Langkah dalam menyelesaikan masalah IT Forensics
• Komputer forensik
Penyelidikan dan analisis komputer untuk menentukan potensi bukti legal. Bertahun-tahun yang lalu, kebanyakan bukti dikumpulkan pada kertas. Saat ini, kebanyakan bukti bertempat pada komputer, membuatnya lebih rapuh, karena sifat alaminya. Data elektronik bisa muncul dalam bentuk dokumen, informasi keuangan, e-mail, job schedule, log, atau transkripsi voice-mail.
• Kriteria penyelidik forensik menurut :
“Seorang penyelidik yang baik harus mudah berkomunikasi dengan siapapun, dan sangat kritis. Berpikir lojik, objektif dan tidak bias, tanpa kontroversi. Kemampuan verbal dan tulisan sehingga setiap orang memahami apa yang terjadi, karena. akan ditanyai saran dan kepakaran saat diperlukan.”
• Pengetahuan yang diperlukan ahli forensik di antaranya.
1. Dasar-dasar hardware dan pemahaman bagaimana umumnya sistem operasi bekerja
2. Bagaimana partisi drive, hidden partition, dan di mana tabel partisi bisa ditemukan pada sistem operasi yang berbeda
3. Bagaimana umumnya master boot record tersebut dan bagaimana drive geometry.
4. Pemahaman untuk hide, delete, recover file dan directory bisa mempercepat pemahaman pada bagaimana tool forensik dan sistem operasi yang berbeda bekerja.
5. Familiar dengan header dan ekstension file yang bisa jadi berkaitan dengan file tertentu.
• Metodologi umum dalam proses pemeriksaan insiden :
Berikut adalah lima tahapan pemrosesan barang bukti dari. Asumsinya di sini adalah semua ijin untuk mempergunakan mesin (PC, Server, Tape, dan lainnya) sudah dimiliki secara hukum:
1. Persiapan
Sebelum penyelidikan, pastikan persiapan yang diperlukan. Beberapa panduan:
- Sterilkan semua media dari virus.
- Pastikan semua tool forensik bisa dipergunakan secara resmi.
- Periksa kerja semua peralatan lab
- Pilih ahli forensik yang tepat yang mampu memberikan kesaksian dan penjelasan yang baik pada persidangan. Misal untuk menerangkan hal-hal teknis yang asing bagi orang lain.
2. Snapshot
Beberapa panduan:
- Foto lingkungan
- Catat rinciannya.
- Foto barang bukti, misal monitor dan PC.
- Dokumentasikan konfigurasi hardware
- Labeli barang bukti sesuai metodologi anda
- Foto barang bukti lagi setelah dilabeli
- Dokumentasikan apa yang terjadi
3. Transport
Dengan asumsi ijin resmi sudah diperoleh, tindakan untuk transportasi adalah:
- Lakukan pengemasan dengan aman.
- Foto dan dokumentasikan penanganan barang bukti meninggalkan tempat transport sampai ke lab pengujian
4. Persiapan
Berikut adalah persiapan untuk uji lab:
- Lakukan unpack sesuai metodologi.
- Lakukan uji visual dan catat setiap konfigurasi yang tidak semestinya.
Buat image dari hard disk. Hal yang penting untuk diingat:
- Matikan software virus scanning
- Catat waktu CMOS (Complementary Metal Oxide Semiconductor). Hal ini perlu dilakukan khususnya saat zona waktu dibutuhkan.
Anda bisa membuat image dengan banyak cara
- Catat bagaimana image dibuat
- Pastikan tool untuk image tidak mengakses sistem file dari media bukti.
- Setelah membuat image simpan barang bukti di tempat aman dan catatlah.
- Merupakan hal yang baik untuk membuat image kedua.
5. Pengujian
Ini merupakan tahapan analisis barang bukti dari berbagai media (Floppy, hard drive, tape), dan sistem operasi (Linux, Windows). Mesin yang digunakan untuk melakukan analisa seharusnya adalah stand alone dan tidak terhubung dalam jaringan, sehingga memastikan tidak ada orang lain yang mengaksesnya.
Analisis forensik dilakukan pada dua level:
- Level fisik, di mana ingin dilihat cluster dan sektor tertentu untuk mencari informasi. Tabel master atau file allocation table biasanya disebut system area.
- Level lojik, misalkan gambar yang nampak sebagai rangkaian heksadesimal.
Karena tidak bisa sepenuhnya mempercayai bukti apapun, maka harus diperhitungkan rangkaian kepercayaan (chain of evidence) berikut:Shell (termasuk variabel environment), Command, Dynamic libraries, Device driver, Kernel, Controller
• Mencari tau bagian mana program yang rusak??
Hal yang menarik bagi pelaku penyusupan kejahatan dan komputer adalah faktor anonimitas, artinya pembuat virus, trojan, atau pelaku compromise tidak merasa khawatir akan dikenali. Di sisi lain, insiden penyusupan virus, worm, trojan dan cracker kadang meninggalkan potongan program. Bisakah dengan peninggalan tersebut diidentifikasi sumbernya? Peninggalan dari serangan tersebut bisa berupa source program, kode object, shell script, perubahan pada program yang ada, atau file teks yang dibuat oleh penyusup. Hal tersebut bisa dipergunakan untuk mengidentifikasi sumber dari serangan, serupa dengan analisis tulisan tangan yang dilakukan oleh aparat hukum untuk mengenali penulis suatu dokumen. Hal ini biasa disebut forensik perangkat lunak. Forensik perangkat lunak bisa dilakukan pada:
1. Kode executable. Biasanya dilakukan pada virus atau worm. Sayangnya banyak feature yang bisa berguna dalam analisis telah terhapus, misalkan komentar, identasi dan identifier. Optimisasi juga dilakukan sehingga program telah berbeda dengan program semula. Beberapa feature yang masih bisa dipertimbangkan di antaranya:
- Algoritma dan struktur data: Pilihan algoritma dan struktur data bisa menunjukkan background dari pembuat
- Kompilator: Dalam kasus virus bisa ditentukan bahasa pemrogramannya dan dari vendor mana, karena rutin-rutin dan library yang dipergunakan
- Pengetahuan pemrograman: Bisa dilihat tingkat kemampuan pemrogram dari penggunaan fungsi dan error checking semacam exception handling
- Pilihan system call
- Kesalahan: Beberapa programmer membuat kesalahan serupa pada program-programnya
2. Kode Sumber. Ini mampu memberikan informasi yang lebih banyak. Beberapa feature yang bisa dianalisis:
- Bahasa: Menunjukkan pengetahuan dan ketersediaan pada pemrogram
- Format: Biasanya konsisten, misal identasi dan deklarasi
- Komentar
- Nama variabel
- Ejaan: Ada pemrogram yang melakukan kesalahan eja secara tetap
- Feature bahasa: Beberapa pemrogram lebih suka menggunakan pilihan tertentu, misal antara perulangan for dengan repeat until atau while
- Scope: pemilihan variabel lokal dan global
- Jalur eksekusi: adanya kode yang tidak pernah dieksekusi
- Bug: Kesalahan serupa yang dibuat dalam program-programnya
• Menganalisis unknow program
Materi pada bagian ini diambil dari sumber. Untuk mempelajari perilaku suatu program yang tidak kita ketahui sumber dan kegunaannya terdapat beberapa cara:
1. Analisis statik: Mempelajari program tanpa benar-benar mengeksekusinya. Tool yang dipergunakan adalah dissasembler, decompiler, tool analisis kode sumber, dan tool dasar semacam grep. Dalam kenyataannya bisa memberikan suatu gambaran pendekatan mengenai program.
2. Analisis dinamik: Mempelajari program saat dieksekusi. Tool yang dipergunakan adalah debugger, tracer, emulator mesin, analisis logika dan terkadang sniffer jaringan. Keuntungan dari analisis dinamik adalah cepat dan akurat. Kasus khusus dari analisis dinamik adalah analisis kotak hitam (black box), yaitu analisis dinamik tanpa mengakses internal program. Dalam kasus ini, pengamatan dilakukan pada input dan output eksternal, serta karakteristik pewaktuannya.
3. Analisis postmortem: Mempelajari perilaku perangkat lunak dengan mengamati dampak setelah eksekusi program. Bisa jadi ini merupakan satu-satunya alat yang tersedia setelah penyusupan sistem.
Analisis dinamik harus dilakukan sehingga tidak menimbulkan kerusakan yang berbahaya, sehingga eksekusi program bisa dijalankan pada:
1. Mesin “percobaan” tanpa koneksi jaringan
2. Mesin dengan sandbox Virtual Machine
Untuk memantau kemajuan (progress) suatu program, pengamatan bisa dilakukan dengan cara:
- Pengamatan pada level instruksi mesin
- Pengamatan system call yang dipergunakan
qSuatu mesin yang mengalami compromise tidak akan bisa dipercaya, dan semua informasi yang berasal dari mesin tersebut perlu diragukan. Perubahan pada suatu program aplikasi dan file data mudah dideteksi jika diketahui file mana yang mengalami perubahan. Perubahan pada proses yang berjalan lebih susah dideteksi, begitu pula dengan perubahan pada level kernel sistem operasi, atau bahkan perubahan pada tingkat di bawah level kernel.
• Tool Forensik
Tool yang dipergunakan oleh ahli forensik harus bekerja baik dan tidak mengubah data. Di samping itu, komunitas komputer forensik harus menerima tool dan hasilnya. Tool yang sama kadang dipergunakan untuk melakukan pemantauan dan audit pada jaringan.
Tool kit untuk pengujian forensik memungkinkan untuk mengumpulkan dan analisis data, seperti tcpdump, Argus, NFR, tcpwrapper, sniffer, nstat, tripwire, diskcopy (/v pada DOS), DD pada Unix. Karena ahli hukum percaya bit lebih mudah dipalsukan daripada kertas, maka aturan utamanya adalah “preserve then examine” . Salah satu Contoh tool untuk komputer forensik:
Penggunaan dd di Linux
dd adalah bagian dari paket coreutils (di Linux), dan umumnya terinstall di semua
varian UNIX. Format perintah dd adalah :
$ dd if=/dev/namadevice of=namafile bs=besar_sektor count=banyak_sektor
Contoh penggunaan dd di Linux :
• Untuk mengambil partisi pertama di IDE kedua (hdb1) sebesar 650MB, ketikkan :
$ dd if=/dev/hdb1 of=image_hdb1 bs=1024k count=650
• Untuk mengambil image dari floppy disk A:\ (fd0), ketikkan
$ dd if=/dev/fd0 of=image_fd0 bs=1k count=1440
Penggunaan dd di Windows
Jika tidak terdapat komputer yang dapat menjalankan UNIX, dapat digunakan dd versi
DOS/Windows. dd versi Windows/DOS dapat didownload dari
http://unxutils.sourceforge.net/. Format perintah dd untuk DOS/Windows adalah :
$ dd if=\\.\namadevice of=namafile bs=besar_sektor count=banyak_sektor
Contoh penggunaan dd di Windows
• Untuk mengambil image dari floppy disk A:\, ketikkan
$ dd if=\\.\a: of=c:\temp\disk1.img bs=1440k count=1
• Untuk mengambil image CDROM pertama
$ dd if=\\?\Device\CdRom0 of=c:\temp\disc1.iso bs=1M
• Untuk mengambil image dari partisi tertentu di harddisk
$ dd if=\\.\Harddisk\Partition of=c:\temp\image
Keterangan : n=0 utk harddisk pertama, partition0 adalah seluruh harddisk.
(SUMBER.juschie.wordpress.com/2010/05/26/it-forensic/ )
Penyelidikan dan analisis komputer untuk menentukan potensi bukti legal. Bertahun-tahun yang lalu, kebanyakan bukti dikumpulkan pada kertas. Saat ini, kebanyakan bukti bertempat pada komputer, membuatnya lebih rapuh, karena sifat alaminya. Data elektronik bisa muncul dalam bentuk dokumen, informasi keuangan, e-mail, job schedule, log, atau transkripsi voice-mail.
• Kriteria penyelidik forensik menurut :
“Seorang penyelidik yang baik harus mudah berkomunikasi dengan siapapun, dan sangat kritis. Berpikir lojik, objektif dan tidak bias, tanpa kontroversi. Kemampuan verbal dan tulisan sehingga setiap orang memahami apa yang terjadi, karena. akan ditanyai saran dan kepakaran saat diperlukan.”
• Pengetahuan yang diperlukan ahli forensik di antaranya.
1. Dasar-dasar hardware dan pemahaman bagaimana umumnya sistem operasi bekerja
2. Bagaimana partisi drive, hidden partition, dan di mana tabel partisi bisa ditemukan pada sistem operasi yang berbeda
3. Bagaimana umumnya master boot record tersebut dan bagaimana drive geometry.
4. Pemahaman untuk hide, delete, recover file dan directory bisa mempercepat pemahaman pada bagaimana tool forensik dan sistem operasi yang berbeda bekerja.
5. Familiar dengan header dan ekstension file yang bisa jadi berkaitan dengan file tertentu.
• Metodologi umum dalam proses pemeriksaan insiden :
Berikut adalah lima tahapan pemrosesan barang bukti dari. Asumsinya di sini adalah semua ijin untuk mempergunakan mesin (PC, Server, Tape, dan lainnya) sudah dimiliki secara hukum:
1. Persiapan
Sebelum penyelidikan, pastikan persiapan yang diperlukan. Beberapa panduan:
- Sterilkan semua media dari virus.
- Pastikan semua tool forensik bisa dipergunakan secara resmi.
- Periksa kerja semua peralatan lab
- Pilih ahli forensik yang tepat yang mampu memberikan kesaksian dan penjelasan yang baik pada persidangan. Misal untuk menerangkan hal-hal teknis yang asing bagi orang lain.
2. Snapshot
Beberapa panduan:
- Foto lingkungan
- Catat rinciannya.
- Foto barang bukti, misal monitor dan PC.
- Dokumentasikan konfigurasi hardware
- Labeli barang bukti sesuai metodologi anda
- Foto barang bukti lagi setelah dilabeli
- Dokumentasikan apa yang terjadi
3. Transport
Dengan asumsi ijin resmi sudah diperoleh, tindakan untuk transportasi adalah:
- Lakukan pengemasan dengan aman.
- Foto dan dokumentasikan penanganan barang bukti meninggalkan tempat transport sampai ke lab pengujian
4. Persiapan
Berikut adalah persiapan untuk uji lab:
- Lakukan unpack sesuai metodologi.
- Lakukan uji visual dan catat setiap konfigurasi yang tidak semestinya.
Buat image dari hard disk. Hal yang penting untuk diingat:
- Matikan software virus scanning
- Catat waktu CMOS (Complementary Metal Oxide Semiconductor). Hal ini perlu dilakukan khususnya saat zona waktu dibutuhkan.
Anda bisa membuat image dengan banyak cara
- Catat bagaimana image dibuat
- Pastikan tool untuk image tidak mengakses sistem file dari media bukti.
- Setelah membuat image simpan barang bukti di tempat aman dan catatlah.
- Merupakan hal yang baik untuk membuat image kedua.
5. Pengujian
Ini merupakan tahapan analisis barang bukti dari berbagai media (Floppy, hard drive, tape), dan sistem operasi (Linux, Windows). Mesin yang digunakan untuk melakukan analisa seharusnya adalah stand alone dan tidak terhubung dalam jaringan, sehingga memastikan tidak ada orang lain yang mengaksesnya.
Analisis forensik dilakukan pada dua level:
- Level fisik, di mana ingin dilihat cluster dan sektor tertentu untuk mencari informasi. Tabel master atau file allocation table biasanya disebut system area.
- Level lojik, misalkan gambar yang nampak sebagai rangkaian heksadesimal.
Karena tidak bisa sepenuhnya mempercayai bukti apapun, maka harus diperhitungkan rangkaian kepercayaan (chain of evidence) berikut:Shell (termasuk variabel environment), Command, Dynamic libraries, Device driver, Kernel, Controller
• Mencari tau bagian mana program yang rusak??
Hal yang menarik bagi pelaku penyusupan kejahatan dan komputer adalah faktor anonimitas, artinya pembuat virus, trojan, atau pelaku compromise tidak merasa khawatir akan dikenali. Di sisi lain, insiden penyusupan virus, worm, trojan dan cracker kadang meninggalkan potongan program. Bisakah dengan peninggalan tersebut diidentifikasi sumbernya? Peninggalan dari serangan tersebut bisa berupa source program, kode object, shell script, perubahan pada program yang ada, atau file teks yang dibuat oleh penyusup. Hal tersebut bisa dipergunakan untuk mengidentifikasi sumber dari serangan, serupa dengan analisis tulisan tangan yang dilakukan oleh aparat hukum untuk mengenali penulis suatu dokumen. Hal ini biasa disebut forensik perangkat lunak. Forensik perangkat lunak bisa dilakukan pada:
1. Kode executable. Biasanya dilakukan pada virus atau worm. Sayangnya banyak feature yang bisa berguna dalam analisis telah terhapus, misalkan komentar, identasi dan identifier. Optimisasi juga dilakukan sehingga program telah berbeda dengan program semula. Beberapa feature yang masih bisa dipertimbangkan di antaranya:
- Algoritma dan struktur data: Pilihan algoritma dan struktur data bisa menunjukkan background dari pembuat
- Kompilator: Dalam kasus virus bisa ditentukan bahasa pemrogramannya dan dari vendor mana, karena rutin-rutin dan library yang dipergunakan
- Pengetahuan pemrograman: Bisa dilihat tingkat kemampuan pemrogram dari penggunaan fungsi dan error checking semacam exception handling
- Pilihan system call
- Kesalahan: Beberapa programmer membuat kesalahan serupa pada program-programnya
2. Kode Sumber. Ini mampu memberikan informasi yang lebih banyak. Beberapa feature yang bisa dianalisis:
- Bahasa: Menunjukkan pengetahuan dan ketersediaan pada pemrogram
- Format: Biasanya konsisten, misal identasi dan deklarasi
- Komentar
- Nama variabel
- Ejaan: Ada pemrogram yang melakukan kesalahan eja secara tetap
- Feature bahasa: Beberapa pemrogram lebih suka menggunakan pilihan tertentu, misal antara perulangan for dengan repeat until atau while
- Scope: pemilihan variabel lokal dan global
- Jalur eksekusi: adanya kode yang tidak pernah dieksekusi
- Bug: Kesalahan serupa yang dibuat dalam program-programnya
• Menganalisis unknow program
Materi pada bagian ini diambil dari sumber. Untuk mempelajari perilaku suatu program yang tidak kita ketahui sumber dan kegunaannya terdapat beberapa cara:
1. Analisis statik: Mempelajari program tanpa benar-benar mengeksekusinya. Tool yang dipergunakan adalah dissasembler, decompiler, tool analisis kode sumber, dan tool dasar semacam grep. Dalam kenyataannya bisa memberikan suatu gambaran pendekatan mengenai program.
2. Analisis dinamik: Mempelajari program saat dieksekusi. Tool yang dipergunakan adalah debugger, tracer, emulator mesin, analisis logika dan terkadang sniffer jaringan. Keuntungan dari analisis dinamik adalah cepat dan akurat. Kasus khusus dari analisis dinamik adalah analisis kotak hitam (black box), yaitu analisis dinamik tanpa mengakses internal program. Dalam kasus ini, pengamatan dilakukan pada input dan output eksternal, serta karakteristik pewaktuannya.
3. Analisis postmortem: Mempelajari perilaku perangkat lunak dengan mengamati dampak setelah eksekusi program. Bisa jadi ini merupakan satu-satunya alat yang tersedia setelah penyusupan sistem.
Analisis dinamik harus dilakukan sehingga tidak menimbulkan kerusakan yang berbahaya, sehingga eksekusi program bisa dijalankan pada:
1. Mesin “percobaan” tanpa koneksi jaringan
2. Mesin dengan sandbox Virtual Machine
Untuk memantau kemajuan (progress) suatu program, pengamatan bisa dilakukan dengan cara:
- Pengamatan pada level instruksi mesin
- Pengamatan system call yang dipergunakan
qSuatu mesin yang mengalami compromise tidak akan bisa dipercaya, dan semua informasi yang berasal dari mesin tersebut perlu diragukan. Perubahan pada suatu program aplikasi dan file data mudah dideteksi jika diketahui file mana yang mengalami perubahan. Perubahan pada proses yang berjalan lebih susah dideteksi, begitu pula dengan perubahan pada level kernel sistem operasi, atau bahkan perubahan pada tingkat di bawah level kernel.
• Tool Forensik
Tool yang dipergunakan oleh ahli forensik harus bekerja baik dan tidak mengubah data. Di samping itu, komunitas komputer forensik harus menerima tool dan hasilnya. Tool yang sama kadang dipergunakan untuk melakukan pemantauan dan audit pada jaringan.
Tool kit untuk pengujian forensik memungkinkan untuk mengumpulkan dan analisis data, seperti tcpdump, Argus, NFR, tcpwrapper, sniffer, nstat, tripwire, diskcopy (/v pada DOS), DD pada Unix. Karena ahli hukum percaya bit lebih mudah dipalsukan daripada kertas, maka aturan utamanya adalah “preserve then examine” . Salah satu Contoh tool untuk komputer forensik:
Penggunaan dd di Linux
dd adalah bagian dari paket coreutils (di Linux), dan umumnya terinstall di semua
varian UNIX. Format perintah dd adalah :
$ dd if=/dev/namadevice of=namafile bs=besar_sektor count=banyak_sektor
Contoh penggunaan dd di Linux :
• Untuk mengambil partisi pertama di IDE kedua (hdb1) sebesar 650MB, ketikkan :
$ dd if=/dev/hdb1 of=image_hdb1 bs=1024k count=650
• Untuk mengambil image dari floppy disk A:\ (fd0), ketikkan
$ dd if=/dev/fd0 of=image_fd0 bs=1k count=1440
Penggunaan dd di Windows
Jika tidak terdapat komputer yang dapat menjalankan UNIX, dapat digunakan dd versi
DOS/Windows. dd versi Windows/DOS dapat didownload dari
http://unxutils.sourceforge.net/. Format perintah dd untuk DOS/Windows adalah :
$ dd if=\\.\namadevice of=namafile bs=besar_sektor count=banyak_sektor
Contoh penggunaan dd di Windows
• Untuk mengambil image dari floppy disk A:\, ketikkan
$ dd if=\\.\a: of=c:\temp\disk1.img bs=1440k count=1
• Untuk mengambil image CDROM pertama
$ dd if=\\?\Device\CdRom0 of=c:\temp\disc1.iso bs=1M
• Untuk mengambil image dari partisi tertentu di harddisk
$ dd if=\\.\Harddisk\Partition of=c:\temp\image
Keterangan : n=0 utk harddisk pertama, partition0 adalah seluruh harddisk.
(SUMBER.juschie.wordpress.com/2010/05/26/it-forensic/ )
Langganan:
Posting Komentar (Atom)
0 Response to "Langkah dalam menyelesaikan masalah IT Forensics"
Posting Komentar