Jumat, 05 November 2010

Computer Forensic

Forensik adalah pemanfaatan ilmu pengetahuan untuk menginvestigasi dan menyusun fakta2 dalam pengadilan criminal atau sipil. Pakar forensic mampu menguji sejumlah petunjuk dan menyusun kembali rangkaian peristiwa/kejadian. Computer Forensic merupakan disiplin ilmu yang paling baru dan paling cepat perkembangannya dalam bidang ini. Sebagaimana dideskripsikan sebelumnya pada Bab 11, computer forensic – kerap disebut juga sebagai digital forensic, network forensic atau cyber forensic - adalah penemuan, pengumpulan dan analisa atas bukti2 yang ditemukan dalam computer dan jaringan2nya. Teknik forensic computer mencakup analisa file2 log (Log Files/data harian tercatat), analisa storage media (termasuk file2 yg dihapus/deleted files), analisa atas log percakapan (chat logs), penelusuran jalur data pengiriman pada data network (Gbr. 1). Bidang studi ini mengintegrasikan aspek2 pengadilan criminal, ilmu computer, serta teknik2 investigasi computer dan jaringan.


CAKUPAN COMPUTER FORENSICS (CF)

CF focus pada computer dan jaringan.
• Analisa forensik komputer meliputi pengujian media, program2 dan data serta file log(catatan/rekaman aktivitas harian) untuk merekonstruksikan aktivitas yang memanfaatkan komputer tersebut, mis., percakapan pesan instan, chatting internet, pesan email, situs2 yang dikunjungi, dokumen atau lembar kerja yang dibuka, file2 audio didengar dan gambar/foto yang dilihat.
• Analisa forensik jaringan lebih terfokus pada kegiatan suatu jaringan dan meliputi analisa atas konten server, server dan file2 data log pada penghubung koneksi (router), lalu lintas data paket (paket traffic), dan informasi yang diperoleh dari ISP (Penyedia Jasa Internet).

Ilmu forensik komputer mencakup sejumlah area yang berkaitan (gbr.2). CF sangat penting bagi penegakan hukum sebagai sarana pengumpulan bukti dan investigasi kriminal. CF terus berkembang menjadi perangkat penting yang digunakan untuk pengumpulan informasi intelijen militer dan sipil – termasuk aktivitas terkait keamanan negara. CF juga terus dikembangkan dan semakin luas dipakai oleh berbagai organisasi dan perusahaan swasta lainnya untuk menangkal serangan atas keamanan infomasi (information security). Perangkat2 (tools) utama dan keahlian sama pentingnya dalam penerapan.

Seorang spesialis CF juga harus memiliki pengetahuan hukum, tanpa perlu membedakan apakah investigasi yang dilakukan adalah untuk penegakan hukum atau untuk tujuan2 sipil. Ada kompleksitas tambahan dalam bidang ini yang disebabkan undang2 kejahatan informasi virtual dan penerapan privasi sah pengguna (user) yang sangat bervariasi dari satu negara ke negara lain, dari satu bgsa ke bangsa yang lain. Dengan adanya internet dan www (world wide web), batas2 yurisdikasi negara semakin kabur, dan seseorang di negara tertentu dapat saja melakukan kejahatan di mana pun di dunia tanpa perlu meninggalkan keyboard komputernya.

Meskipun kebanyakan spesialis CF saat ini terkait dalam investigasi penegakan hukum, bidang ini tidak terbatas pada penemuan bukti kesalahan kriminal. CF juga sedang berkembang pesat sebagai spesialisasi turunan bagi para profesional keamanan informasi (information security/IS). Manajer IS tradisional bertanggung jawab untuk proaktif dalam melindungi aset2 teknologi informasi (IT) dalam suatu perusahaan/lembaga.
Penyusupan jaring pengamanan dan peristiwa sejenis tak mungkin dihindari. Spesialis CF, sebaliknya, perlu mengarahkan fungsi tanggap insiden untuk mempelajari bagaimana peristiwa itu terjadi, siapa di belakangnya, dan bagaimana mencegah agar hal itu tidak berulang. Teknik2 CF terus digunakan oleh perusahaan pihak ketiga untuk mengaudit kebijakan dan pemenuhan permintaan akan isu2 mulai dari AUPs organisasi hingga regulasi2 seperti SOX dan HIPAA.

CF juga merupakan bagian dari perangkat pakar komputer masa kini. Banyak peniliti IS secara sengaja memasang honeypot (komputer yang mudah ditembus) pada jaringan mereka untuk tujuan khusus yakni menganalisa serangan2 yang kadang2 disusupkan ke dalam sistem mereka. Selanjutnya mereka dengan teliti mempelajari bagaimana cara honeypot yang diserang tersebut dapat menyediakan informasi yang signifikan dalam bentuk2 baru serangan, yang kemudian dapat diterjemahkan ke dalam perangkat defensif dan strategi baru.

Kepentingan CF

CF sedang berkembang pesat karena alasan yang sangat sederhana yakni komputer dan internet adalah teknologi yang sedang marak dimanfaatkan untuk aktivitas kriminal. Saat komputer menjadi semakin kecil, murah, ringan, dan mudah digunakan, perangkat ini semakin terlihat hadir dalam hampir semua tindak kejahatan diinvestigasi polisi. Sejumlah kegiatan, seperti perjudian ilegal dan penyaluran virus dan kuman, telah memunculkan corak hidup baru karena kemudahan penyebaran komputer dan internet.

Cybercrime (CC) sedang bertumbuh pesat baik dari segi jumlah kejadian maupun pembiayaan dalam dollar, terutama karena kejahatan ini lebih aman dan menguntungkan dibandingkan kejahatan dalam dunia ’nyata’. Jumlah rata2 perampok bank, misalnya, hanya mengakibatkan kerugian bersih sekitar beberapa ribu dolar, itupun sebagian besar dapat ditangkap dan dipenjara. Sebaliknya, kejahatan komputer kerah putih, seperti pelelangan semu, pengurasan kartu kredit, pencurian identitas, dan berbagai praktik penipuan keuangan, cenderung mengakibatkan hilangnya jauh lebih besar jumlah uang, dan para penyusup jauh lebih sulit ditangkap dan dipenjara. Sebagai tambahan, penjahat IT cenderung lebih mampu menarik simpati hakim, juri dan publik dibanding pelaku kekerasan. Keseluruhan permasalahan itu menjadi fakta bahwa akses ke resources jaringan korporasi membuat pekerjaan2 dari pelaku internal oleh karyawan sendiri jauh lebih mudah. Gbr. 3 menunjukkan kerugian dalam dollar yang dilaporkan oleh 269 perusahaan besar pada tahun terakhir ini berkaitan dnegan pemalsuan telecom dan keuangan, penyalahgunaan oleh orang dalam, akses jaringan yang tidak diotorisasi, pencurian informasi peruhaan, dan sejumlah tindak kejahatan lain terkait komputer.

CF digunakan tidak hanya untuk membasmi CC. Teroris di seluruh dunia diketahui telah menggunakan komputer dan berbagai perangkat digital lain, sehingga analisa CF menjadi penting sebagai sarana anti-terorisme, baik untuk pemberantasan kejahatan maupun untuk pengumpulan data intelijen. Semua lembaga yang menggunakan komputer, mulai dari LSM, perusahaan2 besar hingga biro2 pemerintahan dan perusahaan pengguna, berada dalam bahaya. Semakin banyak informasi yang disimpan secara digital dan semakin banyak aspek hidup masyarakat berada di bawah kontrol komputer, maka semakin kita semua menghadapi meningkatnya kerentanan. CF adalah sarana penting dalam memahami sistem informasi digital kita dan menjaganya tetap aman, sama halnya seperti menelusuri jejak orang yang menyalahgunakan sistem tersebut.


PROSES CF

Proses CF bisa sederhana bisa juga rumit, tergantung pada ruang lingkup yang menyebabkan investigasi tersebut menjadi prioritas. Spesialis CF bisa saja menjadi bagian dari tim investigasi, dan analisa atas bukti digital bisa hanyamerupakan satu bagian dari investigasi secara keseluruhan. Si spesialis akan mencari informasi yang berkaitan dengan kejadian atau peristiwa yang sedang diinvestigasi, yang dapat dibatasi oleh surat perintah penyidikan, dan ruang lingkup lainnya.

Langkah pertama dalam proses ini adalah mengumpulkan bahan material untuk dianalisa. Ini mungkin tidak semudah kedengarannya. Personil penegak hukum akan dilengkapi dengan surat izin penahanan bukti material, sementara spesialis CF dapat diarahkan oleh perangkat apa yang dimiliki perusahaan tersebut. Bahkan dengan petunjuk yang jelas sekalipun, banyak item yang perlu dipertimbangkan untuk dikumpulkan dan diuji sebagaimana diperinci dalam bagian berikut ini.

Perangkat Computer
Saat ini perangkat komputer dapat ditemukan di banyak tempat (Gbr.4). Ini mencakup hard disk, zip disk, floppy disk, dan optical disk (CD dan DVD). Juga termasuk di dalamnya alat penyimpan data berkapasitas kecil maupun besar seperti USB Flash Drives (dengan berbagai versi tempat kaitannya seperti pada jam tangan, ballpoint, pisau swiss army) dan kartu memori.

Komputer & Perangkat Pendukungnya
Setiap bagian komputer perlu dipertimbangkan untuk diteliti, dan biasanya penting untuk mengambil keseluruhan perangkat tersebut. Spesialis tak dapat berasumsi bahwa bagian keyboard belakang yang dibawa ke lab sudah mewakili penahanan komputer utuh. Komputer yang ditunjukkan dalam gbr 5 mempunyai hardware utama yang mungkin akan diperhitungkan orang untuk dilihat saat reka adegan tindak kejahatan.


Hardware Komputer dan Jaringan Lainnya
Kata komputer harus diinterpretasikan secara luas dalam istilah CF yang mencakup tidak hanya desktop tradisional, notebook, sistem server, tetapi juga perangkat digital, termasuk router, kamera digital, mobile phone, dan PDA (gbr.6).
Rumah2 dengan koneksi jaringan broadband terus meningkatkan jaringan dengan rangkaian komputer dan sebuah router. Jaringan nirkabel (Wireless network) membuat relatif mudah untuk menyembunyikan komputer yang terangkai; sebuah komputer yang menggunakan jaringan wireless rumah dapat mencapai jarak 100 yard dari akses point wireless-nya, dan dengan demikian bisa disituasikan jauh dari struktur langsungnya.

Computer Software
Meskipun spesialis CF umumnya tidak dapat menjalankan software secara langsung dari drive yang dicurigai, adalah sulit untuk menyelidiki file2 tanpa software aplikasi yang tepat. Dalam beberapa kasus, pengguna komputer yang dicurigai bisa saja telah menginstal software khusus, yang disesuaikan atau yang sangat tua, yang biasanya akan menyulitkan spesialis CF untuk mengakses; dalam kasus tersebut, si spesialis perlu menginstal software yang ditemukan di lokasi pada komputer lab forensik. Ini hanya salah satu cara untuk menyelidiki situasi tempat di mana komputer ditemukan dan untuk mempertimbangkan penahanan media distribusi serta petunjuk penggunaan dari software apa pun yang kurang familiar bagi sang spesialis. Kertas2 dan buku2 yang ditemukan dekat komputer juga akan memberikan sang spesialis petunjuk dan penerawangan tentang pengguna dan tipe2 aplikasi yang mungkin akan ditemukan pada sistem tersebut.

Dalam Lab CF

Saat material yang dibutuhkan sudah ada di lab forensik komputer, investigasi dapat dimulai. Langkah2 dasar dalam analisa forensik komputer adalah:
1. Melindungi alat/media tersebut
Analisa CF tidak pernah dijalankan pada media aslinya, kecuali dalam situasi sangat luar biasa, karena alasan potensi terjadinya kecelakaan adanya perubahan pada bukti orisinil. Copy-annya juga harus dibuat sedemikian rupa agar informasi asli tidak dilanturkan dengan cara apa pun dan bahwa hal itu dapat diotentikan sama seperti mengisi informasi yang sama dengan aslinya. Proses ini dikenal sebagai penggambaran sebuah drive (imaging a drive).

2. Menyaring & Memilah bukti
Berdasarkan panduan investigasi, si spesialis perlu mempertimbangkan informasi seperti apa pada komputer tersebut yang berkaitan dengan kasus. Petunjuk2 untuk apa yang akan diselidiki bergantung pada tipe kasusnya. Spreadsheet, contohnya akan sangat relevan dalam kasus pemalsuan bisnis, sementara itu gambar penting dalam kasus dugaan pornografi anak2. Data chatting dan email bermanfaat dalam kasus pembicaraan cyber. Kata kunci, seperti frase2 terkait, istilah2 slang, nama-nama, lokasi2, dll, harus diperolah spesialis CF dalam kasus tertentu.
3. Menganalisa media komputer
Analisa aktual atas bukti dan penyebab awal dari kejadian merupakan aspek yang paling menyita waktu dari proses ini. Sangat penting untuk dicatat bahwa informasi yang diperoleh dari komputer bisa menjadi petunjuk awal adanya kesalahan maupun ketidakbersalahan. Lagi pula, sang spesialis harus memeriksa keseluruhan kapasitas dari medium tersebut (komputer) karena informasi dapat disembunyikan di mana saja. Gbr. 7 meringkaskan item2 umum yang biasanya diteliti saat investigasi CF dilakukan.
4. Mendokumentasikan hasil-hasilnya
Hasil2 uji CF harus didokumentasikan seluruhnya terutama jika pengujian tersebut dilakukan untuk tujuan proses hukum. Segala sesuatunya harus dicatat, mulai dari konfigurasi komputer dan setting-an BIOS hingga tiap langkah yang diambil oleh sang spesialis CF dan segala bukti terkait yang ditemukan. Semua perlengkapan komputer, perangkat, jaringan terhubung dan benda2 di sekitarnya, atau item2 lain yang dikumpulkan harus dibuat log, dan jika mungkin, fotografer perlu mendokumentasikan koneksi eksternal dan internal serta sikon lokasi. Penanganan worksheet (kertas kerja) alat bukti ditunjukkan pada gbr.8.
• Gmbar 8a adlah worksheet untuk mencatat bukti dari komputer.
• Gbr 8b adalah contoh worksheet yg digunakan untuk mencatat bukti dari hard drive.

Secara umum, alat2 CF telah dirancang khusus yang digunakan untuk melakukan suatu analisa untuk menjamin bahwa tidak ada informasi yang dimodifikasi pada target media (computer) dan bahwa penyeledikan yang dilakukan sudah menyeluruh. Mengurai dan mengurutkan (booting) perubahan2 dalam komputer yang berisi ratusan registry, log, dan file data sangat penting, karena itu hard disk asli tidak pernah boleh digunakan dalam proses booting computer. Lagi pula, banyak sistem operasi, seperti Linux dan Windows, menjaga penomoran waktu yang dilekatkan pada setiap file terkait, termasuk saat pembuatan, akses terakhir, data modifikasi terakhir (last modified date). Penggunaan perangkat sistem operasi biasa untuk memeeriksa isi file2 biasanya akan menyebabkan, paling kurang, perubahan pada data akses terakhir (last access date) file tersebut. Penggunaan alat analisa khusus mampu menjaga integritas data orisinilnya sehingga sang spesialis sendiri pun yakin bahwa hasil2 analisis tersebut valid secara legal maupun teknis. Sangat penting artinya menjaga jangan sampai ada kerusakan/gangguan terjadi pada bukti orisinil.




ALAT2 CF

Ada bermacam2 perangkat CF yang tersedia, masing-masing dengan aplikasi tersendiri, yang memiliki kelebihan dan kekurangan. Sejumlah perusahaan membuat hardware CF, terutama untuk tujuan disk imaging (pemotretan disk). Digital Intelligence, misalnya, membuat beberapa perangkat hardware forensik, antara lain:
• Hardware ’The Forensic Recovery of Digital Evidence’ (FRED) – gbr.9a. Hardware ini adalah perangkat kerja forensic yang berdiri sendiri yang dapat merangkum data dari semua tipe hard disk, termasuk IDE, ATA, SATA, dan SCSI, juga floppy dan Zip disks. Sistem ini mencakup pula hard disk tetap untuk sistem operasi perangkat kerja dan perlengkapan analisis plus sejumbah penghubung bagi driver2 lain untuk di-insert atau dikeluarkan. Untuk aplikasi2 imaging, isi disket yang dicurigai dicopy ke sebuah disk kosong; analisis selanjutnya dilakukan di disket copy-an tersebut.
• Hardware ’The FireChief’ (gbr 9b). Hardware ini memiliki dua jalur removable hard disk (HD yang dapat dipindahkan), satu di antaranya write-protected – terlindungi secara tertulis- (untuk disk orisinil). Perangkat ini dapat digunakan untuk meng-copy satu disk dan dipindahkan ke yang lainnya. Alat ini terkoneksi ke computer melalui koneksi FireWire dan ini sangat ideal untuk menunjang perangkat kerja forensic berbiaya rendah.
• Hardware FireFly (gbr 9c) dapat dicolokkan secara langsung ke hard disk SATA atau IDE dan terhubung ke computer forensic melalui koneksi FireWire.


Dalam beberapa kasus, spesialis memilih untuk memotret hard disk langsung di lapangan daripada memindahkan seluruh perangkat komputer ke lab. Ini kerap kali menjadi pendekatan yang dipilih seandainya perangkat yang akan digambar/dipotret adalah server penting perusahaan. Penahanan perangkat komputer tersebut akan mengakibatkan problem ekonomi tak perlu bagi pemilik perusahaan. Perangkat seperti Intelligent Computer Solutions’ Road MASSter-II (gbr.10) adalah salah satu perangkat yang dimaksud. Patut dicatat bahwa ini tepat untuk penanganan kasus kecil.
Notebook mewakili tantangan khusus dalam analisa forensik karena banyak hard disk notebook yang memiliki tampilan khusus dan autoformat pemilik. Ada Hardware tambahan yang secara khusus dipakai untuk pemotretan (imaging) drive dari berbagai produk Dell, Gateway, HP, IBM, NEC, Toshiba, dan berbagai merek notebook lainnya.

Hal...

Perangkat analisis CF terpenting adalah software. Program khusus forensic yang paling banyak digunakan saat ini adalah EnCase (software Guidance-pemandu) dan Ultimate Toolkit, perangkat Access Data (gbr.11). Tidak ada satu program tunggal yang dapat menjalankan seluruh aspek analisis CF, meskipun sudah ada beberapa yang mendekati itu. Program2 tersebut menyediakan fungsi2 dengan jangkauan forensic yang luas (gbr.12)


Dalam Tugas CF

Seorang spesialis CF perlu memiliki pemahaman dan pengetahuan kerja yang mencakup jangkauan topik yang luas terkait komputer dan jaringan. Unsur paling esensial dari pengetahuan tersebut adalah pemahaman bagaimana file2 disimpan pada media penyimpanan (storage) dan berbagai sistem file yang dapat ditemukan. Bagian berikut akan mengilustrasikan beberapa tugas pokok spesialis CF saat mencari petunjuk2 (clues) dalam investigasi.

Menganalisa file2 yang dihapus (deleted files)
Pikirkan skenario yang ditunjukkan dalam Gbr 13.
• Gambar 13a menampilkan tersangka sedang memilah nama file2 yang terlibat dalam kegiatan kriminal.
• Gbr 13b menampilkan si tersangka sedang menghapus file2 tersebut.
• Gbr 13c menunjukkan spesialis CF sedang menggunakan program khusus untuk melacak dan menarik kembali file2 yang telah dihapus.

Menelusuri Rute Paket
Pengetahuan internet adalah salah satu skill yang esensial. Gbr.14a menunjukkan hasil Mc Avee’s Visual Trace, yang menyusun rute2 paket lanjutan antara komputer host lokal (altamont) dan sebuah Web Server (www.garykessler.net). Visual Trace adalah versi grafis dari penjejak/tracert (DOS) dan Traceroute (Linux) yang mengatur fasilitas jalur dan susunan daftar IP Address dari semua ’lompatan’ (sharing informasi) pada jalur tertentu antara dua komputer. Tampilan ini juga menunjukkan penundaan round-trip/perjalanan berkeliling dan dapat digunakan untuk menunjukkan informasi tentang siapakah yang ada pada tiap rute paket dalam jalur tersebut. Visual Trace juga dapat menunjukkan peta geografis jalur tersebut (gbr 14b).

Menganalisa Log ISP
Saat investigasi CF, spesialis dapat meminta data tercatat/log dari sebuah penyedia jasa internet (ISP). ISP tersebut akan mengirimkan log dimaksud, tapi data tersebut masih dalam format mentah yang memungkinkan data tersebut tetap aman.
Jika SMTP digunakan untuk mem-forward e-mail ke seluruh internet, protokol lain digunakan untuk mendownload email oleh klien. Satu protokol seperti itu adalah Post Office Protocol versi-3 (POP3). Gbr 1° pada halaman 607 menunjukkan rangkaian tiga catatan dari sebuah log pada server POP3 yang menampilkan data seorang pengguna yang login untuk mengecek dan men-download pesan email.. Semua catatan menunjukkan data (13 maret) dan waktu yang tertera pada host bernama Watson yang menjalankan layanan POP (ipop3d) dan akses oleh seorang pengguna pada host dengan IP address 192.168.187.35.

Menganalisa Log Chatting
Analisa log chatting adalah salah satu aspek penting dalam analisa jaringan. Log yang ditampilkan dalam gbr 1c pada halaman 607 adalah percakapan antara BettyF, billy89, dan anggota lain dari IRC Strong&40 channel. Meskipun percakapan ini relatif tidak berbahaya, analisa log seperti ini dapat menghadirkan atau membalikkan bukti percakapan cyber, konspirasi kriminal, spionase ekonomi, gangguan, atau hal2 lain yang menarik.

Menganalisa Jejak suatu Paket
Pemindai atau penjejak paket (Sniffer) adalah perangkat software yang penting dalam memahami lalu lintas jaringan. Sniffer memonitor semua yang terlihat pada port jaringan sebuah komputer dan menyimpan sebuah copy-an untuk analisa lanjutan. Salah satu penjejak paket/sniffer yang paling umum adalah tcpdump, fasilitas pengatur jalur untuk UNIX/Linux; WinDump adalah versi Windows-nya.


Menganalisa Perangkat Mobile
Mobile phone, PDA, dan kamera digital terus menjadi fokus penelitian forensik. Analisa atas perangkat2 ini menjadi spesialisasi turunan dalam CF yang terus berkembang. Kadang-kadang, analisa atas perangkat mobile lebih rumit dibandingkan analisa atas omputer, karena perangkat mobile memiliki keragaman konektor fisik, lingkup operasi, struktur file, format data, tampilan, personalisasi pengguna, pola-pola operasi yang sangat beragam. Perangkat mobile juga dapat berisi berbagai macam pengembangan kartu mulai dari flash memory hingga berbagai SIM Card.



Belajar Lebih Lanjut tentang CF


Setiap aksi pengguna pada komputer akan meninggalkan jejak. Menghapus file sesungguhnya tidak menghilangkan informasi. Bukti kegiatan komputer tersimpan di banyak tempat pada hard disk, beberapa di antaranya jelas terlihat tetapi yang lainnya sangat tersembunyi. Informasi tentang akses jaringan berpotensi tercatat pada banyak komputer melalui jaringan lokal dan internet global. Penelusural digital (digital track) ada di mana-mana.

Spesialis CF harus secara teknis dapat memahami dan menikmati permasalahan dan pemecahan teka-teki tersebut. Mereka harus menyadari batasan-batasan legal dan kebijakan2 organisasi yang mengatur apa yang dapat atau tidak dapat mereka lakukan.

Banyak sumber berita dan informasi tentang CF tersedia secara online. Dengan menggunakan portal Web seperti Goodle, Yahoo!, dan lainnya, Anda dapat menemukan link ke ratusan situs CF. Gbr 15 menampilkan sumber2 informasi mengenai CF dan alamat situs masing-masing.


Translasi

Tidak ada komentar:

Posting Komentar