PROSES PADA FREZZING THE SCENE
Forensik komputer adalah suatu rangkaian metodologi yang terdiri dari teknik dan prosedur untuk mengumpulkan bukti-bukti berbasis entitas maupun piranti digital agar dapat dipergunakan secara sah sebagai alat bukti di pengadilan. Aktivitas forensik komputer, diantaranya:
1.Untuk membantu memulihkan, menganalisa, dan mempresentasikan materi/entitas berbasis digital atau elektronik sedemikian rupa sehingga dapat dipergunakan sebagai alat bukti yang sah di pengadilan
2. Untuk mendukung proses identifikasi alat bukti dalam waktu yang relatif cepat, agar dapat diperhitungkan perkiraan potensi dampak yang ditimbulkan akibat perilaku jahat yang dilakukan oleh kriminal terhadap korbannya, sekaligus mengungkapkan alasan dan motivasi tindakan tersebut sambil mencari pihak-pihak terkait yang terlibat secara langsung maupun tidak langsung dengan perbuatan tidak menyenangkan dimaksud.
Adapun aktivitas forensik komputer biasanya dilakukan dalam dua konteks utama :
1. konteks terkait dengan pengumpulan dan penyimpanan data berisi seluruh rekaman detail mengenai aktivitas rutin yang dilaksanakan oleh organisasi atau perusahaan tertentu yang melibatkan teknologi informasi dan komunikasi.
2. pengumpulan data yang ditujukan khusus dalam konteks adanya suatu tindakan kejahatan berbasis teknologi.
1. Perlunya Perlindungan Bukti
Dari penyelidikan yang dilakukan oleh Electronic Privacy Information Center (EPIC), “Sejak 1992 jumlah kasus kejahatan komputer telah meningkat tiga kali.Dari 419 kasus yang diajukan oleh penuntut hanya 83 yang dieksekusi karena kurangnya bukti. Saat suatu kasus diajukan bisa memakan waktu persidangan sampai lima tahun. Alasannya adalah bukti yang dikumpulkan pada kasus kejahatan komputer sangat kompleks.”
Banyak kasus tidak dibawa ke pengadilan karena barang bukti yang tidak memadai.Bukti harus ditangani secara hati-hati untuk mencegah penolakan dalam pengadilan, karena rusak atau mengalami perubahan.Barang bukti komputer merupakan benda yang sensitif dan bisa mengalami kerusakan karena salah penanganan.Ahli forensik harus menanganinya sedemikian sehingga dijamin tidak ada kerusakan atau perubahan.
Ahli forensik bisa mengidentifikasikan penyusupan dengan mengetahui apa yang harus dicari, dimana, dan bukti lain yang diperlukan. Informasi harus mencukupi untuk menentukan apakah upaya penegakan hukum harus disertakan.Proteksi barang bukti merupakan suatu hal yang krusial. Barang bukti tidak boleh rusak atau berubah selama tahapan dan proses recovery dan analisis, juga diproteksi dari kerusakan virus dan mekanis/elektromekanis. Proses harus dilakukan secepat mungkin setelah insiden supaya detilnya masih terekam baik oleh mereka yang terlibat. Hal itu bisa dimulai dengan catatan secara kronologis.Misalnya tentang tanggal, jam, dan deskripsi komputer. Bila menganalisa server mungkin akan diperiksa event log. Karena user bisa mengubah waktu dengan mudah, perhatikanlah bagaimana kecocokannya dengan kronologi kejadian. Buka komputer dan lihat apakah ada lebih dari satu hard disk, catat peripheral apa yang terhubung, termasuk nomor seri hard disk.
Beberapa ancaman terhadap barang bukti :
1.Virus :
Bisa mengakibatkan kerusakan atau perubahan file.
2.Prosedur cleanup :
Adanya program atau script yang menghapus file saat komputer shutdown atau start up.
3.Ancaman eksternal :
lingkungan yang tidak kondusif sehingga merusak data.Seperti tempat yang terlalu panas, dingin, atau lembab.
1. Pemrosesan Barang Bukti
Terdapat perdebatan dalam komunitas forensik untuk melakukan plug suatu sistem, misalnya apakah diperlukan untuk mematikan mesin. Sistem operasi bersangkutan akan merupakan kuncinya. Jika ada suatu usaha compromise atau penyusupan, penyelidikan diarahkan pada proses yang ada di memori, sistem file yang dipetakan melalui jaringan, koneksi mencurigakan lainnya pada host tersebut dan port apa yang sedang dipergunakan.
Panduan umum pemrosesan barang bukti berikut diambil dari :
• Shut down computer perlu dipertimbangkan kerusakan proses yang berjalan di background.
• Dokumentasikan konfigurasi hardware dari sistem: perhatikan bagaimana komputer di set up karena mungkin akan diperlukan restore kondisi semula pada tempat yang aman.
• Pindahkan sistem komputer ke lokasi yang aman.
• Buat backup bit dari hard disk dan floppy.
• Uji otentifitas data pada semua perangkat penyimpanan.
• Dokumentasikan tanggal dan waktu yang berhubungan dengan file computer.
• Buat daftar keyword pencarian karena terdapat tool forensik yang bisa dipergunakan untuk pencarian informasi yang relevan.
• Evaluasi swap file.
• Evaluasi file slack, terdiri dari dump memori yang terjadi selama file ditutup.
• Evaluasi unallocated space (erased file). Fungsi undelete di DOS bisa dipergunakan untuk melakukan restore
• Pencarian keyword pada file, file slack, dan unallocated space
• Dokumentasikan nama file, serta atribut tanggal dan waktu
• Identifikasikan anomali file, program dan storage
• Evaluasi fungsionalitas program untuk mengetahui kegunaannya
• Dokumentasikan temuan dan software yang dipergunakan
• Buat copy dari software yang dipergunakan
Merupakan keputusan sulit berespon pada insiden sedemikian agar tidak mengakibatkan korupsi data.Hal ini sangat bergantung pada sistem operasinya. Karena barang bukti bisa berada pada file tapi bisa juga pada file slack, erased atau swap. Misal pada Windows saat start akan membuka file baru yang menyebabkan overwrite data sebelumnya.
Berikut adalah lima tahapan pemrosesan barang bukti. Asumsinya di sini adalah semua ijin untuk mempergunakan mesin (PC, Server, Tape, dan lainnya) sudah dimiliki secara hukum:
1. Persiapan
Sebelum penyelidikan, pastikan persiapan yang diperlukan. Beberapa panduan:
• Sterilkan semua media dari virus.
• Pastikan semua tool forensik bisa dipergunakan secara resmi.
• Periksa kerja semua peralatan lab
• Pilih ahli forensik yang tepat yang mampu memberikan kesaksian dan penjelasan yang baik pada persidangan. Misal untuk menerangkan hal-hal teknis yang asing bagi orang lain.
2. Snapshot
Beberapa panduan:
• Foto lingkungan
• Catat rinciannya.
• Foto barang bukti, misal monitor dan PC.
• Dokumentasikan konfigurasi hardware
• Labeli barang bukti sesuai metodologi anda
• Foto barang bukti lagi setelah dilabeli
• Dokumentasikan apa yang terjadi
3. Transport
Dengan asumsi ijin resmi sudah diperoleh, tindakan untuk transportasi adalah:
• Lakukan pengemasan dengan aman.
• Foto dan dokumentasikan penanganan barang bukti meninggalkan tempat transport sampai ke lab pengujian .
4. Persiapan
Berikut adalah persiapan untuk uji lab:
• Lakukan unpack sesuai metodologi.
• Lakukan uji visual dan catat setiap konfigurasi yang tidak semestinya.
• Buat image dari hard disk. Hal yang penting untuk diingat:
• Matikan software virus scanning’
• Catat waktu CMOS (Complementary Metal Oxide Semiconductor). Hal ini perlu dilakukan khususnya saat zona waktu dibutuhkan.
• Anda bisa membuat image dengan banyak cara
• Catat bagaimana image dibuat
• Pastikan tool untuk image tidak mengakses sistem file dari media bukti.
• Setelah membuat image simpan barang bukti di tempat aman dan catatlah.
• Merupakan hal yang baik untuk membuat image kedua.
5. Pengujian
Ini merupakan tahapan analisis barang bukti dari berbagai media (Floppy, hard drive, tape), dan sistem operasi (Linux, Windows). Mesin yang digunakan untuk melakukan analisa seharusnya adalah stand alone dan tidak terhubung dalam jaringan, sehingga memastikan tidak ada orang lain yang mengaksesnya.
Analisis forensik dilakukan pada dua level :
1. Level fisik, di mana ingin dilihat cluster dan sektor tertentu untuk mencari informasi. Tabel master atau file allocation table biasanya disebut system area.
2. Level logik, misalkan gambar yang nampak sebagai rangkaian heksadesimal.
Karena tidak bisa sepenuhnya mempercayai bukti apapun, maka harus diperhitungkan rangkaian kepercayaan (chain of evidence) berikut :
1. Shell (termasuk variabel environment)
2. Command
3. Dynamic libraries
4. Device driver
5. Kernel
6. Controller
7. Hardware
yusmaira ( Copy Storage )
Tidak ada komentar:
Posting Komentar