Label

Senin, 13 Juni 2011

Mengenal Ahli Forensik Dan Detektif Dunia Cyber

Diawali dengan meningkatnya kejahatan di dunia computer khususnya di Internet, saat ini
terdapat banyak sekali tingkat kriminalitas di Internet, seperti ; pencurian data pada sebuah
site, pencurian informasi dari computer, Dos, Deface sites, carding, software bajakan, CC
Cloning,

Kita tau ada banyak sekali kasus di dunia computer, dan pada umumnya kita sebagai orang awam kesusahan untuk membuktikan telah terjadinya penyalahgunaan sistem kita oleh orang lain. Lain halnya dengan pihak kepolisian yang saat ini telah berbenah diri untuk dapat
mengungkap kasus demi kasus di dunia cyber dan computer ini.

Komputer forensik, suatu disiplin ilmu baru di dalam keamanan komputer, yang membahas atas temuan bukti digital setelah suatu peristiwa keamanan komputer terjadi.
Komputer forensik akan lakukan analisa penyelidikan secara sistematis dan harus menemukan
bukti pada suatu sistem digital yang nantinya dapat dipergunakan dan diterima di depan
pengadilan, otentik, akurat, komplit, menyakinkan dihadapan juri, dan diterima didepan
masyarakat.

Hal ini dilakukan oleh pihak berwajib untuk membuktikan pidana dari tindak suatu kejahatan.
Maka saat ini menjadi seorang detective tidak hanya didunia nyata tapi juga didunia cyber.
Coba kita bayangkan seorang hacker telah berhasil masuk ke system kita atau merubah data
kita, baik itu menyalin, menghapus, menambah data baru, dll, Susah untuk kita buktikan
karena keterbatasan alat dan tools. Dengan metode computer forensic kita dapat melakukan
analisa seperti layaknya kejadian olah TKP….

Apa aja peralatan yang dibutuhkan untuk menjadi seorang detective cyber ini ?
Yang pasti peralatan standar polisi seperti, rompi anti peluru, dll, namun tidak seperti polisi
biasa seperti pasukan khusus atau penjinak bom, detektif cyber ini atau forensic dunia digital
ini dilengkapi dengan peralatan lain seperti hardware dan software tertentu, dan yang pasti
mereka mengerti dan menguasai OS tertentu, misal Windows, Linux atau OS lain.
Dari segi hardware dilengkapi dengan lampu senter, laptop, kamera digital dan computer
forensics toolkit.

Hardware disini bisa berupa sebuah computer khusus seperti FREDM (Forensics Recovery of
Evidence Device, Modular), FRED (Forensics Recovery of Evidence Device) FREDDIE
(Forensics Recovery of Evidence Device Diminutive Interrogation Equipment).

Tool hardware lain seperti ;
• Hardisk kapasitas besar (minimal 250 GB)
• IDE ribbon cable
• Boot Disk atau utility akusisi data
• Laptop IDE 40 pin adapter
• IDE Disk ekternal write protector
• Kantong plastic anti-static
• Label untuk barang bukti

Software khususnya ;
• Forensics Data seperti : En case, Safe Back, Norton Ghost
• Password Recovery toolkit
• Pembangkit data setelah delete : WipeDrive dan Secure Clean
• Menemukan perubahan data digital : DriveSpy
• dll

Apa yang harus dilakukan oleh seorang forensics atau detective ini setelah penyitaan barang
bukti ?
Prosedurnya hampir sama dengan yang biasa pada kepolisian namun ada beberapa hal yang
menjadi catatan, yaitu ;

• dilengkapi surat perintah sita dan menunjukan apa yang akan disita
• metode penyimpanan, pengantar dan penjagaan barang bukti harus terjamin.
• penyitaan biasanya tidak hanya computer tapi bisa juga peralatan lain yang dapat
meyimpan data dan sebagai alat komunikasi data, mis : mesin fax, telpon hp, printer, PDA,
DVD rec, camera digital mesin fotocopy, dll
• kita tidak boleh melakukan booting pc atau laptop tersebut, kita harus membuat image
restorenya atau raw datanya.
• Jangan pernah menyalin, menulis bahkan menghapus data yang ada di disk tersangka
walaupun itu termasuk file yang tidak penting
• Kita harus dapat menelaah dan menganalisa terhadap barang bukti
• Catatlah sebuah temuan, perubahan, dan kegiatan yang kita lakukan
• Lakukan percobaan berulang kali dan pastikan hasilnya sama

Tadi dibilang dalam langkah setelah penyitaan adalah kita tidak boleh melakukan booting pada
mesin tersebut, mengapa dan lantas gimana kita mengetahui isi dari hardisknya ?
OK maksudnya kenapa kita ngak boleh boot dari mesin korban karena bisa saja pada saat kita
boot dari hardisknya, tersangka telah membuat semacam script yang apabila kita melakukan
boot tidak dengan cara yang dibuatnya maka isi dari seluruh hardisk nya akan hancur alias
terhapus.

Atau bisa saja pada saat di boot maka struktur file dan system OS nya berubah secara total,
karena setiap OS cenderung mempunyai karakteristik masing-masing.

Nah agar kita aman dan tidak merusah data yang ada didalam hardisk mesin tersebut, kita
dapat melakukan berbagai cara, diantaranya telah menjadi standar adalah dengan membuat
raw image copy dari hardisk tersangka, dengan jalan mencabut hardisk dan memasangkannya
pada IDE (ATA) port ke computer forensic kita. Pada proses ini kita harus ekstra hati-hati
karena bisa saja secara tidak sengaja kita menghapus filenya, maka kita memerlukan suatu alat
disebut sebagai IDE HARDWARE BASED BLOCK WRITE BLOCKER seperti dari FireFly.

Untuk memindahkan datanya tanpa menganggu file tersangka kita dapat menggunakan Norton Ghost atau encase untuk menyalin datanya agar dapat kita pelajari lebih jauh, intinya Norton ghost dan Encase membuat restore datanya.

Lalu jika hard disk ngakbisa dicopot dari mesin tersangka, kita harus membuat disk boot dari
disk kita, misalnya boot disk DOS atau Linux yang dilengkapi dengan fasilitas dd dan rewrite
untuk menyalin data.

Tadi disebutkan langkah-langkah pada teknik forensic ini, apakah ada suatu teknik khusus pada
investigitasi dunia digital ini ?

Yap sudah pasti, menurut I.J.D.E (Internasional Journal of Digital Evidence) suatu badan
internasional yang menangani kejadian pembuktian secara digital, ada dua garis besar yaitu :
Evidence Gathering dan Evidence Analysis

Analisa terhadap barang bukti bertujuan untuk membentuk petunjuk yang ada, mengidentifikas tersangka, format data, pengembangan barang bukti mengrekontruksi kejahatan yang dilakukan dan mengumpulkan lebih banyak data. Data yang didapat mungkin saja mengarah ke IP address tertentu, nama-nama file yang ada, system name, jenis file dan isinya, software yang terinstall, motif, cara dan tools lain yang digunakan dapat kita ungkap.

Format data harus menjadi perhatian kita karena ada banyak system yang standar sampai yang
non standar, data yang terkompresi, dienkrpsi biasanya data yang menjadi perhatian adalah
data yang telah dihapus atau sengaja disembunyikan dengan metode enkripsi tertentu.
Dalam kasus biasanya dalam kepolisian, polisi harus bertindak berdasarkan bukti yang konkrit,
apakah ada karakteristik pembuktian secara khusus dalam dunia digital dan cyber ini ?
Sama seperti pembuktian secara umum dalam dunia digital atau forensic ini ada beberapa
karakteristik khusus, seperti ;

• Admission (dapat diterima), dengan menyertakan bukti dokumen atau catatan selama
pemeriksaan

• Otentik, dapat menjelaskan secara spesifik seperti file dan kejadian yang dapat berupa
logging, audit logs, access list, dll

• Akurat, dapat membuktikan proses system tidak hanya isi datanya sampai dengan output
yang dihasilkan

• Komplit, dapat menceritakan secara lengkap dan utuh sampai akhir

• Menyakinkan didepan pengadilan, dapat dipresentasikan atau dijelaskan didepan
pengadilan dengan jelas dan akurat.

Computer forensics sangat berhubungan dengan pembuktian fakta maupun interpretasi, fakta
dikumpulkan dan didokumentasi, sedangkan interpretasi bersifat subyektif, untuk itu
kebenaran harus dapat diturunkan daro eksperiman.

Tadi disinggung masalah log-log dalam tahapan analisa dan karakterisitk dalam dunia forensic
ini, apa saja yang harus kita perhatikan dalam menanalisis suatu log system ?
Ada beberapa file log yang harus menjadi perhatian kita sebagai ahli forensics dan detective
digital, diantaranya ;

• Email
• Temp File
• Recycle bin
• Informasi file fragmentasi disk
• Recent link files
• Spool printed files
• Internet history (temp)
• Registry
• Space yang tidak digunakan pada disk
• Sector pada disk.


Sekian dulu artikelnya… Salam Hacker

Tidak ada komentar:

Posting Komentar