Prosedur Forensik yang umum digunakan adalah :
1. Membuat copies dari keseluruhan log data, files, daln lain-lain yang dianggap perlu pada media terpisah.
2. Membuat finerptint dari data secara matematis.
3. Membuat fingerprint dari copies secvara otomatis.
4. Membuat suatu hashes masterlist
5. Dokumentasi yang baik dari segala sesuatu yang telah dikerjakan.
Sedangkan menurut metode Search dan Seizure adalah :
1. Identifikasi dan penelitian permasalahan.
2. Membaut hipotesa.
3. Uji hipotesa secara konsep dan empiris.
4. Evaluasi hipotesa berdasarkan hasil pengujian dan pengujian ulang jika hipotesa tersebut jauh dari apa yang diharapkan.
5. Evaluasi hipotesa terhadap dampak yang lain jika hipotesa tersebut dapat diterima.
Tools Forensik yang umum digunakan :
1. antiword
Antiword merupakan sebuah aplikasi yang digunakan untuk menampilkan teks dan gambar dokumen Microsoft Word. Antiword hanya mendukung dokumen yang dibuat oleh MS Word versi 2 dan versi 6 atau yang lebih baru.
2. Autopsy
The Autopsy Forensic Browser merupakan antarmuka grafis untuk tool analisis investigasi diginal perintah baris The Sleuth Kit. Bersama, mereka dapat menganalisis disk dan filesistem Windows dan UNIX (NTFS, FAT, UFS1/2, Ext2/3).
3. binhash
binhash merupakan sebuah program sederhana untuk melakukan hashing terhadap berbagai bagian file ELF dan PE untuk perbandingan. Saat ini ia melakukan hash terhadap segmen header dari bagian header segmen obyek ELF dan bagian segmen header obyekPE.
4. sigtool
sigtcol merupakan tool untuk manajemen signature dan database ClamAV. sigtool dapat digunakan untuk rnenghasilkan checksum MD5, konversi data ke dalam format heksadesimal, menampilkan daftar signature virus dan build/unpack/test/verify database CVD dan skrip update.
5. ChaosReader
ChaosReader merupakan sebuah tool freeware untuk melacak sesi TCP/UDP/… dan mengambil data aplikasi dari log tcpdump. la akan mengambil sesi telnet, file FTP, transfer HTTP (HTML, GIF, JPEG,…), email SMTP, dan sebagainya, dari data yang ditangkap oleh log lalu lintas jaringan. Sebuah file index html akan tercipta yang berisikan link ke seluruh detil sesi, termasuk program replay realtime untuk sesi telnet, rlogin, IRC, X11 atau VNC; dan membuat laporan seperti laporan image dan laporan isi HTTP GET/POST.
6. chkrootkit
chkrootkit merupakan sebuah tool untuk memeriksa tanda-tanda adanya rootkit secara lokal. la akan memeriksa utilitas utama apakah terinfeksi, dan saat ini memeriksa sekitar 60 rootkit dan variasinya.
7. dcfldd
Tool ini mulanya dikembangkan di Department of Defense Computer Forensics Lab (DCFL). Meskipun saat ini Nick Harbour tidak lagi berafiliasi dengan DCFL, ia tetap memelihara tool ini.
8. ddrescue
GNU ddrescue merupakan sebuah tool penyelamat data, la menyalinkan data dari satu file atau device blok (hard disc, cdrom, dsb.) ke yang lain, berusaha keras menyelamatkan data dalam hal kegagalan pembacaan. Ddrescue tidak memotong file output bila tidak diminta. Sehingga setiap kali anda menjalankannya kefile output yang sama, ia berusaha mengisi kekosongan.
9. foremost
Foremost merupakan sebuah tool yang dapat digunakan untuk me-recover file berdasarkan header, footer, atau struktur data file tersebut. la mulanya dikembangkan oleh Jesse Kornblum dan Kris Kendall dari the United States Air Force Office of Special Investigations and The Center for Information Systems Security Studies and Research. Saat ini foremost dipelihara oleh Nick Mikus seorang Peneliti di the Naval Postgraduate School Center for Information Systems Security Studies and Research.
10. gqview
Gqview merupakan sebuah program untuk melihat gambar berbasis GTK la mendukung beragam format gambar, zooming, panning, thumbnails, dan pengurutan gambar.
11. galleta
Galleta merupakan sebuah tool yang ditulis oleh Keith J Jones untuk melakukan analisis forensic terhadap cookie Internet Explorer.
12. Ishw
Ishw (Hardware Lister) merupakan sebuah tool kecil yang memberikan informasi detil mengenai konfigurasi hardware dalam mesin. la dapat melaporkan konfigurasi memori dengan tepat, versi firmware, konfigurasi mainboard, versi dan kecepatan CPU, konfigurasi cache, kecepatan bus, dsb. pada sistem t>MI-capable x86 atau sistem EFI.
13. pasco
Banyak penyelidikan kejahatan komputer membutuhkan rekonstruksi aktivitas Internet tersangka. Karena teknik analisis ini dilakukan secara teratur, Keith menyelidiki struktur data yang ditemukan dalam file aktivitas Internet Explorer (file index.dat). Pasco, yang berasal dari bahasa Latin dan berarti “browse”, dikembangkan untuk menguji isi file cache Internet Explorer. Pasco akan memeriksa informasi dalam file index.dat dan mengeluarkan hasil dalam field delimited sehingga dapat diimpor ke program spreadsheet favorit Anda.
14. scalpel
calpel adalah sebuah tool forensik yang dirancang untuk mengidentifikasikan, mengisolasi dan merecover data dari media komputer selama proses investigasi forensik. Scalpel mencari hard drive, bit-stream image, unallocated space file, atau sembarang file komputer untuk karakteristik, isi atau atribut tertentu, dan menghasilkan laporan mengenai lokasi dan isi artifak yang ditemukan selama proses pencarian elektronik. Scalpel juga menghasilkan (carves) artifak yang ditemukan sebagai file individual.
Jumat, 30 Juli 2010
Masalah dalam IT forensik
Kita semua tahu bahwa kebutuhan untuk sertifikasi keamanan meningkat, tapi berapa banyak dari kita telah mempertimbangkan aspek keamanan komputer alternatif: kejahatan di dunia maya atau yang biasa disebut dengan Cyber Crime. Cyber Crime merupakan salah satu tingkat kejahatan yang pertumbuhannya paling cepat di negeri ini dan oleh karena itu dibutuhkan keahlian forensik dalam bidang IT. Yang dimaksud dengan ilmu forensik Ilmu adalah “… ilmu apapun yang digunakan untuk tujuan hukum … (menyediakan) tidak memihak bukti ilmiah untuk digunakan dalam pengadilan hukum, dan dalam penyelidikan dan pengadilan pidana.
kami ingin mengatasi beberapa masalah yang kita hadapi di bidang digital forensik, secara umum, yang mungkin akan bertambah buruk jika metode kita tidak segera mendapatkan lebih pintar. Berikut adalah beberapa masalah yang perlu diperhatikan dalam IT forensik:
• Jumlah data yang perlu diteliti dalam tiap kasus meningkat setiap tahunnya;
• perangkat lunak Forensik tidak stabil saat memproses besar jumlah data;
• Penegakan Hukum memiliki backlog besar dalam memproses kasus dalam waktu tertentu;
• Lebih banyak dan tekanan lebih banyak ditempatkan pada penyidik forensik digital untuk menghasilkan hasil yang dapat diandalkan dalam waktu yang sedikit.
Dalam IT forensik kemampuan analisis sangat dibutuhkan,karena untuk mengetahui suatu fakta ataupun mengusut suatu kasus maka harus memiliki kemampuan logika dan analisis yang baik. Menurut kebiasaannya, analisa data komputer dihubungkan dengan data pada media penyimpanan komputer, sedangkan untuk analisa data jaringan dihubungkan dengan data yang melintas pada suatu jaringan. Sebagai alat dan teknik analisa yang sering digunakan, kedua displin ini sudah terjalin. Kombinasi antara kemampuan analisis data komputer dan jaringan sangat penting untuk menangani suatu kejadian dan sebagai pendukung operasional. Untuk kedua analisis data yaitu analisis data komputer dan jaringan, maka proses analisa terdiri atas tahap – tahap berikut :
1. Acquisition (didapatnya) : memperoleh data dari sumber yang mungkin untuk data yang relevan, serta memeriksakan prosedur untuk integritas data dari sumber data.
2. Examination (pengujian) : penggunaan metode otomatis untuk menyelidiki data yang diperoleh .
3. Utilization (pemanfaatan) : laporan dari hasil pengujian, yang mana meliputi penggunaan tindakan dalam pengujian dan saran untuk peningkatan.
Selasa, 27 Juli 2010
IT Forensic
Sekarang ini marak sekali terjadinya kejahatan-kejahatan dalam dunia maya, kemarin di berita ada suatu kasus tentang pembobolan ATM bank oleh pihak-pihak yang tidak berwenang. Namun kasus ini sekarang sedang di selidiki oleh pihak kepolisian, kasus ini terungkap karena banyaknya nasabah bank yang melaporkan bahwa saldo uang mereka tiba-tiba banyak yang berkurang, dan hal ini tidak hanya 1 atau 2 orang saja, ternyata sudah banyak korban yang telah kehilangan saldo uangnya dari ATM.
Namun pada kali ini saya tidak membahas tentang kejahatan internet / cyber crime, saya akan membahas tentang IT forensic (bagian kepolisian yang menelusuri kejahatan-kejahatan dalam dunia computer/internet). Komputer forensik yang juga dikenal dengan nama digital forensik, adalah salah satu cabang ilmu forensik yang berkaitan dengan bukti legal yang ditemui pada komputer dan media penyimpanan digital.Tujuan dari komputer forensik adalah untuk menjabarkan keadaan kini dari suatu artefak digital. Istilah artefak digital bisa mencakup sebuah sistem komputer, media penyimpanan (seperti flash disk, hard disk, atau CD-ROM), sebuah dokumen elektronik (misalnya sebuah pesan email atau gambar JPEG), atau bahkan sederetan paket yang berpindah dalam jaringan komputer.
Setelah kasus pembobolan ATM mencuat ke permukaan para ahli IT forensic pun mulai menelusuri kasus tersebut, salah satu ahli forensic yang ada di Indonesia adalah Ruby Alamsyah. Ruby alamsyah namanya membumi setelah dia memperlihatkan teknik cara membobol ATM di tv, namun karena ulah sang maestro forensic ini, ada pakar telematika yang kontra akan aksinya yang mempertontonkan teknik membobol ATM tersebut di muka publik,
Bukti digital (Digital Evidence) merupakan salahsatu perangkat vital dalam mengungkap tindak cybercrime. Dengan mendapatkan bukti-bukti yang memadai dalam sebuah tindak kejahatan, Bukti Digital yang dimaksud dapat berupa adalah : E-mail, file-file wordprocessors, spreadsheet, sourcecode dari perangkat lunak, Image, web browser, bookmark, cookies, Kalender.
Langganan:
Komentar (Atom)