Kamis, 19 April 2012

Pengungkapan Data Komputer "Sebagai Barang Bukti" di Aparat Penegak Hukum


Daftar Isi



1.       Pendahuluan …………. …………………………………………………………………………….3
2.       Latar Belakang Dan Sejarah Komputer Forensik …………………………………………………..3
3.       Aspek Hukum Dari Komputer Forensik ……………………………………………………………3
4.       Profesi Komputer Forensik …………………………………………………………………………3
5.       Kecenderungan Insiden……………………………………………………………………………...6
6.       Persiapan Pra Insiden ……………………………………………………………………………….7
7.       Penanganan Dan Respon Pada Insiden ……………………………………………………………..8
8.       Standar Metodologi  Komputer Forensik …………………………………………………………..9
9.       Perlunya Perlindungan Bukti ……………………………………………………………………...11
10.    Pemrosesan Barang Bukti …………………………………………………………………………12
11.    Melacak Sumber Program Perusak………………………………………………………………...15
12.    Analisis Unknown Program ……………………………………………………………………….16
13.    Tool Forensik………………………………………………………………………………………17
14.    Kesimpulan ………………………………………………………………………………………..18

Referensi ………………………………………………………………………………………….……19
Lampiran Penjelasan Singkat TCT Coroner Toolkit …………………………………………………..20

1. Pendahuluan

Komputer forensik adalah penyelidikan dan analisis komputer untuk menentukan potensi bukti legal [19].  Bertahun-tahun yang lalu, kebanyakan bukti dikumpulkan pada kertas. Saat ini, kebanyakan bukti bertempat pada komputer, membuatnya lebih rapuh, karena sifat alaminya [19]. Data elektronik bisa muncul dalam bentuk dokumen, informasi keuangan, e-mail, job schedule, log, atau transkripsi voice-mail. 
Beberapa definisi komputer forensik [1]:
·         Definisi sederhana “Penggunaan sekumpulan prosedur untuk melakukan pengujian secara menyeluruh suatu sistem komputer dengan mempergunakan software dan tool untuk mengekstrak dan memelihara barang bukti tindakan kriminal”
·         Menurut Judd Robin, seorang ahli komputer forensik: “Penerapan secara sederhana dari penyelidikan komputer dan teknik analisisnya untuk menentukan bukti-bukti hukum yang mungkin”
·         New Technologies memperluas definisi Robin dengan: “Komputer forensik berkaitan dengan pemeliharaan, identifikasi, ekstraksi dan dokumentasi dari bukti-bukti komputer yang tersimpan dalam wujud informasi magnetik”

2. Latar Belakang Dan Sejarah Komputer Forensik

Barang bukti yang berasal dari komputer telah muncul dalam persidangan hampir 30 tahun [11]. Awalnya, hakim menerima bukti tersebut tanpa melakukan pembedaan dengan bentuk bukti lainnya. Sesuai dengan kemajuan teknologi komputer, perlakuan serupa dengan bukti tradisional menjadi ambigu.  US Federal Rules of Evidence 1976 menyatakan permasalahan  tersebut. Hukum lainnya yang berkaitan dengan kejahatan komputer [11]:
·         Economic Espionage Act  1996, berhubungan dengan pencurian rahasia dagang
·         The Electronic Communications Privacy Act 1986, berkaitan dengan penyadapan peralatan elektronik
·         The Computer Security Act 1987 (Public Law 100-235), berkaitan dengan keamanan sistem komputer pemerintahan
Jika ingin menyelesaikan suatu “misteri komputer” secara efektif,  diperlukan pengujian sistem sebagai seorang detektif, bukan sebagai user [7].  Komputer forensik bisa menjadi semacam puzzle [12]. Sifat alami dari teknologi Internet memungkinkan pelaku kejahatan untuk menyembunyikan jejaknya [1].  Kejahatan komputer tidak memiliki batas geografis. Kejahatan bisa dilakukan dari kamar sebelah, atau berjarak ribuan kilometer jauhnya dengan hasil yang serupa. Bagaimanapun pada saat yang sama, teknologi memungkinkan menyingkap siapa dan bagaimana itu dilakukan. Dalam komputer forensik, sesuatu tidak selalu seperti kelihatannya. Penjahat biasanya selangkah lebih maju dari penegak hukum, dalam melindungi diri dan menghancurkan barang bukti.  Merupakan tugas ahli komputer forensik untuk menegakkan hukum dengan mengamankan barang bukti, rekonstruksi kejahatan, dan menjamin jika bukti yang dikumpulkan itu berguna di persidangan.

3. Aspek Hukum Dari Komputer Forensik

Saat mendengar istilah kejahatan komputer, kebanyakan orang berpikir tentang hacker yang menyusup ke situs web atau penjahat yang mencari informasi semacam nomor rekening bank, nomor kartu kredit atau rahasia dagang untuk keuntungan finansial dan data spionase seperti informasi rahasia militer. Seperti halnya pada aktivitas sehari-hari dan bisnis, teknologi juga menawarkan pada penjahat penggunaan praktis yang sama. Mafia kejahatan melakukan catatan dan akuntansi bisnis semacam obat terlarang dan perjudian dengan mempergunakan program komputer. Penjahat bisa mempergunakan komputer sebagai pengelola informasi yang berkaitan dengan kejahatan, atau sebagai alat untuk melakukan kejahatan [11]. 
Federal Guidelines for Searching and Seizing Computers menyebutkan [11], "Setiap PC bisa terhubung ke jaringan dengan modem.  Maka dalam kasus keberadaan suatu modem, harus dipertimbangkan komputer menyimpan informasi berharga pada lokasi lain.." Aktivitas kriminal bisa dijalankan dari tempat manapun di seluruh dunia. Hal ini tidak hanya membuat kejahatan lebih sulit untuk diselidiki tetapi membuatnya lebih menarik bagi pelaku. Loek Weerd dikutip oleh  Illena Armstrong  [11] menyatakan, "Karena data muncul pada layar mereka sendiri di lingkungan mereka, batasan etis seperti kepemilikan menjadi kabur’
Hukum federal AS menyatakan menyusup ke suatu komputer  bukanlah kasus kejahatan federal [2]. Ada perkecualian, pada sistem keamanan nasional, institusi keuangan, atau catatan medis. Yang terpenting adalah penyusup mengakibatkan kerusakan berbiaya 500.000 dollar atau lebih. Sederhananya, seseorang bisa melakukan  eksploit, memperoleh akses root, dan menginstall banyak program, asalkan tidak menghapus file yang penting, tidak akan ada konsekuensi legal. Sehingga akan sulit untuk melakukan penuntutan pada penyusup yang tidak mengakibatkan perusakan. Jika kasus penyusupan dengan memasang packet sniffer baru bisa dilakukan penuntutan meski tidak ada kerusakan, karena ada intercept pada peralatan komunikasi.
Apa yang dikerjakan oleh analisis forensik bisa membantu penegakan hukum atau pimpinan keamanan perusahaan. James O. Holly, Direktur National Computer Forensics Lab Ernst & Young, mengatakan [11], "Anda perlu membuka pintu untuk pemrosesan administratif, sipil, atau kriminal dalam merespon kejahatan komputer. Dan penyelidik perlu menangani insiden dari awal sampai masuk ke persidangan”. Merupakan hal yang penting bagi analis untuk mendapatkan bukti dan menyatakan bagaimana memperolehnya. Banyak kasus dimenangkan bukan hanya berdasarkan fakta tetapi persepsinya [12]. Thomas Welch dalam The Information Security Management Handbook Vol. 1 halaman 601, menyatakan [11] "Praktisi keamanan komputer harus memperdulikan teknologi dan faktor legal yang berdampak pada sistem dan penggunanya, termasuk masalah penyelidikan dan penegakan hukum”.
Ahli hukum memerlukan kepakaran spesialis komputer. Hal itu merupakan alasan yang bagus bagi ahli komputer untuk secara formal mendapatkan pendidikan dan menerima kualifikasi internasional. Judd Robbins menyatakan kejahatan dan pekerjaan yang memerlukan bukti dari keahlian komputer forensik [11]:                                                                                                        
·         Jaksa penuntut mempergunakan barang bukti komputer dalam kejahatan yang bermacam-macam, seperti obat bius, pornografi anak, pembunuhan, dan penggelapan keuangan 
·         Detektif swasta bisa mempergunakan rekaman pada sistem komputer untuk melacak kasus penggelapan, perceraian, diskriminasi dan pelecehan.
·         Perusahaan asuransi bisa mengurangi biaya dengan bukti komputer yang menyatakan kemungkinan penggelapan pada insiden, kebakaran, atau kompensasi pekerja
·         Perusahaan menyewa ahli komputer forensik untuk menentukan bukti yang berkaitan dengan  pelecehan seksual, penipuan, pencurian rahasia dagang, dan informasi rahasia internal lainnya
·         Petugas penegak hukum sering memerlukan bantuan dalam persiapan penggeledahan dan penyitaan perangkat komputer.
·         Perorangan kadang menyewa ahli komputer forensik untuk mendukung klaim pemutusan kerja, pelecehan seksual atau disriminasi umur.
"Techniques of Crime Scene Investigation" menyatakan [9]: “Salah satu elemen yang penting pada penyelesaian masalah kejahatan adalah penggunaan secara efektif dari sains dan teknologi. Sains dan teknologi diterapkan pada penyelesaian tindakan kriminal, atau ilmu forensik, memecahkan kejahatan dengan membantu penyelidik kepolisian untuk mengidentifikasikan tersangka dan program, membersihkan orang yang tidak bersalah dari dakwaan dan membawa yang bersalah ke hadapan hukum".

4. Profesi Komputer Forensik

Bagi seorang pemrogram, banyak keahlian yang diperlukan oleh komputer forensik mirip dengan yang dipergunakannya saat melakukan pembuatan atau debugging software – berpikir lojik, pemahaman pada sebab dan akibat dari suatu tindakan komputer, serta berpikir terbuka [7]. Ada beberapa perbedaan antara mencari bug dengan menyelesaikan “misteri komputer”. Sebagai seorang programmer, biasanya kita bekerja melawan diri kita sendiri – mencoba memperbaiki permasalahan yang kita buat sendiri. Menyelesaikan suatu kejahatan komputer lebih mirip dengan melawan programmer “lawan” yang berusaha mengubah kode dan  menyembunyikan bukti kerja mereka. Untungnya di sini ia memiliki suatu keunggulan dibanding lawan, yaitu menguasai sistemnya sendiri dengan lebih baik.
Kriteria penyelidik forensik menurut [1]: “Seorang penyelidik yang baik harus mudah berkomunikasi dengan siapapun, dan sangat kritis. Berpikir lojik, objektif dan tidak bias, tanpa kontroversi.  Kemampuan verbal dan tulisan sehingga setiap orang memahami apa yang terjadi, karena. akan ditanyai saran dan kepakaran saat diperlukan.”
Pengetahuan yang diperlukan ahli forensik di antaranya [12]:
·         Dasar-dasar hardware dan pemahaman bagaimana umumnya sistem operasi bekerja
·         Bagaimana partisi drive, hidden partition, dan di mana tabel partisi bisa ditemukan pada sistem operasi yang berbeda
·         Bagaimana umumnya master boot record tersebut dan bagaimana drive geometry
·         Pemahaman untuk hide, delete, recover file dan directory bisa mempercepat pemahaman pada bagaimana tool forensik dan sistem operasi yang berbeda bekerja.
·         Familiar dengan header dan ekstension file yang bisa jadi berkaitan dengan file tertentu
Kriteria ahli forensik berikut dijelaskan oleh Peter Sommer dari Virtual City Associates Forensic Technician [11], serta Dan Farmer dan Wietse Venema [16]:
·         Metode yang berhati-hati pada pendekatan pencatatan rekaman
·         Pengetahuan komputer, hukum, dan prosedur legal
·         Keahlian untuk mempergunakan utility
·         Kepedulian teknis dan memahami implikasi teknis dari setiap tindakan
·         Penguasaan bagaimana modifikasi bisa dilakukan pada data
·         Berpikiran terbuka dan mampu berpandangan jauh
·         Etika yang tinggi
·         Selalu belajar
·         Selalu mempergunakan data dalam jumlah redundan sebelum mengambil kesimpulan
Aktivitas yang perlu dilakukan oleh penyelidik forensik menurut Judd Robins [11]:
·         Perlindungan sistem komputer selama pengujian forensik dari semua kemungkinan perubahan, kerusakan, korupsi data, atau virus
·         Temukan semua file pada sistem. Termasuk file normal, terhapus, hidden, pasword-protected, dan terenkripsi.
·         Recovering file terhapus sebisa mungkin.
·         Ambil isi file hidden juga file temporary atau swap yang dipergunakan baik oleh sistem operasi atau program aplikasi
·         Lakukan akses (jika dimungkinkan secara legal) isi dari file terproteksi atau terenkripsi
·         Analisa semua data yang relevan pada area spesial di disk. Misal unnalocated (tidak terpakai, tapi mungkin menyimpan data sebelumnya), slack space (area di akhir file  pada last cluster yang mungkin menyimpan data sebelumnya juga)
·         Cetak semua analisis keseluruhan dari sistem komputer, seperti halnya semua file yang relevan dan ditemukan.  Berikan pendapat mengenai layout sistem, struktur file yang ditemukan, dan informasi pembuat, setiap usaha menyembunyikan, menghapus, melindungi, mengenkripsi informasi, dan lainnya yang ditemukan dan nampak relevan dengan keseluruhan pengujian sistem komputer.
·         Berikan konsultasi ahli dan kesaksian yang diperlukan
Karakteristik berikut diperlukan oleh ahli forensik untuk bekerja secara profesional [13]:
·         Pendidikan, pengalaman dan sertifikasi merupakan kualifikasi yang baik untuk profesi komputer forensik. Pendidikan dengan pengalaman memberikan kepercayaan yang diperlukan untuk membuat keputusan dan mengetahui keputusan yang tepat. Sertifikasi menunjukkan bahwa pendidikan dan pengalamannya merupakan standar yang tinggi dan dapat dipahami.
·         Yakinkan pada setiap tindakan dan keputusan, agar mencukupi untuk kesaksian di pengadilan
·         Semua proses dilakukan dengan menyeluruh
·         Memiliki pengetahuan yang banyak mengenai bagaimana recover data dari berbagai tipe media
·         Mampu memecah password dari aplikasi dan sistem operasi yang berbeda dan mempergunakannya untuk penyelidikan
·         Perlu pengetahuan yang memadai, tanpanya bisa terjadi kesalahan yang akan membuat barang bukti ditolak di pengadilan. Barang bukti bisa dirusak, diubah, atau informasi yang berharga terlewat.
·         Obyektif dan tidak bias, harus fair pada penyelidikan, dengan fakta yang akurat dan lengkap
·         Inovatif dan memiliki kemampuan interpersonal yang baik
·         Memiliki kemampuan verbal dan oral yang baik
·         Menggunakan penalaran dan logika yang tepat

5. Kecenderungan Insiden

Saat membicarakan apa yang ditinggalkan penyusup, seperti trojan, backdoors, dan hacker tool lainnya, orang cenderung berfokus kepada sistem komputer berbasis Windows. Hal ini dapat dimengerti karena sistem berbasis Windows biasanya menjadi sasaran trojan. Simovits Consulting yang merinci trojan berdasar sistem operasi  menemukan 35 trojan untuk varian UNIX dan lebih dari 400 untuk Windows [2].
Dewan Eropa telah mengusulkan untuk pelarangan tool hacker [2]. Pembatasan ini ditolak oleh komunitas keamanan komputer karena dikhawatirkan akan mengganggu pekerjaan keamanan yang legal. Ada beberapa keadaan di mana penggunaan tool tertentu digolongkan sebagai perbuatan kriminal atau tidak. Misal tool untuk scanning port mana yang terbuka. Bagaimanapun beberapa tool biasa diinstall oleh penyusup saja, misal untuk melancarkan serangan packet flooding. Hanya individu yang memiliki tanggung jawab administrator sistem yang resmi bisa mempergunakan tool sniffer atau cracking password. Akan janggal untuk orang yang memiliki dua PC dengan Windows 9x, NT atau Linux dan tidak memiliki akses resmi ke suatu jaringan komputer (di luar ISP), untuk memiliki program cracking password, sniffer atau packet flood.
Akses broadband DSL dan modem kabel membuat banyak orang dengan pengetahuan keamanan komputer minmal mempunyai koneksi statik ke internet. Bila ada pilihan antara mencegah penyusupan dengan meminimalkan kerusakan, kita akan memilih untuk mencegah penyusupan.
Program yang diinstall oleh penyusup ditemukan pada sistem Unix perusahaan, ISP dan universitas. Dengan mengevaluasi kasus dan tool yang ditemukan akan memunculkan implikasi yang penting untuk membuat pilihan bagi administrator sistem. Pada beberapa kasus tool-tool tersebut juga ditemukan pada sistem korban. Pada 5 dari 6 kasus, korban tidak mempedulikan penyusupan untuk waktu lama (lebih dari 20 hari) [2].
Tiga fungsi utama yang umum dari program-program hacking tersebut adalah [2]:
·         packet flooding
·         packet sniffing
·         backdoor
Kebanyakan dari program tersebut harus  ditempatkan pada sistem korban, dan yang paling berbahaya memerlukan untuk berjalan sebagai root atau UID 0.    Komputer korban bisa berada di luar firewall atau dalam suatu DMZ (demiliterized zone). Program-program tersebut dirancang sebagai semacam script kiddie yang user friendly, dengan dokumentasi yang bagus dan fungsi help. Usia penyusup bukanlah indikator yang tepat dari tingkat kemampuan mereka. Pembuat program lebih sering mengidentifikasikan dirinya dengan nickname atau alamat e-mail. Pembuat program biasanya menyertakan peringatan bahwa penggunaan program tersebut pada jaringan publik adalah ilegal, dan pembuat tidak bertanggungjawab pada semua kerusakan yang terjadi. Program tersebut portabel di antara beberapa varian UNIX.
Dalam kenyataannya, kendala-kendala yang ada memaksa administrator sistem untuk memilih implementasi keamanan yang dipergunakan dan menentukan prioritas aktivitas. Kebanyakan penyusupan sudah terjadi lama sebelum diketahui. Administrator sistem baru menaruh perhatian saat user mengeluh mengenai kinerja sistem atau jaringan. Pada kasus di mana insiden diidentifikasikan dengan log, administrator sistem membiarkannya pada sistem korban untuk beberapa minggu. Mereka hanya bertindak setelah penyusup melakukan packet flood/denial of service attack.  Terdapat pula sejumlah penyusupan yang baru diketahui setelah penyusup memberitahukan secara eksplisit pada administrator sistem. Menurut National Infrastructure Protection Center (NIPC) [2], ada peningkatan aktivitas hacker pada sistem yang berkaitan dengan e-commerce. Pada aktivitas tersebut hacker bisa mengambil informasi selama beberapa bulan sebelum korban mengetahuinya. Karena akses penyusup sudah berlangsung dalam waktu lama dan melibatkan banyak program, biaya terbesar adalah downtime berkaitan dengan mengembalikan sistem ke keadaan yang aman.

6. Persiapan Pra Insiden

Sesuai survey  (Desember 2000) dari [1], ancaman terbesar dari jaringan komputer adalah: 68% karyawan, 17% hacker, 9% kompetitor, dan 6% customer. Artinya kita masih harus melakukan perlindungan jaringan baik dari dalam maupun dari luar. The Information Security Management Handbook, Vol. 2 halaman 559 menyatakan jenis insiden [11]:
·         Virus
·         Unauthorized access
·         Pencurian atau kehilangan kepercayaan pada informasi
·         Serangan denial of service pada sistem
·         Korupsi informasi
Untuk menghadapi penyusupan dan serangan dapat dilakukan persiapan berikut [2][4]:
·         Penggunaan beberapa tool untuk mencegah penyusupan dengan deteksi. Amati aktivitas pada port- port yang biasanya berkaitan dengan trojan, backdoor, denial of service tool, dan yang serupa. Pergunakan tool semacam Tripwire untuk mengamati perubahan pada sistem, yang memungkinkan membuat snapshot sistem  Pemeriksaan lainnya adalah mode promiscous pada network card dan adanya kompilator  yang diinstall.
·         Kebutuhan untuk backup sistem yang baik sehingga bisa melakukan restore data sebelum penyusupan.
·         Jika diasumsikan penyusup mempergunakan sniffer untuk menangkap password, maka perlu diterapkan kebijakan pasword yang tepat.  Bisa juga dipertimbangkan one time password. Practical Unix & Internet Security, oleh Simson Garfinkel dan Gene Spafford, merekomendasikan  "Jangan mengirimkan clear text password yang bisa dipergunakan kembali lewat koneksi jaringan. Pergunakan one-time password atau metode rahasia “
·         Suatu kebijakan keamanan harus diterapkan  untuk menangani insiden yang muncul, dan harus cukup mudah diimplementasikan dan dimengerti oleh setiap orang [1]. Misalkan capture tampilan, jangan matikan komputer, lakukan shutdown normal, copot modem, labeli semua alat, dan tulis semua yang mungkin. Harus ditentukan standard operating procedures (SOP) di mana akan memastikan tidak ada kontaminasi dengan data lain atau data kasus sebelumnya [12].
·         Lakukan instalasi patch security dari vendor sistem operasi atau aplikasi.
·         Matikan semua service jaringan yang tidak dipergunakan, dan pergunakan security/auditing tool
·         Luangkan lebih banyak waktu untuk mempelajari sistem anda dengan lebih baik
·         Aktifkan fasilitas logging dan accounting
·         Lakukan audit dan pengujian pada sistem secara rutin
Banyak organisasi tidak hanya mengabaikan penerapan keamanan untuk melindungi jaringan dan data mereka, tetapi juga tidak siap untuk menangani penyusupan dan insiden [11]. Organisasi harus menerapkan perencanaan respon dan pelaporan insiden, serta membuat team untuk menanganinya. Hal itu bisa juga dilakukan dengan menyewa ahli forensik dari perusahaan keamanan. Saat diduga terdapat kecurigaan compromise keamanan atau tindakan ilegal yang berkaitan dengan komputer, maka akan merupakan suatu hal yang penting untuk melakukan langkah–langkah dalam menjamin perlindungan terhadap data pada komputer atau media penyimpanan. Penyimpanan data diperlukan untuk menentukan compromise tingkat keamanan dan letak bukti-bukti yang mungkin berkaitan dengan tindakan ilegal [10].

7. Penanganan Dan Respon Pada Insiden

Respon awal pada penanganan insiden bisa sangat mempengaruhi analisis laboratorium [12]. Orang-orang tidak berkepentingan tidak seharusnya dibiarkan di sekitar tempat kejadian perkara. Perlu adanya dokumentasi mengenai perlindungan barang bukti, analisis dan laporan penemuan.
Suatu kebijakan dan prosedur penanganan insiden sangat penting untuk setiap organisasi. Hal-hal yang harus diingat adalah [19]:
·         Bagaimana untuk mengamankan atau menjaga barang bukti, baik dengan membuat copy image dan mengunci yang asli, sampai kedatangan ahli forensik
·         Di mana atau bagaimana untuk mencari barang bukti, baik itu di drive lokal, backup sistem, komputer atau laptop
·         Daftar yang harus dipersiapkan untuk laporan menyeluruh
·         Daftar orang untuk keperluan pelaporan, pada suatu situasi tertentu
·         Daftar software yang disarankan digunakan secara internal oleh penyelidik
·         Daftar ahli yang disarankan untuk konsultasi
Tidak semua perusahaan memiliki ahli forensik, kalau pun ada mereka tidak selalu berada di tempat. Sehingga pada saat terjadi insiden staf harus terlatih sekurang-kurangnya [19]:
·         Membuat image, sehingga yang asli tetap terjaga
·         Analisis forensik dilakukan semua dari copy
·         Memelihara rincian media dalam proses
Respon awal pada keamanan komputer bisa jadi lebih penting daripada analisis teknis selanjutnya dari sistem komputer, karena dampak tindakan yang dilakukan oleh tim penanganan insiden [10]. Dalam suatu kejadian yang dicurigai sebagai insiden komputer,  harus ada perlakuan secara berhati-hati untuk menjaga barang bukti dalam keadaan aslinya. Meski kelihatan sesederhana melihat file pada suatu sistem yang tidak akan menghasilkan perubahan media asli, membuka file tersebut akan mengakibatkan perubahan. Dari sudut pandang legal, hal tersebut tidak lagi menjadi bukti orisinil dan tidak bisa diterima oleh proses administratif hukum.
Tiap organisasi harus memiliki suatu tim penanganan insiden. Tim harus menulis prosedur penanganan insiden. Prosedur sederhana untuk mengamankan suatu insiden komputer [10]:
1.       Amankan lingkungan
2.       Shutting down komputer
3.       Label barang bukti
4.       Dokumentasikan barang bukti
5.       Transportasikan barang bukti
6.       Dokumentasi rangkaian penyimpanan
Berikut adalah dokumen penanganan insiden yang populer dari SANS Insititute [15]. Ini merupakan dokumen konsensus di mana:
·         Semua partisipan menyarankan elemen dan perubahan
·         Proses berjalan dengan banyak perulangan
·         Beberapa masalah disajikan dengan banyak pilihan
·         Setiap partisipan harus menyetujui keseluruhan dokumen
Hasilnya adalah panduan untuk persiapan dan respon pada insiden keamanan. Terdiri dari 44 halaman, menyatakan 90 tindakan dalam 31 langkah dan 6 fase. Di sini ditunjukkan bagaimana berespon pada jenis insiden tertentu seperti probing, spionase, dan lainnya. 6 Fase tersebut adalah:
1.       Fase 1: Persiapan (42 tindakan)
2.       Fase 2: Identifikasi (6 tindakan)
3.       Fase 3: Pengisian(17 tindakan)
4.       Fase 4:  Pembasmian (10 tindakan)
5.       Fase 5: Pemulihan (6 tindakan)
6.       Fase 6: Tindak lanjut (9 tindakan)
Salah satu bagian dari dokumen [15] yang bisa dipergunakan perusahaan yang belum siap menghadapi insiden adalah Emergency Action Card, berupa sepuluh langkah berikut:
1.       Tetap tenang sehingga menghindari kesalahan fatal
2.       Buatlah catatan yang baik dan relevan: siapa, apa, bagaimana, kapan, di mana, mengapa
3.       Beritahu orang yang tepat dan carilah pertolongan, mulai dari koordinator keamanan dan manajer
4.       Tetapkan kebijakan orang-orang terpercaya yang boleh tahu
5.       Gunakan jalur komunikasi terpisah dari sistem yang mengalami compromise
6.       Isolasi masalah sehingga tidak bertambah buruk
7.       Buat backup sistem
8.       Temukan sumber masalah
9.       Kembali ke pekerjaan semula setelah backup terjamin, dan lakukan restore sistem
10.    Belajar dari pengalaman

8. Standar Metodologi  Komputer Forensik

Kebutuhan akan ahli komputer foresik menjadi penting pada departemen penegakan hukum, pemerintahan, dan perusahaan dunia. Dewasa ini tidak ada suatu metodologi tunggal untuk melakukan analisis dan penyelidikan forensik, karena  terdapat terlalu banyak variabel [14]. Misalkan sistem operasi, program aplikasi, algoritma kriptografi, dan platform hardware. Di luar itu adalah aspek hukum, batas-batas internasional, dan publisitas. Karena manusia tidak luput dari kesalahan maka harus ada metode yang pasti untuk melakukan penyelidikan dan standar yang dikembangkan. David Morrow menyatakan [20] ”Seperti halnya anda tidak memulai perjalanan jauh ke daerah asing tanpa peta jalan, jangan memulai penyelidikan tanpa memperhatikan rencana”
Sains adalah metode, serta tindakan yang direncanakan untuk memperoleh dan menganalisa barang bukti, sedangkan teknologi (dalam kasus komputer)  adalah program yang memenuhi kebutuhan tertentu untuk memperoleh dan menganalisa barang bukti [9]. Mengikuti metode standar merupakan hal yang penting demi kesuksesan dan keefektifan komputer forensik, seperti halnya programmer mempergunakan metode pemrograman standar [13]. Perancangan dan implementasi software merupakan hal yang mirip satu sama lain. Konsep ini dapat diterapkan pula pada komputer forensik. Bukti komputer bisa muncul dalam bermacam bentuk dan versi. Penyelidik yang memiliki pengetahuan mengenai banyak teknik dan metode penyimpanan bisa dengan cepat mengidentifikasikan tempat untuk mencari tanda-tanda barang bukti. Suatu metode standar akan memungkinkan perlindungan barang bukti. Ada beberapa panduan keprofesian yang diterima secara luas [15]:
·         Pengujian forensik harus dilakukan secara menyeluruh. Pekerjaan ini menganalisa media dan melaporkan temuan tanpa adanya prasangka atau asumsi awal
·         Media yang dipergunakan pada pengujian forensik harus disterilisasi sebelum setiap penggunaan
·         Image bit dari media asli harus dibuat dan dipergunakan untuk analisa. 
·         Integritas dari media asli harus dipelihara selama keseluruhan penyelidikan.
Dalam kaitan ini terdapat akronim PPAD pada komputer forensik [12]:
1.       Preserve the data to ensure the data is not changed (Pelihara data  untuk menjamin data tidak berubah)
2.       Protect the evidence to ensure no one else has access to the evidence (Lindungi data untuk menjamin tidak ada yang mengakses barang bukti)
3.       Analyze the data using forensically sound techniques (Lakukan analisis data mempergunakan teknik forensik)
4.       Document everything (Dokumentasikan semuanya)
Di sini integritas proses merupakan hal yang sepenting integritas data [12]. Karena itu, tahapan khusus diperlukan untuk melindungi barang bukti.  Sedikit organisasi yang memiliki tool atau ahli forensik sendiri untuk menangani insiden yang serius. Ahli keamanan sendiri jarang dilatih komputer forensik sehingga kurang memiliki pengetahuan prosedur tertentu yang diperlukan untuk persidangan. The International Association of Computer Investigative Specialists (IACIS) memberikan tiga syarat untuk pengujian forensik: [11]:
1.       Penggunaan media forensik yang steril.
2.       Pengujian harus mempertahankan integritas media asli.
3.       Printout dan copy data hasil pengujian harus ditandai, dikenali dan disertakan
Semua peralatan dan keahlian yang ada tidak akan berguna jika tidak disinkronisasikan dengan penegak hukum [14]. Mungkin diperlukan dokumentasi yang lebih baik dan rangkaian penanganan barang bukti. Perlu dipelajari apa yang diperlukan oleh aparat hukum dan menyesuaikan metodologi dengannya. Karena terdapat cukup banyak variabel pada kasus forensik, ada dua hal yang diperlukan [14]:
1.       Definisikan metodologi, baik aturan dan  panduan
2.       Kerjakan sesuai metodologi itu
Pemikirannya di sini jika tidak bisa berargumen bagaimana anda bekerja dan mengapa melakukannya seperti itu, hal tersebut akan dipertanyakan, “Mengapa setiap kasus ditangani secara berbeda?” Panduan harus diikuti sebagai titik referensi setiap tahap penyelidikan. Meski tidak bisa persis karena tak ada dua kasus yang identik. Misalkan saja mobil Ferrari dan Honda memiliki mekanisme dasar yang sama tetapi anda mengendarainya secara berbeda.
Hal terpenting lainnya adalah dokumentasi rangkaian barang bukti [14]. Misalkan saja forensik dilakukan oleh beberapa orang, yang harus saling mengetahui tahapan dan pekerjaan masing-masing. Perlu dicatat pula waktu dan nama yang terkait serta langkah yang diambil. Dengan dokumentasi yang lengkap bisa mematahkan argumen salah prosedur, jika kita mengikuti metodologi yang telah ditentukan. Dokumentasi juga bisa membantu ahli forensik bila kasus ditangani dalam waktu lama dan beban kerjanya tinggi.
Beberapa aspek yang bisa dipelajari untuk meningkatkan kemampuan penyelidikan [20]:
·         Lakukan pemeriksaan ulang dengan tool yang berbeda sehingga cukup memberikan keyakinan
·         Salah satu hal yang tersulit adalah berusaha tetap obyektif selama penyelidikan. Berhentilah sebentar dan periksalah kenyataan yang ada untuk meyakinkan anda cukup beralasan. Perlu diingat pekerjaan ini berkaitan dengan mengumpulkan semua bukti yang tersedia bukan hanya bukti yang mendukung penuntutan
·         Yakinkan langkah-langkah anda disetujui oleh pihak manajemen dan staf hukum.
·         Kaitkan barang bukti dengan hardware tertentu
·         Buatlah log tertulis untuk menjamin penyelidikan mengikuti langkah-langkah yang logis dan mampu menulis laporan yang akurat nantinya
·         Gunakan capture full screen
·         Backup barang bukti
·         Kumpulkan juga barang bukti pada tempat terpisah

9. Perlunya Perlindungan Bukti
Dari penyelidikan yang dilakukan oleh Electronic Privacy Information Center (EPIC) [1], “Sejak 1992 jumlah kasus kejahatan komputer telah meningkat tiga kali. Dari 419 kasus yang diajukan oleh penuntut hanya 83 yang dieksekusi karena kurangnya bukti. Saat suatu kasus diajukan bisa memakan waktu persidangan sampai lima tahun.  Alasannya adalah bukti yang dikumpulkan pada kasus kejahatan komputer sangat kompleks.” 
Banyak kasus tidak dibawa ke pengadilan karena barang bukti yang tidak memadai [13]. Bukti harus ditangani secara hati-hati untuk mencegah penolakan dalam pengadilan, karena rusak atau mengalami perubahan. Barang bukti komputer merupakan benda yang sensitif dan bisa mengalami kerusakan karena salah penanganan. Ahli forensik harus menanganinya sedemikian sehingga dijamin tidak ada kerusakan atau perubahan.
Ahli forensik bisa mengidentifikasikan penyusupan dengan mengetahui apa yang harus dicari, di mana,  dan bukti lain yang diperlukan [1]. Informasi harus mencukupi untuk menentukan apakah upaya penegakan hukum harus disertakan. Proteksi barang bukti merupakan suatu hal yang krusial. Barang bukti tidak boleh rusak atau berubah selama tahapan dan proses recovery dan analisis, juga diproteksi dari kerusakan virus dan mekanis/elektromekanis. Proses harus dilakukan secepat mungkin setelah insiden supaya detilnya masih terekam baik oleh mereka yang terlibat. Hal itu bisa dimulai dengan catatan secara kronologis. Misalnya tentang tanggal, jam, dan deskripsi komputer. Bila menganalisa server mungkin akan diperiksa event log.  Karena user bisa mengubah waktu dengan mudah, perhatikanlah bagaimana kecocokannya dengan kronologi kejadian. Buka komputer dan lihat apakah ada lebih dari satu hard disk, catat peripheral apa yang terhubung, termasuk nomor seri hard disk. Berikan label dan buat foto bila perlu, sehingga bisa mengembalikannya ke tempat semula nanti. Bila harus memecah password pertimbangkan untuk menanyakan pada user atau mempergunakan tool-tool yang ada di pasaran. Amati perangkat semacam zip disk, floppy, dan disk image. Barang bukti bisa jadi muncul dalam bentuk yang kecil. Ada kemungkinan pada komputer stand alone ada suatu port USB atau slot PCMCIA yang bisa di-plug ke perangkat jaringan.
Beberapa ancaman terhadap barang bukti [13] :
·         Virus – Bisa mengakibatkan kerusakan atau perubahan file
·         Prosedur cleanup – Adanya program atau script yang menghapus file saat komputer shutdown atau start up.
·         Ancaman eksternal, misal dari lingkungan yang tidak kondusif sehingga merusak data. Seperti tempat yang terlalu panas, dingin, atau lembab.
Judd Robbins dari  “An Explanation of Computer Forensics” [19] mensyaratkan hal berikut:
·         Barang bukti tidak rusak, atau terpengaruh oleh prosedur yang dipergunakan untuk penyelidikan
·         Tidak terinfeksi virus komputer selama proses analisis.
·         Bukti-bukti yang relevan dan ekstraksinya, ditangani dan dilindungi dari kerusakan mekanis atau elektromekanis lebih jauh
·         Penerapan pemeliharaan
·         Membatasi dampak pada operasi bisnis
·         Semua informasi client yang diperoleh selama eksplorasi forensik dihargai secara etis dan tidak  diumumkan
Beberapa faktor yang tidak berkaitan secara fisik dengan barang bukti [13]:
1.       Rangkaian pemeliharaan - Merupakan rekaman penanganan barang bukti dari penyitaan sampai di bawa ke pengadilan. Dokumentasinya harus menyatakan siapa, apa, di mana, kapan, mengapa dan bagaimana. Lebih rinci hal itu akan lebih baik.
2.       Batasan waktu – Batasan waktu bisa sangat krusial pada beberapa penyelidikan. Khususnya kasus yang melibatkan kehidupan manusia. Misalkan saja bila bukti yang ada berkaitan dengan rencana serangan teroris.
3.       Informasi yang tidak diumumkan - Informasi yang berkaitan dengan client
Prioritas pengumpulan data harus dilakukan berdasarkan volatilitas [6]:
1.       Register, peripheral memori, dan cache
2.       Memori (kernel dan fisik)
3.       Keadaan jaringan
4.       Proses yang sedang berjalan
5.       Disk
6.       Floppy, media backup
7.       CD ROM, printout
Dengan menganalogikan prinsip ketidakpastian Heisenberg dari [6]: “Melakukan pengujian sekumpulan atau suatu bagian dari sistem akan menimbulkan gangguan pada komponen lainnya. Sehingga akan mustahil untuk melakukan capture keseluruhan sistem pada satu saat saja.” Mengumpulkan barang bukti sangat memakan waktu [13]. Banyak barang bukti dalam bentuk terenkripsi atau hidden. Terdapat program yang dipergunakan untuk recovery password dari perusahaan software yang dipercaya. Program untuk mengeksploitasi kelemahan pada beberapa sistem  bisa didownload dari internet atau diperoleh dari penegak hukum. File bisa disimpan dengan ekstension yang menipu atau gambar yang disimpan seperti dokumen teks, misal kasus gambar porno anak-anak yang disimpan dalam nama README.TXT di folder setup.
Harus diingat bahwa pengumpulan bukti suatu pelanggaran bisa meningkat ke dalam pengumpulan bukti dari pelanggaran yang lebih serius [10]. Misal pengumpulan bukti penggunaan internet untuk surfing ke situs porno, bisa menemukan bukti karyawan yang menggunakan internet untuk menyebarkan virus atau melakukan hacking.

10. Pemrosesan Barang Bukti

Terdapat perdebatan dalam komunitas forensik untuk melakukan plug suatu sistem [12], misalnya apakah diperlukan untuk mematikan mesin. Sistem operasi bersangkutan akan merupakan kuncinya. Jika ada suatu usaha compromise atau penyusupan, penyelidikan diarahkan pada proses yang ada di memori, sistem file yang dipetakan melalui jaringan, koneksi mencurigakan lainnya pada host tersebut dan port apa yang sedang dipergunakan. User bisa jadi harus memilih untuk menyimpan beberapa file ke suatu server yang tidak terkena dampaknya.  Begitu juga bila sistem sedang aktif, dan terdapat barang bukti di layar, bisa diambil foto pada layar atau dicetak ke printer. Jika dilakukan unplug ada beberapa hal yang bisa terlewat.  Bisa jadi terdapat program yang akan menghapus bukti semacam utility wipe. Jika perlu melakukan unplug lakukanlah di sistem Windows. Jangan lakukan di Unix kecuali memiliki pengalaman bagaimana melakukan rebuild tabel I-node. Pada kasus perlu melakukan shutdown, lakukan halt segera, putuskan koneksi jaringan dan gunakan utility image untuk sistem operasi tersebut. Jika pada sistem Windows lakukan boot dengan disk, karena  beberapa sistem operasi mulai menulis ke disk saat booting  dan bisa mengubah waktu akses dan data lain yang berkaitan. Masuklah ke BIOS dan amati bagaimana drive geometry. Lakukan write protect pada drive dan image data level bit dengan tool yang banyak tersedia. Setelah diperoleh image data, analisis dilakukan pada image copy-nya.
Panduan umum pemrosesan barang bukti berikut diambil dari [19]:
·         Shut down komputer, perlu dipertimbangkan kerusakan proses yang berjalan di background
·         Dokumentasikan konfigurasi hardware dari sistem: Perhatikan bagaimana komputer di set up karena  mungkin akan diperlukan restore kondisi semula pada tempat yang aman
·         Pindahkan sistem komputer ke lokasi yang aman
·         Buat backup bit dari hard disk dan floppy:
·         Uji otentifitas data pada semua perangkat penyimpanan
·         Dokumentasikan tanggal dan waktu yang berhubungan dengan file komputer
·         Buat daftar key word pencarian, karena terdapat tool forensik yang bisa dipergunakan untuk pencarian informasi yang relevan
·         Evaluasi swap file
·         Evaluasi file slack, terdiri dari dump memori yang terjadi selama file ditutup.
·         Evaluasi unallocated space (erased file). Fungsi undelete di DOS bisa dipergunakan untuk melakukan restore
·         Pencarian keyword pada file, file slack, dan unallocated space
·         Dokumentasikan nama file, serta atribut tanggal dan waktu
·         Identifikasikan anomali file, program dan storage
·         Evaluasi fungsionalitas program untuk mengetahui kegunaannya
·         Dokumentasikan temuan dan software yang dipergunakan
·         Buat copy dari software yang dipergunakan
Merupakan keputusan sulit berespon pada insiden sedemikian agar tidak mengakibatkan korupsi data. Hal ini sangat bergantung pada sistem operasinya. Karena barang bukti  bisa berada pada file tapi bisa juga pada file slack, erased atau swap. Misal pada Windows saat start akan membuka file baru yang menyebabkan overwrite data sebelumnya.
Berikut tabel prosedur shutdown untuk beberapa sistem operasi dari U.S. Department of Energy [10]:
Sistem Operasi
Prosedur Shut Down
MS DOS
Foto layar dan catat program yang berjalan
Copot kabel power
UNIX/Linux
Foto layar dan catat program yang berjalan
Masuk sebagai root atau su
Jika password root tidak ada copot kabel power
Jika ada ketik sync;sync;halt, dan sistem akan shutdown
Copot kabel power
Mac
Foto layar dan catat program yang berjalan
Click Special
Click Shutdown
Window akan memberitahukan safe to turn off the computer.
Copot kabel power
Windows 3.X/95/98/NT
Foto layar dan catat program yang berjalan
Copot kabel power

Selanjutnya perlu menandai komputer, media dan kabel untuk keperluan pemindahan [10]:

Media
Tandai
5 ¼ inch disks
Tempatkan di atas takik (notch)
3 ½ inch disks
Tempatkan di posisi terbuka
Cassette tapes
Taruh record tab
Removable hard drives
Tempatkan di atas takik (notch)
Cartridge tapes
Geser sampai panah “safe” muncul

Catatan rinci harus dibuat mencakup semua aspek pemrosesan, bukan hanya siapa, apa, kapan, di mana. Entry yang harus dicatat mencakup deskripsi (model dan nomor serial), tanda, kondisi, cara penandaan, dan lokasi. Perlengkapan komputer harus ditangani secara baik, misal parking hard disk, pengemasan, kondisi temperatur, dan kendaraan pengangkut .Tugas utama tim penanganan insiden adalah mengumpulkan dan memelihara barang bukti. Yang nantinya akan dikumpulkan dan didokumentasikan kepada ahli teknis forensik .
Berikut adalah lima tahapan pemrosesan barang bukti dari [13]. Asumsinya di sini adalah semua ijin untuk mempergunakan mesin (PC, Server, Tape, dan lainnya) sudah dimiliki secara hukum:
1. Persiapan
Sebelum penyelidikan, pastikan persiapan yang diperlukan. Beberapa panduan:
  • Sterilkan semua media dari virus.
  • Pastikan semua tool forensik bisa dipergunakan secara resmi.
  • Periksa kerja semua peralatan lab
  • Pilih ahli forensik yang tepat yang mampu memberikan kesaksian dan penjelasan yang baik pada persidangan. Misal untuk menerangkan hal-hal teknis yang asing bagi orang lain.
2. Snapshot
Beberapa panduan:
  • Foto lingkungan
  • Catat rinciannya.
  • Foto barang bukti, misal monitor dan  PC.
  • Dokumentasikan konfigurasi hardware
  • Labeli barang bukti sesuai metodologi anda
  • Foto barang bukti lagi setelah dilabeli
  • Dokumentasikan apa yang terjadi
3. Transport
Dengan asumsi ijin resmi sudah diperoleh, tindakan untuk transportasi adalah:
  • Lakukan pengemasan dengan aman.
  • Foto dan dokumentasikan penanganan barang bukti meninggalkan tempat transport sampai ke lab pengujian
4. Persiapan
Berikut adalah persiapan untuk uji lab:
  • Lakukan unpack sesuai metodologi.
  • Lakukan uji visual dan catat setiap konfigurasi yang tidak semestinya.
  • Buat image dari hard disk. Hal yang penting untuk diingat:
o         Matikan software virus scanning
o         Catat waktu CMOS (Complementary Metal Oxide Semiconductor). Hal ini perlu dilakukan khususnya saat zona waktu dibutuhkan. 
o         Anda bisa membuat image dengan banyak cara
o         Catat bagaimana image dibuat
o         Pastikan tool untuk image tidak mengakses sistem file dari media bukti.
  • Setelah membuat image simpan barang bukti di tempat aman dan catatlah.
  • Merupakan hal yang baik untuk membuat image kedua.
5. Pengujian
Ini merupakan tahapan analisis barang bukti dari berbagai media (Floppy, hard drive, tape), dan sistem operasi (Linux, Windows). Mesin yang digunakan untuk melakukan analisa seharusnya adalah stand alone dan tidak terhubung dalam jaringan, sehingga memastikan tidak ada orang lain yang mengaksesnya [12].
Analisis forensik dilakukan pada dua level [12]:
1.       Level fisik, di mana ingin dilihat cluster dan sektor tertentu untuk mencari informasi. Tabel master atau file allocation table biasanya disebut system area.
2.       Level lojik, misalkan gambar yang nampak sebagai rangkaian heksadesimal.
Karena tidak bisa sepenuhnya mempercayai bukti apapun, maka harus diperhitungkan rangkaian kepercayaan (chain of evidence) berikut [6]:
1.       Shell (termasuk variabel environment)
2.       Command
3.       Dynamic libraries
4.       Device driver
5.       Kernel
6.       Controller
7.       Hardware

11. Melacak Sumber Program Perusak

Hal yang menarik bagi pelaku penyusupan kejahatan dan komputer adalah faktor anonimitas, artinya pembuat virus, trojan, atau pelaku compromise tidak merasa khawatir akan dikenali [16]. Di sisi lain, insiden penyusupan virus, worm, trojan dan cracker kadang meninggalkan potongan program. Bisakah dengan peninggalan tersebut diidentifikasi sumbernya? Peninggalan dari serangan tersebut bisa berupa source program, kode object, shell script, perubahan pada program yang ada, atau file teks yang dibuat oleh penyusup. Hal tersebut bisa dipergunakan untuk mengidentifikasi sumber dari serangan, serupa dengan analisis tulisan tangan yang dilakukan oleh aparat hukum untuk mengenali penulis suatu dokumen. Hal ini biasa disebut forensik perangkat lunak. Forensik perangkat lunak bisa dilakukan pada [16]:
1. Kode executable. Biasanya dilakukan pada virus atau worm. Sayangnya banyak feature yang bisa berguna dalam analisis telah terhapus, misalkan komentar, identasi dan identifier. Optimisasi juga dilakukan sehingga program telah berbeda dengan program semula. Beberapa feature yang masih bisa dipertimbangkan di antaranya:
  • Algoritma dan struktur data: Pilihan algoritma dan struktur data bisa menunjukkan background dari pembuat
  • Kompilator: Dalam kasus virus bisa ditentukan bahasa pemrogramannya dan dari vendor mana, karena rutin-rutin dan library yang dipergunakan
  • Pengetahuan pemrograman: Bisa dilihat tingkat kemampuan pemrogram dari penggunaan fungsi dan error checking semacam exception handling
  • Pilihan system call
  • Kesalahan: Beberapa programmer membuat kesalahan serupa pada program-programnya
2. Kode Sumber. Ini mampu memberikan informasi yang lebih banyak. Beberapa feature yang bisa dianalisis:
  • Bahasa: Menunjukkan pengetahuan dan ketersediaan pada pemrogram
  • Format: Biasanya konsisten, misal identasi dan deklarasi
  • Komentar
  • Nama variabel
  • Ejaan: Ada pemrogram yang melakukan kesalahan eja secara tetap
  • Feature bahasa: Beberapa pemrogram lebih suka menggunakan pilihan tertentu, misal antara perulangan  for dengan repeat until atau while
  • Scope: pemilihan variabel lokal dan global
  • Jalur eksekusi: adanya kode yang tidak pernah dieksekusi
  • Bug: Kesalahan serupa yang dibuat dalam program-programnya

12. Analisis Unknown Program
Materi pada bagian ini diambil dari sumber [17]. Untuk mempelajari perilaku suatu program yang tidak kita ketahui sumber dan kegunaannya terdapat beberapa cara:
1.       Analisis statik: Mempelajari program tanpa benar-benar mengeksekusinya. Tool yang dipergunakan adalah dissasembler, decompiler, tool analisis kode sumber, dan tool dasar semacam grep. Dalam kenyataannya bisa memberikan suatu gambaran pendekatan mengenai program.
2.       Analisis dinamik: Mempelajari program saat dieksekusi. Tool yang dipergunakan adalah debugger, tracer, emulator mesin, analisis logika dan terkadang sniffer jaringan. Keuntungan dari analisis dinamik adalah cepat dan akurat. Kasus khusus dari analisis dinamik adalah analisis kotak hitam (black box), yaitu analisis dinamik tanpa mengakses internal program. Dalam kasus ini, pengamatan dilakukan pada input dan output eksternal, serta karakteristik pewaktuannya.
3.       Analisis postmortem: Mempelajari perilaku perangkat lunak dengan mengamati dampak setelah eksekusi program. Bisa jadi ini merupakan satu-satunya alat yang tersedia setelah penyusupan sistem.
Analisis dinamik harus dilakukan sehingga tidak menimbulkan kerusakan yang berbahaya, sehingga eksekusi program bisa dijalankan pada:
1.       Mesin “percobaan” tanpa koneksi jaringan
2.       Mesin dengan sandbox Virtual Machine
Untuk memantau kemajuan (progress) suatu program, pengamatan bisa dilakukan dengan cara:
·         Pengamatan pada level instruksi mesin
·         Pengamatan system call yang dipergunakan
Suatu mesin yang mengalami compromise tidak akan bisa dipercaya, dan semua informasi yang berasal dari mesin tersebut perlu diragukan. Perubahan pada suatu program aplikasi dan file data  mudah dideteksi jika diketahui file mana yang mengalami perubahan. Perubahan pada proses yang berjalan lebih susah dideteksi, begitu pula dengan perubahan pada level kernel sistem operasi, atau bahkan perubahan pada tingkat di bawah level kernel.

13. Tool Forensik

Tool yang dipergunakan oleh ahli forensik harus bekerja baik dan tidak mengubah data [1]. Di samping itu, komunitas komputer forensik harus menerima tool dan hasilnya. Tool yang sama kadang dipergunakan untuk melakukan pemantauan dan audit pada jaringan.
Tool kit untuk pengujian forensik memungkinkan untuk mengumpulkan dan analisis data, seperti tcpdump, Argus, NFR, tcpwrapper, sniffer, nstat, tripwire, diskcopy (/v pada DOS), DD pada Unix. Karena ahli hukum percaya bit lebih mudah dipalsukan daripada kertas, maka aturan utamanya adalah “preserve then examine” [1]. Beberapa tool untuk komputer forensik [10] [19]:
·         The Coroner Toolkit - Dan Farmer & Wietse Venema , www.fish.com
·         Byte Back – oleh TechAssist, http://www.toolsthatwork.com/
·         DriveSpy – http://www.digitalintel.com/
·         EnCase – oleh Guidance Software, http://www.encase.com/
·         Forensic ToolKit – http://www.accessdata.com/
·         Maresware Suite – http://www.dmares.com/
·         Drive Image Pro - PowerQuest
·         Linux "dd" -  Red Hat
·         Norton Ghost 2000 - Symantec
·         SafeBack - New Technologies
·         SnapBack DatArrest oleh Columbia Data Products
SC Magazine merekomendasikan DriveSpy dan EnCAse. DriveSpy beroperasi pada lingkungan DOS dan memberikan semua tool yang diperlukan untuk melakukan eksplorasi suatu media dan menemukan data yang relevan. EnCASE memiliki GUI yang menarik dan beroperasi pada image ketimbang bukti asli. EnCase juga mengikutsertakan fungsi pembangkitan laporan dan suatu feature yang sangat berguna yang mendukung bahasa pemrograman bernama Escript. EnCase, dari Guidance Software bisa mengelola dan melihat semua bukti. Terdapat feature untuk mencatat siapa yang bekerja dan kapan dengan data. SafeBack dari New Technologies, Inc untuk memelihara barang bukti dipakai secara khusus oleh pihak penegak hukum AS [11].
Terdapat bermacam vendor perangkat lunak forensik. Paket dari The New Technologies Corporate Evidence Processing Suite menyertakan [10]:
·         CRCND5: CRC (checksum) yang memvalidasi isi file.
·         DISKSIG:  CRC program yang memvalidasi image backup.
·         FILELIST: Tool katalog disk untuk evaluasi komputer berdasarkan waktu
·         FILTER I: Filter berkecerdasan dengan fuzzy logic.
·         GETFREE: Tool pengumpulan unallocated data.
·         GETSLACK: Tool pengumpulan  untuk file slack.
·         GETTIME: Program untuk dokumentasi waktu dan tanggal sistem sebagai barang bukti
·         NTI-DOC: Program dokumentasi untuk merekam atribut, tanggal dan waktu file.
·         SEIZED: Program untuk mengunci dan mengamankan komputer
·         SHOWFL: Program untuk analisa keluaran daftar file
·         Text Search Plus: Utility pencarian teks untuk menentukan letak kata kunci dari teks dan grafik
Key Computer Service menawarkan paket [10] [11]:
·         Program password cracker
·         WIPER/WIPEDRV - Menghapus keseluruhan informasi secara lojik atau fisik dengan menulis setiap byte karakter.
·         LISTDRV – utility yang menguji file FAT12, FAT16, dan FAT32 yang dibatasi koma dan tanda petik untuk disiapkan diimport ke database atau spreadsheet.
·         CHKSUM – utility yang mengkalkulasi 64-bit checksum untuk drive fisik atau lojik
·         DISKIMAG – membuat copy image floppy untuk analisis
·         FREESECS – Untuk mencari drive lojik spesifik tertentu untuk free space dan menyimpan informasi yang termuat di unnalocated space ke file..
·         DISKDUPE– utility berbahasa assembly yang membuat copy forensik dari floppy disk
·         DATASNIFFER- utility yang memotong file data dari file atau unused space (saat recovery dengan utility seperti FREESECS).
Meski terdapat program khusus forensik yang tersedia, program seperti MS-DOS bisa merupakan tool forensik yang berguna. Misal perintah DISKCOPY, DEBUG, UNDELETE, dan UNFORMAT.

14. Kesimpulan

Komputer forensik menjadi topik yang hangat dalam dunia keamanan informasi. Memiliki perencanaan penanganan insiden dan melindungi barang bukti dalam suatu komputer adalah krusial. Terdapat peningkatan kepedulian pada keamanan, privacy dan masalah-masalah penyelidikan, tetapi begitu juga tindak kejahatan yang terjadi. Teknologi-teknologi yang baru seperti komunikasi wireless akan terus berkembang, yang mana akan memunculkan ancaman baru pada industri keamanan, termasuk komputer forensik dan penanganan insiden.


Referensi

1.       James J. Dougherty, “Computer Forensics”, SANS Institute, 2001
2.       John R. Dysart , “Learning from what Intruders Leave Behind”, SANS Institute, 2000
3.       Dan Farmer, “Bring out your dead”, Doctor Dobb’s Journal, 2001.
4.       Dan Farmer, “Help when broken into”,  www.fish.com, 2001.
5.       Dan Farmer, “Help recovering file”, www.fish.com, 2001.
6.       Dan Farmer & Wietse Venema, “Computer Forensic Analysis Class Handouts”, IBM. TJ. Watson Research Centre, 1999.
7.       Dan Farmer & Wietse Venema, “Forensic Computer Analysis: an Introduction”, Doctor Dobb’s Journal, 2000.
8.       Dan Farmer & Wietse Venema, Frequently Asked Questions about the Coroner’s toolkits, www.fish.com, 2000
9.       Barry A. J. Fisher, “Basic Steps in Forensic Analysis of Unix Systems”, CRC Press, 2000
10.    Scott Grace, “Computer Incident Response and Computer Forensics Overview”, SANS Institute, 2001
11.    Dorothy A. Lunn,  Computer Forensics – An Overview”, SANS Institute, 2001
12.    Diana J. Michaud, “Adventures in Computer Forensics”, SANS Institute, 2001
13.    Jim Mc Millan, “Importance of a Standard Methodology in Computer Forensics”, SANS Institute, 2000
14.    Thomas Rude, “Evidence Seizure Methodology for Computer Forensics”, CISSP, 2000
15.    SANS Institute Publication, “Computer Security Incident-Handling: Step-by-Step”, SANS Institute, 2001
16.    Eugene H Spafford & Stephen A. Weeber, “Software forensics: Can we track code to its authors?”, Center for Education and Research in Information Assurance and Security, Department of Computer Sciences Purdue University, West Lafayette, IN 47907-1398, 1992.
17.    Wietse Venema, “Strangers in the night”, Doctor Dobb’s Journal, 2000.
18.    Wietse Venema, “Wanted, dead or alive”, Doctor Dobb’s Journal, 2000.
19.    Lori Willer, “Computer Forensics”, SANS Institute, 2001
20.    Mal Wright, “Investigating an Internal Case of Internet Abuse”, SANS Institute, 2001

Lampiran Penjelasan Singkat TCT Coroner Toolkit

A. TCT
Penjelasan singkat ini diambil dari [3][5][8][18]. Pada Unix saat melakukan penghapusan dengan "rm", sistem akan secara keseluruhan melupakan blok mana di disk yang menjadi bagian dari file. Sistem file modern di Unix biasanya menghindari fragmentasi file. Lebih mudah dilakukan recover isi file pada sistem dengan fragmentasi yang kecil daripada isi file  yang terserak di sepanjang disk. Selain itu keuntungannya adalah kinerja yang lebih baik untuk baca dan tulis. File yang terhapus akan memiliki kemampuan survive yang lebih lama. Begitu juga dengan pola waktu akses file dan atribut lainnya.
Pada sistem DOS dan Windows, penghapusan file adalah menandai file sebagai siap dihapus dengan menyembunyikan nama file dalam bentuk tertentu. Pendekatan ini akan memudahkan recovery file meskipun menyebabkan kinerja yang lebih buruk. Hal sebaliknya terjadi di sistem file Unix.  Nama file yang terhapus masih bisa ditemukan dengan melakukan pengujian directori untuk menentukan inode (atribut) blok.
Kesulitan untuk melakukan recovery:
1.       Sistem yang besar, kompleks dan cepat berubah
2.       Sesuatu bisa disembunyikan di mana saja
3.       Tidak adanya software yang tersedia
4.       Analisis yang sulit dan memakan waktu lama
TCT merupakan sekumpulan tool yang dirancang untuk melakukan pengujian forensik pada komputer dengan sistem Unix. TCT bisa berjalan pada sistem:
·         FreeBSD 2-4.*
·         OpenBSD 2.*
·         BSD/OS 2-3.*
·         SunOS 4-5.*
·         Linux 2.*
TCT memerlukan Perl 5.004 atau lebih. Beberapa tool yang terdapat pada paket TCT:
·         grave-robber: Melakukan analisa mount image, baik live mapun post mortem. Dengan flag –-m, memungkinkan menyimpan waktu MAC dari file dan direktori ke dalam file bernama body. Tool ini juga mampu menyimpan data seperti file terhapus dan isi memori.
·         mactime: Melakukan pemrosesan file body dan membuat daftar entry MAC. Daftar ini berguna untuk menentukan file mana yang sering dibuat atau diakses.
·         ils: Menampilkan data mengenai unallocated inode, seperti ukuran file dan waktu MAC.
·         ils2mac: Melakukan konversi keluaran ils ke dalam format dari file body.
·         unrm: Variant dari dd yang memproduksi stream dari isi blok. Secara default akan melakukan ekstraksi dari unnalocated block ke suatu image partisi. Bisa mencari isi file terhapus. Proses bisa berlangsung lama untuk partisi berukuran besar.
·         lazarus: Membuat struktur dari data yang tidak terstruktur. Mengambil deretan byte sebagai input dan menganalisanya dalam potongan berukuran blok. Di sini diidentifikasikan tipe data apa yang termuat di blok (misal source C, file tar, email) dan membuat sebuah file yang menampilkan perkiraan tipe isi dalam HTML, sehinggga browser bisa dipergunakan untuk menguji isi dari setiap blok.
·         icat: Menampilkan isi dari suatu file atau direktori yang ditentukan dengan suatu inode dan image. Hal ini serupa dengan mempergunakan perintah cat di Unix, tetapi ketimbang mempergunakan nama file sebagai argumen, dipergunakan inode. Sehingga bisa dipergunakan untuk menampilkan isi dari unallocated inode.
Selain itu terdapat tool TCTUTILS yang didasarkan pada TCT, dan Autospy Forensic Browser berbasis HTML yang mempergunakan TCT dan TCTUTILS untuk memudahkan browsing pada image dan file terhapus

B. TCTUTILS

Merupakan sekumpulan utility yang memberikan kemampuan tambahan pada TCT. Fasilitas yang ada:
·         Menampilkan isi directory inode untuk melihat file, perangkat, dan nama directory. Juga memungkinkan melihat nama file terhapus, dan kadang keseluruhan file yang terhapus bisa direcover dengan mudah
·         Memperoleh waktu modifikasi, akses, dan pembuatan pada file terhapus, serta menggabungkan data ke dalam keluaran mactimes dari TCT
·         Memperoleh nama file dan direktori yang mempergunakan suatu inode.  Kadang nama file terhapus juga dimunculkan.
·         Menemukan inode yang mempergunakan suatu blok tertentu.
·         Menampilkan isi dari suatu blok dalam beberapa format
·         Menampilkan rincian dari suatu inode (termasuk semua nomor blok)
·         Perhitungan nomor blok asal dari suatu blok ke dalam image yang dibuat dengan utility unrm di TCT
TCTUTILS berjalan pada platform:
·         OpenBSD 2.8 *
·         Linux 2.2*
·         Solaris 2.7*
Cara instalasi:
1.       Tempatkan pada suatu direktori
2.       Edit entry TCT_DIR pada src/Makefile menunjuk ke tempat instalasi
3.       Ketikkan make. Ini akan menempatkan file executable ke direktori bin
Deskripsi program:
1. bcat: menampilkan isi dari suatu disk blok
Input: image, nomor blok
Option:
-a
Tampilkan semua dalam ASCII
-f
Tipe file sistem
-h
Tampilkan dalam bentuk hexdump
-s
Tampilkan statistik blok mengenai image
-w
Tampilkan dalam format tabel HTML
Penggunaan: Menunjukkan isi dari suatu blok yang telah diidentifikasikan dengan menjalankan grep pada suatu image. Atau bisa dipergunakan untuk menguji program lainnya dan mencoba melakukan parsing pada isi blok. Jika tipe file dipilih swap, maka image akan dibuka sebagai file biasa. Dalam kasus ini, nomor blok dipergunakan sebagai nomor page di mana setiap page berukuran 4096 byte.
2. blockcalc: membuat pemetaan nomor blok antara image yang dibuat dengan dd dan image yang terdiri dari hanya unnalocated block dibuat dengan unrm. Konversi nomor blok bisa dihitung dalam dua arah.
Input:  Salah satu dari
-d block (block adalah nomor blok dd)
-u block (block adalah nomor 'blok  unrm)
Penggunaan:
Input –u bisa dipergunakan untuk menentukan nomor blok semula saat memakai lazarus pada suatu image yang dibuat dengan unrm. Ini diperlukan saat mempergunakan Autospy Forensic Browser dengan lazarus. 
3. fls: Menampilkan entry file dan direktori pada suatu inode direktori. Secara default akan menampilkan semua entry pada direktori (termasuk file terhapus) dan tidak akan mencetak “.” atau “..”. File terhapus ditandai dengan “*”
Input:  image,    nomor inode directory
Option:
-a
Menampilkan “.” dan “..”
-d
Menampilkan hanya entry terhapus
-D
Menampilkan hanya entry direktori
-f
Menampilkan hanya entry file
-l
Menampilkan dalam format panjang semua data inode yang berkaitan
-m
Menampilkan dalam format waktu mesin. Option ini memerlukan argumen string untuk menentukan titik pemetaan untuk image
-p
Menampilkan path penuh untuk setiap entry. Default menyatakan kedalaman direktori
-r
Menampilkan direktori secara rekursif. Tidak akan  mengacu pada direktori terhapus dan kosong, karena tidak ada blok yang langsung diikuti
-u
Menampilkan hanya entry yang bisa undelete
-z
Perbedaan zona waktu. Hanya berguna bila option –l dipergunakan
Penggunaan:
Menampilkan nama file terhapus
4. find_file:  Diberikan suatu image dan nomor inode, menentukan file mana yang dialokasikan.
Input:  image, inode
Option:
-a
Temukan semua (default hanya yang pertama)
-d
Tampilkan hanya entry terhapus
-u
Tampilkan hanya entry yang undeleted
Penggunaan: Menemukan file mana yang melakukan alokasi suatu blok yang memuat data tertentu.
5. find_inode: Diberikan image dan nomor blok, menentukan inode mana yang melakukan alokasi. Program ini mencari semua inode untuk menentukan yang mana memiliki blok tersebut.
Input:  image, block
Penggunaan: Menentukan file mana yang telah mengalokasikan suatu blok.
6. istat: Diberikan suatu image dan inode, menampilkan informasi mengenai inode.
Input:  image, inode
Option:
-b
Menentukan jumlah dari alamat blok untuk menampilkan tidak tergantung dari ukuran file sebenarnya
-v
Verbose
-z
Perbedaan zona waktu dalam jam. Memungkinkan waktu ditampilkan sesuai dengan sistem yang mengalami compromise,  bukan waktu lokal

C. AUTOPSY FORENSIC BROWSER

Autopsy Forensic Browser merupakan antarmuka berbasis HTML pada TCT dan TCTUTIL. Tool ini memungkinkan browse image forensik (image yang di-generated dengan dd(1)) dari suatu file, inode, atau abstraksi level blok. Juga memungkinkan pencarian keyword pada suatu image. Fasilitas yang ada:
·         Browse image forensik dari file/directory mempergunakan style antarmuka "File Manager".
·         Dengan mendayagunakan kegunaan utility fls(1) dari TCTUTILS, nama file terhapus bisa ditampilkan (yang bernama diawali *). 
·         Melihat isi file dalam bentuk raw, ASCII, atau dengan menjalankannya melalui strings(1).
·         Browse suatu image forensik dari level inode
·         Browse suatu image forensik dari level blok. Nomor blok bisa dimasukkan secara regular (dengan dd) atau unallocated (dengan unrm).
·         Melihat isi blok dalam bentuk raw, ASCII, atau hexdump
·         Mencari suatu image forensik pada level blok untuk string tertentu, dengan mempergunakan grep(1). Hasilnya adalah daftar blok yang mengandung string tersebut. Memilih setiap blok akan menampilkan isinya.
·         Membuat "autopsy reports" pada file, blok, atau inode yang menyertakan tanggal, nilai hash MD5, penyelidik, dan informasi lainnya dalam bentuk teks. Ini bisa dipergunakan untuk pencatatan saat blok terhapus dari data telah ditemukan.
Cara instalasi:
1.       Lakukan instalasi TCT dan TCTUTIL lebih dulu
2.       Lakukan untar file autospy
3.       Jalankan script configure. Ini akan mencari letak utility semacam grep, strings dan md5sum. Juga melakukan konfigurasi direktori morgue.
Cara penggunaan:
1.       Tempatkan image drive di direktori morgue. Ini harus dibuat dengan mempergunakan semacam: dd if=/dev/rawdevice of=imagefile. Perhatikan jika image harus dinamai dengan karakter sederhana.
2.       Edit file fsmorgue dengan image baru. Format adalah image, spasi, dan direktori di mana semula dipetakan
3.       Lakukan update pada file zoneinfo di direktori morgue untuk perubahan zona waktu. Misal, jika image dari mesin di CST (GMT –6) dan analisa dilakukan pada EST (GMT –5), maka zoneinfo harus memuat ‘-1’.
4.       Aktifkan daemon autospy   ./autospy 8888 localhost
5.       Arahkan browser ke lokasi keluaran: host:port/cookie/autospy
Beberapa pertimbangan keamanan dalam penggunaannya:
1.       Autospy adalah program server PERL yang hanya memproses URL. Pembatasan kontrol akses dimungkinkan dengan membatasi akses ke host dan mempergunakan angka random “cookie” untuk melakukan otentifikasi user. Random cookie dihasilkan saat server diaktifkan dan harus ada pada URL. Ini memungkinkan penyelidik untuk mempergunakan mesin publik, tapi membatasi aksesnya.
2.       Penggunaan yang direkomendasikan adalah dengan membatasi akses hanya dari localhost, sehingga tidak ada lalu lintas jaringan.
3.       Nama file pada direktori morgue harus cukup sederhana. Seihingga memungkinkan pemeriksaan yang cepat dan mudah dari nama file pada URL, dan tidak memperbolehkan orang untuk keluar dari direktori morgue. Di sini juga bisa dibuat symbolic links untuk penyederhanaan.