IT FORENSIK
IT
Forensik atau bisa juga disebut Digital Forensik. Ilmu Pengetahuan ini masih
sangat baru di Indonesia sehingga seorang ahli atau profesional dalam bidang
Digital Forensik masih sangat sedikit. Oleh sebab itu kita sebagai orang awam
masih belum mengetahui betul, apa sebenarnya IT Forensik atau Digital Forensik
ini. Untuk mengetahuinya mari kita pelajari bersama.
Digital
forensik itu turunan dari disiplin ilmu teknologi informasi (information
technology/IT) di ilmu komputer, terutama dari ilmu IT security yang membahas
tentang temuan bukti digital setelah suatu peristiwa terjadi. Kata forensik itu
sendiri secara umum artinya membawa ke pengadilan. Digital forensik atau kadang
disebut komputer forensik yaitu ilmu yang menganalisa barang bukti digital
sehingga dapat dipertanggungjawabkan di pengadilan. Kegiatan forensik komputer
sendiri adalah suatu proses mengidentifikasi, memelihara, menganalisa, dan
mempergunakan bukti digital menurut hukum yang berlaku.
Para
ahli juga memberikan definisi IT Forensik menurut mereka masing-masing yaitu
sebagai berikut :
§ Menurut Noblett,
yaitu berperan untuk mengambil, menjaga, mengembalikan, dan menyajikan data
yang telah diproses secara elektronik dan disimpan di media komputer.
§ Menurut Judd Robin,
yaitu penerapan secara sederhana dari penyidikan komputer dan teknik
analisisnya untuk menentukan bukti-bukti hukum yang mungkin.
§ Menurut Ruby Alamsyah
(salah seorang ahli forensik IT Indonesia), digital forensik atau terkadang
disebut komputer forensik adalah ilmu yang menganalisa barang bukti digital
sehingga dapat dipertanggungjawabkan di pengadilan. Barang bukti digital
tersebut termasuk handphone, notebook, server, alat teknologi apapun yang
mempunyai media penyimpanan dan bisa dianalisa.
Tujuan
dari IT Forensik adalah untuk mengamankan dan menganalisa bukti digital dengan
cara menjabarkan keadaan terkini dari suatu artefak digital. Istilah artefak
digital dapat mencakup sebuah sistem komputer, media penyimpanan (harddisk,
flashdisk, CD-ROM), sebuah dokumen elektronik (misalnya sebuah email atau
gambar), atau bahkan sederetan paket yang berpindah melalui jaringan komputer.
Bukti
digital adalah informasi yang didapat dalam bentuk/format digital. Bukti
digital ini bisa berupa bukti riil maupun abstrak (perlu diolah terlebih dahulu
sebelum menjadi bukti yang riil). Beberapa contoh bukti digital antara lain :
· E-mail
· Spreadsheet file
· Source code software
· File bentuk image
· Video
· Audio
· Web browser bookmark,
cookies
· Deleted file
· Windows registry
· Chat logs
Terdapat empat elemen
Kunci Forensik yang harus diperhatikan berkenaan dengan bukti digital dalam
Teknologi Informasi, adalah sebagai berikut :
1. Identifikasi dalam
bukti digital (Identification/Collecting Digital Evidence).
Merupakan tahapan
paling awal dalam teknologi informasi. Pada tahapan ini dilakukan identifikasi
dimana bukti itu berada, dimana bukti itu disimpan, dan bagaimana
penyimpanannya untuk mempermudah penyelidikan.
2. Penyimpanan bukti
digital (Preserving Digital Evidence).
Bentuk, isi, makna
bukti digital hendaknya disimpan dalam tempat yang steril. Untuk benar-benar
memastikan tidak ada perubahan-perubahan, hal ini vital untuk diperhatikan.
Karena sedikit perubahan saja dalam bukti digital, akan merubah juga hasil
penyelidikan. Bukti digital secara alami bersifat sementara (volatile),
sehingga keberadaannya jika tidak teliti akan sangat mudah sekali rusak,
hilang, berubah, mengalami kecelakaan.
3. Analisa bukti
digital (Analizing Digital Evidence).
Barang bukti setelah
disimpan, perlu diproses ulang sebelum diserahkan pada pihak yang membutuhkan.
Pada proses inilah skema yang diperlukan akan fleksibel sesuai dengan
kasus-kasus yang dihadapi. Barang bukti yang telah didapatkan perlu diexplore
kembali beberapa poin yang berhubungan dengan tindak pengusutan, antara lain:
a. Siapa yang telah
melakukan.
b. Apa yang telah
dilakukan (Ex. Penggunaan software apa)
c. Hasil proses apa
yang dihasilkan.
d. Waktu melakukan.
Setiap bukti yang ditemukan, hendaknya kemudian dilist bukti-bukti potensial
apa sajakah yang dapat didokumentasikan.
4. Presentasi bukti
digital (Presentation of Digital Evidence).
Kesimpulan akan
didapatkan ketika semua tahapan tadi telah dilalui, terlepas dari ukuran
obyektifitas yang didapatkan, atau standar kebenaran yang diperoleh, minimal
bahan-bahan inilah nanti yang akan dijadikan “modal” untuk ke pengadilan.
Proses digital dimana bukti digital akan dipersidangkan, diuji otentifikasi dan
dikorelasikan dengan kasus yang ada. Pada tahapan ini menjadi penting, karena
disinilah proses-proses yang telah dilakukan sebelumnya akan diurai
kebenarannya serta dibuktikan kepada hakim untuk mengungkap data dan informasi
kejadian.
Untuk lebih mempermudah
mengerti berikut ini adalah mekanisme kerja seorang ahli digital forensik. Ada
beberapa tahap, yang utama adalah setelah menerima barang bukti digital harus
dilakukan proses acquiring, imaging atau bahasa umumnya kloning yaitu mengkopi
secara presisi 1 banding 1 sama persis. Misalnya ada hard disc A kita mau
kloning ke hard disc B, maka hard disc itu 1:1 persis sama isinya seperti hard
disc A walaupun di hard disc A sudah tersembunyi ataupun sudah dihapus
(delete). Semuanya masuk ke hard disc B. Dari hasil kloning tersebut barulah
seorang digital forensik melakukan analisanya. Analisa tidak boleh dilakukan
dari barang bukti digital yang asli karena takut mengubah barang bukti. Jika
dalam bekerja melakukan kesalahan di hard disk cloning, maka bisa di ulangi
lagi dari yang aslinya. Jadi tidak perlu melakukan analisa dari barang bukti
asli.
Kedua, menganalisa isi
data terutama yang sudah terhapus, tersembunyi, terenkripsi, dan history
internet seseorang yang tidak bisa dilihat oleh umum. Misalnya, apa saja situs
yang telah dilihat seorang teroris, kemana saja mengirim email, dan lain-lain.
Bisa juga untuk mencari dokumen yang sangat penting sebagai barang bukti di
pengadilan. Jadi digital forensik sangat penting sekarang.
Contoh kasus IT
Forensik yang ditangani oleh Ruby Alamsyah yang saat ini telah menjadi salah
seorang ahli IT Forensik yang terkenal di Indonesia. Kebetulan kasus ini
menjadi kasus pertama yang ia tangani yaitu kasus artis Alda, yang dibunuh di
sebuah hotel di Jakarta Timur. Untuk tahap awal ia menganalisa video CCTV yang
terekam di sebuah server. Server itu memiliki hard disc. Kemudian ia
memeriksanya untuk mengetahui siapa yang datang dan ke luar hotel. Sayangnya,
saat itu kepedulian terhadap digital forensik dapat dikatakan belum ada sama
sekali. Jadi pada hari kedua setelah kejadian pembunuhan, Ruby ditelepon untuk
diminta bantuan menangani digital forensik. Sayangnya, kepolisian tidak
mempersiapkan barang bukti yang asli dengan baik. Barang bukti itu seharusnya
dikarantina sejak awal, dapat diserahkan kepada Ruby bisa kapan saja asalkan
sudah dikarantina. Dua minggu setelah peristiwa, alat tersebut diserahkan
kepada Ruby, tapi saat diperiksa alat tersebut ternyata sejak hari kedua
kejadian sampai diterima masih berjalan merekam. Akhirnya tertimpalah data yang
penting karena CCTV di masing-masing tempat/hotel berbeda settingnya. Akibat
tidak waspada, barang bukti pertama tertimpa sehingga tidak berhasil diambil
datanya.
YANG DI BUTUHKAN DALAM
IT FORENSIK :
Hardware:
1. Harddisk IDE &
SCSI kapasitas sangat besar, CD-R, DVR drives
2. Memori yang besar
(1-2GB RAM)
3. Hub, Switch,
keperluan LAN
4. Legacy hardware
(8088s, Amiga, …)
5. Laptop forensic
workstations
Software
1. Viewers (QVP
http://www.avantstar.com/, http://www.thumbsplus.de/)
2. Erase/Unerase tools:
Diskscrub/Norton utilities
3. Hash utility (MD5,
SHA1)
4. Text search
utilities (dtsearch http://www.dtsearch.com/)
5. Drive imaging
utilities (Ghost, Snapback, Safeback,…)
6. Forensic toolkits
Unix/Linux: TCT The
Coroners Toolkit/ForensiX
Windows: Forensic
Toolkit
1. Disk editors
(Winhex,…)
2. Forensic acquisition
tools (DriveSpy, EnCase, Safeback, SnapCopy,…)
3. Write-blocking tools
(FastBloc http://www.guidancesoftware.com/)
Beberapa software yang
di gunakan untuk IT Audit :
1. Partition Table
Doctor
2. HD Doctor Suite
3. Simple Carver Suite
( http://www.simplecarver.com/ )
4. wvWare (
http://wvware.sourceforge.net/)
5. Firewire (http://www.storm.net.nz/projects/16)
AUDIT
TRAIL
Audit trail sebagai
“yang menunjukkan catatan yang telah mengakses sistem operasi komputer dan apa
yang dia telah dilakukan selama periode waktu tertentu”. Dalam telekomunikasi,
istilah ini berarti catatan baik akses selesai dan berusaha dan jasa, atau data
membentuk suatu alur yang logis menghubungkan urutan peristiwa, yang digunakan
untuk melacak transaksi yang telah
mempengaruhi isi record. Dalam
informasi atau keamanan
komunikasi, audit informasi berarti
catatan kronologis kegiatan sistem untuk memungkinkan rekonstruksi dan
pemeriksaan dari urutan peristiwa dan / atau perubahan dalam suatu acara.
Dalam
penelitian keperawatan, itu mengacu pada tindakan mempertahankan log berjalan
atau jurnal dari keputusan yang berkaitan dengan sebuah proyek penelitian,
sehingga membuat jelas langkah-langkah yang diambil dan perubahan yang dibuat
pada protokol asli. Dalam
akuntansi, mengacu pada
dokumentasi transaksi rinci
mendukung entri ringkasan
buku. Dokumentasi ini mungkin pada catatan kertas atau elektronik.
Proses yang menciptakan jejak audit harus selalu berjalan dalam mode istimewa,
sehingga dapat mengakses dan mengawasi semua tindakan dari semua pengguna, dan
user normal tidak bisa berhenti / mengubahnya.
Selanjutnya, untuk alasan yang
sama, berkas jejak atau tabel database dengan jejak tidak boleh diakses oleh
pengguna normal. Dalam apa yang berhubungan dengan audit trail, itu juga sangat
penting untuk mempertimbangkan isu- isu tanggung jawab dari jejak audit Anda,
sebanyak dalam kasus sengketa, jejak audit ini dapat dijadikan sebagai bukti
atas kejadian beberapa.
Perangkat
lunak ini dapat beroperasi dengan kontrol tertutup dilingkarkan, atau sebagai
sebuah ‘sistem tertutup, ”seperti yang
disyaratkan oleh banyak perusahaan
ketika menggunakan sistem
Audit Trail.
REAL
TIME AUDIT
Apa
yang dimaksud Real Time Audit????
Dari beberapa
sumber yang didapat yang dimaksud dengan Real Time Audit (RTA) adalah suatu
sistem untuk mengawasi teknis dan keuangan sehingga dapat memberikan penilaian
yang transparan status saat ini dari semua kegiatan dengan mengkombinasikan
prosedur sederhana atau logis untuk merencanakan dan melakukan dana kegiatan,
siklus proyek pendekatan untuk memantau kegiatan yang sedang berlangsung, dan
penilaian termasuk cara mencegah pengeluaran yang tidak sesuai. Audit IT lebih
dikenal dengan istilah EDP Auditing (Electronic Data Processing) yang digunakan
untuk menguraikan dua jenis aktifitas yang berkaitan dengan komputer. Salah
satu penggunaan istilah tersebut adalah untuk menjelaskan proses penelahan dan evaluasi
pengendalian-pengendalian internal dalam EDP. Pada audit IT sendiri berhubungan
dengan berbagai macam-macam ilmu, antara lain Traditional Audit, Manajemen
Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral
Science. Tujuan dari audit IT adalah untuk meninjau dan mengevaluasi
faktor-faktor ketersediaan (availability), kerahasiaan (confidentiality), dan
keutuhan (integrity) dari sistem informasi organisasi yang bersifat online atau
real time. Pada Real Time Audit (RTA) dapat juga menyediakan teknik ideal untuk
memungkinkan mereka yang bertanggung jawab untuk meningkatkan kinerja karena
sistem ini tidak mengganggu atau investor dapat memperoleh informasi yang
mereka butuhkan tanpa menuntut waktu manajer.
Ada beberapa
pendapat mengenai real time audit (RTA) dari dua sumber yang saya dapatkan. Ada
yang mengartikan real time audit merupakan suatu sistem yang berfungsi untuk
mengawasi kegiatan teknis dan keuanagan sehingga dapat memberikan penilaian
yang transparan status saat ini dari semua kegiatan, di mana pun mereka berada.
Ada juga yang berpendapat bahwa real time audit adalah suatu proses kontrol
pengujian terhadap infrastruktur teknologi informasi dimana berhubungan dengan
masalah audit finansial dan audit internal secara online atau bisa dikatakn
real time bisa disamakan dengan audit IT lebih dikenal dengan istilah EDP
Auditing (Electronic Data Processing),
biasanya digunakan untuk menguraikan dua jenis aktifitas yang berkaitan
dengan komputer.
Cara
kerja Audit Trail
Audit
Trail yang disimpan dalam suatu table
1.
Dengan menyisipkan perintah
penambahan record ditiap query Insert, Update
dan
Delete
2.
Dengan memanfaatkan fitur trigger pada DBMS. Trigger adalah kumpulan SQL
statement, yang secara otomatis menyimpan
log pada event INSERT, UPDATE, ataupun
DELETE pada sebuah tabel.
Fasilitas
Audit Trail
Fasilitas
Audit Trail diaktifkan, maka setiap transaksi yang dimasukan ke Accurate,
jurnalnya akan dicatat di dalam sebuah tabel, termasuk oleh siapa, dan kapan.
Apabila ada sebuah transaksi yang di-edit, maka jurnal lamanya akan disimpan,
begitu pula dengan jurnal barunya.
Hasil
Audit Trail
Record
Audit Trail disimpan dalam bentuk, yaitu :
1. Binary File – Ukuran tidak besar dan tidak
bisa dibaca begitu saja
2. Text File – Ukuran besar dan bisa dibaca
langsung
3. Tabel.
Tools
yang Digunakan Untuk IT Audit
Tool-Tool
Yang Dapat Digunakan Untuk Mempercepat Proses Audit Teknologi Informasi, antara
lain:
1.
ACL
ACL (Audit
Command Language) merupakan
sebuah software CAAT
(Computer Assisted Audit Techniques) yang sudah sangat populer
untuk melakukan analisa terhadap data dari berbagai macam sumber. http://www.acl.com/
2.
Picalo
Picalo
merupakan sebuah software CAAT (Computer Assisted Audit Techniques) seperti halnya ACL
yang
dapat dipergunakan untuk menganalisa data dari berbagai macam sumber.
http://www.picalo.org/
3.
Powertech Compliance Assessment
Powertech
Compliance Assessment merupakan
automated audit tool yang dapat dipergunakan untuk mengaudit dan mem-benchmark
user access to data, public authority to libraries, user security, system
security, system auditing
dan administrator rights
(special authority) sebuah
server AS/400.
http://www.powertech.com/
4.
Nipper
Nipper merupakan
audit automation software
yang dapat dipergunakan
untuk mengaudit dan
mem- benchmark konfigurasi sebuah router. http://sourceforge.net/projects/nipper/
5.
Nessus
Nessus
merupakan sebuah vulnerability assessment software. http://www.nessus.org/
6.
Metasploit
Metasploit
Framework merupakan sebuah penetration testing tool. http://www.metasploit.com/
7.
NMAP
NMAP
merupakan open source utility untuk melakukan security auditing.
http://www.insecure.org/nmap/
8.
Wireshark
Wireshark
merupakan network utility yang dapat dipergunakan untuk meng-capture paket data
yang ada di dalam jaringan komputer.
http://www.wireshark.org/
Sumber:
-
https://www.scribd.com/document/318349189/Contoh-Kasus-IT-Forensik-Serta-Tutorial-Dan-Tools-Digital-Forensik
-
https://id.wikipedia.org/wiki/Ilmu_forensik
-
https://www.academia.edu/12017552/Apa_itu_kejahatan_IT_dan_IT_Forensik
-
ika88fish.blogspot.com
-
https://irfanwineers.wordpress.com/2012/03/03/mengenal-apakah-itu-it-forensik/
