Menurut Wikipedia, IT forensic atau forensic computer atau forensic digital adalah cabang forensic, TI forensic berkaitan dengan penyelidikan insiden yang mencurigakan yang melibatkan IT sistem dan penentuan fakta-fakta dan pelaku akuisisi, analisis, dan evaluasi jejak digital dalam sistem computer.

Secara umum IT forensic adalah ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode yang digunakan (misalnya metode sebab-akibat).
IT forensic bertujuan untuk mendapatkan fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi. Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-bukti envidence yang akan digunakan dalam proses hukum.

Tools atau perangkat forensic adalah perangkat lunak yang dibuat untuk mengakses data. Perangkat ini digunakan untuk mencari berbagai informasi dalam hard drive, serta menjebol password dengan memecahkan enkripsi. Yang digunakan pada IT forensic dibedakan menjadi 2 yaitu hardware dan software. Dilihat dari sisi hardware, spsifikasi yang digunakan harus mempunyai kapasitas yang mumpuni seperti :

  • Hardisk atau storage yang mempunya kapasitas penyimpanan yang besar,
  • Memory RAM antara (1-2 GB),
  • Hub.sitch atau LAN, serta
  • Laptop khusus untuk forensic workstations.

Jika dilihat dari sisi software yang digunakan harus khusus dan memiliki kemampuan yang memadai untuk melakukan IT forensic seperti :

  • Write-Blocking Tools untuk memproses bukti-bukti
  • Text Search Utilities (dtsearch) berfungsi sebagai alat untuk mencari koleksi dokumen yang besar.
  • Hash Utility ( MD5sum) berfungsi untuk menghitung dan memverifikasi 128-bit md5 hash, untuk sidik jari file digital.
  • Forensic Acqusition tools (encase) digunakan oleh banyak penegak hokum untuk investigasi criminal, investigasi jaringan, data kepatuhan, dan penemuan elektronik.
  • Spy Anytime PC Spy digunakan untuk memonitoring berbagai aktifitas computer, seperti : seperti: website logs,keystroke logs, application logs, dan screenshot logs.

Semakin kompleksnya tindak kejahatan dalam bidang komputer membuat bidang  ilmu  komputer  forensik  melebarkan   kajian  ilmu  forensik  dari  berbagai aspek.  Maka  dari  itu  perlu  adanya  pembagian  konsentrasi  ilmu  dalam  bidang komputer  forensik  tersebut,  ini  ditujukankan  agar  dalam  melakukan  investigasi untuk mengungkap kejahatan  bahkan  memulihkan  sistem pasca kerusakan dapat dengan  mudah  dilakukan,  karena  sudah  dibagi  kedalam  beberapa  konsentrasi

yakni :

  1. Forensik Disk

Ilmu  yang  satu  ini  sudah  mulai berkembang, dimana forensik disk  melibatkan berbagai media penyimpanan. Ilmu forensik  yang  satu  ini  sudahterdokumentasi  dengan  baik  di  berbagai  literatur, bahkan  profesional  IT  pun  bisa  menangani  permasalahan  forensik  disk  ini. Misalkan, mendapatkan file-file yang sudah terhapus, mengubah partisi  harddisk, mencari jejak  bad sector,  memulihkan  registry  windows yang termodifikasi atau ter-hidden  oleh virus dan lain sebagainya.

  1. Forensik Sistem

Ilmu  ini  masih  sulit  untuk  dikaji  lebih  dalam,  ini dikarenakan  banyaknya sistem operasi  yang berkembang saat ini, dimana sistem operasi  memiliki karakteristik  dan  prilaku  yang  berbeda,misalnya  saja  berbagai file sistem, maka dari itu metode forensik yang ada sekarang ini masih sulit untuk disama ratakan. Kendalanya yakni software pendukung yang ada sekarang dimana sebagai  tool  untuk membedah sistem operasi masih ber-flatform  windows.

  1. Forensik Jaringan

Adalah  suatu  metode  menangkap,  menyimpan  dan menganalisa data pengguna jaringan untuk menemukan sumber dari pelanggaran keamanan  sistem  atau  masalah  keamanan  sistem  informasi.  Jika  kita  berbicara tentang  bagian  yang  satu  ini,  pastinya  ini  melibatkan  OSI  (Open  System Interconnection)  layer,  yang  menjelaskan  bagaimana  komputer  dapat berkomunikasi.

  1. Forensik Internet

Melalui forensik  internet  ini  kita  dapat  melacak  siapa  yang  mengirim  e-mail,  kapan dikirim dan sedang berada di mana si pengirim, hal ini dapat dilakukan mengingat semakin  banyaknya  e-mail  palsu  yang  meng-atasnamakan  perusahaan  tertentu dengan  modus  undian  berhadiah  yang  akan  merugikan  si  penerima  e-mail,  atau juga  banyak  e-mail  yang  bernada  ancaman.

Digital Evidence

Evidence  adalah  informasi  dan  data.  Cara  pandangnya  sama  saja,  tetapi  dalam  kasus komputer forensik, kita mengenal subjek tersebut sebagai Digital Evidence.

Semakin kompleksnya konteks  digital evidence  dikarenakan faktor media yang  melekatkan  data,  misalnya  digital  evidence  berupa  dokumen,  yang umumnya dikategorikan ke dalam tiga bagian, antara lain :

  • Arsip ( Archieval Files )
  • File Aktif ( Active Files )
  • Residual Data  ( Disebut pula sebagian data sisa, data sampingan atau data

temporer )

File  yang  tergolong  arsip  dikarena  kebutuhan  file  tersebut  dalam  fungsi pengarsipan, mencakup penanganan dokumen untuk disimpan dalam format yang ditentukan, proses mendapatkannya kembali dan pendistribusian untuk kebutuhan yang  lainnya,  misalnya  beberapa  dokumen  yang  didigitalisasi  untuk  disimpan dalam format TIFF untuk menjaga kualitas dokumen.File aktif adalah file yang memang digunakan untuk berbagai kepentingan yang  berkaitan  erat  dengan  kegiatan  yang  sedang  dilakukan,  misalnya  file-file gambar, dokumen teks, dan lain-lain.Sedangkan file yang tergolong residual  mencakup file-file yang diproduksi seiring  proses  komputer  dan  aktivitas  pengguna,  misalkan  catatan  penggunan dalam  menggunakan  internet,  database  log,  berbagai  temporary  file,  dan  lain sebagainya.

Prosedur Penanganan Awal Di TKP

  1. Persiapan (Preparations)

Hal-hal yang harus dipersiapkan dan dimiliki oleh analisis forensic dan investigator sebelum melakukan proses penggeledahan di TKP diantaranya:

  1. Administrasi penyidikan : seperti surat perintah penggeledahan dan surat perintah penyitaan.
  2. Kamera digital : digunakan untuk memotrek TKP dan barang bukti secara fotografi forensic (foto umum, foto menengah dan foto close up).
  3. Peralatan tulis : untuk mencatat antara lain spesifikasi teknis computer dan keterangan para saksi.
  4. Nomor, skala ukur, label lembaga, serta sticker label kosong : untuk menandai masing-masing barang bukti eletronik yg ditemukan di TKP.
  5. Formulir penerimaan barang bukti : digunakan untuk kepentingan chain of custodyyaitu metodologi untuk menjaga keutuhan barang bukti dimulai dari tkp.
  6. Triage tools : digunakan untuk kegiatan triage forensik terhadap barang bukti komputer yang ditemukan dalam keadaan hidup (on).
  7. Identifikasi bukti digital (Identification/Collecting Digital Evidence)

Merupakan tahapan yang dilakukan untuk identifikasi dimana bukti itu berada, dimana bukti itu disimpan, bagaimana penyimpanannya dan mengumpulkan data sebanyak mungkin untuk mempermudah penyelidikan.

  1. Penyimpanan bukti digital (Preserving Digital Evidence)

Bentuk dan isi bukti digital hendaknya disimpan dalam tempat yang steril. Untuk benar-benar memastikan tidak ada perubahan-perubahan, hal ini vital untuk diperhatikan. Karena sedikit perubahan saja dalam bukti digital, akan merubah juga hasil penyelidikan. Bukti digital secara alami bersifat sementara (volatile), sehingga keberadaannya jika tidak teliti akan sangat mudah sekali rusak, hilang, berubah, atau mengalami kecelakaan.

  1. Menetapkan Data (Confirming)

Merupakan tahapan kegiatan untuk menetapkan data-data yang berhubungan dengan kasus yang terjadi.

  1. Mengenali Data (Identifying)

Merupakan serangkaian kegiatan untuk melakukan proses identifikasi terhadap data-data yang sudah ada agar memastikan bahwa data tersebut memang unik dan asli sesuai dengan yang terdapat pada tempat kejadian perkara. Untuk data digital, misalnya melakukan identifikasi dengan teknik hashing (sidik jari digital terhadap barang bukti).

Prosedur Penanganan Di Laboratorium

  1. Administrasi Penerimaan

Pada tahapan ini, barang bukti komputer yang masuk dan diterima petugas laboratorium, yang dalam hal ini analisis forensic harus dicatat secara detail di dalamlog book, disamping di formulir penerimaan. Berikut data yang harus dicatat:

  1. Nama lembaga pengirim barang bukti eletronik
  2. Nama petugas pengirim barang bukti eletronik, termasuk identitasnya secara lengkap.
  3. Tanggal penerimaan.
  4. Jumlah barang bukti eletronik yang diterima, dilengkapi dengan spesifikasi teknisnya seperti merek, model, dan serial/product number serta ukuran (size).
  5. System hashing, yaitu suatu sistem pengecekan otentikasi isi dari suatu file (baikimage/evidence file maupun file logical) dengan menggunakan algoritma matematika seperti MD5, SHA1, dan lain-lain.
  6. Akuisisi Bukti Digital

Pada tahapan ini, dilakukan proses forensic imaging yaitu menggandakan isi dari barang bukti elektronik contoh imaging pada harddisk secara physical sehingga hasilimaging akan sama persis dengan barang bukti secara physical. Derajat kesamaan ini dapat dipastikan melalui proses hashing yang diterapkan pada keduanya.

  1. Pemeriksaan (Ivestigation)

Pada tahapan ini, terhadap image file dilakukan pemeriksaan secara komprehensif dengan maksud untuk mendapatkan data digital yang sesuai dengan investigasi, ini artinya analisis forensik harus mendapatkan gambaran fakta kasus yang lengkap dari investigator, sehingga apa yang dicari dan akhirnya ditemukan oleh analisis forensic adalah sama (matching) seperti yang diharapkan oleh investigator untuk pengembangan investigasinya. Setelah mendapatkan gambaran fakta kasusnya, kemudian analisis forensic melakukan pencarian (searching) terhadap image file untuk mendapatkan file atau data yang diinginkan.

  1. Analisis Data (Analyzing)

setelah mendapatkan file atau data digital yang diinginkan dari proses pemeriksaan diatas, selanjutnya data tersebut dianalisis secara detail dan komprehensit untuk dapat membuktikan kejahatan apa yang terjadi dan kaitannya pelaku dengan kejahatan tersebut. Hasil analisis terhadap data digital tadi selanjutnya disebut sebagai barang bukti digital yang harus dapat dipertanggungjawabkan secara ilmiah dan hukum di Pengadilan.

  1. Mencatat Data (Recording)

Melakukan pencatatan terhadap data-data hasil temuan dan hasil analisis sehingga nantinya data tersebut dapat dipertanggungjawabkan atau dapat direkonstruksi ulang (jika diperlukan) atas temuan barang bukti tersebut.

Prosedur Penanganan Laporan

  1. Laporan

Tahapan pembuatan laporan terhadap hasil proses pemeriksaan dan analisis yang diperoleh dari barang bukti digital, selanjutnya data tersebut dimasukkan ke dalam laporan teknis.

  1. Pembungkusan dan penyegelan

Pembungkusan dan penyegelan barang bukti : memuat proses pembungkusan dan penyegelan barang bukti yang telah dianalisis secara digital forensic untuk diserahkan kepada pihak lembaga yang telah mengirimnya.

  1. Administrasi Penyerahan Laporan

Selanjutnya laporan hasil pemeriksaan secara digital forensic berikut barang bukti eletroniknya diserahkan kembali kepada investigator atau lembaga pengirimnya.

Presentasi Data (Presenting) 

Kegiatan dimana bukti digital akan dipersidangkan, diuji otentifikasi dan dikorelasikan dengan kasus yang ada. Pada tahapan ini menjadi penting, karena disinilah proses-proses yang telah dilakukan sebelumnya akan diurai kebenarannya serta dibuktikan kepada hakim untuk mengungkap data dan informasi kejadian.

Penanganan kerusakan

Ketika kita mengakses registry windows, dalam proses forensik ini disebut juga dengan pembedahan komputer, karena registry  merupakan konfigurasi sistem yang substansial dab merupakan  single logical  dan  store. Pada dasarnya  registry dibagi  ke  dalam  tiga  basisdata  yang  terpisah  dan  dialokasikan  untuk  menangani user, sistem  dan  pengaturan  jaringan,  dimana  bagian -bagian  ini  menyimpan informasi  yang  sangat  penting.  Untuk  melakukan  pembongkaran  registrysebaiknya  harus  diketahui  terlebih  dahulu  struktur  daripada  registry  windows.

Registry terdiri dari tujuh root key  yakni :

  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_USER
  • HKEY_LOCAL_MACHINE
  • HKEY_USERS
  • HKEY_CURRENT_CONFIG
  • HKEY_DYN_DATA
  • HKEY_PERFORMANCE_DATA

Pada  registry  ini  akan  dilihat  apa-apa  saja  informasi  yang  tersimpan  di dalam  nya,  misalkan  melihat  aktivitas  internet  dapat  mengakses  registry  key sebagai  berikut  :  HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\TypedUr, Untuk  melihat  beberapa  device  yang  terintegrasi  pada  komputer  dapat mengakses  registry  key  sebagai  berikut  :  HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Device, Hal  lain  yang  dapat  dianalisa  dari  registry  windows,  misalnya mengetikkan command  pada run command  windows tercatat pada registry. Untuk dapat  mengaksesnya  melalui   registry  key  sebagai  berikut  :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

Kasus Penangganan Paska Kerusakan

Dalam  memperbaiki  sebuah  sistem  yang  mengalami  kerusakan  perlu adanya  peralatan  berupa  software  untuk  memulihkan  sistem  yang  rusak. Pada bagian ini akan diberikan contoh sederhana kerusakan pada  registryyang  telah  dimodifikasi,  bisa  dikarenakan  virus  dan  bisa  juga  disengaja dimodifikasi. Dan untuk penanganan kerusakannya dapat menggunakan  softwareanti  virus  Smadav  versi  8.3.4.  Kasus  yang  terjadi  adalah  icon  recycle  bin  pada desktop berubah nama menjadi “Gudang Virus” seorang  investigator  biasanya  sudah  dapat menganalisis penyebab dan cara pemulihannya. Ada dua  faktor penyebab,  yakni bisa karena  virus dan bisa karena disengaja oleh  user. Dan  yang perlu diketahui adalah  jika  ini  disebabkan  karena  virus  biasanya  tujuan  utama  seorang  pembuat virus  adalah registry  windows,  karena  dengan  bagian  ini  virus  dapat melumpuhkan sistem komputer dengan merusak, memodifikasi atau meng-hiddenregistry tersebut.Untuk  penanganan  kasus  ini,  dapat  di  gunakan  anti  virus  Smadav  8.3.4. maka lakukan scanning terhadap komputer yang terinfeksi.

Dari hasil scanning di atas dapat dibuktikan bahwa ada dua registry yang terinfeksi, bisa juga dikatakantermodifikasi.  Untuk  lebih  membuktikan  registrymana yang terinfeksi terlihat registry  yang terinfeksi adalah file default dan LocalizedString pada key HKCR\CLSID\HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}. Kemudian  klik  Repair  All  untuk  memulihkan  registry  yang  terinfeksi tersebut. Maka setelah di refresh, icon recycle bin akan kembali seperti semula.

Contoh Kasus IT Forensik :
MEMBOKANGKAR KORUPSI DAN FRAUD
Coba copy satu file microsoft word anda dari satu folder ke folder yang lain. Kemudian klik kanan dan bandingkan ‘properties’ di masing-masing file.
Kalau kita sekedar ‘copy’ dan ‘paste’, di masing-masing file itu akan terdapat perbedaan dalam informasi file ‘created’, ‘modified’, dan ‘accessed’ (lihat bagian yang ditandai kotak warna merah). Itu berarti file tidak dianggap ‘otentik’ lagi karena sudah ada perubahan/perbedaan dari kondisi awal.
Di situlah letak keistimewaan IT forensik, dengan hardware atau software khusus, data yang diambil untuk dianalisa akan benar-benar otentik atau persis sama sesuai dengan aslinya. Lebih istimewa lagi, software IT forensik juga dapat memeriksa data atau file bahkan yang sudah terhapus sekalipun (biasanya pelaku korupsi atau fraud berupaya menghilangkan jejak kejahatannya dengan menghapus file-file tertentu).
Beberapa vendor yang menyediakan teknologi IT forensik misalnya Paraben, Guidance (EnCase), GetData (Mount Image), dll.

Sumber :
https://ba9uez.wordpress.com/it-forensik/
https://www.academia.edu/10160684/DIGITAL_FORENSIK_DAN_PENANGANAN_PASCA_INSIDEN
https://thekicker96.wordpress.com/definisi-it-forensik/

Advertisements