Definisi IT Forensik Ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode yang digunakan (misalnya metode sebab-akibat); Memerlukan keahlian dibidang IT ( termasuk diantaranya hacking) dan alat bantu (tools) baik hardware maupun software.
Hardware:
– Harddisk IDE & SCSI kapasitas sangat besar, CD-R, DVR drives
– Memori yang besar (1-2GB RAM)
– Hub, Switch, keperluan LAN
– Legacy hardware (8088s, Amiga, …)
– Laptop forensic workstations
Software
– Viewers (QVP http://www.avantstar.com/, http://www.thumbsplus.de/
– Erase/Unerase tools: Diskscrub/Norton utilities)
– Hash utility (MD5, SHA1)
– Text search utilities (dtsearch http://www.dtsearch.com/)
– Drive imaging utilities (Ghost, Snapback, Safeback,…)
– Forensic toolkits
● Unix/Linux: TCT The Coroners Toolkit/ForensiX
● Windows: Forensic Toolkit
– Disk editors (Winhex,…)
– Forensic acquisition tools (DriveSpy, EnCase, Safeback, SnapCopy,…)
– Write-blocking tools (FastBloc http://www.guidancesoftware.com ) untuk memproteksi bukti-bukti
Tujuan utama dari kegiatan IT forensik adalah untuk mengamankan dan menganalisa bukti digital dengan cara menjabarkan keadaan terkini dari suatu artefak digital. Istilah artefak digital dapat mencakup sebuah sistem komputer, media penyimpanan (harddisk, flashdisk, CD-ROM), sebuah dokumen elektronik (misalnya sebuah email atau gambar), atau bahkan sederetan paket yang berpindah melalui jaringan komputer.
Tools Yang Digunakan Untuk IT Forensik
Secara garis besar tools untuk kepentingan komputer forensik dapat dibedakan secara hardware dan software. Hardware tools forensik memiliki kemampuan yang beragam mulai dari yang sederhana dengan komponen singlepurpose seperti write blocker sampai sistem komputer lengkap dengan kemampuan server seperti F.R.E.D (Forensic Recovery of Evidence Device). Sementara Tools software forensik dapat dikelompokkan kedalam dua kelompok yaitu aplikasi berbasis command line dan aplikasi berbasis GUI.
Baik dari sisi hardware maupun software, tools untuk komputer forensik diharapkan dapat memenuhi 5 fungsi, yaitu untuk kepentingan akuisisi (acquisition), validasi dan diskriminasi (validation and discrimination), ekstraksi (extraction), rekonstruksi (reconstruction) dan pelaporan (reporting).
Salah satu software yang dapat digunakan untuk kepentingan identifikasi perolehan bukti digital adalah Spy Anytime PC Spy dari Waresight.Inc (www.waresight.com). Kemampuan dari aplikasi ini antara lain adalah untuk monitoring berbagai aktivitas komputer, seperti: website logs, keystroke logs, application logs, screenshot logs, file/folder logs.
Untuk kepentingan penyimpanan bukti digital, salah satu teknik yang digunakan adalah Cloning Disk atau Ghosting. Teknik ini adalah teknik copy data secara bitstream image..Salah satu aplikasi yang dapat digunakan untuk kepentingan ini adalah NortonGhost 2003 dari Symantec Inc. (www.symantec.com).
Untuk kepentingan analisa bukti digital, salah satu aplikasi yang dapat digunakan adalah Forensic Tools Kit (FTK) dari Access Data Corp (www.accesdata.com). FTK sebenarnya adalah aplikasi yang sangat memadai untuk kepentingan implementasi Komputer Forensik. Tidak hanya untuk kepentingan analisa bukti digital saja, juga untuk kepentingan pemrosesan bukti digital serta pembuatan laporan akhir untuk kepentingan presentasi bukti digital.
Contoh Kasus IT Forensik
Sekarang ini banyak komunikasi dan transaksi bisnis dilakukan menggunakan perangkat IT (Information Technology), termasuk juga untuk melakukan korupsi dan fraud.
Alat-alat seperti komputer, handphone, PDA, blackberry, email, server, dsb. Dapat digunakan untuk kegiatan terkait korupsi dan fraud, baik secara langsung maupun tidak langsung. Untuk melakukan investigasi terhadap perangkat IT tersebut, dikenal bidang ilmu ‘komputer forensik’ atau ‘computer forensic’, dimana suatu data elektronik diambil dan dianalisa untuk dapat digunakan atau ‘admissible’ di pengadilan (misalnya sebagai bukti).
Prinsip dasar dari komputer forensik adalah dalam pengambilan/analisa suatu data elektronik, harus dipastikan bahwa data tersebut tidak mengalami perubahan dari kondisi awal. Apabila ada perubahan data sekecil apapun, berarti data tersebut sudah tidak otentik dan tidak dapat digunakan di pengadilan.
Komputer forensik dilakukan menggunakan software ‘forensic image’ yang bertujuan membuat salinan identik ‘identical copy’ dari data elektronik yang menjadi target. Contoh kasus, coba copy satu file microsoft word anda dari satu folder ke folder yang lain. Kemudian klik kanan dan bandingkan ‘properties’ di masing-masing file.
Kalau kita sekedar ‘copy’ dan ‘paste’, di masing-masing file itu akan terdapat perbedaan dalam informasi file ‘created’, ‘modified’, dan ‘accessed’ Itu berarti file tidak dianggap ‘otentik’ lagi karena sudah ada perubahan/perbedaan dari kondisi awal.
Di situlah letak keistimewaan komputer forensik, dengan hardware atau software khusus, data yang diambil untuk dianalisa akan benar-benar otentik atau persis sama sesuai dengan aslinya. Lebih istimewa lagi, software komputer forensik juga dapat memeriksa data atau file bahkan yang sudah terhapus sekalipun (biasanya pelaku korupsi atau fraud berupaya menghilangkan jejak kejahatannya dengan menghapus file-file tertentu).
Beberapa vendor yang menyediakan teknologi komputer forensik misalnya Paraben, Guidance (EnCase), GetData (Mount Image), dll.
Sumber :
http://iwayan.info/Lecture/EtikaProfesi_S1/04a_ITForensik.pdf
http://journal.uii.ac.id/index.php/Snati/article/viewFile/1634/1409
0 komentar:
Posting Komentar