Daftar Isi
1.
Pendahuluan ………….
…………………………………………………………………………….3
2.
Latar Belakang Dan Sejarah
Komputer Forensik …………………………………………………..3
3.
Aspek Hukum Dari Komputer
Forensik ……………………………………………………………3
4.
Profesi Komputer Forensik
…………………………………………………………………………3
5.
Kecenderungan
Insiden……………………………………………………………………………...6
6.
Persiapan Pra Insiden
……………………………………………………………………………….7
7.
Penanganan Dan Respon Pada
Insiden ……………………………………………………………..8
8.
Standar Metodologi Komputer Forensik …………………………………………………………..9
9.
Perlunya Perlindungan Bukti
……………………………………………………………………...11
10.
Pemrosesan Barang Bukti
…………………………………………………………………………12
11.
Melacak Sumber Program
Perusak………………………………………………………………...15
12.
Analisis Unknown Program
……………………………………………………………………….16
13.
Tool
Forensik………………………………………………………………………………………17
14.
Kesimpulan ………………………………………………………………………………………..18
Referensi
………………………………………………………………………………………….……19
Lampiran Penjelasan Singkat TCT Coroner
Toolkit …………………………………………………..20
1. Pendahuluan
Komputer forensik adalah penyelidikan dan analisis komputer untuk
menentukan potensi bukti legal [19].
Bertahun-tahun yang lalu, kebanyakan bukti dikumpulkan pada kertas. Saat
ini, kebanyakan bukti bertempat pada komputer, membuatnya lebih rapuh, karena
sifat alaminya [19]. Data elektronik bisa muncul dalam bentuk dokumen,
informasi keuangan, e-mail, job schedule, log, atau transkripsi voice-mail.
Beberapa definisi komputer forensik [1]:
·
Definisi sederhana “Penggunaan
sekumpulan prosedur untuk melakukan pengujian secara menyeluruh suatu sistem
komputer dengan mempergunakan software dan tool untuk mengekstrak dan
memelihara barang bukti tindakan kriminal”
·
Menurut Judd Robin, seorang
ahli komputer forensik: “Penerapan secara sederhana dari penyelidikan komputer
dan teknik analisisnya untuk menentukan bukti-bukti hukum yang mungkin”
·
New Technologies memperluas
definisi Robin dengan: “Komputer forensik berkaitan dengan pemeliharaan,
identifikasi, ekstraksi dan dokumentasi dari bukti-bukti komputer yang
tersimpan dalam wujud informasi magnetik”
2. Latar Belakang Dan Sejarah Komputer Forensik
Barang bukti yang berasal dari komputer telah muncul dalam
persidangan hampir 30 tahun [11]. Awalnya, hakim menerima bukti tersebut tanpa
melakukan pembedaan dengan bentuk bukti lainnya. Sesuai dengan kemajuan
teknologi komputer, perlakuan serupa dengan bukti tradisional menjadi
ambigu. US Federal Rules of Evidence
1976 menyatakan permasalahan tersebut.
Hukum lainnya yang berkaitan dengan kejahatan komputer [11]:
·
Economic Espionage Act 1996, berhubungan dengan pencurian rahasia
dagang
·
The Electronic Communications
Privacy Act 1986, berkaitan dengan penyadapan peralatan elektronik
·
The Computer Security Act 1987
(Public Law 100-235), berkaitan dengan keamanan sistem komputer pemerintahan
Jika ingin menyelesaikan suatu “misteri komputer” secara
efektif, diperlukan pengujian sistem
sebagai seorang detektif, bukan sebagai user [7]. Komputer forensik bisa menjadi semacam puzzle
[12]. Sifat alami dari teknologi Internet memungkinkan pelaku kejahatan
untuk menyembunyikan jejaknya [1].
Kejahatan komputer tidak memiliki batas geografis. Kejahatan bisa
dilakukan dari kamar sebelah, atau berjarak ribuan kilometer jauhnya dengan
hasil yang serupa. Bagaimanapun pada saat yang sama, teknologi memungkinkan
menyingkap siapa dan bagaimana itu dilakukan. Dalam komputer forensik, sesuatu
tidak selalu seperti kelihatannya. Penjahat biasanya selangkah lebih maju dari
penegak hukum, dalam melindungi diri dan menghancurkan barang bukti. Merupakan tugas ahli komputer forensik untuk
menegakkan hukum dengan mengamankan barang bukti, rekonstruksi kejahatan, dan
menjamin jika bukti yang dikumpulkan itu berguna di persidangan.
3. Aspek Hukum Dari Komputer Forensik
Saat mendengar istilah kejahatan komputer, kebanyakan orang berpikir
tentang hacker yang menyusup ke situs web atau penjahat yang mencari informasi
semacam nomor rekening bank, nomor kartu kredit atau rahasia dagang untuk
keuntungan finansial dan data spionase seperti informasi rahasia militer.
Seperti halnya pada aktivitas sehari-hari dan bisnis, teknologi juga menawarkan
pada penjahat penggunaan praktis yang sama. Mafia kejahatan melakukan catatan
dan akuntansi bisnis semacam obat terlarang dan perjudian dengan mempergunakan
program komputer. Penjahat bisa mempergunakan komputer sebagai pengelola
informasi yang berkaitan dengan kejahatan, atau sebagai alat untuk melakukan
kejahatan [11].
Federal Guidelines for Searching and Seizing Computers menyebutkan [11], "Setiap PC bisa terhubung ke jaringan dengan
modem. Maka dalam kasus keberadaan suatu
modem, harus dipertimbangkan komputer menyimpan informasi berharga pada lokasi
lain.." Aktivitas kriminal bisa dijalankan dari tempat manapun di seluruh
dunia. Hal ini tidak hanya membuat kejahatan lebih sulit untuk diselidiki
tetapi membuatnya lebih menarik bagi pelaku. Loek Weerd dikutip oleh Illena Armstrong [11] menyatakan, "Karena data muncul
pada layar mereka sendiri di lingkungan mereka, batasan etis seperti
kepemilikan menjadi kabur’
Hukum federal AS menyatakan menyusup ke suatu komputer bukanlah kasus kejahatan federal [2]. Ada
perkecualian, pada sistem keamanan nasional, institusi keuangan, atau catatan
medis. Yang terpenting adalah penyusup mengakibatkan kerusakan berbiaya 500.000
dollar atau lebih. Sederhananya, seseorang bisa melakukan eksploit, memperoleh akses root, dan
menginstall banyak program, asalkan tidak menghapus file yang penting, tidak
akan ada konsekuensi legal. Sehingga akan sulit untuk melakukan penuntutan pada
penyusup yang tidak mengakibatkan perusakan. Jika kasus penyusupan dengan
memasang packet sniffer baru bisa dilakukan penuntutan meski tidak ada
kerusakan, karena ada intercept pada peralatan komunikasi.
Apa yang dikerjakan oleh analisis forensik bisa membantu penegakan
hukum atau pimpinan keamanan perusahaan. James O. Holly, Direktur National
Computer Forensics Lab Ernst & Young, mengatakan [11], "Anda perlu
membuka pintu untuk pemrosesan administratif, sipil, atau kriminal dalam
merespon kejahatan komputer. Dan penyelidik perlu menangani insiden dari awal
sampai masuk ke persidangan”. Merupakan hal yang penting bagi analis untuk
mendapatkan bukti dan menyatakan bagaimana memperolehnya. Banyak kasus dimenangkan
bukan hanya berdasarkan fakta tetapi persepsinya [12]. Thomas Welch dalam The
Information Security Management Handbook Vol. 1 halaman 601, menyatakan [11]
"Praktisi keamanan komputer harus memperdulikan teknologi dan faktor legal
yang berdampak pada sistem dan penggunanya, termasuk masalah penyelidikan dan
penegakan hukum”.
Ahli hukum memerlukan kepakaran spesialis komputer. Hal itu
merupakan alasan yang bagus bagi ahli komputer untuk secara formal mendapatkan
pendidikan dan menerima kualifikasi internasional. Judd Robbins menyatakan
kejahatan dan pekerjaan yang memerlukan bukti dari keahlian komputer forensik
[11]:
·
Jaksa penuntut mempergunakan barang
bukti komputer dalam kejahatan yang bermacam-macam, seperti obat bius,
pornografi anak, pembunuhan, dan penggelapan keuangan
·
Detektif swasta bisa
mempergunakan rekaman pada sistem komputer untuk melacak kasus penggelapan,
perceraian, diskriminasi dan pelecehan.
·
Perusahaan asuransi bisa
mengurangi biaya dengan bukti komputer yang menyatakan kemungkinan penggelapan
pada insiden, kebakaran, atau kompensasi pekerja
·
Perusahaan menyewa ahli
komputer forensik untuk menentukan bukti yang berkaitan dengan pelecehan seksual, penipuan, pencurian
rahasia dagang, dan informasi rahasia internal lainnya
·
Petugas penegak hukum sering
memerlukan bantuan dalam persiapan penggeledahan dan penyitaan perangkat
komputer.
·
Perorangan kadang menyewa ahli
komputer forensik untuk mendukung klaim pemutusan kerja, pelecehan seksual atau
disriminasi umur.
"Techniques of Crime Scene Investigation" menyatakan [9]:
“Salah satu elemen yang penting pada penyelesaian masalah kejahatan adalah
penggunaan secara efektif dari sains dan teknologi. Sains dan teknologi
diterapkan pada penyelesaian tindakan kriminal, atau ilmu forensik, memecahkan
kejahatan dengan membantu penyelidik kepolisian untuk mengidentifikasikan
tersangka dan program, membersihkan orang yang tidak bersalah dari dakwaan dan
membawa yang bersalah ke hadapan hukum".
4. Profesi Komputer Forensik
Bagi seorang pemrogram, banyak keahlian yang diperlukan oleh
komputer forensik mirip dengan yang dipergunakannya saat melakukan pembuatan
atau debugging software – berpikir lojik, pemahaman pada sebab dan
akibat dari suatu tindakan komputer, serta berpikir terbuka [7]. Ada beberapa
perbedaan antara mencari bug dengan menyelesaikan “misteri komputer”.
Sebagai seorang programmer, biasanya kita bekerja melawan diri kita sendiri –
mencoba memperbaiki permasalahan yang kita buat sendiri. Menyelesaikan suatu
kejahatan komputer lebih mirip dengan melawan programmer “lawan” yang berusaha
mengubah kode dan menyembunyikan bukti
kerja mereka. Untungnya di sini ia memiliki suatu keunggulan dibanding lawan,
yaitu menguasai sistemnya sendiri dengan lebih baik.
Kriteria penyelidik forensik menurut [1]: “Seorang penyelidik yang
baik harus mudah berkomunikasi dengan siapapun, dan sangat kritis. Berpikir
lojik, objektif dan tidak bias, tanpa kontroversi. Kemampuan verbal dan tulisan sehingga setiap
orang memahami apa yang terjadi, karena. akan ditanyai saran dan kepakaran saat
diperlukan.”
Pengetahuan yang diperlukan ahli forensik di antaranya [12]:
·
Dasar-dasar hardware dan
pemahaman bagaimana umumnya sistem operasi bekerja
·
Bagaimana partisi drive, hidden
partition, dan di mana tabel partisi bisa ditemukan pada sistem operasi
yang berbeda
·
Bagaimana umumnya master
boot record tersebut dan bagaimana drive geometry
·
Pemahaman untuk hide,
delete, recover file dan directory bisa mempercepat pemahaman pada
bagaimana tool forensik dan sistem operasi yang berbeda bekerja.
·
Familiar dengan header dan
ekstension file yang bisa jadi berkaitan dengan file tertentu
Kriteria ahli forensik berikut dijelaskan oleh Peter Sommer dari
Virtual City Associates Forensic Technician [11], serta Dan Farmer dan Wietse
Venema [16]:
·
Metode yang berhati-hati pada
pendekatan pencatatan rekaman
·
Pengetahuan komputer, hukum,
dan prosedur legal
·
Keahlian untuk mempergunakan
utility
·
Kepedulian teknis dan memahami
implikasi teknis dari setiap tindakan
·
Penguasaan bagaimana modifikasi
bisa dilakukan pada data
·
Berpikiran terbuka dan mampu
berpandangan jauh
·
Etika yang tinggi
·
Selalu belajar
·
Selalu mempergunakan data dalam
jumlah redundan sebelum mengambil kesimpulan
Aktivitas yang perlu dilakukan oleh penyelidik forensik menurut Judd
Robins [11]:
·
Perlindungan sistem komputer
selama pengujian forensik dari semua kemungkinan perubahan, kerusakan, korupsi
data, atau virus
·
Temukan semua file pada sistem.
Termasuk file normal, terhapus, hidden, pasword-protected, dan
terenkripsi.
·
Recovering file terhapus sebisa mungkin.
·
Ambil isi file hidden juga
file temporary atau swap yang dipergunakan baik oleh sistem
operasi atau program aplikasi
·
Lakukan akses (jika
dimungkinkan secara legal) isi dari file terproteksi atau terenkripsi
·
Analisa semua data yang relevan
pada area spesial di disk. Misal unnalocated (tidak terpakai, tapi
mungkin menyimpan data sebelumnya), slack space (area di akhir file pada last cluster yang mungkin
menyimpan data sebelumnya juga)
·
Cetak semua analisis
keseluruhan dari sistem komputer, seperti halnya semua file yang relevan dan ditemukan. Berikan pendapat mengenai layout sistem,
struktur file yang ditemukan, dan informasi pembuat, setiap usaha
menyembunyikan, menghapus, melindungi, mengenkripsi informasi, dan lainnya yang
ditemukan dan nampak relevan dengan keseluruhan pengujian sistem komputer.
·
Berikan konsultasi ahli dan
kesaksian yang diperlukan
Karakteristik berikut diperlukan oleh ahli forensik untuk bekerja
secara profesional [13]:
·
Pendidikan, pengalaman dan
sertifikasi merupakan kualifikasi yang baik untuk profesi komputer forensik.
Pendidikan dengan pengalaman memberikan kepercayaan yang diperlukan untuk
membuat keputusan dan mengetahui keputusan yang tepat. Sertifikasi menunjukkan
bahwa pendidikan dan pengalamannya merupakan standar yang tinggi dan dapat
dipahami.
·
Yakinkan pada setiap tindakan
dan keputusan, agar mencukupi untuk kesaksian di pengadilan
·
Semua proses dilakukan dengan
menyeluruh
·
Memiliki pengetahuan yang
banyak mengenai bagaimana recover data dari berbagai tipe media
·
Mampu memecah password dari aplikasi
dan sistem operasi yang berbeda dan mempergunakannya untuk penyelidikan
·
Perlu pengetahuan yang memadai,
tanpanya bisa terjadi kesalahan yang akan membuat barang bukti ditolak di
pengadilan. Barang bukti bisa dirusak, diubah, atau informasi yang berharga
terlewat.
·
Obyektif dan tidak bias, harus fair
pada penyelidikan, dengan fakta yang akurat dan lengkap
·
Inovatif dan memiliki kemampuan
interpersonal yang baik
·
Memiliki kemampuan verbal dan
oral yang baik
·
Menggunakan penalaran dan
logika yang tepat
5. Kecenderungan Insiden
Saat membicarakan apa yang ditinggalkan penyusup, seperti trojan,
backdoors, dan hacker tool lainnya, orang cenderung berfokus kepada
sistem komputer berbasis Windows. Hal ini dapat dimengerti karena sistem
berbasis Windows biasanya menjadi sasaran trojan. Simovits Consulting
yang merinci trojan berdasar sistem operasi menemukan 35 trojan untuk varian UNIX dan
lebih dari 400 untuk Windows [2].
Dewan Eropa telah mengusulkan untuk pelarangan tool hacker [2].
Pembatasan ini ditolak oleh komunitas keamanan komputer karena dikhawatirkan
akan mengganggu pekerjaan keamanan yang legal. Ada beberapa keadaan di mana
penggunaan tool tertentu digolongkan sebagai perbuatan kriminal atau tidak.
Misal tool untuk scanning port mana yang terbuka. Bagaimanapun beberapa
tool biasa diinstall oleh penyusup saja, misal untuk melancarkan serangan packet
flooding. Hanya individu yang memiliki tanggung jawab administrator sistem
yang resmi bisa mempergunakan tool sniffer atau cracking password.
Akan janggal untuk orang yang memiliki dua PC dengan Windows 9x, NT atau Linux
dan tidak memiliki akses resmi ke suatu jaringan komputer (di luar ISP), untuk
memiliki program cracking password, sniffer atau packet flood.
Akses broadband DSL dan modem kabel membuat banyak orang
dengan pengetahuan keamanan komputer minmal mempunyai koneksi statik ke
internet. Bila ada pilihan antara mencegah penyusupan dengan meminimalkan
kerusakan, kita akan memilih untuk mencegah penyusupan.
Program yang diinstall oleh penyusup ditemukan pada sistem Unix
perusahaan, ISP dan universitas. Dengan mengevaluasi kasus dan tool yang
ditemukan akan memunculkan implikasi yang penting untuk membuat pilihan bagi
administrator sistem. Pada beberapa kasus tool-tool tersebut juga ditemukan pada
sistem korban. Pada 5 dari 6 kasus, korban tidak mempedulikan penyusupan untuk
waktu lama (lebih dari 20 hari) [2].
Tiga fungsi utama yang umum dari program-program hacking
tersebut adalah [2]:
·
packet flooding
·
packet sniffing
·
backdoor
Kebanyakan dari program tersebut harus ditempatkan pada sistem korban, dan yang
paling berbahaya memerlukan untuk berjalan sebagai root atau UID 0. Komputer korban bisa berada di luar
firewall atau dalam suatu DMZ (demiliterized zone). Program-program tersebut
dirancang sebagai semacam script kiddie yang user friendly,
dengan dokumentasi yang bagus dan fungsi help. Usia penyusup bukanlah
indikator yang tepat dari tingkat kemampuan mereka. Pembuat program lebih
sering mengidentifikasikan dirinya dengan nickname atau alamat e-mail.
Pembuat program biasanya menyertakan peringatan bahwa penggunaan program
tersebut pada jaringan publik adalah ilegal, dan pembuat tidak bertanggungjawab
pada semua kerusakan yang terjadi. Program tersebut portabel di antara beberapa
varian UNIX.
Dalam kenyataannya, kendala-kendala yang ada memaksa administrator
sistem untuk memilih implementasi keamanan yang dipergunakan dan menentukan
prioritas aktivitas. Kebanyakan penyusupan sudah terjadi lama sebelum
diketahui. Administrator sistem baru menaruh perhatian saat user mengeluh
mengenai kinerja sistem atau jaringan. Pada kasus di mana insiden
diidentifikasikan dengan log, administrator sistem membiarkannya pada sistem
korban untuk beberapa minggu. Mereka hanya bertindak setelah penyusup melakukan
packet flood/denial of service attack.
Terdapat pula sejumlah penyusupan yang baru diketahui setelah penyusup
memberitahukan secara eksplisit pada administrator sistem. Menurut National
Infrastructure Protection Center (NIPC) [2], ada peningkatan aktivitas hacker
pada sistem yang berkaitan dengan e-commerce. Pada aktivitas tersebut hacker
bisa mengambil informasi selama beberapa bulan sebelum korban mengetahuinya.
Karena akses penyusup sudah berlangsung dalam waktu lama dan melibatkan banyak
program, biaya terbesar adalah downtime berkaitan dengan mengembalikan
sistem ke keadaan yang aman.
6. Persiapan Pra Insiden
Sesuai survey (Desember 2000)
dari [1], ancaman terbesar dari jaringan komputer adalah: 68% karyawan, 17%
hacker, 9% kompetitor, dan 6% customer. Artinya kita masih harus melakukan
perlindungan jaringan baik dari dalam maupun dari luar. The Information
Security Management Handbook, Vol. 2 halaman 559 menyatakan jenis insiden [11]:
·
Virus
·
Unauthorized access
·
Pencurian atau kehilangan
kepercayaan pada informasi
·
Serangan denial of service pada
sistem
·
Korupsi informasi
Untuk menghadapi penyusupan dan serangan dapat dilakukan persiapan
berikut [2][4]:
·
Penggunaan beberapa tool untuk
mencegah penyusupan dengan deteksi. Amati aktivitas pada port- port yang
biasanya berkaitan dengan trojan, backdoor, denial of service tool,
dan yang serupa. Pergunakan tool semacam Tripwire untuk mengamati perubahan
pada sistem, yang memungkinkan membuat snapshot sistem Pemeriksaan lainnya adalah mode promiscous
pada network card dan adanya kompilator
yang diinstall.
·
Kebutuhan untuk backup sistem
yang baik sehingga bisa melakukan restore data sebelum penyusupan.
·
Jika diasumsikan penyusup
mempergunakan sniffer untuk menangkap password, maka perlu diterapkan
kebijakan pasword yang tepat. Bisa juga
dipertimbangkan one time password. Practical Unix & Internet
Security, oleh Simson Garfinkel dan Gene Spafford, merekomendasikan "Jangan mengirimkan clear text
password yang bisa dipergunakan kembali lewat koneksi jaringan. Pergunakan one-time
password atau metode rahasia “
·
Suatu kebijakan keamanan harus
diterapkan untuk menangani insiden yang
muncul, dan harus cukup mudah diimplementasikan dan dimengerti oleh setiap
orang [1]. Misalkan capture tampilan, jangan matikan komputer, lakukan shutdown
normal, copot modem, labeli semua alat, dan tulis semua yang mungkin. Harus
ditentukan standard operating procedures (SOP) di mana akan memastikan
tidak ada kontaminasi dengan data lain atau data kasus sebelumnya [12].
·
Lakukan instalasi patch security
dari vendor sistem operasi atau aplikasi.
·
Matikan semua service jaringan
yang tidak dipergunakan, dan pergunakan security/auditing tool
·
Luangkan lebih banyak waktu
untuk mempelajari sistem anda dengan lebih baik
·
Aktifkan fasilitas logging dan
accounting
·
Lakukan audit dan pengujian
pada sistem secara rutin
Banyak organisasi tidak hanya mengabaikan penerapan keamanan untuk
melindungi jaringan dan data mereka, tetapi juga tidak siap untuk menangani
penyusupan dan insiden [11]. Organisasi harus menerapkan perencanaan respon dan
pelaporan insiden, serta membuat team untuk menanganinya. Hal itu bisa juga
dilakukan dengan menyewa ahli forensik dari perusahaan keamanan. Saat diduga
terdapat kecurigaan compromise keamanan atau tindakan ilegal yang
berkaitan dengan komputer, maka akan merupakan suatu hal yang penting untuk
melakukan langkah–langkah dalam menjamin perlindungan terhadap data pada
komputer atau media penyimpanan. Penyimpanan data diperlukan untuk menentukan compromise
tingkat keamanan dan letak bukti-bukti yang mungkin berkaitan dengan tindakan
ilegal [10].
7. Penanganan Dan Respon Pada Insiden
Respon awal pada penanganan insiden bisa sangat mempengaruhi
analisis laboratorium [12]. Orang-orang tidak berkepentingan tidak seharusnya
dibiarkan di sekitar tempat kejadian perkara. Perlu adanya dokumentasi mengenai
perlindungan barang bukti, analisis dan laporan penemuan.
Suatu kebijakan dan prosedur penanganan insiden sangat penting untuk
setiap organisasi. Hal-hal yang harus diingat adalah [19]:
·
Bagaimana untuk mengamankan
atau menjaga barang bukti, baik dengan membuat copy image dan mengunci yang
asli, sampai kedatangan ahli forensik
·
Di mana atau bagaimana untuk
mencari barang bukti, baik itu di drive lokal, backup sistem, komputer atau
laptop
·
Daftar yang harus dipersiapkan
untuk laporan menyeluruh
·
Daftar orang untuk keperluan
pelaporan, pada suatu situasi tertentu
·
Daftar software yang disarankan
digunakan secara internal oleh penyelidik
·
Daftar ahli yang disarankan
untuk konsultasi
Tidak semua perusahaan memiliki ahli forensik, kalau pun ada mereka
tidak selalu berada di tempat. Sehingga pada saat terjadi insiden staf harus
terlatih sekurang-kurangnya [19]:
·
Membuat image, sehingga yang
asli tetap terjaga
·
Analisis forensik dilakukan
semua dari copy
·
Memelihara rincian media dalam
proses
Respon awal pada keamanan komputer bisa jadi lebih penting daripada
analisis teknis selanjutnya dari sistem komputer, karena dampak tindakan yang
dilakukan oleh tim penanganan insiden [10]. Dalam suatu kejadian yang dicurigai
sebagai insiden komputer, harus ada
perlakuan secara berhati-hati untuk menjaga barang bukti dalam keadaan aslinya.
Meski kelihatan sesederhana melihat file pada suatu sistem yang tidak akan
menghasilkan perubahan media asli, membuka file tersebut akan mengakibatkan
perubahan. Dari sudut pandang legal, hal tersebut tidak lagi menjadi bukti orisinil
dan tidak bisa diterima oleh proses administratif hukum.
Tiap organisasi harus memiliki suatu tim penanganan insiden. Tim
harus menulis prosedur penanganan insiden. Prosedur sederhana untuk mengamankan
suatu insiden komputer [10]:
1. Amankan lingkungan
2. Shutting down komputer
3. Label barang bukti
4. Dokumentasikan barang bukti
5. Transportasikan barang bukti
6. Dokumentasi rangkaian penyimpanan
Berikut adalah dokumen penanganan insiden yang populer dari SANS
Insititute [15]. Ini merupakan dokumen konsensus di mana:
·
Semua partisipan menyarankan
elemen dan perubahan
·
Proses berjalan dengan banyak
perulangan
·
Beberapa masalah disajikan
dengan banyak pilihan
·
Setiap partisipan harus
menyetujui keseluruhan dokumen
Hasilnya adalah panduan untuk persiapan dan respon pada insiden
keamanan. Terdiri dari 44 halaman, menyatakan 90 tindakan dalam 31 langkah dan
6 fase. Di sini ditunjukkan bagaimana berespon pada jenis insiden tertentu
seperti probing, spionase, dan lainnya. 6 Fase tersebut adalah:
1.
Fase 1: Persiapan (42 tindakan)
2.
Fase 2: Identifikasi (6
tindakan)
3.
Fase 3: Pengisian(17 tindakan)
4.
Fase 4: Pembasmian (10 tindakan)
5.
Fase 5: Pemulihan (6 tindakan)
6.
Fase 6: Tindak lanjut (9
tindakan)
Salah satu bagian dari dokumen [15] yang bisa dipergunakan
perusahaan yang belum siap menghadapi insiden adalah Emergency Action Card,
berupa sepuluh langkah berikut:
1.
Tetap tenang sehingga
menghindari kesalahan fatal
2.
Buatlah catatan yang baik dan
relevan: siapa, apa, bagaimana, kapan, di mana, mengapa
3.
Beritahu orang yang tepat dan
carilah pertolongan, mulai dari koordinator keamanan dan manajer
4.
Tetapkan kebijakan orang-orang
terpercaya yang boleh tahu
5.
Gunakan jalur komunikasi
terpisah dari sistem yang mengalami compromise
6.
Isolasi masalah sehingga tidak
bertambah buruk
7.
Buat backup sistem
8.
Temukan sumber masalah
9.
Kembali ke pekerjaan semula
setelah backup terjamin, dan lakukan restore sistem
10.
Belajar dari pengalaman
8. Standar Metodologi Komputer Forensik
Kebutuhan akan ahli komputer foresik menjadi
penting pada departemen penegakan hukum, pemerintahan, dan perusahaan dunia.
Dewasa ini tidak ada suatu metodologi tunggal untuk melakukan analisis dan
penyelidikan forensik, karena terdapat
terlalu banyak variabel [14]. Misalkan sistem operasi, program aplikasi,
algoritma kriptografi, dan platform hardware. Di luar itu adalah aspek hukum,
batas-batas internasional, dan publisitas. Karena manusia tidak luput dari
kesalahan maka harus ada metode yang pasti untuk melakukan penyelidikan dan
standar yang dikembangkan. David Morrow menyatakan [20]
”Seperti halnya anda tidak memulai perjalanan jauh ke daerah asing tanpa peta
jalan, jangan memulai penyelidikan tanpa memperhatikan rencana”
Sains adalah metode, serta tindakan yang direncanakan untuk
memperoleh dan menganalisa barang bukti, sedangkan teknologi (dalam kasus
komputer) adalah program yang memenuhi
kebutuhan tertentu untuk memperoleh dan menganalisa barang bukti [9]. Mengikuti
metode standar merupakan hal yang penting demi kesuksesan dan keefektifan
komputer forensik, seperti halnya programmer mempergunakan metode pemrograman
standar [13]. Perancangan dan implementasi software merupakan hal yang mirip
satu sama lain. Konsep ini dapat diterapkan pula pada komputer forensik. Bukti
komputer bisa muncul dalam bermacam bentuk dan versi. Penyelidik yang memiliki
pengetahuan mengenai banyak teknik dan metode penyimpanan bisa dengan cepat
mengidentifikasikan tempat untuk mencari tanda-tanda barang bukti. Suatu metode
standar akan memungkinkan perlindungan barang bukti. Ada beberapa panduan
keprofesian yang diterima secara luas [15]:
·
Pengujian forensik harus
dilakukan secara menyeluruh. Pekerjaan ini menganalisa media dan melaporkan
temuan tanpa adanya prasangka atau asumsi awal
·
Media yang
dipergunakan pada pengujian forensik harus disterilisasi sebelum setiap
penggunaan
·
Image bit
dari media asli harus dibuat dan dipergunakan untuk analisa.
·
Integritas
dari media asli harus dipelihara selama keseluruhan penyelidikan.
Dalam kaitan ini terdapat akronim PPAD pada komputer forensik [12]:
1. Preserve the data to ensure the data is not changed (Pelihara data untuk menjamin
data tidak berubah)
2. Protect the evidence to ensure no one else has access to the
evidence (Lindungi data untuk menjamin tidak ada
yang mengakses barang bukti)
3. Analyze the data using forensically sound techniques (Lakukan analisis data mempergunakan teknik forensik)
4. Document everything (Dokumentasikan
semuanya)
Di sini integritas proses merupakan hal yang sepenting integritas
data [12]. Karena itu, tahapan khusus diperlukan untuk melindungi barang
bukti. Sedikit organisasi yang memiliki
tool atau ahli forensik sendiri untuk menangani insiden yang serius. Ahli
keamanan sendiri jarang dilatih komputer forensik sehingga kurang memiliki
pengetahuan prosedur tertentu yang diperlukan untuk persidangan. The
International Association of Computer Investigative Specialists (IACIS)
memberikan tiga syarat untuk pengujian forensik: [11]:
1.
Penggunaan media forensik yang
steril.
2.
Pengujian harus mempertahankan
integritas media asli.
3.
Printout dan copy data hasil pengujian harus ditandai, dikenali dan
disertakan
Semua peralatan dan keahlian yang ada tidak akan berguna jika tidak
disinkronisasikan dengan penegak hukum [14]. Mungkin diperlukan dokumentasi
yang lebih baik dan rangkaian penanganan barang bukti. Perlu dipelajari apa
yang diperlukan oleh aparat hukum dan menyesuaikan metodologi dengannya. Karena
terdapat cukup banyak variabel pada kasus forensik, ada dua hal yang diperlukan
[14]:
1.
Definisikan metodologi, baik
aturan dan panduan
2.
Kerjakan sesuai metodologi itu
Pemikirannya di sini jika tidak bisa berargumen bagaimana anda
bekerja dan mengapa melakukannya seperti itu, hal tersebut akan dipertanyakan,
“Mengapa setiap kasus ditangani secara berbeda?” Panduan harus diikuti sebagai
titik referensi setiap tahap penyelidikan. Meski tidak bisa persis karena tak
ada dua kasus yang identik. Misalkan saja mobil Ferrari dan Honda memiliki
mekanisme dasar yang sama tetapi anda mengendarainya secara berbeda.
Hal terpenting lainnya adalah dokumentasi rangkaian barang bukti
[14]. Misalkan saja forensik dilakukan oleh beberapa orang, yang harus saling
mengetahui tahapan dan pekerjaan masing-masing. Perlu dicatat pula waktu dan
nama yang terkait serta langkah yang diambil. Dengan dokumentasi yang lengkap
bisa mematahkan argumen salah prosedur, jika kita mengikuti metodologi yang
telah ditentukan. Dokumentasi juga bisa membantu ahli forensik bila kasus
ditangani dalam waktu lama dan beban kerjanya tinggi.
Beberapa aspek yang bisa dipelajari untuk meningkatkan kemampuan
penyelidikan [20]:
·
Lakukan pemeriksaan ulang
dengan tool yang berbeda sehingga cukup memberikan keyakinan
·
Salah satu hal yang tersulit
adalah berusaha tetap obyektif selama penyelidikan. Berhentilah sebentar dan
periksalah kenyataan yang ada untuk meyakinkan anda cukup beralasan. Perlu
diingat pekerjaan ini berkaitan dengan mengumpulkan semua bukti yang tersedia
bukan hanya bukti yang mendukung penuntutan
·
Yakinkan langkah-langkah anda
disetujui oleh pihak manajemen dan staf hukum.
·
Kaitkan barang bukti dengan
hardware tertentu
·
Buatlah log tertulis untuk
menjamin penyelidikan mengikuti langkah-langkah yang logis dan mampu menulis
laporan yang akurat nantinya
·
Gunakan capture full screen
·
Backup barang bukti
·
Kumpulkan juga barang bukti
pada tempat terpisah
9. Perlunya Perlindungan Bukti
Dari penyelidikan yang dilakukan oleh Electronic Privacy Information
Center (EPIC) [1], “Sejak 1992 jumlah kasus kejahatan komputer telah meningkat
tiga kali. Dari 419 kasus yang diajukan oleh penuntut hanya 83 yang dieksekusi
karena kurangnya bukti. Saat suatu kasus diajukan bisa memakan waktu
persidangan sampai lima tahun. Alasannya
adalah bukti yang dikumpulkan pada kasus kejahatan komputer sangat
kompleks.”
Banyak kasus tidak dibawa ke pengadilan karena barang bukti yang
tidak memadai [13]. Bukti harus ditangani secara hati-hati untuk mencegah
penolakan dalam pengadilan, karena rusak atau mengalami perubahan. Barang bukti
komputer merupakan benda yang sensitif dan bisa mengalami kerusakan karena
salah penanganan. Ahli forensik harus menanganinya sedemikian sehingga dijamin
tidak ada kerusakan atau perubahan.
Ahli forensik bisa mengidentifikasikan penyusupan dengan mengetahui
apa yang harus dicari, di mana, dan
bukti lain yang diperlukan [1]. Informasi harus mencukupi untuk menentukan
apakah upaya penegakan hukum harus disertakan. Proteksi barang bukti merupakan
suatu hal yang krusial. Barang bukti tidak boleh rusak atau berubah selama
tahapan dan proses recovery dan analisis, juga diproteksi dari kerusakan virus
dan mekanis/elektromekanis. Proses harus dilakukan secepat mungkin setelah
insiden supaya detilnya masih terekam baik oleh mereka yang terlibat. Hal itu
bisa dimulai dengan catatan secara kronologis. Misalnya tentang tanggal, jam,
dan deskripsi komputer. Bila menganalisa server mungkin akan diperiksa event
log. Karena user bisa mengubah waktu
dengan mudah, perhatikanlah bagaimana kecocokannya dengan kronologi kejadian.
Buka komputer dan lihat apakah ada lebih dari satu hard disk, catat peripheral
apa yang terhubung, termasuk nomor seri hard disk. Berikan label dan buat foto
bila perlu, sehingga bisa mengembalikannya ke tempat semula nanti. Bila harus
memecah password pertimbangkan untuk menanyakan pada user atau mempergunakan
tool-tool yang ada di pasaran. Amati perangkat semacam zip disk, floppy,
dan disk image. Barang bukti bisa jadi muncul dalam bentuk yang kecil. Ada
kemungkinan pada komputer stand alone ada suatu port USB atau slot
PCMCIA yang bisa di-plug ke perangkat jaringan.
Beberapa ancaman terhadap barang bukti [13] :
·
Virus – Bisa mengakibatkan
kerusakan atau perubahan file
·
Prosedur cleanup –
Adanya program atau script yang menghapus file saat komputer shutdown
atau start up.
·
Ancaman eksternal, misal dari
lingkungan yang tidak kondusif sehingga merusak data. Seperti tempat yang
terlalu panas, dingin, atau lembab.
Judd Robbins dari “An
Explanation of Computer Forensics” [19] mensyaratkan hal berikut:
·
Barang bukti tidak rusak, atau
terpengaruh oleh prosedur yang dipergunakan untuk penyelidikan
·
Tidak terinfeksi virus komputer
selama proses analisis.
·
Bukti-bukti yang relevan dan
ekstraksinya, ditangani dan dilindungi dari kerusakan mekanis atau
elektromekanis lebih jauh
·
Penerapan pemeliharaan
·
Membatasi dampak pada operasi
bisnis
·
Semua informasi client yang
diperoleh selama eksplorasi forensik dihargai secara etis dan tidak diumumkan
Beberapa faktor yang tidak berkaitan secara fisik dengan barang
bukti [13]:
1.
Rangkaian pemeliharaan -
Merupakan rekaman penanganan barang bukti dari penyitaan sampai di bawa ke
pengadilan. Dokumentasinya harus menyatakan siapa, apa, di mana, kapan, mengapa
dan bagaimana. Lebih rinci hal itu akan lebih baik.
2.
Batasan waktu – Batasan waktu
bisa sangat krusial pada beberapa penyelidikan. Khususnya kasus yang melibatkan
kehidupan manusia. Misalkan saja bila bukti yang ada berkaitan dengan rencana
serangan teroris.
3.
Informasi yang tidak diumumkan
- Informasi yang berkaitan dengan client
Prioritas pengumpulan data harus dilakukan berdasarkan volatilitas
[6]:
1. Register, peripheral memori, dan cache
2. Memori (kernel dan fisik)
3. Keadaan jaringan
4. Proses yang sedang berjalan
5. Disk
6. Floppy, media backup
7. CD ROM, printout
Dengan menganalogikan prinsip ketidakpastian Heisenberg dari [6]:
“Melakukan pengujian sekumpulan atau suatu bagian dari sistem akan menimbulkan
gangguan pada komponen lainnya. Sehingga akan mustahil untuk melakukan capture
keseluruhan sistem pada satu saat saja.” Mengumpulkan barang bukti sangat
memakan waktu [13]. Banyak barang bukti dalam bentuk terenkripsi atau hidden.
Terdapat program yang dipergunakan untuk recovery password dari
perusahaan software yang dipercaya. Program untuk mengeksploitasi kelemahan
pada beberapa sistem bisa didownload
dari internet atau diperoleh dari penegak hukum. File bisa disimpan dengan
ekstension yang menipu atau gambar yang disimpan seperti dokumen teks, misal
kasus gambar porno anak-anak yang disimpan dalam nama README.TXT di folder
setup.
Harus diingat bahwa pengumpulan bukti suatu pelanggaran bisa
meningkat ke dalam pengumpulan bukti dari pelanggaran yang lebih serius [10].
Misal pengumpulan bukti penggunaan internet untuk surfing ke situs
porno, bisa menemukan bukti karyawan yang menggunakan internet untuk
menyebarkan virus atau melakukan hacking.
10. Pemrosesan Barang Bukti
Terdapat perdebatan dalam komunitas forensik untuk melakukan plug
suatu sistem [12], misalnya apakah diperlukan untuk mematikan mesin. Sistem
operasi bersangkutan akan merupakan kuncinya. Jika ada suatu usaha compromise
atau penyusupan, penyelidikan diarahkan pada proses yang ada di memori,
sistem file yang dipetakan melalui jaringan, koneksi mencurigakan lainnya pada
host tersebut dan port apa yang sedang dipergunakan. User bisa jadi harus
memilih untuk menyimpan beberapa file ke suatu server yang tidak terkena
dampaknya. Begitu juga bila sistem
sedang aktif, dan terdapat barang bukti di layar, bisa diambil foto pada layar
atau dicetak ke printer. Jika dilakukan unplug ada beberapa hal yang
bisa terlewat. Bisa jadi terdapat
program yang akan menghapus bukti semacam utility wipe. Jika perlu
melakukan unplug lakukanlah di sistem Windows. Jangan lakukan di Unix
kecuali memiliki pengalaman bagaimana melakukan rebuild tabel I-node.
Pada kasus perlu melakukan shutdown, lakukan halt segera,
putuskan koneksi jaringan dan gunakan utility image untuk sistem operasi
tersebut. Jika pada sistem Windows lakukan boot dengan disk, karena beberapa sistem operasi mulai menulis ke disk
saat booting dan bisa mengubah
waktu akses dan data lain yang berkaitan. Masuklah ke BIOS dan amati bagaimana drive
geometry. Lakukan write protect pada drive dan image data level bit
dengan tool yang banyak tersedia. Setelah diperoleh image data, analisis
dilakukan pada image copy-nya.
Panduan umum pemrosesan barang bukti berikut diambil dari [19]:
·
Shut down komputer, perlu dipertimbangkan kerusakan proses yang berjalan di background
·
Dokumentasikan konfigurasi
hardware dari sistem: Perhatikan bagaimana komputer di set up karena mungkin akan diperlukan restore kondisi
semula pada tempat yang aman
·
Pindahkan sistem komputer ke
lokasi yang aman
·
Buat backup bit dari hard disk
dan floppy:
·
Uji otentifitas data pada semua
perangkat penyimpanan
·
Dokumentasikan tanggal dan
waktu yang berhubungan dengan file komputer
·
Buat daftar key word pencarian,
karena terdapat tool forensik yang bisa dipergunakan untuk pencarian informasi
yang relevan
·
Evaluasi swap file
·
Evaluasi file slack,
terdiri dari dump memori yang terjadi selama file ditutup.
·
Evaluasi unallocated space (erased
file). Fungsi undelete di DOS bisa dipergunakan untuk melakukan restore
·
Pencarian keyword pada file, file
slack, dan unallocated space
·
Dokumentasikan nama file, serta
atribut tanggal dan waktu
·
Identifikasikan anomali file,
program dan storage
·
Evaluasi fungsionalitas program
untuk mengetahui kegunaannya
·
Dokumentasikan temuan dan
software yang dipergunakan
·
Buat copy dari software yang
dipergunakan
Merupakan keputusan sulit berespon pada insiden sedemikian agar
tidak mengakibatkan korupsi data. Hal ini sangat bergantung pada sistem
operasinya. Karena barang bukti bisa
berada pada file tapi bisa juga pada file slack, erased atau swap.
Misal pada Windows saat start akan membuka file baru yang menyebabkan overwrite
data sebelumnya.
Berikut tabel prosedur shutdown untuk beberapa sistem operasi
dari U.S. Department of Energy [10]:
Sistem Operasi
|
Prosedur Shut Down
|
MS DOS
|
Foto layar dan catat program yang berjalan
Copot kabel power
|
UNIX/Linux
|
Foto layar dan catat program yang berjalan
Masuk sebagai root atau su
Jika password root tidak ada copot kabel power
Jika ada ketik sync;sync;halt, dan sistem akan shutdown
Copot kabel power
|
Mac
|
Foto layar dan catat program yang berjalan
Click Special
Click Shutdown
Window akan memberitahukan safe to turn off the computer.
Copot kabel power
|
Windows 3.X/95/98/NT
|
Foto layar dan catat program yang berjalan
Copot kabel power
|
Selanjutnya perlu menandai komputer,
media dan kabel untuk keperluan pemindahan [10]:
Media
|
Tandai
|
5 ¼ inch disks
|
Tempatkan di atas takik (notch)
|
3 ½ inch disks
|
Tempatkan di posisi terbuka
|
Cassette tapes
|
Taruh record tab
|
Removable hard drives
|
Tempatkan di atas takik (notch)
|
Cartridge tapes
|
Geser sampai panah “safe” muncul
|
Catatan rinci harus dibuat mencakup semua aspek pemrosesan, bukan
hanya siapa, apa, kapan, di mana. Entry yang harus dicatat mencakup deskripsi
(model dan nomor serial), tanda, kondisi, cara penandaan, dan lokasi.
Perlengkapan komputer harus ditangani secara baik, misal parking hard
disk, pengemasan, kondisi temperatur, dan kendaraan pengangkut .Tugas utama tim
penanganan insiden adalah mengumpulkan dan memelihara barang bukti. Yang
nantinya akan dikumpulkan dan didokumentasikan kepada ahli teknis forensik .
Berikut adalah lima tahapan pemrosesan barang bukti dari [13].
Asumsinya di sini adalah semua ijin untuk mempergunakan mesin (PC, Server,
Tape, dan lainnya) sudah dimiliki secara hukum:
1. Persiapan
Sebelum penyelidikan, pastikan persiapan yang
diperlukan. Beberapa panduan:
- Sterilkan semua media dari virus.
- Pastikan semua tool forensik bisa dipergunakan secara resmi.
- Periksa kerja semua peralatan lab
- Pilih ahli forensik yang tepat yang mampu memberikan kesaksian dan penjelasan yang baik pada persidangan. Misal untuk menerangkan hal-hal teknis yang asing bagi orang lain.
2. Snapshot
Beberapa panduan:
- Foto lingkungan
- Catat rinciannya.
- Foto barang bukti, misal monitor dan PC.
- Dokumentasikan konfigurasi hardware
- Labeli barang bukti sesuai metodologi anda
- Foto barang bukti lagi setelah dilabeli
- Dokumentasikan apa yang terjadi
3.
Transport
Dengan asumsi ijin resmi sudah diperoleh,
tindakan untuk transportasi adalah:
- Lakukan pengemasan dengan aman.
- Foto dan dokumentasikan penanganan barang bukti meninggalkan tempat transport sampai ke lab pengujian
4. Persiapan
Berikut adalah persiapan untuk uji lab:
- Lakukan unpack sesuai metodologi.
- Lakukan uji visual dan catat setiap konfigurasi yang tidak semestinya.
- Buat image dari hard disk. Hal yang penting untuk diingat:
o
Matikan software virus
scanning
o
Catat waktu CMOS (Complementary
Metal Oxide Semiconductor). Hal ini perlu dilakukan khususnya saat zona
waktu dibutuhkan.
o
Anda bisa membuat image dengan
banyak cara
o
Catat bagaimana image dibuat
o
Pastikan tool untuk image tidak
mengakses sistem file dari media bukti.
- Setelah membuat image simpan barang bukti di tempat aman dan catatlah.
- Merupakan hal yang baik untuk membuat image kedua.
5. Pengujian
Ini merupakan tahapan analisis barang bukti dari berbagai media
(Floppy, hard drive, tape), dan sistem operasi (Linux, Windows). Mesin yang
digunakan untuk melakukan analisa seharusnya adalah stand alone dan
tidak terhubung dalam jaringan, sehingga memastikan tidak ada orang lain yang
mengaksesnya [12].
Analisis forensik dilakukan pada dua level [12]:
1. Level fisik, di mana ingin dilihat cluster dan sektor tertentu untuk
mencari informasi. Tabel master atau file allocation table biasanya
disebut system area.
2. Level lojik, misalkan gambar yang nampak sebagai rangkaian
heksadesimal.
Karena tidak bisa sepenuhnya mempercayai bukti apapun, maka harus diperhitungkan
rangkaian kepercayaan (chain of evidence) berikut [6]:
1.
Shell (termasuk variabel environment)
2.
Command
3.
Dynamic libraries
4.
Device driver
5.
Kernel
6.
Controller
7.
Hardware
11. Melacak Sumber Program Perusak
Hal yang menarik bagi pelaku penyusupan kejahatan dan komputer
adalah faktor anonimitas, artinya pembuat virus, trojan, atau pelaku compromise
tidak merasa khawatir akan dikenali [16]. Di sisi lain, insiden penyusupan
virus, worm, trojan dan cracker kadang meninggalkan potongan
program. Bisakah dengan peninggalan tersebut diidentifikasi sumbernya?
Peninggalan dari serangan tersebut bisa berupa source program, kode
object, shell script, perubahan pada program yang ada, atau file teks
yang dibuat oleh penyusup. Hal tersebut bisa dipergunakan untuk
mengidentifikasi sumber dari serangan, serupa dengan analisis tulisan tangan
yang dilakukan oleh aparat hukum untuk mengenali penulis suatu dokumen. Hal ini
biasa disebut forensik perangkat lunak. Forensik perangkat lunak bisa dilakukan
pada [16]:
1. Kode executable.
Biasanya dilakukan pada virus atau worm. Sayangnya banyak feature yang bisa
berguna dalam analisis telah terhapus, misalkan komentar, identasi dan
identifier. Optimisasi juga dilakukan sehingga program telah berbeda dengan
program semula. Beberapa feature yang masih bisa dipertimbangkan di antaranya:
- Algoritma dan struktur data: Pilihan algoritma dan struktur data bisa menunjukkan background dari pembuat
- Kompilator: Dalam kasus virus bisa ditentukan bahasa pemrogramannya dan dari vendor mana, karena rutin-rutin dan library yang dipergunakan
- Pengetahuan pemrograman: Bisa dilihat tingkat kemampuan pemrogram dari penggunaan fungsi dan error checking semacam exception handling
- Pilihan system call
- Kesalahan: Beberapa programmer membuat kesalahan serupa pada program-programnya
2. Kode Sumber.
Ini mampu memberikan informasi yang lebih banyak. Beberapa feature yang bisa
dianalisis:
- Bahasa: Menunjukkan pengetahuan dan ketersediaan pada pemrogram
- Format: Biasanya konsisten, misal identasi dan deklarasi
- Komentar
- Nama variabel
- Ejaan: Ada pemrogram yang melakukan kesalahan eja secara tetap
- Feature bahasa: Beberapa pemrogram lebih suka menggunakan pilihan tertentu, misal antara perulangan for dengan repeat until atau while
- Scope: pemilihan variabel lokal dan global
- Jalur eksekusi: adanya kode yang tidak pernah dieksekusi
- Bug: Kesalahan serupa yang dibuat dalam program-programnya
12. Analisis Unknown Program
Materi pada bagian ini diambil dari sumber [17]. Untuk mempelajari
perilaku suatu program yang tidak kita ketahui sumber dan kegunaannya terdapat
beberapa cara:
1. Analisis statik: Mempelajari program tanpa benar-benar
mengeksekusinya. Tool yang dipergunakan adalah dissasembler, decompiler,
tool analisis kode sumber, dan tool dasar semacam grep. Dalam
kenyataannya bisa memberikan suatu gambaran pendekatan mengenai program.
2. Analisis dinamik: Mempelajari program saat dieksekusi. Tool yang
dipergunakan adalah debugger, tracer, emulator mesin, analisis logika
dan terkadang sniffer jaringan. Keuntungan dari analisis dinamik adalah
cepat dan akurat. Kasus khusus dari analisis dinamik adalah analisis kotak
hitam (black box), yaitu analisis dinamik tanpa mengakses internal
program. Dalam kasus ini, pengamatan dilakukan pada input dan output eksternal,
serta karakteristik pewaktuannya.
3. Analisis postmortem: Mempelajari perilaku perangkat lunak
dengan mengamati dampak setelah eksekusi program. Bisa jadi ini merupakan
satu-satunya alat yang tersedia setelah penyusupan sistem.
Analisis dinamik harus dilakukan sehingga tidak menimbulkan
kerusakan yang berbahaya, sehingga eksekusi program bisa dijalankan pada:
1.
Mesin “percobaan” tanpa koneksi
jaringan
2.
Mesin dengan sandbox Virtual
Machine
Untuk memantau kemajuan (progress) suatu program, pengamatan
bisa dilakukan dengan cara:
·
Pengamatan pada level instruksi
mesin
·
Pengamatan system call yang
dipergunakan
Suatu mesin yang mengalami compromise tidak akan bisa
dipercaya, dan semua informasi yang berasal dari mesin tersebut perlu
diragukan. Perubahan pada suatu program aplikasi dan file data mudah dideteksi jika diketahui file mana yang
mengalami perubahan. Perubahan pada proses yang berjalan lebih susah dideteksi,
begitu pula dengan perubahan pada level kernel sistem operasi, atau bahkan
perubahan pada tingkat di bawah level kernel.
13. Tool Forensik
Tool yang dipergunakan oleh ahli forensik harus bekerja baik dan
tidak mengubah data [1]. Di samping itu, komunitas komputer forensik harus
menerima tool dan hasilnya. Tool yang sama kadang dipergunakan untuk melakukan
pemantauan dan audit pada jaringan.
Tool kit untuk pengujian forensik
memungkinkan untuk mengumpulkan dan analisis data, seperti tcpdump, Argus, NFR,
tcpwrapper, sniffer, nstat, tripwire, diskcopy (/v pada DOS), DD pada Unix.
Karena ahli hukum percaya bit lebih mudah dipalsukan daripada kertas, maka
aturan utamanya adalah “preserve then examine” [1]. Beberapa tool untuk
komputer forensik [10] [19]:
·
The Coroner Toolkit - Dan
Farmer & Wietse Venema , www.fish.com
·
Byte Back – oleh TechAssist, http://www.toolsthatwork.com/
·
DriveSpy – http://www.digitalintel.com/
·
EnCase – oleh Guidance
Software, http://www.encase.com/
·
Forensic ToolKit – http://www.accessdata.com/
·
Maresware Suite – http://www.dmares.com/
·
Drive Image Pro - PowerQuest
·
Linux "dd" - Red Hat
·
Norton Ghost 2000 - Symantec
·
SafeBack - New Technologies
·
SnapBack DatArrest oleh
Columbia Data Products
SC Magazine merekomendasikan DriveSpy dan EnCAse. DriveSpy
beroperasi pada lingkungan DOS dan memberikan semua tool yang diperlukan untuk
melakukan eksplorasi suatu media dan menemukan data yang relevan. EnCASE
memiliki GUI yang menarik dan beroperasi pada image ketimbang bukti asli.
EnCase juga mengikutsertakan fungsi pembangkitan laporan dan suatu feature yang
sangat berguna yang mendukung bahasa pemrograman bernama Escript. EnCase,
dari Guidance Software bisa mengelola dan melihat semua bukti. Terdapat feature
untuk mencatat siapa yang bekerja dan kapan dengan data. SafeBack dari New
Technologies, Inc untuk memelihara barang bukti dipakai secara khusus oleh
pihak penegak hukum AS [11].
Terdapat bermacam vendor perangkat lunak forensik. Paket dari The
New Technologies Corporate Evidence Processing Suite menyertakan [10]:
·
CRCND5: CRC (checksum)
yang memvalidasi isi file.
·
DISKSIG: CRC program yang memvalidasi image backup.
·
FILELIST: Tool katalog disk
untuk evaluasi komputer berdasarkan waktu
·
FILTER I: Filter berkecerdasan
dengan fuzzy logic.
·
GETFREE: Tool pengumpulan unallocated
data.
·
GETSLACK: Tool pengumpulan untuk file slack.
·
GETTIME: Program untuk
dokumentasi waktu dan tanggal sistem sebagai barang bukti
·
NTI-DOC: Program dokumentasi
untuk merekam atribut, tanggal dan waktu file.
·
SEIZED: Program untuk mengunci
dan mengamankan komputer
·
SHOWFL: Program untuk analisa keluaran
daftar file
·
Text Search Plus: Utility
pencarian teks untuk menentukan letak kata kunci dari teks dan grafik
Key Computer Service menawarkan paket [10] [11]:
·
Program password cracker
·
WIPER/WIPEDRV - Menghapus
keseluruhan informasi secara lojik atau fisik dengan menulis setiap byte
karakter.
·
LISTDRV – utility yang menguji
file FAT12, FAT16, dan FAT32 yang dibatasi koma dan tanda petik untuk disiapkan
diimport ke database atau spreadsheet.
·
CHKSUM – utility yang
mengkalkulasi 64-bit checksum untuk drive fisik atau lojik
·
DISKIMAG – membuat copy image
floppy untuk analisis
·
FREESECS – Untuk mencari drive
lojik spesifik tertentu untuk free space dan menyimpan informasi yang
termuat di unnalocated space ke file..
·
DISKDUPE– utility berbahasa
assembly yang membuat copy forensik dari floppy disk
·
DATASNIFFER- utility yang
memotong file data dari file atau unused space (saat recovery dengan
utility seperti FREESECS).
Meski terdapat program khusus forensik yang tersedia, program
seperti MS-DOS bisa merupakan tool forensik yang berguna. Misal perintah
DISKCOPY, DEBUG, UNDELETE, dan UNFORMAT.
14. Kesimpulan
Komputer forensik menjadi topik yang hangat dalam dunia keamanan
informasi. Memiliki perencanaan penanganan insiden dan melindungi barang bukti
dalam suatu komputer adalah krusial. Terdapat peningkatan kepedulian pada
keamanan, privacy dan masalah-masalah penyelidikan, tetapi begitu juga tindak
kejahatan yang terjadi. Teknologi-teknologi yang baru seperti komunikasi
wireless akan terus berkembang, yang mana akan memunculkan ancaman baru pada
industri keamanan, termasuk komputer forensik dan penanganan insiden.
Referensi
1. James J. Dougherty, “Computer Forensics”, SANS Institute,
2001
2. John R. Dysart , “Learning from what Intruders Leave Behind”, SANS
Institute, 2000
3. Dan Farmer, “Bring out your dead”, Doctor Dobb’s Journal,
2001.
4. Dan Farmer, “Help when broken into”, www.fish.com,
2001.
5. Dan Farmer, “Help recovering file”, www.fish.com, 2001.
6. Dan Farmer & Wietse Venema, “Computer Forensic Analysis Class
Handouts”, IBM. TJ. Watson Research Centre, 1999.
7. Dan Farmer & Wietse Venema, “Forensic Computer Analysis: an
Introduction”, Doctor Dobb’s Journal, 2000.
8. Dan Farmer & Wietse Venema, Frequently Asked Questions about
the Coroner’s toolkits, www.fish.com,
2000
9. Barry A. J. Fisher, “Basic Steps in Forensic Analysis of Unix
Systems”, CRC Press, 2000
10. Scott Grace, “Computer Incident Response and Computer Forensics
Overview”, SANS Institute, 2001
11. Dorothy A. Lunn, “Computer
Forensics – An Overview”, SANS Institute, 2001
12. Diana J. Michaud, “Adventures in Computer Forensics”, SANS
Institute, 2001
13. Jim Mc Millan, “Importance of a Standard Methodology in Computer
Forensics”, SANS Institute, 2000
14. Thomas Rude, “Evidence Seizure Methodology for Computer
Forensics”, CISSP, 2000
15. SANS Institute Publication, “Computer Security Incident-Handling:
Step-by-Step”, SANS Institute, 2001
16. Eugene H Spafford & Stephen A. Weeber, “Software forensics:
Can we track code to its authors?”, Center for Education and Research in
Information Assurance and Security, Department of Computer Sciences Purdue
University, West Lafayette, IN 47907-1398, 1992.
17. Wietse Venema, “Strangers in the night”, Doctor Dobb’s
Journal, 2000.
18. Wietse Venema, “Wanted, dead or alive”, Doctor Dobb’s
Journal, 2000.
19. Lori Willer, “Computer Forensics”, SANS Institute, 2001
20. Mal Wright, “Investigating an Internal Case of Internet Abuse”,
SANS Institute, 2001
Lampiran
Penjelasan Singkat TCT Coroner Toolkit
A. TCT
Penjelasan singkat ini diambil dari [3][5][8][18]. Pada Unix saat
melakukan penghapusan dengan "rm", sistem akan secara keseluruhan
melupakan blok mana di disk yang menjadi bagian dari file. Sistem file modern
di Unix biasanya menghindari fragmentasi file. Lebih mudah dilakukan recover
isi file pada sistem dengan fragmentasi yang kecil daripada isi file yang terserak di sepanjang disk. Selain itu
keuntungannya adalah kinerja yang lebih baik untuk baca dan tulis. File yang
terhapus akan memiliki kemampuan survive yang lebih lama. Begitu juga
dengan pola waktu akses file dan atribut lainnya.
Pada sistem DOS dan Windows, penghapusan file adalah menandai file
sebagai siap dihapus dengan menyembunyikan nama file dalam bentuk tertentu.
Pendekatan ini akan memudahkan recovery file meskipun menyebabkan kinerja yang
lebih buruk. Hal sebaliknya terjadi di sistem file Unix. Nama file yang terhapus masih bisa ditemukan
dengan melakukan pengujian directori untuk menentukan inode (atribut)
blok.
Kesulitan untuk melakukan recovery:
1. Sistem yang besar, kompleks dan cepat berubah
2. Sesuatu bisa disembunyikan di mana saja
3. Tidak adanya software yang tersedia
4. Analisis yang sulit dan memakan waktu lama
TCT merupakan sekumpulan tool yang dirancang untuk melakukan
pengujian forensik pada komputer dengan sistem Unix. TCT bisa berjalan pada
sistem:
·
FreeBSD 2-4.*
·
OpenBSD 2.*
·
BSD/OS 2-3.*
·
SunOS 4-5.*
·
Linux 2.*
TCT memerlukan Perl 5.004 atau lebih. Beberapa tool yang terdapat
pada paket TCT:
·
grave-robber: Melakukan analisa mount image, baik live mapun post
mortem. Dengan flag –-m, memungkinkan menyimpan waktu MAC dari file dan
direktori ke dalam file bernama body. Tool ini juga mampu menyimpan data
seperti file terhapus dan isi memori.
·
mactime: Melakukan pemrosesan file body dan membuat daftar entry
MAC. Daftar ini berguna untuk menentukan file mana yang sering dibuat atau
diakses.
·
ils: Menampilkan data mengenai unallocated
inode, seperti ukuran file dan waktu MAC.
·
ils2mac: Melakukan konversi keluaran ils ke dalam format dari file body.
·
unrm: Variant dari dd yang memproduksi stream dari isi
blok. Secara default akan melakukan ekstraksi dari unnalocated block ke
suatu image partisi. Bisa mencari isi file terhapus. Proses bisa berlangsung
lama untuk partisi berukuran besar.
·
lazarus: Membuat struktur dari data yang tidak terstruktur. Mengambil
deretan byte sebagai input dan menganalisanya dalam potongan berukuran blok. Di
sini diidentifikasikan tipe data apa yang termuat di blok (misal source C, file
tar, email) dan membuat sebuah file yang menampilkan perkiraan tipe isi dalam
HTML, sehinggga browser bisa dipergunakan untuk menguji isi dari setiap blok.
·
icat: Menampilkan isi dari suatu file atau direktori yang ditentukan
dengan suatu inode dan image. Hal ini serupa dengan mempergunakan
perintah cat di Unix, tetapi ketimbang mempergunakan nama file sebagai
argumen, dipergunakan inode. Sehingga bisa dipergunakan untuk
menampilkan isi dari unallocated inode.
Selain itu terdapat tool TCTUTILS yang didasarkan pada TCT, dan
Autospy Forensic Browser berbasis HTML yang mempergunakan TCT dan TCTUTILS
untuk memudahkan browsing pada image dan file terhapus
B. TCTUTILS
Merupakan sekumpulan utility yang memberikan kemampuan tambahan pada
TCT. Fasilitas yang ada:
·
Menampilkan isi directory inode
untuk melihat file, perangkat, dan nama directory. Juga memungkinkan
melihat nama file terhapus, dan kadang keseluruhan file yang terhapus bisa
direcover dengan mudah
·
Memperoleh waktu modifikasi,
akses, dan pembuatan pada file terhapus, serta menggabungkan data ke dalam
keluaran mactimes dari TCT
·
Memperoleh nama file dan
direktori yang mempergunakan suatu inode. Kadang nama file terhapus juga dimunculkan.
·
Menemukan inode yang
mempergunakan suatu blok tertentu.
·
Menampilkan isi dari suatu blok
dalam beberapa format
·
Menampilkan rincian dari suatu inode
(termasuk semua nomor blok)
·
Perhitungan nomor blok asal
dari suatu blok ke dalam image yang dibuat dengan utility unrm di TCT
TCTUTILS berjalan pada platform:
·
OpenBSD 2.8 *
·
Linux 2.2*
·
Solaris 2.7*
Cara instalasi:
1.
Tempatkan pada suatu direktori
2.
Edit entry TCT_DIR pada src/Makefile
menunjuk ke tempat instalasi
3.
Ketikkan make. Ini akan
menempatkan file executable ke direktori bin
Deskripsi program:
1. bcat:
menampilkan isi dari suatu disk blok
Input: image, nomor blok
Option:
-a
|
Tampilkan semua dalam ASCII
|
-f
|
Tipe file sistem
|
-h
|
Tampilkan dalam bentuk hexdump
|
-s
|
Tampilkan statistik blok mengenai image
|
-w
|
Tampilkan dalam format tabel HTML
|
Penggunaan: Menunjukkan isi dari suatu blok yang telah
diidentifikasikan dengan menjalankan grep pada suatu image. Atau bisa
dipergunakan untuk menguji program lainnya dan mencoba melakukan parsing pada
isi blok. Jika tipe file dipilih swap, maka image akan dibuka sebagai
file biasa. Dalam kasus ini, nomor blok dipergunakan sebagai nomor page di
mana setiap page berukuran 4096 byte.
2. blockcalc:
membuat pemetaan nomor blok antara image yang dibuat dengan dd dan image
yang terdiri dari hanya unnalocated block dibuat dengan unrm.
Konversi nomor blok bisa dihitung dalam dua arah.
Input: Salah satu dari
-d block (block adalah nomor blok dd)
-u block (block adalah nomor 'blok
unrm)
Penggunaan:
Input –u bisa dipergunakan untuk menentukan nomor blok semula saat
memakai lazarus pada suatu image yang dibuat dengan unrm. Ini
diperlukan saat mempergunakan Autospy Forensic Browser dengan lazarus.
3. fls:
Menampilkan entry file dan direktori pada suatu inode direktori. Secara
default akan menampilkan semua entry pada direktori (termasuk file terhapus)
dan tidak akan mencetak “.” atau “..”. File terhapus ditandai dengan “*”
Input: image, nomor inode directory
Option:
-a
|
Menampilkan “.” dan “..”
|
-d
|
Menampilkan hanya entry terhapus
|
-D
|
Menampilkan hanya entry direktori
|
-f
|
Menampilkan hanya entry file
|
-l
|
Menampilkan dalam format panjang semua data inode yang berkaitan
|
-m
|
Menampilkan dalam format waktu mesin. Option ini memerlukan
argumen string untuk menentukan titik pemetaan untuk image
|
-p
|
Menampilkan path penuh untuk setiap entry. Default menyatakan kedalaman
direktori
|
-r
|
Menampilkan direktori secara rekursif. Tidak akan mengacu pada direktori terhapus dan kosong,
karena tidak ada blok yang langsung diikuti
|
-u
|
Menampilkan hanya entry yang bisa undelete
|
-z
|
Perbedaan zona waktu. Hanya berguna bila option –l dipergunakan
|
Penggunaan:
Menampilkan nama file terhapus
4. find_file: Diberikan suatu image dan nomor inode,
menentukan file mana yang dialokasikan.
Input: image, inode
Option:
-a
|
Temukan semua (default hanya yang pertama)
|
-d
|
Tampilkan hanya entry terhapus
|
-u
|
Tampilkan hanya entry yang undeleted
|
Penggunaan: Menemukan file mana yang melakukan alokasi suatu blok
yang memuat data tertentu.
5. find_inode:
Diberikan image dan nomor blok, menentukan inode mana yang melakukan alokasi.
Program ini mencari semua inode untuk menentukan yang mana memiliki blok
tersebut.
Input: image, block
Penggunaan: Menentukan file mana yang telah mengalokasikan suatu
blok.
6. istat:
Diberikan suatu image dan inode, menampilkan informasi mengenai inode.
Input: image, inode
Option:
-b
|
Menentukan jumlah dari alamat blok untuk menampilkan tidak
tergantung dari ukuran file sebenarnya
|
-v
|
Verbose
|
-z
|
Perbedaan zona waktu dalam jam. Memungkinkan waktu ditampilkan
sesuai dengan sistem yang mengalami compromise, bukan waktu lokal
|
C. AUTOPSY FORENSIC BROWSER
Autopsy Forensic Browser merupakan antarmuka berbasis HTML pada TCT
dan TCTUTIL. Tool ini memungkinkan browse image forensik (image yang
di-generated dengan dd(1)) dari suatu file, inode, atau abstraksi
level blok. Juga memungkinkan pencarian keyword pada suatu image.
Fasilitas yang ada:
·
Browse image forensik dari
file/directory mempergunakan style antarmuka "File Manager".
·
Dengan mendayagunakan kegunaan
utility fls(1) dari TCTUTILS, nama file terhapus bisa ditampilkan (yang
bernama diawali *).
·
Melihat isi file dalam bentuk raw,
ASCII, atau dengan menjalankannya melalui strings(1).
·
Browse suatu image forensik
dari level inode
·
Browse suatu image forensik
dari level blok. Nomor blok bisa dimasukkan secara regular (dengan dd)
atau unallocated (dengan unrm).
·
Melihat isi blok dalam bentuk raw,
ASCII, atau hexdump
·
Mencari suatu image forensik
pada level blok untuk string tertentu, dengan mempergunakan grep(1). Hasilnya
adalah daftar blok yang mengandung string tersebut. Memilih setiap blok akan
menampilkan isinya.
·
Membuat "autopsy
reports" pada file, blok, atau inode yang menyertakan tanggal,
nilai hash MD5, penyelidik, dan informasi lainnya dalam bentuk teks. Ini
bisa dipergunakan untuk pencatatan saat blok terhapus dari data telah
ditemukan.
Cara instalasi:
1.
Lakukan instalasi TCT dan
TCTUTIL lebih dulu
2.
Lakukan untar file
autospy
3.
Jalankan script configure.
Ini akan mencari letak utility semacam grep, strings dan md5sum.
Juga melakukan konfigurasi direktori morgue.
Cara penggunaan:
1. Tempatkan image drive di direktori morgue. Ini harus dibuat
dengan mempergunakan semacam: dd if=/dev/rawdevice of=imagefile.
Perhatikan jika image harus dinamai dengan karakter sederhana.
2. Edit file fsmorgue dengan image baru. Format adalah image,
spasi, dan direktori di mana semula dipetakan
3. Lakukan update pada file zoneinfo di direktori morgue untuk
perubahan zona waktu. Misal, jika image dari mesin di CST (GMT –6) dan analisa
dilakukan pada EST (GMT –5), maka zoneinfo harus memuat ‘-1’.
4. Aktifkan daemon autospy ./autospy
8888 localhost
5. Arahkan browser ke lokasi keluaran: host:port/cookie/autospy
Beberapa pertimbangan keamanan dalam penggunaannya:
1.
Autospy adalah program server
PERL yang hanya memproses URL. Pembatasan kontrol akses dimungkinkan dengan
membatasi akses ke host dan mempergunakan angka random “cookie” untuk melakukan
otentifikasi user. Random cookie dihasilkan saat server diaktifkan dan harus
ada pada URL. Ini memungkinkan penyelidik untuk mempergunakan mesin publik,
tapi membatasi aksesnya.
2.
Penggunaan yang
direkomendasikan adalah dengan membatasi akses hanya dari localhost,
sehingga tidak ada lalu lintas jaringan.
3.
Nama file pada direktori morgue
harus cukup sederhana. Seihingga memungkinkan pemeriksaan yang cepat dan
mudah dari nama file pada URL, dan tidak memperbolehkan orang untuk keluar dari
direktori morgue. Di sini juga bisa dibuat symbolic links untuk
penyederhanaan.
Tidak ada komentar:
Posting Komentar