Forensik Komputer

Forensik Komputer

Forensik Komputer

Forensik Komputer
Forensik Komputer
Forensik Komputer dapat didefinisikan sebagai penggunaan sekumpulan prosedur untuk melakukan pengujian secara menyeluruh suatu sistem komputer dengan mempergunakan software dan tool untuk mengekstrak dan memelihara barang bukti tindakan kriminal.
Tujuan dari Forensik Komputer yaitu untuk mendapatkan fakta-fakta obyektif dari sebuah insiden/pelanggaran keamanan sistem informasi. Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-bukti (evidence) yang akan digunakan dalam proses hukum selanjutnya.
IT Forensik adalah ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode yang digunakan (misalnya metode sebab-akibat). IT Forensik memerlukan keahlian dibidang IT ( termasuk diantaranya hacking) dan alat bantu (tools) baik hardware maupun software.Prosedur Forensik yang umum digunakan antara lain :

  1. Membuat copies dari keseluruhan log data, files, dan lain-lain yang dianggap perlu pada suatu media yang terpisah
  2. Membuat finger print dari data secara matematis (contoh hashing algorithm, MD5)
  3. Membuat finger print dari copies secara matematis
  4. Membuat hashes masterlist

 

Metodologi umum yang digunakan dalam proses pemeriksaan insiden sampai proses hukum :
  1. Pengumpulan data/fakta dari sistem komputer (harddisk, usb-stick, log, memory-dump, internet, dll.) termasuk di dalamnya data yang sudah terhapus.
  2. Mendokumentasikan fakta-fakta yang ditemukan dan menjaga integritas data selama proses forensik dan hukum dengan proteksi fisik, penanganan khusus, pembuatan image, dan menggunakan algoritma HASH untuk pembuktian/verifikasi.
  3. Merunut kejadian (chain of events) berdasarkan waktu kejadian.
  4. Melakukan validasi kejadian-kejadian tersebut dengan metode “sebab-akibat”.
  5. Membuat dokumentasi hasil yang diperoleh dan menyusun laporan.
  6. Menjalankan proses hukum (pengajuan delik, proses persidangan, saksi ahli, dll.)

 

Tools yang digunakan untuk IT Audit dan Forensik :
  1. Hardware
      • Harddisk IDE dan SCSI kapasitas sangat besar, CD-R, DVR drives
      • Memori yang besar (1 – 2 GB RAM)
      • Hub, Switch, keperluan LAN
      • Legacy hardware (8088s, Amiga)
      • Laptop Forensic Workstations
  2. Software
      • Viewers (QVP http://www.avantstar.com/http://www.thumbsplus.de/ )
      • Erase/Unerase tools : Diskscrub/Norton utilities
      • Hash utility (MD5, SHA1)
      • Text search utilities (dtsearch http://www.dtsearch.com/ )
      • Drive imaging utilities (Ghost, Snapback, Safeback)
      • Forensic toolkits
        • Unix/Linux : TCT The Coroners Toolkit / ForensiX
        • Windows : Forensic Toolkit
      • Disk editors (Winhex)
      • Forensic aquisition tools (DriveSpy, EnCase, Safeback, SnapCopy)
      • Write-blocking tools (FastBloc http://www.guidancesoftware.com/ ) untuk memproteksi bukti-bukti
Safe Back
Dipasarkan sejak tahun 1990 untuk penegakan Hukum dan Kepolisian. Digunakan oleh FBI dan Divisi Investigasi Kriminal IRS. Berguna untuk pemakaian partisi tunggal secara virtual dalam segala ukuran. File Image dapat ditransformasikan dalam format SCSI atau media storage magnetik lainnya.EnCase
Seperti SafeBack yang merupakan program berbasis karakter, EnCase adalah program dengan fitur yang relatif mirip, dengan Interface GUI yang mudah dipakai oleh teknisi secara umum. Dapat dipakai dengan Multiple Platform seperti Windows NT atau Palm OS. Memiliki fasilitas dengan Preview Bukti, Pengkopian target, Searching dan Analyzing.

Pro Discover
Aplikasi berbasis Windows yang didesain oleh tim Technology Pathways forensics. Memiliki kemampuan untuk me-recover file yang telah terhapus dari space storage yang longgar, menganalisis Windows 2000/NT data stream untuk data yang ter-hidden, menganalisis data image yang diformat oleh kemampuan UNIX dan menghasilkan laporan kerja.