Sejarah IT Forensik
Barang bukti yang
berasal dari komputer telah muncul dalam persidangan hampir 30 tahun. Awalnya, hakim
menerima bukti tersebut tanpa melakukan pembedaan dengan bentuk bukti lainnya.
Sesuai dengan kemajuan teknologi komputer, perlakuan serupa dengan bukti
tradisional menjadi ambigu. US Federal Rules of Evidence 1976
menyatakan permasalahan tersebut sebagai masalah yang rumit. Hukum lainnya yang
berkaitan dengan kejahatan komputer:
- The
Electronic Communications Privacy Act 1988, berkaitan dengan penyadapan
peralatan elektronik
- The
Computer Security Act 1987 ( Public Law 100 – 235 ), berkaitan dengan keamanan
sistem komputer pemerintahan
- Economic
Espionage Act 1996, berhubungan dengan pencurian rahasia dagang
Pada akhirnya, jika
ingin menyelesaikan suatu “misteri komputer” secara efektif, diperlukan
pengujian sistem sebagai seorang detektif, bukan sebagai user. Sifat alami dari
teknologi Internet memungkinkan pelaku kejahatan untuk menyembunyikan jejaknya.
Kejahatan komputer tidak memiliki batas geografis. Kejahatan bisa dilakukan
dari jarak dekat, atau berjarak ribuan kilometer jauhnya dengan hasil yang serupa.
Bagaimanapun pada saat yang sama, teknologi memungkinkan menyingkap siapa dan bagaimana
itu dilakukan. Dalam komputer forensik, sesuatu tidak selalu seperti kelihatannya.
Penjahat biasanya selangkah lebih maju dari penegak hukum, dalam melindungi
diri dan menghancurkan barang bukti. Merupakan tugas ahli komputer forensik
untuk menegakkan hukum dengan mengamankan barang bukti, rekonstruksi kejahatan,
dan menjamin jika bukti yang dikumpulkan itu berguna di persidangan.
Perkembangan IT Forensik
Keamanan komputer
merupakan hal yang menarik untuk disimak. Perkembangan dunia IT yang sangat
cepat telah melahirkan dimensi lain dari teknologi, yaitu kejahatan dengan
peran computer sebagai alat utamanya. Istilah yang populer untuk modus ini
disebut dengan cybercrime.
Adanya kecenderungan
negative dari teknologi computer tersebut telah memunculkan berbagai permasalahan
baru, baik secara mikro karena hanya berefek pada tingkatan
personal/perseorangan, sampai kepada persoalan makro yang memang sudah
pada wilayah komunal, publik, serta memiliki efek domino kemana-mana.
Untuk negara yang sudah maju dalam IT-nya, pemerintahan setempat atau Profesional
swasta bahkan telah membentuk polisi khusus penindak kejahatan yang spesifik
menangani permasalahan-permasalahan ini. Cyber Police adalah polisi cyber yang
diberikan tugas untuk menindak pelaku-pelaku kriminalitas di dunia cyber, yang
tentu saja agak sedikit berbeda dengan polisi ‘konvensional’, para petugas ini
memiliki kemampuan dan perangkat khusus dalam bidang komputerisasi. Sejarah IT
Perkembangan IT bermula
apabila Generasi Komputer Digital wujud. Generasi pertama wujud pada tahun
1951-1958. Pada ketika itu tiub vakum telah digunakan sebagai elemen logik
utama. Input terhadap komputer menggunakan kad tebuk dan data disimpan dengan
menggunakan storan luaran. Storan dalamannya pula menggunakan drum magnetik.
Atur cara ditulis dalam bahasa mesin dan bahasa himpunan.
Generasi Kedua
(1959-1963) menggantikan tiub vakum dengan transistor sebagai elemen logik utama.
Pita magnetik dan cakera pula telah menggantikan kat tebuk dan bertindak
sebagai peralatan storan luaran. Bahasa pengaturcaraan aras tinggi digunakan
untuk membuat aturcara seperti FORTRAN dan COBOL.
Transistor pula telah
digantikan dengan litar bersepadu pada era Generasi Ketiga (1964-1979). Pita magnetik
dan cakera menggantikan kad tebuk sepenuhnya dan ingatan metal oksida
semikonduktur (MOS) diperkenalkan. Bahasa lebih tinggi telah dibangunkan
seperti BASIC.
Komputer Generasi
Keempat seperti hari ini menggunakan litar bersepadu berskala (LSI dan VLSI). Mikroprosessor
mengandungi litar ingatan, logik dan kawalan direka dalam satu cip sahaja.
Komputer pribadi mula diperkenalkan oleh Apple (1984) dan IBM (1981) untuk
kegunaan di rumah. Sistem pengoperasian MS-DOS digunakan secara meluas. Bahasa
pengaturcaraan generasi keempat yang dibangunkan adalah seperti Visual C++ dan
Visual Basic dengan ciri-ciri pengguna antaramuka bergrafik.
Pengertian Ilmu Forensik
Forensik (berasal dari bahasa Yunani ’Forensis’ yang
berarti debat atau perdebatan) adalah bidang ilmu pengetahuan yang digunakan
untuk membantu proses penegakan keadilan melalui proses penerapan ilmu (sains).
Ilmu forensik (biasa disingkat forensik) adalah sebuah
penerapan dari berbagai ilmu pengetahuan untuk menjawab pertanyaan-pertanyaan
yang penting untuk sebuah sistem hukum yang mana hal ini mungkin terkait dengan
tindak pidana. Namun disamping keterkaitannya dengan sistem hukum, forensik
umumnya lebih meliputi sesuatu atau metode-metode yang bersifat ilmiah
(bersifat ilmu) dan juga aturan-aturan yang dibentuk dari fakta-fakta berbagai
kejadian, untuk melakukan pengenalan terhadap bukti-bukti fisik (contohnya
mayat, bangkai, dan sebagainya). Atau untuk pengertian yang lebih mudahnya,
Ilmu Forensik adalah ilmu untuk melakukan pemeriksaan dan pengumpulan
bukti-bukti fisik yang ditemukan di tempat kejadian perkara dan kemudian
dihadirkan di dalam sidang pengadilan.
Dalam kelompok ilmu-ilmu forensik
ini dikenal antara lain ilmu fisika forensik, ilmu kimia forensik, ilmu
psikologi forensik, ilmu kedokteran forensik, ilmu toksikologi forensik,
komputer forensik, ilmu balistik forensik, ilmu metalurgi forensik dan
sebagainya.
Dari pengertian-pengertian forensik maupun
kriminalistik terdapat beberapa unsur yang sama yaitu :
1.
Ada satu metode, peralatan, proses dan pekerjaan.
2.
Dengan mendayagunakan ilmu pengetahuan dengan
teknologi terapan
3.
Dilakukannya terhadap suatu benda yang berhubungan
dengan suatu tindakan pidana.
4.
Bertujuan untuk membuat jelas suatu perkara sehingga
hasilnya dapat digunakan sebagai bukti di pengadilan.
Menurut
Wikipedia, IT forensic atau forensic
computer atau forensic digital adalah cabang forensic, TI forensic
berkaitan dengan penyelidikan insiden yang mencurigakan yang melibatkan IT
sistem dan penentuan fakta – fakta dan pelaku akuisisi, analisis, dan evaluasi
jejak digital dalam sistem komputer.
Secara
umum IT forensic adalah ilmu yang berhubungan dengan pengumpulan fakta dan
bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode
yang diunakan ( misalnya metode sebab – akibat ). IT forensic bertujuan untuk
mendapatkan fakta – fakta obyektif dari sebuah insiden / pelanggaran keamanan
sistem informasi. Fakta – fakta tersebut setelah di verifikasi akan menjadi bukti
– bukti envidence yang akan digunakan dalam proses hukum.
Jadi,
IT forensik adalah cabang dari ilmu komputer tetap menjurus ke bagian forensik
yaitu berkaitan dengan bukti hukum yang ditemukan di komputer dan media
penyimpanan digital.
IT
forensik dapat menjelaskan keadaan artefak digital terkini. Artefak Digital
dapat mencakup sistem komputer, media penyimpanan ( seperti harddisk atau CD –
ROM, dokumen elektronik ) atau bahkan paket – paket yang secara berurutan
bergerak melalui jaringan. Bidang IT Forensik juga memiliki cabang – cabang di
dalamnya seperti firewall forensik, forensik jaringan, database forensik, dan
forensik perangkat mobile.
1. Menurut
Noblett, yaitu berperan untuk mengambil, menjaga, mengembalikan, dan
menyajikaan data yang telah diproses secara elektronik dan disimpan di media
komputer.
2. Menurut
Judd Robin, yaitu penerapan secara sederhana dari penyelidikan komputer dan
teknik analisisnya untuk menentukan bukti – bukti hukum yang mungkin
3. Menurut
Ruby Alamsyah ( salah seorang ahli forensik IT Indonesia ), digital forensik
atau terkadang disebut komputer forensik adalah ilmu yang menganalisa barang
bukti digital sehingga dapat dipertanggungjawabkan di pengadilan. Barang bukti
digital tersebut termasuk handphone, notebook, server, alat teknologi apapun
yang mempunyai mendia penyimpanan dan bisa di analisa.
Alasan mengapa menggunakan IT Forensik,
antara lain :
1. Dalam
kasus hukum, teknik digital forensik sering digunakan untuk meneliti sistem
komputer milik terdakwa (dalam perkara pidana) atau tergugat (dalam perkara
perdata).
2. Memulihkan
data dalam hal suatu hardware atau software mengalami kegagalan / kerusakan
(failure)
3. Meneliti
suatu sistem komputer setelah suatu pembongkaran / pembobolan, sebagai contoh
untuk menentukan bagaimana penyerang memperoleh akses dan serangan apa yang
dilakukan
4. Mengumpulkan
bukti menindak seorang karyawan yang ingin diberhentikan oleh suatu organisasi
5. Memperoleh
informasi tentang bagaimana sistem komputer bekerja untuk tujuan debugging,
optimisasi kinerja, atau membalikkan rancang bangun
Terminologi IT Forensik
1) Bukti
digital ( digital evidence )
Adalah informasi yang didapat dalam
bentuk format digital, contohnya e-mail.
2) Empat
elemen kunci forensik yang harus diperhatikan dengan bukti digital dalam
Teknologi Informasi, adalah sebagai berikut :
1. Identifikasi
dalam bukti digital ( Identification /
Collecting Digital Evidence )
Merupakan tahapan paling awal dalam
teknologi informasi. Pada tahapan ini dilakukan identifikasi dimana bukti itu
berada, dimana bukti itu disimpan, dan bagaimana penyimpanannya untuk
mempermudah penyelidikan. Network
Administrator merupakan sosok pertama yang umumnya mengetahui keberadaan cybercrime sebuah kasus cybercrime diusut oleh pihak yang berwenang.
Ketika pihak yang berwenang telah dilibatkan dalam kasus, maka juga akan
melibatkan elemen – elemen vital lainnya, antara lain :
1) Petugas
Keamanan ( Officer as a First Responder ),
memiliki kewenangan tugas antara lain : mengidentifikasi peristiwa, mengamankan
bukti, pemeliharaan bukti yang temporer dan rawan kerusakan.
2) Penelaah
Bukti ( Investigator ), adalah sosk
yang paling berwenang dan memiliki kewenangan tugas antara lain : menetapkan
intruksi – intruksi, melakukan pengusutan peristiwa kejahatan, pemeliharaan
integritas bukti.
3) Tekhnisi
Khusus, memiliki kewenangan tugas antara lain : memelihara bukti yang rentan
kerusakan dan menyalin storage bukti, mematikan ( shuting down ) sistem yang sedang berjalan, membungkus /
memproteksi bukti – bukti, mengangkut bukti dan memproses bukti.
2. Penyimpanan
bukti digital ( Preserving Digital
Evidence )
Bentuk,
isi, makna bukti digital hendaknya disimpan dalam tempat yang steril.
Untuk benar-benar memastikan tidak ada perubahan-perubahan, hal ini vital untuk
diperhatikan. Karena sedikit perubahan saja dalam bukti digital, akan merubah
juga hasil penyelidikan. Bukti digital secara alami bersifat sementara (volatile),
sehingga keberadaannya jika tidak teliti akan sangat mudah sekali rusak,
hilang, berubah, mengalami kecelakaan. Step pertama untuk menghindarkan dari
kondisi-kondisi demikian adalah salahsatunya dengan mengcopy data secara Bitstream
Image pada tempat yang sudah pasti aman.
Bitstream
image adalah methode penyimpanan digital dengan mengkopi
setiap bit demi bit dari data orisinil, termasuk File yang tersembunyi (hidden
files), File temporer (temp file), File yang terfragmentasi (fragmen
file), file yang belum ter-overwrite.
3. Analisa
bukti digital ( Analizing Digital
Evidence )
Barang
bukti setelah disimpan, perlu diproses ulang sebelum diserahkan pada pihak yang
membutuhkan. Pada proses inilah skema yang diperlukan akan fleksibel sesuai
dengan kasus-kasus yang dihadapi. Barang bukti yang telah didapatkan perlu diexplore
kembali beberapa poin yang berhubungan dengan tindak pengusutan. Setiap
bukti yang ditemukan, hendaknya kemudian dilist bukti-bukti potensial apa
sajakah yang dapat didokumentasikan.
Tiap-tiap
data yang ditemukan sebenarnya merupakan informasi yang belum diolah, sehingga keberadaannya
memiliki sifat yang vital dalam kesempatan tertentu. Data yang dimaksud antara
lain :
- Alamat
URL yang telah dikunjungi (dapat ditemukan pada Web cache, History, temporary
internet files)
- Pesan
e-mail atau kumpulan alamat e-mail yang terdaftar (dapat ditemukan pada e-mail
server)
- Program
Word processing atau format ekstensi yang dipakai (format yang sering dipakai
adalah .doc, .rtf, .wpd, .wps, .txt)
- Dokumen
spreedsheat yang dipakai (yang sering dipakai adalah .xls, .wgl, .xkl)
- Format
gambar yang dipakai apabila ditemukan (.jpg, .gif, .bmp, .tif dan yang lainnya)
- Registry
Windows (apabila aplikasi)
- Log
Event viewers
- Log
Applications
- File
print spool
- Dan
file-file terkait lainnya.
4. Presentasi
bukti digital ( Presentation of Digital
Evidence )
Kesimpulan
akan didapatkan ketika semua tahapan tadi telah dilalui, terlepas dari ukuran obyektifitas
yang didapatkan, atau standar kebenaran yang diperoleh, minimal bahan-bahan
inilah nanti yang akan dijadikan “modal” untuk ke pengadilan.
Proses
digital dimana bukti digital akan dipersidangkan, diuji otentifikasi dan
dikorelasikan dengan kasus yang ada. Pada tahapan ini menjadi penting,
karena disinilah proses-proses yang telah dilakukan sebelumnya akan
diurai kebenarannya serta dibuktikan kepada hakim untuk mengungkap data dan informasi
kejadian.
Pada
tahapan final ini ada beberapa hal yang mutlak diperhatikan, karena
memang pada level ini ukuran kebenaran akan ditetapkan oleh pengadilan sebagai
pemilik otoritas. Hal-hal yang dimaksud adalah :
- Cara
presentasi
- Keahlian
presentasi
- Kualifikasi
presentasi
- Kredibilitas
setiap tahapan pengusutan
Tujuan IT Forensik
1. Mendapatkan
fakta – fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem
informasi. Fakta – fakta tersebut setelah diverifikasi akan menjadi bukti –
bukti (evidence) yang akan digunakan
dalam proses hukum.
2. Mengamankan
dan menganalisa bukti digital. Dari dua yang diperoleh melalui survey oleh FBI
dan The Computer Security Institute, pada tahun 1999 mengatakan bahwa 51%
responden mengakui bahwa mereka telah menderita kerugian terutama dalam bidang
finansial akibat kejahatan komputer. Kejahatan komputer dibagi menjadi 2, yaitu
:
- Komputer
fraud : kejahatan atau pelanggaran
dari segi sistem organisasi komputer
- Komputer
crime : kegiatan berbahaya dimana
menggunakan media komputer dalam melakukan pelanggaran hukum
Tools dalam IT Forensik
1.
Antiword
Antiword
merupakan sebuah aplikasi yang digunakan untuk menampilkan teks dan gambar dokumen
Microsoft Word. Antiword hanya mendukung dokumen yang dibuat oleh MS Word versi
2 dan versi 6 atau yang lebih baru.
2.
Autopsy
The
Autopsy Forensic Browser merupakan antarmuka grafis untuk tool analisis
investigasi diginal perintah baris The Sleuth Kit. Bersama, mereka dapat
menganalisis disk dan file sistem Windows dan UNIX
3.
Binhash
Binhash
merupakan sebuah program sederhana untuk melakukan hashing terhadap berbagai bagian
file ELF dan PE untuk perbandingan. Saat ini ia melakukan hash terhadap segmen
header dari bagian header segmen obyek ELF dan bagian segmen header obyekPE.
4.
Sigtool
Sigtool
merupakan tool untuk manajemen signature dan database ClamAV. sigtool dapat digunakan
untuk rnenghasilkan checksum MD5, konversi data ke dalam format heksadesimal,
menampilkan daftar signature virus dan build/unpack/test/verify database CVD
dan skrip update.
5.
ChaosReader
ChaosReader
merupakan sebuah tool freeware untuk melacak sesi TCP/UDP/… dan mengambil data
aplikasi dari log tcpdump. la akan mengambil sesi telnet, file FTP, transfer
HTTP (HTML, GIF, JPEG,…), email SMTP, dan sebagainya, dari data yang ditangkap
oleh log lalu lintas jaringan. Sebuah file index html akan tercipta yang
berisikan link ke seluruh detil sesi, termasuk program replay realtime untuk
sesi telnet, rlogin, IRC, X11 atau VNC; dan membuat laporan seperti laporan
image dan laporan isi HTTP GET/POST.
6.
Chkrootkit
Chkrootkit
merupakan sebuah tool untuk memeriksa tanda – tanda adanya rootkit secara
lokal. Ia akan memeriksa utilitas utama apakah terinfeksi, dan saat ini
memeriksan sekitar 60 rootkit dan variasinya.
7.
Dcfldd
Tool
ini mulanya dikembangkan di Department of Defense Computer Forensics Lab
(DFCL). Meskipun saat ini Nick Harbour tidak lagi berafiliasi dengan DCFL, ia
tetap memelihara tool ini.
8.
Ddrescue
GNU
ddrescue merupakan sebuah tool penyelamat data, la menyalinkan data dari satu
file atau device blok (hard disc, cdrom, dsb.) ke yang lain, berusaha keras
menyelamatkan data dalam hal kegagalan pembacaan. Ddrescue tidak memotong file
output bila tidak diminta. Sehingga setiap kali anda menjalankannya kefile
output yang sama, ia berusaha mengisi kekosongan.
9.
Foremost
Foremost merupakan
sebuah tool yang dapat digunakan untuk me-recover file berdasarkan
header, footer, atau
struktur data file tersebut. la mulanya dikembangkan oleh Jesse Kornblum dan
Kris Kendall dari the United States Air Force Office of Special Investigations
and The Center for Information Systems Security Studies and Research.
10. Gqview
Merupakan sebah program
untuk melihat gambar berbasis GTK, ia mendukung beragam format gambar, zooming,
panning, thumbnails, dan pengurutan gambar.
11. Galleta
Merupakan
sebuah tool yang ditulis oleh Keith J Jones untuk melakukan analisis forensic
terhadap cookie Internet Explorer
12. Ishw
Merupakan
sebuah tool kecil yang memberikan informasi detil mengenai konfigurasi hardware
dalam mesin.
13. Pasco
Banyak penyelidikan
kejahatan komputer membutuhkan rekonstruksi aktivitas Internet tersangka.
Karena teknik analisis ini dilakukan secara teratur, Keith menyelidiki struktur
data yang ditemukan dalam file aktivitas Internet Explorer (file index.dat).
Pasco, yang berasal dari bahasa Latin dan berarti “browse”, dikembangkan untuk
menguji isi file cache Internet Explorer.
14. Scalpel
Scalpel adalah sebuah
tool forensik yang dirancang untuk mengidentifikasikan, mengisolasi dan
merecover data dari media komputer selama proses investigasi forensik. Scalpel
mencari hard drive, bit-stream image, unallocated space file, atau sembarang
file komputer untuk karakteristik, isi atau atribut tertentu, dan menghasilkan
laporan mengenai lokasi dan isi artifak yang ditemukan selama proses pencarian
elektronik. Scalpel juga menghasilkan (carves) artifak yang ditemukan sebagai
file individual.
Prosedur IT Forensik
a. Prosedur
forensik yang umum digunakan, antara lain : Membuat copies dari keseluruhan log
data, file, dan lain – lain yang dianggap perlu pada suatu media yang terpisah.
Membuat copies secara matematis. Dokumentasi yang baik dari segala sesuatu yang
dikerjakan.
b. Bukti
yang digunakan daalam IT Forensik berupa : Harddisk, Floppy disk atau media
lain yang bersifat removable, Network system.
c. Metode
/ prosedure IT Forensik yang umum digunakan pada komputer ada dua jenis yaitu :
- Search
dan seizure : dimulai dari perumusan suatu rencana
1. Identifikasi
dengan penelitian permasalahan
2. Membuat
hipotesis
3. Uji
hipotesa secara konsep dan empiris
4. Evaluasi
hipotesa berdasarkan hasil pengujian dan pengujian ulang jika hipotesa tersebut
jauh dari apa yang diharapkan
5. Evaluasi
hipotesa terhadap dampak yang lain jika hipotesa tersebut dapat diterima
- Pencarian
informasi (discovery information). Ini
dilakukan oleh investigator dan merupakan pencarian bukti tambahan dengan
mengendalikan saksi secara langsung maupun tidak langsung.
1. Membuat
copies dari keseluruhan log data, files, dan lain – lain yang dianggap perlu
pada media terpisah
2. Membuat
fingerprint dari data secara matematis
3. Membuat
fingerprint dari copies secara otomatis
4. Membuat
suatu hashes masterlist
5. Dokumentasi
yang baik dari segala sesuatu yang telah dikerjakan
Sumber
:
-
http://capungtempur.blogspot.co.id/2012/05/it-forensik.html
-
https://ba9uez.wordpress.com/it-forensik/
-
http://irmarr.staff.gunadarma.ac.id/Downloads/files/11616/IT+Forensics.doc
-
http://www.academia.edu/7069638/IT_Forensic
-
http://indonesianbacktrackbali.damai.id/2015/05/28/kenal-lebih-jauh-dengan-it-forensic-cyber-crime/
-
http://iqbalhabibie.staff.gunadarma.ac.id/Downloads/files/30322/4.IT+forensics.pdf
0 komentar:
Posting Komentar