RSS

Mengenal Sistem Forensik Cybercrime

15 Jun

Jika Anda suka dengan komputer dan serial televisi Crime Scene Investigation, kemungkinan besar Anda akan menyukai dunia komputer forensik.

Sejak pertumbuhan world wide web ditahun 1991, kejahatan komputer berkembang melalui Internet. Jenis kejahatan yang dilakukan berupa penyebaran virus, pembobolan sistem (hacking), pemakaian kartu kredit secara ilegal (carding), sabotase terhadap perangkat digital, pencurian informasi suatu organisasi hingga cyberterrorism. Kejahatan melalui Internet ini berakibat bahwa kejahatan tersebut dapat dilakukan tanpa terbatas jarak dan waktu. Pelaku kejahatan dapat melakukan kejahatannya di belahan dunia lain dalam waktu kapan pun dia mau. Penanganan kejahatan komputer ini pun tidak dapat disamakan dengan penanganan untuk kejahatan di dunia nyata. Dalam dunia nyata, penyelidikan dapat diacu dari “crime scene” atau tempat kejadian perkaranya (yang seringkali dipasang garis polisi berwarna kuning, dan bertuliskan “Do not cross/dilarang melintas”). Namun tidak demikian untuk kejahatan komputer. Karena kejahatan komputer ini umumnya meninggalkan “jejak digital”, maka para ahli forensik komputer akan mengamankan barang bukti digital atau biasa disebut sebagai e-evidence (dan tanpa perlu membuat garis polisi berwarna kuning). E-evidence dapat berupa komputer, ponsel, kamera digital, hard disk, USB flash disk, memory card, dan lain sebagainya.

Dalam penanganan e-evidence ini, diperlukan perlakukan khusus karena hampir semua informasi digital yang tersimpan di media, dapat dengan mudah berubah dan diubah – dan sekali terjadi perubahan, akan sulit untuk dideteksi atau dikembalikan dalam keadaan awalnya (kecuali telah dilakukan upaya-upaya untuk mencegah perubahan). Hal yang sering dilakukan untuk mengatasi hal ini adalah menghitung nilai hash kriptografik yang berfungsi sebagai validasi keaslian data.

Beberapa perlakukan untuk menangani e-evidence yang lazim dilakukan adalah:

  • Memberikan write-blocker terhadap media yang hendak dianalisis sehingga tidak memungkinkan terjadinya penulisan/penambahan atau modifikasi data terhadap media tersebut.
  • Membuat image duplikat media tersebut (dan nantinya analisis dilakukan terhadap image file yang dihasilkan).
  • Merekam semua chain of custody atau tindakan-tindakan yang dilakukan terhadap e-evidence yang ada.
  • Menggunakan perangkat yang telah diuji, dan dievaluasi untuk memastikan akurasi dan reabilitasnya.

Namun, penggunaan e-evidence tidaklah dapat disamaratakan. Prosedur umum berlaku untuk proses forensik secara umum, sedangkan pada kasus-kasus khusus akan dibutuhkan perangkat keras dan perangkat lunak yang khusus pula.

 

Memahami Bagaimana Penyimpanan Data

Ketika sebuah file dihapus, file tidaklah benar-benar dihapus. Yang dilakukan oleh sistem operasi adalah hanya menandai pada file management bahwa area tersebut merupakan cluster yang tidak lagi digunakan oleh file apapun. Cara ini cukup efisien untuk melakukan penghapusan secara logis, namun secara fisik sebenarnya file masih terletak pada cluster tersebut. Jika dilakukan pelacakan, maka file yang telah terhapus dapat direkonstruksi ulang, dan disimpan untuk menjadi file utuh lagi. Model penghapusan seperti ini dimanfaatkan oleh beberapa software forensik untuk melacak file-file yang telah terhapus seperti WinUndelete atau bahkan mengumpulkan kepingan data biner pada suatu unallocated space seperti EnCase.

 

Windows Registry

Windows registry merupakan sebuah basis data kompleks yang kini telah berusia 20 tahun. Dalam Windows registry tersimpan berbagai macam informasi yang dapat diekstrak, dan digunakan untuk analisis. Data yang dapat ditemukan pada registry antara lain: informasi password (sebagian besar user name dan password terenkripsi, namun dengan menggunakan software third-party dimungkinkan mendapatkan username dan password), startup application, storage device hardware, wireless network, informasi Internet, unread e-mail (jumlah e-mail yang belum terbaca pada MS Outlook). Aplikasi Paraben’s Registry Analyzer memungkinkan untuk membaca dan menganalisis registry dengan lebih nyaman dibandingkan regedit Windows.

 

Mengenal Metadata pada Dokumen

Menangani dokumen forensik akan berurusan dengan metadata dokumen. Yang dimaksud dengan metadata adalah data tentang data. Sebuah dokumen yang dihasilkan dari software pengolah kata, umumnya mempunyai metadata seperti author (pembuat dokumen), organizations, revisions, previous authors (daftar nama yang telah melakukan akses terhadap dokumen tersebut), template (jenis template yang digunakan dokumen), computer name, harddisk (menunjukkan lokasi dari file tersebut), network server (sebagai informasi perluasan dari harddisk), time, time stamps (bergantung dari sistem operasi, dan umumnya mencakup tanggal pembuatan, tanggal akses atau kapan file terakhir kali dibuka tapi tidak dilakukan perubahan, dan tanggal modifikasi, yaitu ketika ada perubahan di dalam file), dan printed (kapan dokumen terakhir kali dicetak).

Beberapa metadata pada dokumen dapat dilihat secara langsung, namun beberapa metadata harus diekstrak untuk dapat melihatnya. Sebagai contoh untuk menampilkan metadata pada dokumen Ms.Word secara langsung dapat dilakukan melalui menu properties.

Untuk melakukan ekstrak data dengan lebih detail dibutuhkan alat bantu seperti Metadata Analyer (www.smartpctools.com) atau iScrub (www.esqinc.com). Alat bantu semacam ini dapat menampilkan informasi metadata yang tidak tampak.

 

Email Forensik

Dari sudut pandang forensik, e-mail dengan sistem client/server memudahkan dalam menemukan informasi (untuk kepentingan analisis) karena semua pesan di-download, dan disimpan dalam komputer lokal. Dengan mendapatkan akses ke komputer lokal, maka analisis terhadap e-mail akan jauh lebih mudah. Dua bagian e-mail yang dijadikan sumber pengamatan adalah header dan body. Yang paling umum dilihat dari sebuah header adalah From (nama dan alamat pengirim yang mudah untuk dipalsukan), To (tujuan yang juga dengan mudah disamarkan), Subject and Date (terekam dari komputer pengirim, namun menjadi tidak akurat jika tanggal dan jam pada komputer pengirim diubah). Untuk mendapatkan informasi yang lebih detail, header pada e-mail perlu diekstrak. Dari header tersebut bisa didapatkan informasi IP Lokal dari pengirim, ID unik yang diberikan oleh server e-mail, dan alamat server pengirim.

Umumnya, software e-mail client/server (seperti Ms.Outlook, Eudora, atau ThunderBird) telah menyediakan fasilitas untuk melihat header secara lengkap, namun beberapa software forensik mampu membaca dan mengekstraksi header untuk keperluan analisis lebih lanjut seperti EnCase atau FTK. Dengan software forensik ini, analisis untuk melakukan pencarian, ekstrak header, pencetakan ke printer, dan pengelompokkan e-mail menjadi lebih mudah dilakukan.

Lalu, bagaimana dengan investigasi untuk web-based e-mail, seperti Yahoo! atau Gmail? E-mail yang pernah terbaca melalui web browser, tentunya tidak disimpan di komputer lokal seperti halnya e-mail dengan sistem client/server. Ketika e-mail dibaca pada sebah komputer, sistem operasi meng-cache isi website tersebut pada harddisk. Cara terbaik untuk melacak setiap e-mail yang pernah terbaca adalah melalui area temporary file seperti file swap atau file cache, atau jika temporary file telah terhapus, pelacakan dapat difokuskan pada area tempat lokasi file temporary sebelum dihapus.

Ektraksi untuk melakukan ini akan membutuhkan lebih banyak usaha dibandingkan ekstraksi dengan sistem client/server, karena penelusuran difokuskan untuk mencari file HTML di antara kumpulan ratusan atau mungkin ribuan halaman-halaman HTML. Software forensik seperti FTK atau EnCase dapat berguna untuk mempercepat pencarian. Misalkan mencari suatu pesan yang mengandung fadh325@situsku.com, maka teks tersebut dapat dimasukkan sebagai dasar pencarian pada sebuah software forensik, dan diatur agar pencarian dilakukan hanya untuk file HTML. Software forensik akan menjelajah isi harddisk, dan berusaha menemukan file (atau potongan file) dengan kriteria yang telah disediakan.

 

Software & Hardware Komputer Forensik

Sherlock Holmes, seorang detektif dalam novel karangan Sir Arthur Conan Doyle, dan menjadi legendaris karena keahliannya dalam melakukan analisis suatu kasus, mengatakan “There is no branch of detective science which is so important and so much neglected as the art of tracing footsteps”. Bagaimana pun ahlinya Sherlock Holmes, tetaplah dia memerlukan peralatan dalam melakukan investigasi. Seorang ahli komputer forensik, dalam mempertahankan keaslian atau melakukan analisis terhadap e-evidence, memerlukan sistem komputer, yaitu hardware dan software yang khusus dalam melakukan analisisnya. Tanpa menggunakan sistem komputer yang memadai, seorang ahli forensik tidak dapat banyak melakukan analisis.

Fungsi dasar yang dapat dilakukan dari sistem komputer forensik adalah:

  • Membuat sebuah kopi yang akurat dari harddisk ke harddisk lainnya atau kedalam sebuah image file.
  • Membuat sebuah kopi yang akurat dari harddisk ke sebuah media penyimpanan yang sifatnya removable atau portable.
  • Melakukan analisis terhadap suatu media atau image file.

Secara umum, spesifikasi sistem komputer untuk keperluan komputer forensik ini adalah Pentium IV dual core dengan hyper treading (3.2 GHz). Sangat direkomendasikan untuk menggunakan prosesor 64-bit. Motherboard sebaiknya memiliki tiga hingga lima slot PCI Express x16, dua port controller serial ATA, auto-sensing BIOS yang mendukung LBA, dan mode harddisk C/H/S. Rekomendasi harddisk sebesar 160GB untuk sistem operasi dengan menggunakan dual sistem operasi (Windows dan Linux). Masing-masing sistem operasi dapat diletakkan pada sebuah harddisk serial ATA. Peripheral seperti sebuah DVD burner dengan kecepatan standar dapat ditambahkan untuk melakukan burning serta perangkat pembaca media penyimpanan untuk berbagai media, seperti memory sticks, compact flash, secure digital, dan lain sebagainya. Dan yang tak kalah pentingnya adalah harddisk blocker, yang berfungsi sebagai perangkat fisik yang menjembatani antara drive yang hendak dianalisis dengan komputer. Perangkat ini cukup penting karena akan mencegah segala bentuk penulisan terhadap harddisk yang hendak dianalisis. Dengan demikian dapat dipastikan bahwa isi dari harddisk yang hendak dianalisis tetap asli.

  • Forensic Recovery of Evidence Device (FRED), sebuah workstation forensik dari Digital Intelligence yang menawarkan sistem terintegrasi untuk keperluan analisis data pada komputer forensik. FRED menggabungkan hampir segala macam interface pada sebuah workstation sehingga tidak perlu membongkar pasang perangkat saat melakukan analisis. Selain itu, beberapa paket software yang ditawarkan adalah EnCase, FTK, Paraben’s P2, dan banyak lainnya.
  • WiebeTech Forensic Field Kit, yang ditawarkan oleh WiebeTech, sebenarnya merupakan beberapa kumpulan perangkat yang “handy”, dan berdaya guna dalam melakukan analisis. Sebut saja USB Writeblocker, yang digunakan untuk mencegah terjadinya penulisah terhadap USB flash disk yang hendak dianalisis, 8 TrayFree SATA bays, yang digunakan untuk memudahkan dalam memasang harddisk SATA, Forensic Ultradoc V4, yang digunakan untuk membuat image, serta mencegah penulisan terhadap media yang hendak dianalisis dengan berbagai macam interface (USB 2.0, eSATA, FireWire 800) atau Drive erazer yang berguna untuk menghapus seluruh isi harddisk, tanpa menggunakan komputer.
  • Logicube, menawarka sebuah perangkat transfer disk-to-disk dan disk-to-image yang tercepat dipasaran. Dengan semakin bertambahnya kapasitas penyimpanan, maka transfer dengan kecepatan 6GB per menit akan dapat menghemat waktu kerja. Beberapa produk yang menjadi andalan dari Logicube adalah SuperSonix, OmniSAS yang memungkinkan untuk menggandakan harddisk ke 5 target sekaligus, dan OmniWipe yang digunakan untuk menghapus isi 3 harddisk sekaligus dengan tipe yang berbeda-beda.

Untuk software, analisis sebenarnya dapat dilakukan hanya bermodalkan Hex editor yang mampu menjelajah ke bagian-bagian harddisk yang terdalam. Namun, adanya alat bantu akan sangat memudahkan dalam melakukan analisis. Produk software yang dikhususkan untuk keperluan komputer forensik adalah:

  • EnCase. EnCase telah digunakan oleh banyak organisasi, dan menjadi standar dalam investigasi komputer forensik. Merupakan suatu paket software produksi Guidance Software yang terdiri dari EnCase Enterprise, EnCase Forensic Edition, EnCase eDiscovery (untuk melakkan pencarian data tertentu pada suatu media), dan enCase Lab Edition. Tool EnCase Script juga disediakan untuk kebutuhan dalam melakukan otomatisasi saat proses analisis.
  • Forensic ToolKit (FTK). Dikembangkan oleh perusahaan yang bergerak di bidang komputer forensik, yaitu AccessData. Beberapa fitur umum dari FTK ini adalah: pembuatan image, melakukan analisis registry, mendeskripsi file, mengidentifikasikan adanya pesan dalam suatu citra (steganografi), kemampuan dalam mengembalikan password untuk lebih dari 80 aplikasi dengan memanfaatkan waktu idle CPU, engine pencarian data dalam suatu media yang mendukung regular expression dan report yang dilaporkan dalam bentuk HTML, PDF, XML, ataupun RTF. Selain Forensic Toolkit, beberapa produk software dari AccessData ini adalah: AccessData eDiscovery, AccessData Enterprise, dan MobilePhone Examiner.
  • Device Seizure. Software forensik ini mengkhususkan pada forensik untuk perankat mobile, seperti PDA, handphone, iPhone ataupun GPS. Beberapa fitur dari Device Seizure adalah melihat history SMS, menghapus SMS, mengeksplorasi phonebook yang ada di SIM card atau phone card, melihat call history, eksplorasi file dan mengeksplorai registry untuk Windows Mobile Device. Device Seizure mendukung beberapa produsen HP, seperti Kyocera, LG, Motorola, Nokia, Siemens, Samsung, Sony-Ericsson, Sanyo. dam iPhone, sedangkan sistem operasi yang dapat dikenali adalah Palm hingga versi 5.4, WindowsCE/Pocket PC/Mobile 6.x, Blackberry 4.x, Symbian 6.0, 6.1, 7.x, 8.x dan 9.x, EPOC 16/32 (Psion Device). Dengan menggunakan SIM Card Reader, software ini mampu untuk melakukan SIM CARD acquisition dan cloning. Dengan kemampuan-kemampuan tersebut, software ini dijual dengan harga $1.095.

 

Penutup

Komputer forensik adalah bidang yang tergolong baru, dan saat ini dibutuhkan banyak profesional di bidang ini. Seperti lazimnya perkembangan suatu teknologi, selain dampak positif, muncul pula dampak negatifnya. Dalam usaha mencegah pengumpulan data untuk keperluan analisis, muncul program dan aplikasi yang disebut dengan anti-forensik.

Program anti-forensik ini dirancang agar semua jejak digital benar-benar hilang dan tidak mungkin untuk dilacak, misalnya dengan melakukan perubahan pada header suatu file, melakukan perubahan pada metadata suatu dokumen dan sebagainya. Intinya adalah jika suatu data atau dokumen dapat dimodifikasi, maka data/dokumen tersebut tidak dapat dijadikan bukti di pengadilan.

Tags: , , , , , , , , , , , ,

 
3 Komentar

Ditulis oleh pada 15 Juni 2010 in Berita, Cracking, Uncategorized

 

Tag: , , , , , , , , , , , ,

3 responses to “Mengenal Sistem Forensik Cybercrime

  1. Lant Ajjh

    12 Desember 2011 at 8:16 am

    bagus bgt Gan artikelnya. . .
    semakin banyaknya ke jahatan di dunia maya, maka haruslah ada tim utk mengatasi ke jahatan dunia maya tersebut. . .
    terima kasih. . .

     
  2. najar doank

    4 Maret 2015 at 10:37 pm

    bagus gan artikelnya..
    untuk ane yng baru mengenal forensik

     

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: