Selasa, 25 Oktober 2011

Pengantar Forensik Teknologi Informasi

DISK FORENSIK
BAGIAN FILE SYSTEM (oleh: yulia mardiyana)

Saat ini kejahatan di dunia komputer sangat meningkat, banyak sekali tingkat kriminalitas di dunia komputer, seperti ; pencurian data pada sebuah site, pencurian informasi dari computer, Dos, Deface sites, carding, software bajakan, CC Cloning, penyebaran virus, pembobolan sistem (hacking), pemakaian kartu kredit secara ilegal (carding), sabotase terhadap perangkat digital, pencurian informasi suatu organisasi hingga cyberterrorism.

Karena kejahatan komputer ini umumnya meninggalkan “jejak digital”, maka para ahli forensik komputer akan mengamankan barang bukti digital atau biasa disebut sebagai e-evidence (dan tanpa perlu membuat garis polisi berwarna kuning). E-evidence dapat berupa komputer, ponsel, kamera digital, hard disk, USB flash disk, memory card, dan lain sebagainya.

Misalnya, melalui internet forensik, kita bisa melacak siapa yang mengirim email kepada kita, kapan dikirim dan sang pengirim berada dimana, ataupun misalnya, dapat melacak siapa saja pengunjung suatu website lengkap dengan informasi IP Address, komputer yang dipakai serta berada di daerah/negara mana dan apa saja aktifitas yang dilakukan pada website tersebut.

Di bidang Disk Forensik misalnya, dapat dilacak kapan sebuah data dihapus, di modifikasi ataupun dapat mengembalikan password yang hilang, data yang hilang dan sebagainya. Ataupun melihat transaksi yang sedang berlangsung dalam sebuah jaringan komputer dan lain-lain. Semua hal tersebut dapat dilakukan dengan memanfaatkan beberapa tool pendukung, baik berupa software maupun hardware.

Beberapa perlakukan untuk menangani e-evidence yang lazim dilakukan adalah:

  • Memberikan write-blocker terhadap media yang hendak dianalisis sehingga tidak memungkinkan terjadinya penulisan/penambahan atau modifikasi data terhadap media tersebut.
  • Membuat image duplikat media tersebut (dan nantinya analisis dilakukan terhadap image file yang dihasilkan).
  • Merekam semua chain of custody atau tindakan-tindakan yang dilakukan terhadap e-evidence yang ada.
  • Menggunakan perangkat yang telah diuji, dan dievaluasi untuk memastikan akurasi dan reabilitasnya.

Namun, penggunaan e-evidence tidaklah dapat disamaratakan. Prosedur umum berlaku untuk proses forensik secara umum, sedangkan pada kasus-kasus khusus akan dibutuhkan perangkat keras dan perangkat lunak yang khusus pula.

Memahami Bagaimana Penyimpanan Data

Ketika sebuah file dihapus, file tidaklah benar-benar dihapus. Yang dilakukan oleh sistem operasi adalah hanya menandai pada file management bahwa area tersebut merupakan cluster yang tidak lagi digunakan oleh file apapun. Cara ini cukup efisien untuk melakukan penghapusan secara logis, namun secara fisik sebenarnya file masih terletak pada cluster tersebut. Jika dilakukan pelacakan, maka file yang telah terhapus dapat direkonstruksi ulang, dan disimpan untuk menjadi file utuh lagi. Model penghapusan seperti ini dimanfaatkan oleh beberapa software forensik untuk melacak file-file yang telah terhapus seperti WinUndelete atau bahkan mengumpulkan kepingan data biner pada suatu unallocated space seperti EnCase.

Windows Registry

Windows registry merupakan sebuah basis data kompleks yang kini telah berusia 20 tahun. Dalam Windows registry tersimpan berbagai macam informasi yang dapat diekstrak, dan digunakan untuk analisis. Data yang dapat ditemukan pada registry antara lain: informasi password (sebagian besar user name dan password terenkripsi, namun dengan menggunakan software third-party dimungkinkan mendapatkan username dan password), startup application, storage device hardware, wireless network, informasi Internet, unread e-mail (jumlah e-mail yang belum terbaca pada MS Outlook). Aplikasi Paraben’s Registry Analyzer memungkinkan untuk membaca dan menganalisis registry dengan lebih nyaman dibandingkan regedit Windows.

Mengenal Metadata pada Dokumen

Menangani dokumen forensik akan berurusan dengan metadata dokumen. Yang dimaksud dengan metadata adalah data tentang data. Sebuah dokumen yang dihasilkan dari software pengolah kata, umumnya mempunyai metadata seperti author (pembuat dokumen), organizations, revisions, previous authors (daftar nama yang telah melakukan akses terhadap dokumen tersebut), template (jenis template yang digunakan dokumen), computer name, harddisk (menunjukkan lokasi dari file tersebut), network server (sebagai informasi perluasan dari harddisk), time, time stamps (bergantung dari sistem operasi, dan umumnya mencakup tanggal pembuatan, tanggal akses atau kapan file terakhir kali dibuka tapi tidak dilakukan perubahan, dan tanggal modifikasi, yaitu ketika ada perubahan di dalam file), dan printed (kapan dokumen terakhir kali dicetak).

Beberapa metadata pada dokumen dapat dilihat secara langsung, namun beberapa metadata harus diekstrak untuk dapat melihatnya. Sebagai contoh untuk menampilkan metadata pada dokumen Ms.Word secara langsung dapat dilakukan melalui menu properties.

Untuk melakukan ekstrak data dengan lebih detail dibutuhkan alat bantu seperti Metadata Analyer (www.smartpctools.com) atau iScrub (www.esqinc.com). Alat bantu semacam ini dapat menampilkan informasi metadata yang tidak tampak.

Email Forensik

Dari sudut pandang forensik, e-mail dengan sistem client/server memudahkan dalam menemukan informasi (untuk kepentingan analisis) karena semua pesan di-download, dan disimpan dalam komputer lokal. Dengan mendapatkan akses ke komputer lokal, maka analisis terhadap e-mail akan jauh lebih mudah. Dua bagian e-mail yang dijadikan sumber pengamatan adalah header dan body. Yang paling umum dilihat dari sebuah header adalah From (nama dan alamat pengirim yang mudah untuk dipalsukan), To (tujuan yang juga dengan mudah disamarkan), Subject and Date (terekam dari komputer pengirim, namun menjadi tidak akurat jika tanggal dan jam pada komputer pengirim diubah). Untuk mendapatkan informasi yang lebih detail, header pada e-mail perlu diekstrak. Dari header tersebut bisa didapatkan informasi IP Lokal dari pengirim, ID unik yang diberikan oleh server e-mail, dan alamat server pengirim.

Umumnya, software e-mail client/server (seperti Ms.Outlook, Eudora, atau ThunderBird) telah menyediakan fasilitas untuk melihat header secara lengkap, namun beberapa software forensik mampu membaca dan mengekstraksi header untuk keperluan analisis lebih lanjut seperti EnCase atau FTK. Dengan software forensik ini, analisis untuk melakukan pencarian, ekstrak header, pencetakan ke printer, dan pengelompokkan e-mail menjadi lebih mudah dilakukan.

Lalu, bagaimana dengan investigasi untuk web-based e-mail, seperti Yahoo! atau Gmail? E-mail yang pernah terbaca melalui web browser, tentunya tidak disimpan di komputer lokal seperti halnya e-mail dengan sistem client/server. Ketika e-mail dibaca pada sebah komputer, sistem operasi meng-cache isi website tersebut pada harddisk. Cara terbaik untuk melacak setiap e-mail yang pernah terbaca adalah melalui area temporary file seperti file swap atau file cache, atau jika temporary file telah terhapus, pelacakan dapat difokuskan pada area tempat lokasi file temporary sebelum dihapus.

Ektraksi untuk melakukan ini akan membutuhkan lebih banyak usaha dibandingkan ekstraksi dengan sistem client/server, karena penelusuran difokuskan untuk mencari file HTML di antara kumpulan ratusan atau mungkin ribuan halaman-halaman HTML. Software forensik seperti FTK atau EnCase dapat berguna untuk mempercepat pencarian. Misalkan mencari suatu pesan yang mengandung fadh325@situsku.com, maka teks tersebut dapat dimasukkan sebagai dasar pencarian pada sebuah software forensik, dan diatur agar pencarian dilakukan hanya untuk file HTML. Software forensik akan menjelajah isi harddisk, dan berusaha menemukan file (atau potongan file) dengan kriteria yang telah disediakan.

Software & Hardware Komputer Forensik

Seorang ahli komputer forensik, dalam mempertahankan keaslian atau melakukan analisis terhadap e-evidence, memerlukan sistem komputer, yaitu hardware dan software yang khusus dalam melakukan analisisnya. Tanpa menggunakan sistem komputer yang memadai, seorang ahli forensik tidak dapat banyak melakukan analisis.

Fungsi dasar yang dapat dilakukan dari sistem komputer forensik adalah:

  • Membuat sebuah kopi yang akurat dari harddisk ke harddisk lainnya atau kedalam sebuah image file.
  • Membuat sebuah kopi yang akurat dari harddisk ke sebuah media penyimpanan yang sifatnya removable atau portable.
  • Melakukan analisis terhadap suatu media atau image file.

Secara umum, spesifikasi sistem komputer untuk keperluan komputer forensik ini adalah Pentium IV dual core dengan hyper treading (3.2 GHz). Sangat direkomendasikan untuk menggunakan prosesor 64-bit. Motherboard sebaiknya memiliki tiga hingga lima slot PCI Express x16, dua port controller serial ATA, auto-sensing BIOS yang mendukung LBA, dan mode harddisk C/H/S. Rekomendasi harddisk sebesar 160GB untuk sistem operasi dengan menggunakan dual sistem operasi (Windows dan Linux). Masing-masing sistem operasi dapat diletakkan pada sebuah harddisk serial ATA. Peripheral seperti sebuah DVD burner dengan kecepatan standar dapat ditambahkan untuk melakukan burning serta perangkat pembaca media penyimpanan untuk berbagai media, seperti memory sticks, compact flash, secure digital, dan lain sebagainya. Dan yang tak kalah pentingnya adalah harddisk blocker, yang berfungsi sebagai perangkat fisik yang menjembatani antara drive yang hendak dianalisis dengan komputer. Perangkat ini cukup penting karena akan mencegah segala bentuk penulisan terhadap harddisk yang hendak dianalisis. Dengan demikian dapat dipastikan bahwa isi dari harddisk yang hendak dianalisis tetap asli.

  • Forensic Recovery of Evidence Device (FRED), sebuah workstation forensik dari Digital Intelligence yang menawarkan sistem terintegrasi untuk keperluan analisis data pada komputer forensik. FRED menggabungkan hampir segala macam interface pada sebuah workstation sehingga tidak perlu membongkar pasang perangkat saat melakukan analisis. Selain itu, beberapa paket software yang ditawarkan adalah EnCase, FTK, Paraben’s P2, dan banyak lainnya.
  • WiebeTech Forensic Field Kit, yang ditawarkan oleh WiebeTech, sebenarnya merupakan beberapa kumpulan perangkat yang “handy”, dan berdaya guna dalam melakukan analisis. Sebut saja USB Writeblocker, yang digunakan untuk mencegah terjadinya penulisah terhadap USB flash disk yang hendak dianalisis, 8 TrayFree SATA bays, yang digunakan untuk memudahkan dalam memasang harddisk SATA, Forensic Ultradoc V4, yang digunakan untuk membuat image, serta mencegah penulisan terhadap media yang hendak dianalisis dengan berbagai macam interface (USB 2.0, eSATA, FireWire 800) atau Drive erazer yang berguna untuk menghapus seluruh isi harddisk, tanpa menggunakan komputer.
  • Logicube, menawarka sebuah perangkat transfer disk-to-disk dan disk-to-image yang tercepat dipasaran. Dengan semakin bertambahnya kapasitas penyimpanan, maka transfer dengan kecepatan 6GB per menit akan dapat menghemat waktu kerja. Beberapa produk yang menjadi andalan dari Logicube adalah SuperSonix, OmniSAS yang memungkinkan untuk menggandakan harddisk ke 5 target sekaligus, dan OmniWipe yang digunakan untuk menghapus isi 3 harddisk sekaligus dengan tipe yang berbeda-beda.

Untuk software, analisis sebenarnya dapat dilakukan hanya bermodalkan Hex editor yang mampu menjelajah ke bagian-bagian harddisk yang terdalam. Namun, adanya alat bantu akan sangat memudahkan dalam melakukan analisis. Produk software yang dikhususkan untuk keperluan komputer forensik adalah:

  • EnCase. EnCase telah digunakan oleh banyak organisasi, dan menjadi standar dalam investigasi komputer forensik. Merupakan suatu paket software produksi Guidance Software yang terdiri dari EnCase Enterprise, EnCase Forensic Edition, EnCase eDiscovery (untuk melakkan pencarian data tertentu pada suatu media), dan enCase Lab Edition. Tool EnCase Script juga disediakan untuk kebutuhan dalam melakukan otomatisasi saat proses analisis.
  • Forensic ToolKit (FTK). Dikembangkan oleh perusahaan yang bergerak di bidang komputer forensik, yaitu AccessData. Beberapa fitur umum dari FTK ini adalah: pembuatan image, melakukan analisis registry, mendeskripsi file, mengidentifikasikan adanya pesan dalam suatu citra (steganografi), kemampuan dalam mengembalikan password untuk lebih dari 80 aplikasi dengan memanfaatkan waktu idle CPU, engine pencarian data dalam suatu media yang mendukung regular expression dan report yang dilaporkan dalam bentuk HTML, PDF, XML, ataupun RTF. Selain Forensic Toolkit, beberapa produk software dari AccessData ini adalah: AccessData eDiscovery, AccessData Enterprise, dan MobilePhone Examiner.
  • Device Seizure. Software forensik ini mengkhususkan pada forensik untuk perankat mobile, seperti PDA, handphone, iPhone ataupun GPS. Beberapa fitur dari Device Seizure adalah melihat history SMS, menghapus SMS, mengeksplorasi phonebook yang ada di SIM card atau phone card, melihat call history, eksplorasi file dan mengeksplorai registry untuk Windows Mobile Device. Device Seizure mendukung beberapa produsen HP, seperti Kyocera, LG, Motorola, Nokia, Siemens, Samsung, Sony-Ericsson, Sanyo. dam iPhone, sedangkan sistem operasi yang dapat dikenali adalah Palm hingga versi 5.4, WindowsCE/Pocket PC/Mobile 6.x, Blackberry 4.x, Symbian 6.0, 6.1, 7.x, 8.x dan 9.x, EPOC 16/32 (Psion Device). Dengan menggunakan SIM Card Reader, software ini mampu untuk melakukan SIM CARD acquisition dan cloning. Dengan kemampuan-kemampuan tersebut, software ini dijual dengan harga $1.095.


Sumber :

http://tentangit.wordpress.com/2010/06/15/mengenal-sistem-forensik-cybercrime/

http://moyathehacker.blogspot.com/2011/06/mengenal-ahli-forensik-dan-detektif.html

http://blog.ephi.web.id/?p=1047


MATERI SELANJUTNYA AKAN DIBAHAS OLEH :

RATU META F (http://ratumeta-blog-me.blogspot.com/2011/10/pengantar-forensik-teknologi-inf-disk.html

ROSARIA ARNI AYU (http://rosariaayumanist.blogspot.com/2011/10/data-recovery.html dan http://rosariaayumanist.blogspot.com/2011/10/disk-forensik.html)

ANCELMUS SIMAMORA (http://st-ancel.blogspot.com/2011/10/metadata-dan-disk-copy.html)

Tidak ada komentar:

Posting Komentar