Pendahuluan
Diawali dengan
meningkatnya kejahatan
di dunia computer
khususnya di
Internet, saat
ini terdapat banyak sekali tingkat kriminalitas di Internet, seperti ; pencurian data pada sebuah site,
pencurian informasi
dari
computer,
Dos, Deface sites,
carding,
software
bajakan, CC Cloning,
Kita tahu ada
banyak sekali kasus di
dunia
computer, dan
pada
umumnya
kita
sebagai orang awam kesusahan
untuk membuktikan telah terjadinya penyalahgunaan
sistem kita oleh orang lain. Lain
halnya dengan
pihak kepolisian yang
saat ini
telah berbenah diri untuk
dapat mengungkap
kasus demi kasus di dunia cyber dan computer ini.
Komputer forensik,
suatu disiplin ilmu baru di dalam keamanan komputer, yang membahas atas temuan bukti digital setelah suatu peristiwa keamanan komputer
terjadi.
Komputer forensik akan lakukan analisa penyelidikan secara sistematis dan harus menemukan bukti pada suatu
sistem digital yang
nantinya
dapat
dipergunakan
dan diterima
di depan pengadilan, otentik,
akurat,
komplit, menyakinkan
dihadapan juri, dan
diterima
didepan masyarakat.
Hal ini dilakukan oleh pihak berwajib untuk membuktikan pidana dari tindak suatu kejahatan. Maka
saat
ini
menjadi seorang
detective
tidak hanya
didunia
nyata
tapi juga didunia cyber. Coba kita bayangkan seorang hacker telah berhasil masuk ke system kita atau merubah data kita, baik
itu menyalin, menghapus, menambah
data
baru,
dll, Susah
untuk kita buktikan karena keterbatasan
alat dan tools. Dengan metode computer forensic kita dapat melakukan analisa seperti layaknya kejadian olah TKP….
Apa aja peralatan yang dibutuhkan untuk menjadi seorang detective cyber ini
?
Yang pasti peralatan standar polisi seperti, rompi anti peluru, dll, namun tidak seperti polisi biasa seperti pasukan khusus atau penjinak bom, detektif cyber ini atau forensic dunia digital ini dilengkapi dengan peralatan lain seperti hardware dan software tertentu, dan yang
pasti
mereka mengerti dan menguasai OS tertentu, misal Windows,
Linux atau OS lain.
Dari
segi hardware
dilengkapi
dengan
lampu senter,
laptop,
kamera
digital
dan computer forensics toolkit.
Hardware disini bisa berupa sebuah computer khusus seperti FREDM (Forensics Recovery of
Evidence Device,
Modular),
FRED (Forensics
Recovery
of
Evidence
Device) FREDDIE
(Forensics Recovery of Evidence Device Diminutive Interrogation Equipment).
Tool hardware lain seperti ;
· Hardisk kapasitas
besar (minimal 250 GB)
· IDE ribbon cable
· Boot Disk atau utility akusisi data
· Laptop IDE 40 pin adapter
· IDE Disk ekternal write protector
· Kantong plastic anti-static
· Label
untuk barang bukti
Software khususnya ;
· Forensics Data seperti : En case, Safe Back, Norton Ghost
· Password Recovery toolkit
· Pembangkit data setelah delete : WipeDrive dan Secure Clean
· Menemukan perubahan data digital : DriveSpy
· dll
Apa yang harus dilakukan oleh seorang forensics atau detective ini setelah penyitaan barang bukti ?
Prosedurnya hampir sama dengan
yang
biasa pada kepolisian
namun ada
beberapa
hal
yang menjadi catatan, yaitu ;
· dilengkapi surat perintah sita dan menunjukan apa yang akan disita
· metode penyimpanan,
pengantar
dan
penjagaan barang bukti harus terjamin.
· penyitaan biasanya tidak
hanya computer
tapi bisa juga peralatan lain
yang
dapat meyimpan data dan sebagai alat komunikasi data,
mis : mesin fax, telpon hp,
printer, PDA, DVD rec, camera digital
mesin fotocopy,
dll
· kita tidak boleh
melakukan
booting pc
atau laptop tersebut, kita harus
membuat
image restorenya atau raw datanya.
· Jangan pernah menyalin, menulis
bahkan
menghapus data
yang
ada di
disk tersangka walaupun itu termasuk file yang tidak penting
· Kita harus dapat menelaah dan menganalisa terhadap barang bukti
· Catatlah sebuah temuan, perubahan, dan kegiatan yang kita lakukan
· Lakukan percobaan berulang kali dan pastikan hasilnya sama
Tadi
dibilang dalam langkah setelah penyitaan adalah kita tidak boleh melakukan booting pada mesin tersebut, mengapa dan lantas gimana kita mengetahui isi dari hardisknya ?
OK maksudnya kenapa kita ngak boleh boot dari mesin korban karena bisa saja pada saat kita
boot dari hardisknya, tersangka telah membuat semacam script yang apabila kita melakukan boot tidak
dengan
cara yang dibuatnya maka
isi
dari seluruh hardisk
nya akan
hancur alias terhapus.
Atau bisa saja pada saat di boot maka struktur file dan system OS nya berubah secara total, karena setiap OS cenderung mempunyai karakteristik masing-masing.
Nah agar
kita aman
dan tidak
merusah
data yang ada didalam
hardisk mesin tersebut,
kita dapat
melakukan berbagai cara, diantaranya
telah menjadi standar adalah
dengan
membuat raw image copy dari hardisk tersangka, dengan jalan mencabut hardisk dan memasangkannya pada
IDE (ATA) port ke
computer forensic
kita. Pada
proses ini kita
harus ekstra
hati-hati karena bisa saja secara tidak sengaja kita menghapus filenya,
maka
kita memerlukan suatu alat disebut sebagai IDE HARDWARE BASED BLOCK WRITE BLOCKER
seperti dari FireFly.
Untuk memindahkan datanya tanpa menganggu file tersangka kita dapat menggunakan Norton Ghost atau encase untuk menyalin datanya agar dapat kita pelajari lebih jauh, intinya Norton ghost dan Encase membuat restore datanya.
Lalu jika hard disk ngakbisa dicopot dari mesin tersangka, kita harus membuat disk boot dari disk kita, misalnya boot disk DOS atau Linux yang dilengkapi dengan fasilitas dd dan rewrite untuk menyalin data.
Tadi disebutkan langkah-langkah pada teknik forensic ini, apakah ada suatu teknik khusus pada investigitasi dunia digital
ini
?
Yap sudah
pasti,
menurut I.J.D.E (Internasional Journal of Digital Evidence) suatu badan internasional yang menangani kejadian pembuktian secara digital, ada dua garis besar yaitu : Evidence Gathering
dan Evidence Analysis
Analisa terhadap
barang bukti bertujuan untuk membentuk petunjuk yang ada,
mengidentifikas tersangka, format data, pengembangan barang
bukti mengrekontruksi kejahatan yang
dilakukan dan mengumpulkan lebih banyak data.
Data yang didapat mungkin saja mengarah ke IP address tertentu, nama-nama file yang ada, system
name, jenis file
dan isinya, software yang terinstall, motif, cara
dan tools lain
yang digunakan dapat kita ungkap.
Format data harus menjadi perhatian kita karena ada banyak system yang standar sampai yang non standar, data yang terkompresi, dienkrpsi biasanya data yang menjadi perhatian adalah data yang telah dihapus atau sengaja disembunyikan dengan metode enkripsi tertentu.
Dalam kasus biasanya dalam kepolisian, polisi harus bertindak berdasarkan bukti yang konkrit, apakah ada karakteristik pembuktian secara khusus dalam dunia digital dan cyber
ini
?
Sama seperti pembuktian
secara
umum dalam dunia digital atau
forensic ini ada
beberapa karakteristik
khusus, seperti ;
· Admission
(dapat diterima),
dengan
menyertakan
bukti
dokumen atau catatan selama pemeriksaan
· Otentik, dapat menjelaskan
secara
spesifik
seperti
file dan
kejadian
yang dapat berupa logging,
audit logs, access list, dll
· Akurat, dapat membuktikan proses
system tidak hanya isi datanya sampai dengan output yang dihasilkan
· Komplit, dapat menceritakan secara lengkap
dan
utuh sampai akhir
· Menyakinkan didepan pengadilan, dapat dipresentasikan atau dijelaskan didepan pengadilan dengan jelas dan akurat.
Computer forensics sangat berhubungan dengan pembuktian fakta maupun interpretasi, fakta dikumpulkan dan didokumentasi, sedangkan interpretasi bersifat subyektif, untuk itu kebenaran harus dapat diturunkan daro
eksperiman.
Tadi disinggung masalah log-log dalam tahapan analisa dan karakterisitk dalam dunia forensic ini,
apa
saja yang harus kita perhatikan dalam menanalisis suatu log system ?
Ada beberapa file log yang harus menjadi perhatian kita sebagai ahli forensics dan detective digital, diantaranya ;
· Email
· Temp File
· Recycle bin
· Informasi file fragmentasi disk
· Recent link files
· Spool printed files
· Internet history (temp)
· Registry
· Space yang tidak digunakan pada disk
· Sector
pada disk
HAYATI MAINTANCE
Tidak ada komentar:
Posting Komentar