IT Forensic (Detectiv Cyber)
IT Forensik adalah penggunaan
sekumpulan prosedur untuk melakukan pengujian secara menyeluruh suatu
sistem komputer dengan mempergunakan software atau tools untuk
memelihara, mengamankan dan menganalisa barang bukti digital dari suatu
tindakan kriminal yang telah diproses secara elektronik dan disimpan
di media komputer.
Kita tahu banyak sekali kasus di dunia
IT computer, dan pada umumnya kita sebagai orang awam kesusahan untuk
membuktikan telah terjadinya penyalahgunaan sistem kita oleh orang lain.
Lain halnya dengan pihak kepolisian yang saat ini telah berbenah diri
untuk dapat mengungkap kasus demi kasus di dunia cyber dan komputer
ini.
Komputer forensik, suatu disiplin ilmu
baru di dalam keamanan komputer, yang membahas atas temuan bukti digital
setelah suatu peristiwa keamanan komputer terjadi. Komputer forensik
akan lakukan analisa penyelidikan secara sistematis dan harus menemukan
bukti pada suatu sistem digital yang nantinya dapat dipergunakan dan
diterima di depan pengadilan, otentik, akurat, komplit, menyakinkan
dihadapan juri, dan diterima didepan masyarakat. Hal ini dilakukan oleh
pihak berwajib untuk membuktikan pidana dari tindak suatu kejahatan.
Maka saat ini menjadi seorang detective tidak hanya didunia nyata tapi
juga didunia cyber. Coba kita bayangkan seorang hacker telah berhasil
masuk ke system kita atau merubah data kita, baik itu menyalin,
menghapus, menambah data baru, dll, Susah untuk kita buktikan karena
keterbatasan alat dan tools. Dengan metode computer forensic kita dapat
melakukan analisa seperti layaknya kejadian olah TKP….
Apa saja peralatan yang dibutuhkan untuk menjadi seorang detective cyber ini ?
Yang pasti peralatan standar polisi
seperti, rompi anti peluru, dll, namun tidak seperti polisi biasa
seperti pasukan khusus atau penjinak bom, detektif cyber ini atau
forensic dunia digital ini dilengkapi dengan peralatan lain seperti
hardware dan software tertentu, dan yang pasti mereka mengerti dan
menguasai OS tertentu, misal Windows, Linux atau OS lain. Dari segi
hardware dilengkapi dengan lampu senter, laptop, kamera digital dan
computer forensics toolkit.
Hardware disini bisa berupa sebuah
computer khusus seperti FREDM (Forensics Recovery of Evidence Device,
Modular), FRED (Forensics Recovery of Evidence Device) FREDDIE
(Forensics Recovery of Evidence Device Diminutive Interrogation
Equipment).
Tool hardware lain seperti ;
· Hardisk kapasitas besar (minimal 250 GB)
· IDE ribbon cable
· Boot Disk atau utility akusisi data
· Laptop IDE 40 pin adapter
· IDE Disk ekternal write protector
· Kantong plastic anti-static
· Label untuk barang bukti
· Hardisk kapasitas besar (minimal 250 GB)
· IDE ribbon cable
· Boot Disk atau utility akusisi data
· Laptop IDE 40 pin adapter
· IDE Disk ekternal write protector
· Kantong plastic anti-static
· Label untuk barang bukti
Software khususnya ;
· Forensics Data seperti : En case, Safe Back, Norton Ghost
· Password Recovery toolkit
· Pembangkit data setelah delete : WipeDrive dan Secure Clean
· Menemukan perubahan data digital : DriveSpy
· dll
Apa yang harus dilakukan oleh seorang forensics atau detective ini setelah penyitaan barang bukti ?
Prosedurnya hampir sama dengan yang biasa pada kepolisian namun ada beberapa hal yang menjadi catatan, yaitu ;
· dilengkapi surat perintah sita dan menunjukan apa yang akan disita
· metode penyimpanan, pengantar dan penjagaan barang bukti harus terjamin.
· penyitaan biasanya tidak hanya computer tapi bisa juga peralatan lain yang dapat meyimpan data dan sebagai alat komunikasi data, mis : mesin fax, telpon hp, printer, PDA, DVD rec, camera digital mesin fotocopy, dll
· kita tidak boleh melakukan booting pc atau laptop tersebut, kita harus membuat image restorenya atau raw datanya.
· Jangan pernah menyalin, menulis bahkan menghapus data yang ada di disk tersangka walaupun itu termasuk file yang tidak penting
· Kita harus dapat menelaah dan menganalisa terhadap barang bukti
· Catatlah sebuah temuan, perubahan, dan kegiatan yang kita lakukan
· Lakukan percobaan berulang kali dan pastikan hasilnya sama
· Forensics Data seperti : En case, Safe Back, Norton Ghost
· Password Recovery toolkit
· Pembangkit data setelah delete : WipeDrive dan Secure Clean
· Menemukan perubahan data digital : DriveSpy
· dll
Apa yang harus dilakukan oleh seorang forensics atau detective ini setelah penyitaan barang bukti ?
Prosedurnya hampir sama dengan yang biasa pada kepolisian namun ada beberapa hal yang menjadi catatan, yaitu ;
· dilengkapi surat perintah sita dan menunjukan apa yang akan disita
· metode penyimpanan, pengantar dan penjagaan barang bukti harus terjamin.
· penyitaan biasanya tidak hanya computer tapi bisa juga peralatan lain yang dapat meyimpan data dan sebagai alat komunikasi data, mis : mesin fax, telpon hp, printer, PDA, DVD rec, camera digital mesin fotocopy, dll
· kita tidak boleh melakukan booting pc atau laptop tersebut, kita harus membuat image restorenya atau raw datanya.
· Jangan pernah menyalin, menulis bahkan menghapus data yang ada di disk tersangka walaupun itu termasuk file yang tidak penting
· Kita harus dapat menelaah dan menganalisa terhadap barang bukti
· Catatlah sebuah temuan, perubahan, dan kegiatan yang kita lakukan
· Lakukan percobaan berulang kali dan pastikan hasilnya sama
Tadi dibilang dalam langkah setelah
penyitaan adalah kita tidak boleh melakukan booting pada mesin tersebut,
mengapa dan lantas gimana kita mengetahui isi dari hardisknya ? OK
maksudnya kenapa kita ngak boleh boot dari mesin korban karena bisa saja
pada saat kita boot dari hardisknya, tersangka telah membuat semacam
script yang apabila kita melakukan boot tidak dengan cara yang dibuatnya
maka isi dari seluruh hardisk nya akan hancur alias
terhapus. Atau bisa saja pada saat di boot maka struktur file dan system OS nya berubah secara total, karena setiap OS cenderung mempunyai karakteristik masing-masing.
terhapus. Atau bisa saja pada saat di boot maka struktur file dan system OS nya berubah secara total, karena setiap OS cenderung mempunyai karakteristik masing-masing.
Nah agar kita aman dan tidak merusah
data yang ada didalam hardisk mesin tersebut, kita dapat melakukan
berbagai cara, diantaranya telah menjadi standar adalah dengan membuat
raw image copy dari hardisk tersangka, dengan jalan mencabut hardisk dan
memasangkannya pada IDE (ATA) port ke computer forensic kita. Pada
proses ini kita harus ekstra hati-hati karena bisa saja secara tidak
sengaja kita menghapus filenya, maka kita memerlukan suatu alat
disebut sebagai IDE HARDWARE BASED BLOCK WRITE BLOCKER seperti dari FireFly.
disebut sebagai IDE HARDWARE BASED BLOCK WRITE BLOCKER seperti dari FireFly.
Untuk memindahkan datanya tanpa
menganggu file tersangka kita dapat menggunakan Norton Ghost atau encase
untuk menyalin datanya agar dapat kita pelajari lebih jauh, intinya
Norton ghost dan Encase membuat restore datanya. Analisa terhadap barang
bukti bertujuan untuk membentuk petunjuk yang ada, mengidentifikas
tersangka, format data, pengembangan barang bukti mengrekontruksi kejahatan yang dilakukan dan mengumpulkan lebih banyak data. Data yang didapat mungkin saja mengarah ke IP address tertentu, nama-nama file yang ada, system name, jenis file dan isinya, software yang terinstall, motif, cara dan tools lain yang digunakan dapat kita ungkap. Format data harus menjadi perhatian kita karena ada banyak system yang standar sampai yang non standar, data yang terkompresi, dienkrpsi biasanya data yang menjadi perhatian adalah data yang telah dihapus atau sengaja disembunyikan dengan metode enkripsi tertentu.
tersangka, format data, pengembangan barang bukti mengrekontruksi kejahatan yang dilakukan dan mengumpulkan lebih banyak data. Data yang didapat mungkin saja mengarah ke IP address tertentu, nama-nama file yang ada, system name, jenis file dan isinya, software yang terinstall, motif, cara dan tools lain yang digunakan dapat kita ungkap. Format data harus menjadi perhatian kita karena ada banyak system yang standar sampai yang non standar, data yang terkompresi, dienkrpsi biasanya data yang menjadi perhatian adalah data yang telah dihapus atau sengaja disembunyikan dengan metode enkripsi tertentu.
Computer forensics sangat berhubungan
dengan pembuktian fakta maupun interpretasi, fakta dikumpulkan dan
didokumentasi, sedangkan interpretasi bersifat subyektif, untuk itu
kebenaran harus dapat diturunkan daro eksperiman.
Tidak ada komentar:
Posting Komentar