungkin setelah insiden supaya detilnya masih terekam baik oleh mereka yang terlibat. Hal itu bisa dimulai dengan catatan secara kronologis. Misalnya tentang tanggal, jam, dan deskripsi komputer. Bila menganalisa server mungkin akan diperiksa event log. Karena user bisa mengubah waktu dengan mudah, perhatikanlah bagaimana kecocokannya dengan kronologi kejadian. Buka komputer dan lihat apakah ada lebih dari satu hard disk, catat peripheral apa yang terhubung, termasuk nomor seri hard disk. Berikan label dan buat foto bila perlu, sehingga bisa mengembalikannya ke tempat semula nanti. Bila harus memecah password pertimbangkan untuk menanyakan pada user atau mempergunakan tool-tool yang ada di pasaran. Amati perangkat semacam zip disk, floppy, dan disk image. Barang bukti bisa jadi muncul dalam bentuk yang kecil. Ada kemungkinan pada komputer stand alone ada suatu port USB atau slot PCMCIA yang bisa di-plug ke perangkat jaringan.
Beberapa ancaman terhadap barang bukti :
� Virus - Bisa mengakibatkan kerusakan atau perubahan file
� Prosedur cleanup - Adanya program atau script yang menghapus file saat komputer shutdown atau start up.
� Ancaman eksternal, misal dari lingkungan yang tidak kondusif sehingga merusak data. Seperti tempat yang terlalu panas, dingin, atau lembab.
Judd Robbins dari "An Explanation of Computer Forensics" mensyaratkan hal berikut:
� Barang bukti tidak rusak, atau terpengaruh oleh prosedur yang dipergunakan untuk penyelidikan
� Tidak terinfeksi virus komputer selama proses analisis.
� Bukti-bukti yang relevan dan ekstraksinya, ditangani dan dilindungi dari kerusakan mekanis atau elektromekanis lebih jauh
� Penerapan pemeliharaan
� Membatasi dampak pada operasi bisnis
� Semua informasi client yang diperoleh selama eksplorasi forensik dihargai secara etis dan tidak diumumkan.
04.01 Metodologi Komputer Forensik, Perlindungan Bukti dan Ancaman Terhadap Bukti
#
Kebutuhan akan ahli komputer foresik menjadi penting pada departemen penegakan hukum, pemerintahan, dan perusahaan dunia. Dewasa ini tidak ada suatu metodologi tunggal untuk melakukan analisis dan penyelidikan forensik, karena terdapat terlalu banyak variabel . Misalkan sistem operasi, program aplikasi, algoritma kriptografi, dan platform hardware. Di luar itu adalah aspek hukum, batas-batas internasional, dan publisitas. Karena manusia tidak luput dari kesalahan maka harus ada metode yang pasti untuk melakukan penyelidikan dan standar yang dikembangkan.
David Morrow menyatakan "Seperti halnya anda tidak memulai perjalanan jauh ke daerah asing tanpa peta jalan, jangan memulai penyelidikan tanpa memperhatikan rencana" Sains adalah metode, serta tindakan yang direncanakan untuk memperoleh dan menganalisa barang bukti, sedangkan teknologi (dalam kasus komputer) adalah program yang memenuhi kebutuhan tertentu untuk memperoleh dan menganalisa barang bukti. Mengikuti metode standar merupakan hal yang penting demi kesuksesan dan keefektifan komputer forensik, seperti halnya programmer mempergunakan metode pemrograman standar . Perancangan dan implementasi software merupakan hal yang mirip satu sama lain. Konsep ini dapat diterapkan pula pada komputer forensik. Bukti komputer bisa muncul dalam bermacam bentuk dan versi. Penyelidik yang memiliki pengetahuan mengenai banyak teknik dan metode penyimpanan bisa dengan cepat mengidentifikasikan tempat untuk mencari tanda-tanda barang bukti. Suatu metode standar akan memungkinkan perlindungan barang bukti.
Ada beberapa panduan keprofesian yang diterima secara luas :
� Pengujian forensik harus dilakukan secara menyeluruh. Pekerjaan ini menganalisa media dan melaporkan temuan tanpa adanya prasangka atau asumsi awal
� Media yang dipergunakan pada pengujian forensik harus disterilisasi sebelum setiap penggunaan
� Image bit dari media asli harus dibuat dan dipergunakan untuk analisa.
� Integritas dari media asli harus dipelihara selama keseluruhan penyelidikan.
Dalam kaitan ini terdapat akronim PPAD pada komputer forensik:
1. Preserve the data to ensure the data is not changed (Pelihara data untuk menjamin data tidak berubah)
2. Protect the evidence to ensure no one else has access to the evidence (Lindungi data untuk menjamin tidak ada yang mengakses barang bukti)
3. Analyze the data using forensically sound techniques (Lakukan analisis data mempergunakan teknik forensik)
4. Document everything (Dokumentasikan semuanya)
Di sini integritas proses merupakan hal yang sepenting integritas data [12]. Karena itu, tahapan khusus diperlukan untuk melindungi barang bukti. Sedikit organisasi yang memiliki tool atau ahli forensik sendiri untuk menangani insiden yang serius. Ahli keamanan sendiri jarang dilatih komputer forensik sehingga kurang memiliki pengetahuan prosedur tertentu yang diperlukan untuk persidangan. The International Association of Computer Investigative Specialists (IACIS) memberikan tiga syarat untuk pengujian forensik:
1. Penggunaan media forensik yang steril.
2. Pengujian harus mempertahankan integritas media asli.
3. Printout dan copy data hasil pengujian harus ditandai, dikenali dan disertakan
Semua peralatan dan keahlian yang ada tidak akan berguna jika tidak disinkronisasikan dengan penegak hukum. Mungkin diperlukan dokumentasi yang lebih baik dan rangkaian penanganan barang bukti. Perlu dipelajari apa yang diperlukan oleh aparat hukum dan menyesuaikan metodologi dengannya. Karena terdapat cukup banyak variabel pada kasus forensik, ada dua hal yang diperlukan :
1. Definisikan metodologi, baik aturan dan panduan
2. Kerjakan sesuai metodologi itu
Pemikirannya di sini jika tidak bisa berargumen bagaimana anda bekerja dan mengapa melakukannya seperti itu, hal tersebut akan dipertanyakan, "Mengapa setiap kasus ditangani secara berbeda?" Panduan harus diikuti sebagai titik referensi setiap tahap penyelidikan. Meski tidak bisa persis karena tak ada dua kasus yang identik. Misalkan saja mobil Ferrari dan Honda memiliki mekanisme dasar yang sama tetapi anda mengendarainya secara berbeda.
Hal terpenting lainnya adalah dokumentasi rangkaian barang bukti. Misalkan saja forensik dilakukan oleh beberapa orang, yang harus saling mengetahui tahapan dan pekerjaan masing-masing. Perlu dicatat pula waktu dan nama yang terkait serta langkah yang diambil. Dengan dokumentasi yang lengkap bisa mematahkan argumen salah prosedur, jika kita mengikuti metodologi yang telah ditentukan. Dokumentasi juga bisa membantu ahli forensik bila kasus ditangani dalam waktu lama dan beban kerjanya tinggi.
Beberapa aspek yang bisa dipelajari untuk meningkatkan kemampuan penyelidikan :
� Lakukan pemeriksaan ulang dengan tool yang berbeda sehingga cukup memberikan keyakinan
� Salah satu hal yang tersulit adalah berusaha tetap obyektif selama penyelidikan. Berhentilah sebentar dan periksalah kenyataan yang ada untuk meyakinkan anda cukup beralasan. Perlu diingat pekerjaan ini berkaitan dengan mengumpulkan semua bukti yang tersedia bukan hanya bukti yang mendukung penuntutan
� Yakinkan langkah-langkah anda disetujui oleh pihak manajemen dan staf hukum.
� Kaitkan barang bukti dengan hardware tertentu
� Buatlah log tertulis untuk menjamin penyelidikan mengikuti langkah-langkah yang logis dan mampu menulis laporan yang akurat nantinya
� Gunakan capture full screen
� Backup barang bukti
� Kumpulkan juga barang bukti pada tempat terpisah
Perlunya Perlindungan Bukti
Dari penyelidikan yang dilakukan oleh Electronic Privacy Information Center (EPIC) , "Sejak 1992 jumlah kasus kejahatan komputer telah meningkat tiga kali. Dari 419 kasus yang diajukan oleh penuntut hanya 83 yang dieksekusi karena kurangnya bukti. Saat suatu kasus diajukan bisa memakan waktu persidangan sampai lima tahun. Alasannya adalah bukti yang dikumpulkan pada kasus kejahatan komputer sangat kompleks."
Banyak kasus tidak dibawa ke pengadilan karena barang bukti yang tidak memadai. Bukti harus ditangani secara hati-hati untuk mencegah penolakan dalam pengadilan, karena rusak atau mengalami perubahan. Barang bukti komputer merupakan benda yang sensitif dan bisa mengalami kerusakan karena salah penanganan. Ahli forensik harus menanganinya sedemikian sehingga dijamin tidak ada kerusakan atau perubahan.
David Morrow menyatakan "Seperti halnya anda tidak memulai perjalanan jauh ke daerah asing tanpa peta jalan, jangan memulai penyelidikan tanpa memperhatikan rencana" Sains adalah metode, serta tindakan yang direncanakan untuk memperoleh dan menganalisa barang bukti, sedangkan teknologi (dalam kasus komputer) adalah program yang memenuhi kebutuhan tertentu untuk memperoleh dan menganalisa barang bukti. Mengikuti metode standar merupakan hal yang penting demi kesuksesan dan keefektifan komputer forensik, seperti halnya programmer mempergunakan metode pemrograman standar . Perancangan dan implementasi software merupakan hal yang mirip satu sama lain. Konsep ini dapat diterapkan pula pada komputer forensik. Bukti komputer bisa muncul dalam bermacam bentuk dan versi. Penyelidik yang memiliki pengetahuan mengenai banyak teknik dan metode penyimpanan bisa dengan cepat mengidentifikasikan tempat untuk mencari tanda-tanda barang bukti. Suatu metode standar akan memungkinkan perlindungan barang bukti.
Ada beberapa panduan keprofesian yang diterima secara luas :
� Pengujian forensik harus dilakukan secara menyeluruh. Pekerjaan ini menganalisa media dan melaporkan temuan tanpa adanya prasangka atau asumsi awal
� Media yang dipergunakan pada pengujian forensik harus disterilisasi sebelum setiap penggunaan
� Image bit dari media asli harus dibuat dan dipergunakan untuk analisa.
� Integritas dari media asli harus dipelihara selama keseluruhan penyelidikan.
Dalam kaitan ini terdapat akronim PPAD pada komputer forensik:
1. Preserve the data to ensure the data is not changed (Pelihara data untuk menjamin data tidak berubah)
2. Protect the evidence to ensure no one else has access to the evidence (Lindungi data untuk menjamin tidak ada yang mengakses barang bukti)
3. Analyze the data using forensically sound techniques (Lakukan analisis data mempergunakan teknik forensik)
4. Document everything (Dokumentasikan semuanya)
Di sini integritas proses merupakan hal yang sepenting integritas data [12]. Karena itu, tahapan khusus diperlukan untuk melindungi barang bukti. Sedikit organisasi yang memiliki tool atau ahli forensik sendiri untuk menangani insiden yang serius. Ahli keamanan sendiri jarang dilatih komputer forensik sehingga kurang memiliki pengetahuan prosedur tertentu yang diperlukan untuk persidangan. The International Association of Computer Investigative Specialists (IACIS) memberikan tiga syarat untuk pengujian forensik:
1. Penggunaan media forensik yang steril.
2. Pengujian harus mempertahankan integritas media asli.
3. Printout dan copy data hasil pengujian harus ditandai, dikenali dan disertakan
Semua peralatan dan keahlian yang ada tidak akan berguna jika tidak disinkronisasikan dengan penegak hukum. Mungkin diperlukan dokumentasi yang lebih baik dan rangkaian penanganan barang bukti. Perlu dipelajari apa yang diperlukan oleh aparat hukum dan menyesuaikan metodologi dengannya. Karena terdapat cukup banyak variabel pada kasus forensik, ada dua hal yang diperlukan :
1. Definisikan metodologi, baik aturan dan panduan
2. Kerjakan sesuai metodologi itu
Pemikirannya di sini jika tidak bisa berargumen bagaimana anda bekerja dan mengapa melakukannya seperti itu, hal tersebut akan dipertanyakan, "Mengapa setiap kasus ditangani secara berbeda?" Panduan harus diikuti sebagai titik referensi setiap tahap penyelidikan. Meski tidak bisa persis karena tak ada dua kasus yang identik. Misalkan saja mobil Ferrari dan Honda memiliki mekanisme dasar yang sama tetapi anda mengendarainya secara berbeda.
Hal terpenting lainnya adalah dokumentasi rangkaian barang bukti. Misalkan saja forensik dilakukan oleh beberapa orang, yang harus saling mengetahui tahapan dan pekerjaan masing-masing. Perlu dicatat pula waktu dan nama yang terkait serta langkah yang diambil. Dengan dokumentasi yang lengkap bisa mematahkan argumen salah prosedur, jika kita mengikuti metodologi yang telah ditentukan. Dokumentasi juga bisa membantu ahli forensik bila kasus ditangani dalam waktu lama dan beban kerjanya tinggi.
Beberapa aspek yang bisa dipelajari untuk meningkatkan kemampuan penyelidikan :
� Lakukan pemeriksaan ulang dengan tool yang berbeda sehingga cukup memberikan keyakinan
� Salah satu hal yang tersulit adalah berusaha tetap obyektif selama penyelidikan. Berhentilah sebentar dan periksalah kenyataan yang ada untuk meyakinkan anda cukup beralasan. Perlu diingat pekerjaan ini berkaitan dengan mengumpulkan semua bukti yang tersedia bukan hanya bukti yang mendukung penuntutan
� Yakinkan langkah-langkah anda disetujui oleh pihak manajemen dan staf hukum.
� Kaitkan barang bukti dengan hardware tertentu
� Buatlah log tertulis untuk menjamin penyelidikan mengikuti langkah-langkah yang logis dan mampu menulis laporan yang akurat nantinya
� Gunakan capture full screen
� Backup barang bukti
� Kumpulkan juga barang bukti pada tempat terpisah
Perlunya Perlindungan Bukti
Dari penyelidikan yang dilakukan oleh Electronic Privacy Information Center (EPIC) , "Sejak 1992 jumlah kasus kejahatan komputer telah meningkat tiga kali. Dari 419 kasus yang diajukan oleh penuntut hanya 83 yang dieksekusi karena kurangnya bukti. Saat suatu kasus diajukan bisa memakan waktu persidangan sampai lima tahun. Alasannya adalah bukti yang dikumpulkan pada kasus kejahatan komputer sangat kompleks."
Banyak kasus tidak dibawa ke pengadilan karena barang bukti yang tidak memadai. Bukti harus ditangani secara hati-hati untuk mencegah penolakan dalam pengadilan, karena rusak atau mengalami perubahan. Barang bukti komputer merupakan benda yang sensitif dan bisa mengalami kerusakan karena salah penanganan. Ahli forensik harus menanganinya sedemikian sehingga dijamin tidak ada kerusakan atau perubahan.
Ahli forensik bisa mengidentifikasikan penyusupan dengan mengetahui apa yang harus dicari, di mana, dan bukti lain yang diperlukan. Informasi harus mencukupi untuk menentukan apakah upaya penegakan hukum harus disertakan. Proteksi barang bukti merupakan suatu hal yang krusial. Barang bukti tidak boleh rusak atau berubah selama tahapan dan proses recovery dan analisis, juga diproteksi dari kerusakan virus dan mekanis/elektromekanis. Proses harus dilakukan secepat mungkin setelah insiden supaya detilnya masih terekam baik oleh mereka yang terlibat. Hal itu bisa dimulai dengan catatan secara kronologis. Misalnya tentang tanggal, jam, dan deskripsi komputer. Bila menganalisa server mungkin akan diperiksa event log. Karena user bisa mengubah waktu dengan mudah, perhatikanlah bagaimana kecocokannya dengan kronologi kejadian. Buka komputer dan lihat apakah ada lebih dari satu hard disk, catat peripheral apa yang terhubung, termasuk nomor seri hard disk. Berikan label dan buat foto bila perlu, sehingga bisa mengembalikannya ke tempat semula nanti. Bila harus memecah password pertimbangkan untuk menanyakan pada user atau mempergunakan tool-tool yang ada di pasaran. Amati perangkat semacam zip disk, floppy, dan disk image. Barang bukti bisa jadi muncul dalam bentuk yang kecil. Ada kemungkinan pada komputer stand alone ada suatu port USB atau slot PCMCIA yang bisa di-plug ke perangkat jaringan.
Beberapa ancaman terhadap barang bukti :
� Virus - Bisa mengakibatkan kerusakan atau perubahan file
� Prosedur cleanup - Adanya program atau script yang menghapus file saat komputer shutdown atau start up.
� Ancaman eksternal, misal dari lingkungan yang tidak kondusif sehingga merusak data. Seperti tempat yang terlalu panas, dingin, atau lembab.
Judd Robbins dari "An Explanation of Computer Forensics" mensyaratkan hal berikut:
� Barang bukti tidak rusak, atau terpengaruh oleh prosedur yang dipergunakan untuk penyelidikan
� Tidak terinfeksi virus komputer selama proses analisis.
� Bukti-bukti yang relevan dan ekstraksinya, ditangani dan dilindungi dari kerusakan mekanis atau elektromekanis lebih jauh
� Penerapan pemeliharaan
� Membatasi dampak pada operasi bisnis
� Semua informasi client yang diperoleh selama eksplorasi forensik dihargai secara etis dan tidak diumumkan.
Materi Kuliah: