Langkah dalam menyelesaikan masalah IT Forensics
• Komputer forensik
Penyelidikan dan analisis komputer untuk menentukan potensi bukti legal. Bertahun-tahun yang lalu, kebanyakan bukti dikumpulkan pada kertas. Saat ini, kebanyakan bukti bertempat pada komputer, membuatnya lebih rapuh, karena sifat alaminya. Data elektronik bisa muncul dalam bentuk dokumen, informasi keuangan, e-mail, job schedule, log, atau transkripsi voice-mail.
• Kriteria penyelidik forensik menurut :
“Seorang penyelidik yang baik harus mudah berkomunikasi dengan siapapun, dan sangat kritis. Berpikir lojik, objektif dan tidak bias, tanpa kontroversi. Kemampuan verbal dan tulisan sehingga setiap orang memahami apa yang terjadi, karena. akan ditanyai saran dan kepakaran saat diperlukan.”
• Pengetahuan yang diperlukan ahli forensik di antaranya.
1. Dasar-dasar hardware dan pemahaman bagaimana umumnya sistem operasi bekerja
2. Bagaimana partisi drive, hidden partition, dan di mana tabel partisi bisa ditemukan pada sistem operasi yang berbeda
3. Bagaimana umumnya master boot record tersebut dan bagaimana drive geometry.
4. Pemahaman untuk hide, delete, recover file dan directory bisa mempercepat pemahaman pada bagaimana tool forensik dan sistem operasi yang berbeda bekerja.
5. Familiar dengan header dan ekstension file yang bisa jadi berkaitan dengan file tertentu.
• Metodologi umum dalam proses pemeriksaan insiden :
Berikut adalah lima tahapan pemrosesan barang bukti dari. Asumsinya di sini adalah semua ijin untuk mempergunakan mesin (PC, Server, Tape, dan lainnya) sudah dimiliki secara hukum:
1. Persiapan
Sebelum penyelidikan, pastikan persiapan yang diperlukan. Beberapa panduan:
- Sterilkan semua media dari virus.
- Pastikan semua tool forensik bisa dipergunakan secara resmi.
- Periksa kerja semua peralatan lab
- Pilih ahli forensik yang tepat yang mampu memberikan kesaksian dan penjelasan yang baik pada persidangan. Misal untuk menerangkan hal-hal teknis yang asing bagi orang lain.
2. Snapshot
Beberapa panduan:
- Foto lingkungan
- Catat rinciannya.
- Foto barang bukti, misal monitor dan PC.
- Dokumentasikan konfigurasi hardware
- Labeli barang bukti sesuai metodologi anda
- Foto barang bukti lagi setelah dilabeli
- Dokumentasikan apa yang terjadi
3. Transport
Dengan asumsi ijin resmi sudah diperoleh, tindakan untuk transportasi adalah:
- Lakukan pengemasan dengan aman.
- Foto dan dokumentasikan penanganan barang bukti meninggalkan tempat transport sampai ke lab pengujian
4. Persiapan
Berikut adalah persiapan untuk uji lab:
- Lakukan unpack sesuai metodologi.
- Lakukan uji visual dan catat setiap konfigurasi yang tidak semestinya.
Buat image dari hard disk. Hal yang penting untuk diingat:
- Matikan software virus scanning
- Catat waktu CMOS (Complementary Metal Oxide Semiconductor). Hal ini perlu dilakukan khususnya saat zona waktu dibutuhkan.
Anda bisa membuat image dengan banyak cara
- Catat bagaimana image dibuat
- Pastikan tool untuk image tidak mengakses sistem file dari media bukti.
- Setelah membuat image simpan barang bukti di tempat aman dan catatlah.
- Merupakan hal yang baik untuk membuat image kedua.
5. Pengujian
Ini merupakan tahapan analisis barang bukti dari berbagai media (Floppy, hard drive, tape), dan sistem operasi (Linux, Windows). Mesin yang digunakan untuk melakukan analisa seharusnya adalah stand alone dan tidak terhubung dalam jaringan, sehingga memastikan tidak ada orang lain yang mengaksesnya.
Analisis forensik dilakukan pada dua level:
- Level fisik, di mana ingin dilihat cluster dan sektor tertentu untuk mencari informasi. Tabel master atau file allocation table biasanya disebut system area.
- Level lojik, misalkan gambar yang nampak sebagai rangkaian heksadesimal.
Karena tidak bisa sepenuhnya mempercayai bukti apapun, maka harus diperhitungkan rangkaian kepercayaan (chain of evidence) berikut:Shell (termasuk variabel environment), Command, Dynamic libraries, Device driver, Kernel, Controller
• Mencari tau bagian mana program yang rusak??
Hal yang menarik bagi pelaku penyusupan kejahatan dan komputer adalah faktor anonimitas, artinya pembuat virus, trojan, atau pelaku compromise tidak merasa khawatir akan dikenali. Di sisi lain, insiden penyusupan virus, worm, trojan dan cracker kadang meninggalkan potongan program. Bisakah dengan peninggalan tersebut diidentifikasi sumbernya? Peninggalan dari serangan tersebut bisa berupa source program, kode object, shell script, perubahan pada program yang ada, atau file teks yang dibuat oleh penyusup. Hal tersebut bisa dipergunakan untuk mengidentifikasi sumber dari serangan, serupa dengan analisis tulisan tangan yang dilakukan oleh aparat hukum untuk mengenali penulis suatu dokumen. Hal ini biasa disebut forensik perangkat lunak. Forensik perangkat lunak bisa dilakukan pada:
1. Kode executable. Biasanya dilakukan pada virus atau worm. Sayangnya banyak feature yang bisa berguna dalam analisis telah terhapus, misalkan komentar, identasi dan identifier. Optimisasi juga dilakukan sehingga program telah berbeda dengan program semula. Beberapa feature yang masih bisa dipertimbangkan di antaranya:
- Algoritma dan struktur data: Pilihan algoritma dan struktur data bisa menunjukkan background dari pembuat
- Kompilator: Dalam kasus virus bisa ditentukan bahasa pemrogramannya dan dari vendor mana, karena rutin-rutin dan library yang dipergunakan
- Pengetahuan pemrograman: Bisa dilihat tingkat kemampuan pemrogram dari penggunaan fungsi dan error checking semacam exception handling
- Pilihan system call
- Kesalahan: Beberapa programmer membuat kesalahan serupa pada program-programnya
2. Kode Sumber. Ini mampu memberikan informasi yang lebih banyak. Beberapa feature yang bisa dianalisis:
- Bahasa: Menunjukkan pengetahuan dan ketersediaan pada pemrogram
- Format: Biasanya konsisten, misal identasi dan deklarasi
- Komentar
- Nama variabel
- Ejaan: Ada pemrogram yang melakukan kesalahan eja secara tetap
- Feature bahasa: Beberapa pemrogram lebih suka menggunakan pilihan tertentu, misal antara perulangan for dengan repeat until atau while
- Scope: pemilihan variabel lokal dan global
- Jalur eksekusi: adanya kode yang tidak pernah dieksekusi
- Bug: Kesalahan serupa yang dibuat dalam program-programnya
• Menganalisis unknow program
Materi pada bagian ini diambil dari sumber. Untuk mempelajari perilaku suatu program yang tidak kita ketahui sumber dan kegunaannya terdapat beberapa cara:
1. Analisis statik: Mempelajari program tanpa benar-benar mengeksekusinya. Tool yang dipergunakan adalah dissasembler, decompiler, tool analisis kode sumber, dan tool dasar semacam grep. Dalam kenyataannya bisa memberikan suatu gambaran pendekatan mengenai program.
2. Analisis dinamik: Mempelajari program saat dieksekusi. Tool yang dipergunakan adalah debugger, tracer, emulator mesin, analisis logika dan terkadang sniffer jaringan. Keuntungan dari analisis dinamik adalah cepat dan akurat. Kasus khusus dari analisis dinamik adalah analisis kotak hitam (black box), yaitu analisis dinamik tanpa mengakses internal program. Dalam kasus ini, pengamatan dilakukan pada input dan output eksternal, serta karakteristik pewaktuannya.
3. Analisis postmortem: Mempelajari perilaku perangkat lunak dengan mengamati dampak setelah eksekusi program. Bisa jadi ini merupakan satu-satunya alat yang tersedia setelah penyusupan sistem.
Analisis dinamik harus dilakukan sehingga tidak menimbulkan kerusakan yang berbahaya, sehingga eksekusi program bisa dijalankan pada:
1. Mesin “percobaan” tanpa koneksi jaringan
2. Mesin dengan sandbox Virtual Machine
Untuk memantau kemajuan (progress) suatu program, pengamatan bisa dilakukan dengan cara:
- Pengamatan pada level instruksi mesin
- Pengamatan system call yang dipergunakan
qSuatu mesin yang mengalami compromise tidak akan bisa dipercaya, dan semua informasi yang berasal dari mesin tersebut perlu diragukan. Perubahan pada suatu program aplikasi dan file data mudah dideteksi jika diketahui file mana yang mengalami perubahan. Perubahan pada proses yang berjalan lebih susah dideteksi, begitu pula dengan perubahan pada level kernel sistem operasi, atau bahkan perubahan pada tingkat di bawah level kernel.
• Tool Forensik
Tool yang dipergunakan oleh ahli forensik harus bekerja baik dan tidak mengubah data. Di samping itu, komunitas komputer forensik harus menerima tool dan hasilnya. Tool yang sama kadang dipergunakan untuk melakukan pemantauan dan audit pada jaringan.
Tool kit untuk pengujian forensik memungkinkan untuk mengumpulkan dan analisis data, seperti tcpdump, Argus, NFR, tcpwrapper, sniffer, nstat, tripwire, diskcopy (/v pada DOS), DD pada Unix. Karena ahli hukum percaya bit lebih mudah dipalsukan daripada kertas, maka aturan utamanya adalah “preserve then examine” . Salah satu Contoh tool untuk komputer forensik:
Penggunaan dd di Linux
dd adalah bagian dari paket coreutils (di Linux), dan umumnya terinstall di semua
varian UNIX. Format perintah dd adalah :
$ dd if=/dev/namadevice of=namafile bs=besar_sektor count=banyak_sektor
Contoh penggunaan dd di Linux :
• Untuk mengambil partisi pertama di IDE kedua (hdb1) sebesar 650MB, ketikkan :
$ dd if=/dev/hdb1 of=image_hdb1 bs=1024k count=650
• Untuk mengambil image dari floppy disk A:\ (fd0), ketikkan
$ dd if=/dev/fd0 of=image_fd0 bs=1k count=1440
Penggunaan dd di Windows
Jika tidak terdapat komputer yang dapat menjalankan UNIX, dapat digunakan dd versi
DOS/Windows. dd versi Windows/DOS dapat didownload dari
http://unxutils.sourceforge.net/. Format perintah dd untuk DOS/Windows adalah :
$ dd if=\\.\namadevice of=namafile bs=besar_sektor count=banyak_sektor
Contoh penggunaan dd di Windows
• Untuk mengambil image dari floppy disk A:\, ketikkan
$ dd if=\\.\a: of=c:\temp\disk1.img bs=1440k count=1
• Untuk mengambil image CDROM pertama
$ dd if=\\?\Device\CdRom0 of=c:\temp\disc1.iso bs=1M
• Untuk mengambil image dari partisi tertentu di harddisk
$ dd if=\\.\Harddisk\Partition of=c:\temp\image
Keterangan : n=0 utk harddisk pertama, partition0 adalah seluruh harddisk.
(SUMBER.juschie.wordpress.com/2010/05/26/it-forensic/ )
Penyelidikan dan analisis komputer untuk menentukan potensi bukti legal. Bertahun-tahun yang lalu, kebanyakan bukti dikumpulkan pada kertas. Saat ini, kebanyakan bukti bertempat pada komputer, membuatnya lebih rapuh, karena sifat alaminya. Data elektronik bisa muncul dalam bentuk dokumen, informasi keuangan, e-mail, job schedule, log, atau transkripsi voice-mail.
• Kriteria penyelidik forensik menurut :
“Seorang penyelidik yang baik harus mudah berkomunikasi dengan siapapun, dan sangat kritis. Berpikir lojik, objektif dan tidak bias, tanpa kontroversi. Kemampuan verbal dan tulisan sehingga setiap orang memahami apa yang terjadi, karena. akan ditanyai saran dan kepakaran saat diperlukan.”
• Pengetahuan yang diperlukan ahli forensik di antaranya.
1. Dasar-dasar hardware dan pemahaman bagaimana umumnya sistem operasi bekerja
2. Bagaimana partisi drive, hidden partition, dan di mana tabel partisi bisa ditemukan pada sistem operasi yang berbeda
3. Bagaimana umumnya master boot record tersebut dan bagaimana drive geometry.
4. Pemahaman untuk hide, delete, recover file dan directory bisa mempercepat pemahaman pada bagaimana tool forensik dan sistem operasi yang berbeda bekerja.
5. Familiar dengan header dan ekstension file yang bisa jadi berkaitan dengan file tertentu.
• Metodologi umum dalam proses pemeriksaan insiden :
Berikut adalah lima tahapan pemrosesan barang bukti dari. Asumsinya di sini adalah semua ijin untuk mempergunakan mesin (PC, Server, Tape, dan lainnya) sudah dimiliki secara hukum:
1. Persiapan
Sebelum penyelidikan, pastikan persiapan yang diperlukan. Beberapa panduan:
- Sterilkan semua media dari virus.
- Pastikan semua tool forensik bisa dipergunakan secara resmi.
- Periksa kerja semua peralatan lab
- Pilih ahli forensik yang tepat yang mampu memberikan kesaksian dan penjelasan yang baik pada persidangan. Misal untuk menerangkan hal-hal teknis yang asing bagi orang lain.
2. Snapshot
Beberapa panduan:
- Foto lingkungan
- Catat rinciannya.
- Foto barang bukti, misal monitor dan PC.
- Dokumentasikan konfigurasi hardware
- Labeli barang bukti sesuai metodologi anda
- Foto barang bukti lagi setelah dilabeli
- Dokumentasikan apa yang terjadi
3. Transport
Dengan asumsi ijin resmi sudah diperoleh, tindakan untuk transportasi adalah:
- Lakukan pengemasan dengan aman.
- Foto dan dokumentasikan penanganan barang bukti meninggalkan tempat transport sampai ke lab pengujian
4. Persiapan
Berikut adalah persiapan untuk uji lab:
- Lakukan unpack sesuai metodologi.
- Lakukan uji visual dan catat setiap konfigurasi yang tidak semestinya.
Buat image dari hard disk. Hal yang penting untuk diingat:
- Matikan software virus scanning
- Catat waktu CMOS (Complementary Metal Oxide Semiconductor). Hal ini perlu dilakukan khususnya saat zona waktu dibutuhkan.
Anda bisa membuat image dengan banyak cara
- Catat bagaimana image dibuat
- Pastikan tool untuk image tidak mengakses sistem file dari media bukti.
- Setelah membuat image simpan barang bukti di tempat aman dan catatlah.
- Merupakan hal yang baik untuk membuat image kedua.
5. Pengujian
Ini merupakan tahapan analisis barang bukti dari berbagai media (Floppy, hard drive, tape), dan sistem operasi (Linux, Windows). Mesin yang digunakan untuk melakukan analisa seharusnya adalah stand alone dan tidak terhubung dalam jaringan, sehingga memastikan tidak ada orang lain yang mengaksesnya.
Analisis forensik dilakukan pada dua level:
- Level fisik, di mana ingin dilihat cluster dan sektor tertentu untuk mencari informasi. Tabel master atau file allocation table biasanya disebut system area.
- Level lojik, misalkan gambar yang nampak sebagai rangkaian heksadesimal.
Karena tidak bisa sepenuhnya mempercayai bukti apapun, maka harus diperhitungkan rangkaian kepercayaan (chain of evidence) berikut:Shell (termasuk variabel environment), Command, Dynamic libraries, Device driver, Kernel, Controller
• Mencari tau bagian mana program yang rusak??
Hal yang menarik bagi pelaku penyusupan kejahatan dan komputer adalah faktor anonimitas, artinya pembuat virus, trojan, atau pelaku compromise tidak merasa khawatir akan dikenali. Di sisi lain, insiden penyusupan virus, worm, trojan dan cracker kadang meninggalkan potongan program. Bisakah dengan peninggalan tersebut diidentifikasi sumbernya? Peninggalan dari serangan tersebut bisa berupa source program, kode object, shell script, perubahan pada program yang ada, atau file teks yang dibuat oleh penyusup. Hal tersebut bisa dipergunakan untuk mengidentifikasi sumber dari serangan, serupa dengan analisis tulisan tangan yang dilakukan oleh aparat hukum untuk mengenali penulis suatu dokumen. Hal ini biasa disebut forensik perangkat lunak. Forensik perangkat lunak bisa dilakukan pada:
1. Kode executable. Biasanya dilakukan pada virus atau worm. Sayangnya banyak feature yang bisa berguna dalam analisis telah terhapus, misalkan komentar, identasi dan identifier. Optimisasi juga dilakukan sehingga program telah berbeda dengan program semula. Beberapa feature yang masih bisa dipertimbangkan di antaranya:
- Algoritma dan struktur data: Pilihan algoritma dan struktur data bisa menunjukkan background dari pembuat
- Kompilator: Dalam kasus virus bisa ditentukan bahasa pemrogramannya dan dari vendor mana, karena rutin-rutin dan library yang dipergunakan
- Pengetahuan pemrograman: Bisa dilihat tingkat kemampuan pemrogram dari penggunaan fungsi dan error checking semacam exception handling
- Pilihan system call
- Kesalahan: Beberapa programmer membuat kesalahan serupa pada program-programnya
2. Kode Sumber. Ini mampu memberikan informasi yang lebih banyak. Beberapa feature yang bisa dianalisis:
- Bahasa: Menunjukkan pengetahuan dan ketersediaan pada pemrogram
- Format: Biasanya konsisten, misal identasi dan deklarasi
- Komentar
- Nama variabel
- Ejaan: Ada pemrogram yang melakukan kesalahan eja secara tetap
- Feature bahasa: Beberapa pemrogram lebih suka menggunakan pilihan tertentu, misal antara perulangan for dengan repeat until atau while
- Scope: pemilihan variabel lokal dan global
- Jalur eksekusi: adanya kode yang tidak pernah dieksekusi
- Bug: Kesalahan serupa yang dibuat dalam program-programnya
• Menganalisis unknow program
Materi pada bagian ini diambil dari sumber. Untuk mempelajari perilaku suatu program yang tidak kita ketahui sumber dan kegunaannya terdapat beberapa cara:
1. Analisis statik: Mempelajari program tanpa benar-benar mengeksekusinya. Tool yang dipergunakan adalah dissasembler, decompiler, tool analisis kode sumber, dan tool dasar semacam grep. Dalam kenyataannya bisa memberikan suatu gambaran pendekatan mengenai program.
2. Analisis dinamik: Mempelajari program saat dieksekusi. Tool yang dipergunakan adalah debugger, tracer, emulator mesin, analisis logika dan terkadang sniffer jaringan. Keuntungan dari analisis dinamik adalah cepat dan akurat. Kasus khusus dari analisis dinamik adalah analisis kotak hitam (black box), yaitu analisis dinamik tanpa mengakses internal program. Dalam kasus ini, pengamatan dilakukan pada input dan output eksternal, serta karakteristik pewaktuannya.
3. Analisis postmortem: Mempelajari perilaku perangkat lunak dengan mengamati dampak setelah eksekusi program. Bisa jadi ini merupakan satu-satunya alat yang tersedia setelah penyusupan sistem.
Analisis dinamik harus dilakukan sehingga tidak menimbulkan kerusakan yang berbahaya, sehingga eksekusi program bisa dijalankan pada:
1. Mesin “percobaan” tanpa koneksi jaringan
2. Mesin dengan sandbox Virtual Machine
Untuk memantau kemajuan (progress) suatu program, pengamatan bisa dilakukan dengan cara:
- Pengamatan pada level instruksi mesin
- Pengamatan system call yang dipergunakan
qSuatu mesin yang mengalami compromise tidak akan bisa dipercaya, dan semua informasi yang berasal dari mesin tersebut perlu diragukan. Perubahan pada suatu program aplikasi dan file data mudah dideteksi jika diketahui file mana yang mengalami perubahan. Perubahan pada proses yang berjalan lebih susah dideteksi, begitu pula dengan perubahan pada level kernel sistem operasi, atau bahkan perubahan pada tingkat di bawah level kernel.
• Tool Forensik
Tool yang dipergunakan oleh ahli forensik harus bekerja baik dan tidak mengubah data. Di samping itu, komunitas komputer forensik harus menerima tool dan hasilnya. Tool yang sama kadang dipergunakan untuk melakukan pemantauan dan audit pada jaringan.
Tool kit untuk pengujian forensik memungkinkan untuk mengumpulkan dan analisis data, seperti tcpdump, Argus, NFR, tcpwrapper, sniffer, nstat, tripwire, diskcopy (/v pada DOS), DD pada Unix. Karena ahli hukum percaya bit lebih mudah dipalsukan daripada kertas, maka aturan utamanya adalah “preserve then examine” . Salah satu Contoh tool untuk komputer forensik:
Penggunaan dd di Linux
dd adalah bagian dari paket coreutils (di Linux), dan umumnya terinstall di semua
varian UNIX. Format perintah dd adalah :
$ dd if=/dev/namadevice of=namafile bs=besar_sektor count=banyak_sektor
Contoh penggunaan dd di Linux :
• Untuk mengambil partisi pertama di IDE kedua (hdb1) sebesar 650MB, ketikkan :
$ dd if=/dev/hdb1 of=image_hdb1 bs=1024k count=650
• Untuk mengambil image dari floppy disk A:\ (fd0), ketikkan
$ dd if=/dev/fd0 of=image_fd0 bs=1k count=1440
Penggunaan dd di Windows
Jika tidak terdapat komputer yang dapat menjalankan UNIX, dapat digunakan dd versi
DOS/Windows. dd versi Windows/DOS dapat didownload dari
http://unxutils.sourceforge.net/. Format perintah dd untuk DOS/Windows adalah :
$ dd if=\\.\namadevice of=namafile bs=besar_sektor count=banyak_sektor
Contoh penggunaan dd di Windows
• Untuk mengambil image dari floppy disk A:\, ketikkan
$ dd if=\\.\a: of=c:\temp\disk1.img bs=1440k count=1
• Untuk mengambil image CDROM pertama
$ dd if=\\?\Device\CdRom0 of=c:\temp\disc1.iso bs=1M
• Untuk mengambil image dari partisi tertentu di harddisk
$ dd if=\\.\Harddisk\Partition of=c:\temp\image
Keterangan : n=0 utk harddisk pertama, partition0 adalah seluruh harddisk.
(SUMBER.juschie.wordpress.com/2010/05/26/it-forensic/ )
Aplikasi Bidang Keahlian Akustik : Forensic Speaker Identification (FSI)
Aplikasi Bidang Keahlian Akustik : Forensic Speaker Identification (FSI)
Forensic Speaker Identification merupakan salah satu aplikasi kecil dari bidang keahlian akustik yang hadir satu-satunya di Teknik Fisika ITB. Bidang keahlian ini sendiri merupakan bidang kajian yang mencakup banyak disiplin keilmuan, dari teknologi bahasa, telekomunikasi, electronic, recording, sinyal prosesing, psikologi, hukum, matematika (statistik) dan akustik (lebih khusus: Phonetics, Anatomy, Physiology, acoustics & psycholinguistics, cognitive psychology).Pada kenyataannya, bidang keahlian akustik dapat digunakan di berbagai hal, salah satunya di FSI ini.
Sebagai seorang pakar akustik, dosen Teknik Fisika, Ir Joko Sarwono ,PhD dengan bidang keahlian utamanya Arsitektural Acoustics dan Sound System Design bersama rekan-rekannya di Group Riset Teknik Fisika ITB pernah dipercaya Komisi Pemberantasan Korupsi untuk membantu menangani keabsahan suatu tuntutan ditinjau dari sisi akustiknya. Misalnya pada kasus ini digunakan FSI untuk membuktikan benar tidaknya peimilik suara percakapan di telpon adalah pemilik suara orang yang dituju. Prinsip yang digunakan kasus ini adalah “membandingkan”, sehingga dibutuhkan file unknown yang akan dibandingkan dengan file known. Pada kasus ini, suara hasil penyadapan dianggap sebagai file unknown (identitasnya) dan file known diperoleh dengan cara mewawancarai yang bersangkutan ataupun meminta yang bersangkutan mengulang apa yang diucapkan lewat telepon, sementara itu yang dibandingkan bisa kalimat utuh, bisa juga kata-kata penyusun kalimat itu. Kemudian yang digunakan untuk membandingkan adalah fitur akustik dari suara percakapan yang disebut pitch dan formant. Pitch adalah nada dasar dari suara manusia, sedangkan formant menunjukkan karakter vocal tract dari sistem produksi suara manusia (mulai dari rongga dada-perut, membran diantara keduanya, pita suara, kerongkongan, anak tekak rongga mulut dampai gigi). Untuk setiap orang, karakter vocal tract nya berbeda-beda, sama halnya dengan sidik jari, DNA dan retina. Namun, sidik jari, DNA dan retina bersifat statis, sedangkan suara yang dihasilkan vocal tract bersifat dinamis, sehingga dapat dengan sengaja diubah, dapat pula berubah dengan tidak sengaja (misalnya dalam kondisi flu ataupun dalam kondisi tertekan secara emosional). Pada akhirnya, jika ternyata kedua file tersebut memiliki kesamaan lebih dari 80%, dapat disimpulkan penelpon adalah orang yang sama bukan orang lain.
Analisis yang digunakan Team dari TF ini menggunakan sistem penilaian standar baku di Eropa, Jepang, Australia, dan Amerika Serikat, mengacu pada standar yang dikeluarkan asosiasi forensik suara, sedangkan asosiasi ini menginduk pada International Association of Forensic Linguists. Untuk membantu perhitungan kalkulasi, TF Group menggunakan freeware Praat yang dikembangkan Research Group di Belanda. Hingga saat ini, sudah lebih dari sepuluh kasus telah ditangani tim FSI TF.
Terkait dengan diberlakukannya UU IT terbaru yang salah satu pasalnya menyebutkan bahwa sinyal ucapan hasil penyadapan dapat digunakan sebagai bukti resmi dalam proses peradilan, FSI expert/examiner tampaknya akan semakin diperlukan ke depan. Untuk mengantisipasi hal tersebut, mata kuliah mengenai FSI ini untuk pertama kalinya dibuka di mata kuliah tingkat empat yang di bimbing oleh Dr Ir Joko Sarwono.
“Kenyataannya, ilmu akustik terus berkembang sehingga aplikasinya semakin lama akan semakin luas.”
(SUMBER.www.tf.itb.ac.id/.../apikasi-bidang-keahlian-akustik-forensic-speaker-identification-fsi/ )
Forensic Speaker Identification merupakan salah satu aplikasi kecil dari bidang keahlian akustik yang hadir satu-satunya di Teknik Fisika ITB. Bidang keahlian ini sendiri merupakan bidang kajian yang mencakup banyak disiplin keilmuan, dari teknologi bahasa, telekomunikasi, electronic, recording, sinyal prosesing, psikologi, hukum, matematika (statistik) dan akustik (lebih khusus: Phonetics, Anatomy, Physiology, acoustics & psycholinguistics, cognitive psychology).Pada kenyataannya, bidang keahlian akustik dapat digunakan di berbagai hal, salah satunya di FSI ini.
Sebagai seorang pakar akustik, dosen Teknik Fisika, Ir Joko Sarwono ,PhD dengan bidang keahlian utamanya Arsitektural Acoustics dan Sound System Design bersama rekan-rekannya di Group Riset Teknik Fisika ITB pernah dipercaya Komisi Pemberantasan Korupsi untuk membantu menangani keabsahan suatu tuntutan ditinjau dari sisi akustiknya. Misalnya pada kasus ini digunakan FSI untuk membuktikan benar tidaknya peimilik suara percakapan di telpon adalah pemilik suara orang yang dituju. Prinsip yang digunakan kasus ini adalah “membandingkan”, sehingga dibutuhkan file unknown yang akan dibandingkan dengan file known. Pada kasus ini, suara hasil penyadapan dianggap sebagai file unknown (identitasnya) dan file known diperoleh dengan cara mewawancarai yang bersangkutan ataupun meminta yang bersangkutan mengulang apa yang diucapkan lewat telepon, sementara itu yang dibandingkan bisa kalimat utuh, bisa juga kata-kata penyusun kalimat itu. Kemudian yang digunakan untuk membandingkan adalah fitur akustik dari suara percakapan yang disebut pitch dan formant. Pitch adalah nada dasar dari suara manusia, sedangkan formant menunjukkan karakter vocal tract dari sistem produksi suara manusia (mulai dari rongga dada-perut, membran diantara keduanya, pita suara, kerongkongan, anak tekak rongga mulut dampai gigi). Untuk setiap orang, karakter vocal tract nya berbeda-beda, sama halnya dengan sidik jari, DNA dan retina. Namun, sidik jari, DNA dan retina bersifat statis, sedangkan suara yang dihasilkan vocal tract bersifat dinamis, sehingga dapat dengan sengaja diubah, dapat pula berubah dengan tidak sengaja (misalnya dalam kondisi flu ataupun dalam kondisi tertekan secara emosional). Pada akhirnya, jika ternyata kedua file tersebut memiliki kesamaan lebih dari 80%, dapat disimpulkan penelpon adalah orang yang sama bukan orang lain.
Analisis yang digunakan Team dari TF ini menggunakan sistem penilaian standar baku di Eropa, Jepang, Australia, dan Amerika Serikat, mengacu pada standar yang dikeluarkan asosiasi forensik suara, sedangkan asosiasi ini menginduk pada International Association of Forensic Linguists. Untuk membantu perhitungan kalkulasi, TF Group menggunakan freeware Praat yang dikembangkan Research Group di Belanda. Hingga saat ini, sudah lebih dari sepuluh kasus telah ditangani tim FSI TF.
Terkait dengan diberlakukannya UU IT terbaru yang salah satu pasalnya menyebutkan bahwa sinyal ucapan hasil penyadapan dapat digunakan sebagai bukti resmi dalam proses peradilan, FSI expert/examiner tampaknya akan semakin diperlukan ke depan. Untuk mengantisipasi hal tersebut, mata kuliah mengenai FSI ini untuk pertama kalinya dibuka di mata kuliah tingkat empat yang di bimbing oleh Dr Ir Joko Sarwono.
“Kenyataannya, ilmu akustik terus berkembang sehingga aplikasinya semakin lama akan semakin luas.”
(SUMBER.www.tf.itb.ac.id/.../apikasi-bidang-keahlian-akustik-forensic-speaker-identification-fsi/ )
Macam-Macam Tools dalam IT Forensics
Tools dalam Forensik IT
1. antiword
Antiword merupakan sebuah aplikasi yang digunakan untuk menampilkan teks dan gambar dokumen Microsoft Word. Antiword hanya mendukung dokumen yang dibuat oleh MS Word versi 2 dan versi 6 atau yang lebih baru.
2. Autopsy
The Autopsy Forensic Browser merupakan antarmuka grafis untuk tool analisis investigasi diginal perintah baris The Sleuth Kit. Bersama, mereka dapat menganalisis disk dan filesistem Windows dan UNIX (NTFS, FAT, UFS1/2, Ext2/3).
3. binhash
binhash merupakan sebuah program sederhana untuk melakukan hashing terhadap berbagai bagian file ELF dan PE untuk perbandingan. Saat ini ia melakukan hash terhadap segmen header dari bagian header segmen obyek ELF dan bagian segmen header obyekPE.
4. sigtool
sigtcol merupakan tool untuk manajemen signature dan database ClamAV. sigtool dapat digunakan untuk rnenghasilkan checksum MD5, konversi data ke dalam format heksadesimal, menampilkan daftar signature virus dan build/unpack/test/verify database CVD dan skrip update.
5. ChaosReader
ChaosReader merupakan sebuah tool freeware untuk melacak sesi TCP/UDP/… dan mengambil data aplikasi dari log tcpdump. la akan mengambil sesi telnet, file FTP, transfer HTTP (HTML, GIF, JPEG,…), email SMTP, dan sebagainya, dari data yang ditangkap oleh log lalu lintas jaringan. Sebuah file index html akan tercipta yang berisikan link ke seluruh detil sesi, termasuk program replay realtime untuk sesi telnet, rlogin, IRC, X11 atau VNC; dan membuat laporan seperti laporan image dan laporan isi HTTP GET/POST.
6. chkrootkit
chkrootkit merupakan sebuah tool untuk memeriksa tanda-tanda adanya rootkit secara lokal. la akan memeriksa utilitas utama apakah terinfeksi, dan saat ini memeriksa sekitar 60 rootkit dan variasinya.
7. dcfldd
Tool ini mulanya dikembangkan di Department of Defense Computer Forensics Lab (DCFL). Meskipun saat ini Nick Harbour tidak lagi berafiliasi dengan DCFL, ia tetap memelihara tool ini.
8. ddrescue
GNU ddrescue merupakan sebuah tool penyelamat data, la menyalinkan data dari satu file atau device blok (hard disc, cdrom, dsb.) ke yang lain, berusaha keras menyelamatkan data dalam hal kegagalan pembacaan. Ddrescue tidak memotong file output bila tidak diminta. Sehingga setiap kali anda menjalankannya kefile output yang sama, ia berusaha mengisi kekosongan.
9. foremost
Foremost merupakan sebuah tool yang dapat digunakan untuk me-recover file berdasarkan header, footer, atau struktur data file tersebut. la mulanya dikembangkan oleh Jesse Kornblum dan Kris Kendall dari the United States Air Force Office of Special Investigations and The Center for Information Systems Security Studies and Research. Saat ini foremost dipelihara oleh Nick Mikus seorang Peneliti di the Naval Postgraduate School Center for Information Systems Security Studies and Research.
10. gqview
Gqview merupakan sebuah program untuk melihat gambar berbasis GTK la mendukung beragam format gambar, zooming, panning, thumbnails, dan pengurutan gambar.
11. galleta
Galleta merupakan sebuah tool yang ditulis oleh Keith J Jones untuk melakukan analisis forensic terhadap cookie Internet Explorer.
12. Ishw
Ishw (Hardware Lister) merupakan sebuah tool kecil yang memberikan informasi detil mengenai konfigurasi hardware dalam mesin. la dapat melaporkan konfigurasi memori dengan tepat, versi firmware, konfigurasi mainboard, versi dan kecepatan CPU, konfigurasi cache, kecepatan bus, dsb. pada sistem t>MI-capable x86 atau sistem EFI.
13. pasco
Banyak penyelidikan kejahatan komputer membutuhkan rekonstruksi aktivitas Internet tersangka. Karena teknik analisis ini dilakukan secara teratur, Keith menyelidiki struktur data yang ditemukan dalam file aktivitas Internet Explorer (file index.dat). Pasco, yang berasal dari bahasa Latin dan berarti “browse”, dikembangkan untuk menguji isi file cache Internet Explorer. Pasco akan memeriksa informasi dalam file index.dat dan mengeluarkan hasil dalam field delimited sehingga dapat diimpor ke program spreadsheet favorit Anda.
14. scalpel
calpel adalah sebuah tool forensik yang dirancang untuk mengidentifikasikan, mengisolasi dan merecover data dari media komputer selama proses investigasi forensik. Scalpel mencari hard drive, bit-stream image, unallocated space file, atau sembarang file komputer untuk karakteristik, isi atau atribut tertentu, dan menghasilkan laporan mengenai lokasi dan isi artifak yang ditemukan selama proses pencarian elektronik. Scalpel juga menghasilkan (carves) artifak yang ditemukan sebagai file individual.
(SUMBER.tamiyatechnology.blogspot.com/2010/05/it-forensic.html)
1. antiword
Antiword merupakan sebuah aplikasi yang digunakan untuk menampilkan teks dan gambar dokumen Microsoft Word. Antiword hanya mendukung dokumen yang dibuat oleh MS Word versi 2 dan versi 6 atau yang lebih baru.
2. Autopsy
The Autopsy Forensic Browser merupakan antarmuka grafis untuk tool analisis investigasi diginal perintah baris The Sleuth Kit. Bersama, mereka dapat menganalisis disk dan filesistem Windows dan UNIX (NTFS, FAT, UFS1/2, Ext2/3).
3. binhash
binhash merupakan sebuah program sederhana untuk melakukan hashing terhadap berbagai bagian file ELF dan PE untuk perbandingan. Saat ini ia melakukan hash terhadap segmen header dari bagian header segmen obyek ELF dan bagian segmen header obyekPE.
4. sigtool
sigtcol merupakan tool untuk manajemen signature dan database ClamAV. sigtool dapat digunakan untuk rnenghasilkan checksum MD5, konversi data ke dalam format heksadesimal, menampilkan daftar signature virus dan build/unpack/test/verify database CVD dan skrip update.
5. ChaosReader
ChaosReader merupakan sebuah tool freeware untuk melacak sesi TCP/UDP/… dan mengambil data aplikasi dari log tcpdump. la akan mengambil sesi telnet, file FTP, transfer HTTP (HTML, GIF, JPEG,…), email SMTP, dan sebagainya, dari data yang ditangkap oleh log lalu lintas jaringan. Sebuah file index html akan tercipta yang berisikan link ke seluruh detil sesi, termasuk program replay realtime untuk sesi telnet, rlogin, IRC, X11 atau VNC; dan membuat laporan seperti laporan image dan laporan isi HTTP GET/POST.
6. chkrootkit
chkrootkit merupakan sebuah tool untuk memeriksa tanda-tanda adanya rootkit secara lokal. la akan memeriksa utilitas utama apakah terinfeksi, dan saat ini memeriksa sekitar 60 rootkit dan variasinya.
7. dcfldd
Tool ini mulanya dikembangkan di Department of Defense Computer Forensics Lab (DCFL). Meskipun saat ini Nick Harbour tidak lagi berafiliasi dengan DCFL, ia tetap memelihara tool ini.
8. ddrescue
GNU ddrescue merupakan sebuah tool penyelamat data, la menyalinkan data dari satu file atau device blok (hard disc, cdrom, dsb.) ke yang lain, berusaha keras menyelamatkan data dalam hal kegagalan pembacaan. Ddrescue tidak memotong file output bila tidak diminta. Sehingga setiap kali anda menjalankannya kefile output yang sama, ia berusaha mengisi kekosongan.
9. foremost
Foremost merupakan sebuah tool yang dapat digunakan untuk me-recover file berdasarkan header, footer, atau struktur data file tersebut. la mulanya dikembangkan oleh Jesse Kornblum dan Kris Kendall dari the United States Air Force Office of Special Investigations and The Center for Information Systems Security Studies and Research. Saat ini foremost dipelihara oleh Nick Mikus seorang Peneliti di the Naval Postgraduate School Center for Information Systems Security Studies and Research.
10. gqview
Gqview merupakan sebuah program untuk melihat gambar berbasis GTK la mendukung beragam format gambar, zooming, panning, thumbnails, dan pengurutan gambar.
11. galleta
Galleta merupakan sebuah tool yang ditulis oleh Keith J Jones untuk melakukan analisis forensic terhadap cookie Internet Explorer.
12. Ishw
Ishw (Hardware Lister) merupakan sebuah tool kecil yang memberikan informasi detil mengenai konfigurasi hardware dalam mesin. la dapat melaporkan konfigurasi memori dengan tepat, versi firmware, konfigurasi mainboard, versi dan kecepatan CPU, konfigurasi cache, kecepatan bus, dsb. pada sistem t>MI-capable x86 atau sistem EFI.
13. pasco
Banyak penyelidikan kejahatan komputer membutuhkan rekonstruksi aktivitas Internet tersangka. Karena teknik analisis ini dilakukan secara teratur, Keith menyelidiki struktur data yang ditemukan dalam file aktivitas Internet Explorer (file index.dat). Pasco, yang berasal dari bahasa Latin dan berarti “browse”, dikembangkan untuk menguji isi file cache Internet Explorer. Pasco akan memeriksa informasi dalam file index.dat dan mengeluarkan hasil dalam field delimited sehingga dapat diimpor ke program spreadsheet favorit Anda.
14. scalpel
calpel adalah sebuah tool forensik yang dirancang untuk mengidentifikasikan, mengisolasi dan merecover data dari media komputer selama proses investigasi forensik. Scalpel mencari hard drive, bit-stream image, unallocated space file, atau sembarang file komputer untuk karakteristik, isi atau atribut tertentu, dan menghasilkan laporan mengenai lokasi dan isi artifak yang ditemukan selama proses pencarian elektronik. Scalpel juga menghasilkan (carves) artifak yang ditemukan sebagai file individual.
(SUMBER.tamiyatechnology.blogspot.com/2010/05/it-forensic.html)
IT Forensik dan tools yang digunakan
IT Forensik adalah cara untuk menganalisa suatu masalah IT berupa criminal. Banyak pelanggaran di Dunia IT yang sulit untuk diketahui adanya, seperti jejak hacker, software bajakan dan semacamnya. Oleh karena itu… dibuatlah tools untuk menganalisa masalah itu. Ada banyak tools yang dapat digunakan untuk IT forensic. Ada yang freeware dan ada yang lisensi.
* IT forensik bertujuan untuk mendapatkan fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi
* Fakta-fakta tersebut setelah diverifikasi akan menjadi buktibukti (evidence) yang akan digunakan dalam proses hokum
* Metodologi umum dalam proses pemeriksaan insiden sampai proses hukum:
1. Pengumpulan data/fakta dari sistem komputer (harddisk, usb-stick, log, memory-dump, internet, dll) – termasuk di dalamnya data yang sdh terhapus
2. Mendokumentasikan fakta-fakta yang ditemukan dan menjaga integritas data selama proses forensik dan hukum dengan proteksi fisik, penanganan khusus, pembuatan image, dan menggunakan algoritma HASH untuk pembuktian / verifikasi
3. Merunut kejadian (chain of events) berdasarkan waktu kejadian
4. Memvalidasi kejadian2 tersebut dengan metode “sebab-akibat”
5. Dokumentasi hasil yang diperoleh dan menyusun laporan
6. Proses hukum (pengajuan delik, proses persidangan, saksi ahli, dll).
Salah satu contoh tools IT forensic:
Honeypot dan Alat Analisis forensik berdasarkan distro KNOPPIX STD dan Tiny honeypot oleh George Bakos. Alat ini untuk memonitor jaringan untuk intrusi yang tidak sah pada sistem informasi. Alat untuk melakukan analisis forensik pada data yang diambil. Alat ini berlisensi di bawah GNU GPL. Alat ini lingkungan yang lengkap untuk pengujian jaringan dan menggunakan hasilnya untuk melakukan analisis forensik dari data. lingkungan ini memberikan landasan yang kokoh bagi pembangunan, dan penelitian kerentanan. Sebagian dari alat ini terdiri dari komponen yang ditulis dalam kode Shell dan Perl Proyek ini dilakukan oleh Vijay Vikram Shreenivos sebagai bagian dari disertasi tugas akhir masa jabatannya pada James Cook University Singapore. Persyaratan Sistem hardware adalah sebagai berikut :
1. Pentium 150 MHz atau lebih unggul
2. Hard disk IDE atau SCSI (512MB ukuran minimal)
3. Minimal 64MB RAM
4. 1 CDROM Drive SSH ver 1 dan 2.
(SUMBER.parwisart.wordpress.com/.../it-forensik-dan-tolls-yang-digunakan/)
* IT forensik bertujuan untuk mendapatkan fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi
* Fakta-fakta tersebut setelah diverifikasi akan menjadi buktibukti (evidence) yang akan digunakan dalam proses hokum
* Metodologi umum dalam proses pemeriksaan insiden sampai proses hukum:
1. Pengumpulan data/fakta dari sistem komputer (harddisk, usb-stick, log, memory-dump, internet, dll) – termasuk di dalamnya data yang sdh terhapus
2. Mendokumentasikan fakta-fakta yang ditemukan dan menjaga integritas data selama proses forensik dan hukum dengan proteksi fisik, penanganan khusus, pembuatan image, dan menggunakan algoritma HASH untuk pembuktian / verifikasi
3. Merunut kejadian (chain of events) berdasarkan waktu kejadian
4. Memvalidasi kejadian2 tersebut dengan metode “sebab-akibat”
5. Dokumentasi hasil yang diperoleh dan menyusun laporan
6. Proses hukum (pengajuan delik, proses persidangan, saksi ahli, dll).
Salah satu contoh tools IT forensic:
Honeypot dan Alat Analisis forensik berdasarkan distro KNOPPIX STD dan Tiny honeypot oleh George Bakos. Alat ini untuk memonitor jaringan untuk intrusi yang tidak sah pada sistem informasi. Alat untuk melakukan analisis forensik pada data yang diambil. Alat ini berlisensi di bawah GNU GPL. Alat ini lingkungan yang lengkap untuk pengujian jaringan dan menggunakan hasilnya untuk melakukan analisis forensik dari data. lingkungan ini memberikan landasan yang kokoh bagi pembangunan, dan penelitian kerentanan. Sebagian dari alat ini terdiri dari komponen yang ditulis dalam kode Shell dan Perl Proyek ini dilakukan oleh Vijay Vikram Shreenivos sebagai bagian dari disertasi tugas akhir masa jabatannya pada James Cook University Singapore. Persyaratan Sistem hardware adalah sebagai berikut :
1. Pentium 150 MHz atau lebih unggul
2. Hard disk IDE atau SCSI (512MB ukuran minimal)
3. Minimal 64MB RAM
4. 1 CDROM Drive SSH ver 1 dan 2.
(SUMBER.parwisart.wordpress.com/.../it-forensik-dan-tolls-yang-digunakan/)
Prosedur Forensik
Prosedur Forensik
Prosedur Forensik
Generally Umumnya
Undang-Undang '] The Prosedur Forensik UU 2000 [' itu berlaku untuk memungkinkan prosedur forensik yang akan dilaksanakan pada orang-orang tertentu seperti tersangka atau orang yang dituduh melakukan tindak serius, untuk membantu polisi dalam memecahkan kejahatan. Sebuah prosedur forensik non-intim mungkin melibatkan mengambil sampel darah, air liur atau bulu (bukan rambut kemaluan) atau pemeriksaan luar dari bagian tubuh, selain merupakan bagian tubuh yang intim. Sampel yang paling umum saat ini diambil adalah buccal swab (di bagian dalam pipi). Sebuah prosedur forensik intim mungkin melibatkan pemeriksaan luar kelamin, dubur, pantat, payudara, sebuah rongga tubuh internal selain mulut dan pengambilan sampel rambut kemaluan.
Exclusions Pengecualian
Undang-undang tidak memungkinkan prosedur forensik yang akan dilaksanakan pada anak di bawah 10 tahun atau bagi para korban pelanggaran. Undang-undang juga tidak berlaku untuk foto dan rekaman video yang diperoleh dalam operasi pengawasan polisi.
Circumstances For Carrying Out Forensic Procedure Keadaan Untuk Penyelenggaraan Prosedur Forensik
Sebuah prosedur forensik intim dapat dilakukan pada tersangka atau dibebankan orang (orang yang ditangkap dan dituduh melakukan pelanggaran serius) yang 15 tahun atau lebih, asalkan tersangka atau dibebankan orang telah memberikan persetujuan mereka. Informed consent adalah persetujuan yang diberikan setelah semua rincian prosedur telah menjelaskan kepada orang tersebut. Jika tersangka atau dibebankan orang yang tidak memberikan persetujuan untuk prosedur forensik yang sedang dilakukan, polisi harus mendapatkan perintah dari hakim.
Sebuah prosedur forensik non-intim dapat dilakukan terhadap tersangka atau orang yang dibebankan adalah 15 tahun atau lebih, asalkan tersangka atau dibebankan orang telah memberikan persetujuan untuk prosedur. Jika tersangka atau dibebankan orang yang tidak memberikan persetujuan untuk prosedur forensik yang sedang dilakukan, Order Polisi harus diperoleh.
Dimana seorang tersangka atau orang yang dikenakan di bawah 15 tahun, suatu prosedur forensik dapat dilakukan pada orang yang jika keduanya tersangka atau orang yang dibebankan dan orangtua mereka telah memberikan informed consent untuk prosedur. Sekali lagi, jika tersangka atau dibebankan orang atau orang tua mereka menolak untuk memberikan persetujuan mereka, perintah hakim harus diperoleh.
Seorang tersangka atau dibebankan orang dapat menarik persetujuan mereka dengan prosedur forensik sebelum atau selama pelaksanaan prosedur, baik dengan mengatakan begitu atau berperilaku sedemikian rupa untuk menunjukkan bahwa persetujuan mereka telah ditarik.
Carrying Out Of Forensic Procedures Tercatat Out Of Forensik Prosedur
Sebuah prosedur forensik harus dilakukan dalam keadaan affording privasi yang wajar untuk orang yang mengalami prosedur dan harus dilaksanakan sesuai dengan standar medis yang tepat.
A forensic procedure may only be carried out by an authorised person. Sebuah prosedur forensik hanya dapat dilakukan oleh orang yang berwenang. The Act contains a list of all forensic procedures and the persons authorised to carry out those procedures. UU berisi daftar semua prosedur forensik dan orang-orang yang berwenang untuk melaksanakan prosedur tersebut.. Ini umumnya praktisi medis, perawat, dokter gigi, dan dalam beberapa situasi, petugas polisi.
Jika memungkinkan, sebuah prosedur forensik intim (selain mengambil dari kesan gigi atau x-ray) akan dilakukan oleh seseorang yang berjenis kelamin sama dengan orang menjalani prosedur. Sebuah prosedur forensik non-intim untuk mana orang tersebut harus menghapus pakaian meliputi bagian intim tubuh juga akan dilakukan oleh orang dari jenis kelamin yang sama.
Semua prosedur forensik terhadap tersangka atau dibebankan orang di bawah usia 15 tahun harus dilakukan di hadapan orang tua, atau jika kedua orang tua tidak tersedia, saksi independen lebih dari 18 tahun yang bukan petugas polisi dan tidak tersangka atau dibebankan orang tua '.
petugas Polisi dapat hadir dalam pelaksanaan prosedur forensik untuk tujuan keselamatan, keamanan, kontinuitas bukti, penyelidikan dan efektif melaksanakan prosedur sesuai dengan UU.
Use Of Force Penggunaan Angkatan
Jika pelaksanaan prosedur forensik diberi kewenangan berdasarkan Undang-Undang, pihak yang berwenang dan polisi mungkin menggunakan kekerasan untuk mengaktifkan prosedur forensik yang akan dilakukan dan untuk mencegah kerugian, kerusakan atau kontaminasi setiap sampel.
Seorang petugas polisi mungkin, sambil menunggu aplikasi untuk perintah forensik yang akan ditentukan oleh hakim, juga menggunakan kekerasan untuk mencegah tersangka atau dibebankan orang, jika dalam tahanan, merusak atau mencemari bukti yang mungkin diperoleh dengan melakukan yang forensik prosedur. Ini tidak, namun, mengesahkan pelaksanaan prosedur forensik.
Magistrates Order Penguasa Orde
Seorang petugas polisi dapat berlaku untuk hakim untuk perintah otorisasi pelaksanaan dari prosedur forensik intim pada tersangka atau dibebankan orang dari setiap umur atau prosedur forensik non-intim pada tersangka atau dibebankan orang yang berada di bawah usia 15 tahun. . Seorang hakim hanya akan mengeluarkan surat perintah kalau puas order dibenarkan dalam semua keadaan.
Refusing Or Obstructing Forensic Procedure Menolak atau menghalangi Prosedur Forensik
I Jika seorang polisi atau hakim yang membuat perintah otorisasi pelaksanaan prosedur forensik terhadap tersangka atau orang yang dibebankan, bukti bahwa tersangka atau dibebankan orang:
menolak untuk mematuhi semua arah yang masuk akal untuk melaksanakan prosedur forensik; atau
seseorang terhambat sehubungan dengan pelaksanaan prosedur forensik; atau
menolak seseorang sehubungan dengan pelaksanaan prosedur forensik; atau
menghambat seseorang sehubungan dengan pelaksanaan prosedur forensik; atau
digunakan kekerasan terhadap seseorang sehubungan dengan pelaksanaan prosedur forensik; atau
mengancam seseorang sehubungan dengan pelaksanaan prosedur forensik; atau
diintimidasi seseorang sehubungan dengan pelaksanaan prosedur forensik -
yang diterima dalam setiap proses hukum terhadap tersangka atau orang yang dibebankan sehubungan dengan tindak pidana yang prosedur forensik dilakukan.
(SUMBER.www.legalaid.tas.gov.au/factsheets/Forensic%20Procedures.html
Prosedur Forensik
Generally Umumnya
Undang-Undang '] The Prosedur Forensik UU 2000 [' itu berlaku untuk memungkinkan prosedur forensik yang akan dilaksanakan pada orang-orang tertentu seperti tersangka atau orang yang dituduh melakukan tindak serius, untuk membantu polisi dalam memecahkan kejahatan. Sebuah prosedur forensik non-intim mungkin melibatkan mengambil sampel darah, air liur atau bulu (bukan rambut kemaluan) atau pemeriksaan luar dari bagian tubuh, selain merupakan bagian tubuh yang intim. Sampel yang paling umum saat ini diambil adalah buccal swab (di bagian dalam pipi). Sebuah prosedur forensik intim mungkin melibatkan pemeriksaan luar kelamin, dubur, pantat, payudara, sebuah rongga tubuh internal selain mulut dan pengambilan sampel rambut kemaluan.
Exclusions Pengecualian
Undang-undang tidak memungkinkan prosedur forensik yang akan dilaksanakan pada anak di bawah 10 tahun atau bagi para korban pelanggaran. Undang-undang juga tidak berlaku untuk foto dan rekaman video yang diperoleh dalam operasi pengawasan polisi.
Circumstances For Carrying Out Forensic Procedure Keadaan Untuk Penyelenggaraan Prosedur Forensik
Sebuah prosedur forensik intim dapat dilakukan pada tersangka atau dibebankan orang (orang yang ditangkap dan dituduh melakukan pelanggaran serius) yang 15 tahun atau lebih, asalkan tersangka atau dibebankan orang telah memberikan persetujuan mereka. Informed consent adalah persetujuan yang diberikan setelah semua rincian prosedur telah menjelaskan kepada orang tersebut. Jika tersangka atau dibebankan orang yang tidak memberikan persetujuan untuk prosedur forensik yang sedang dilakukan, polisi harus mendapatkan perintah dari hakim.
Sebuah prosedur forensik non-intim dapat dilakukan terhadap tersangka atau orang yang dibebankan adalah 15 tahun atau lebih, asalkan tersangka atau dibebankan orang telah memberikan persetujuan untuk prosedur. Jika tersangka atau dibebankan orang yang tidak memberikan persetujuan untuk prosedur forensik yang sedang dilakukan, Order Polisi harus diperoleh.
Dimana seorang tersangka atau orang yang dikenakan di bawah 15 tahun, suatu prosedur forensik dapat dilakukan pada orang yang jika keduanya tersangka atau orang yang dibebankan dan orangtua mereka telah memberikan informed consent untuk prosedur. Sekali lagi, jika tersangka atau dibebankan orang atau orang tua mereka menolak untuk memberikan persetujuan mereka, perintah hakim harus diperoleh.
Seorang tersangka atau dibebankan orang dapat menarik persetujuan mereka dengan prosedur forensik sebelum atau selama pelaksanaan prosedur, baik dengan mengatakan begitu atau berperilaku sedemikian rupa untuk menunjukkan bahwa persetujuan mereka telah ditarik.
Carrying Out Of Forensic Procedures Tercatat Out Of Forensik Prosedur
Sebuah prosedur forensik harus dilakukan dalam keadaan affording privasi yang wajar untuk orang yang mengalami prosedur dan harus dilaksanakan sesuai dengan standar medis yang tepat.
A forensic procedure may only be carried out by an authorised person. Sebuah prosedur forensik hanya dapat dilakukan oleh orang yang berwenang. The Act contains a list of all forensic procedures and the persons authorised to carry out those procedures. UU berisi daftar semua prosedur forensik dan orang-orang yang berwenang untuk melaksanakan prosedur tersebut.. Ini umumnya praktisi medis, perawat, dokter gigi, dan dalam beberapa situasi, petugas polisi.
Jika memungkinkan, sebuah prosedur forensik intim (selain mengambil dari kesan gigi atau x-ray) akan dilakukan oleh seseorang yang berjenis kelamin sama dengan orang menjalani prosedur. Sebuah prosedur forensik non-intim untuk mana orang tersebut harus menghapus pakaian meliputi bagian intim tubuh juga akan dilakukan oleh orang dari jenis kelamin yang sama.
Semua prosedur forensik terhadap tersangka atau dibebankan orang di bawah usia 15 tahun harus dilakukan di hadapan orang tua, atau jika kedua orang tua tidak tersedia, saksi independen lebih dari 18 tahun yang bukan petugas polisi dan tidak tersangka atau dibebankan orang tua '.
petugas Polisi dapat hadir dalam pelaksanaan prosedur forensik untuk tujuan keselamatan, keamanan, kontinuitas bukti, penyelidikan dan efektif melaksanakan prosedur sesuai dengan UU.
Use Of Force Penggunaan Angkatan
Jika pelaksanaan prosedur forensik diberi kewenangan berdasarkan Undang-Undang, pihak yang berwenang dan polisi mungkin menggunakan kekerasan untuk mengaktifkan prosedur forensik yang akan dilakukan dan untuk mencegah kerugian, kerusakan atau kontaminasi setiap sampel.
Seorang petugas polisi mungkin, sambil menunggu aplikasi untuk perintah forensik yang akan ditentukan oleh hakim, juga menggunakan kekerasan untuk mencegah tersangka atau dibebankan orang, jika dalam tahanan, merusak atau mencemari bukti yang mungkin diperoleh dengan melakukan yang forensik prosedur. Ini tidak, namun, mengesahkan pelaksanaan prosedur forensik.
Magistrates Order Penguasa Orde
Seorang petugas polisi dapat berlaku untuk hakim untuk perintah otorisasi pelaksanaan dari prosedur forensik intim pada tersangka atau dibebankan orang dari setiap umur atau prosedur forensik non-intim pada tersangka atau dibebankan orang yang berada di bawah usia 15 tahun. . Seorang hakim hanya akan mengeluarkan surat perintah kalau puas order dibenarkan dalam semua keadaan.
Refusing Or Obstructing Forensic Procedure Menolak atau menghalangi Prosedur Forensik
I Jika seorang polisi atau hakim yang membuat perintah otorisasi pelaksanaan prosedur forensik terhadap tersangka atau orang yang dibebankan, bukti bahwa tersangka atau dibebankan orang:
menolak untuk mematuhi semua arah yang masuk akal untuk melaksanakan prosedur forensik; atau
seseorang terhambat sehubungan dengan pelaksanaan prosedur forensik; atau
menolak seseorang sehubungan dengan pelaksanaan prosedur forensik; atau
menghambat seseorang sehubungan dengan pelaksanaan prosedur forensik; atau
digunakan kekerasan terhadap seseorang sehubungan dengan pelaksanaan prosedur forensik; atau
mengancam seseorang sehubungan dengan pelaksanaan prosedur forensik; atau
diintimidasi seseorang sehubungan dengan pelaksanaan prosedur forensik -
yang diterima dalam setiap proses hukum terhadap tersangka atau orang yang dibebankan sehubungan dengan tindak pidana yang prosedur forensik dilakukan.
(SUMBER.www.legalaid.tas.gov.au/factsheets/Forensic%20Procedures.html
Investigasi Insiden Keamanan Forensics
HHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH
HHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH HHHHHHHHHHHH HHHHHHHHHHHHHHHHHHHHHHHHHHHH
HHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH HHHHHHHHHHHH HHHHHHHHHHHHHHHHHHHHHHHHHHHH
HHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH HHHHHHHHHHHH HHHHHHHHHHHHHHHHHHHHHHHHHHHH
HHHHHHHHHHHHHHHHHHHHH HHHH HHH HHHHHH HHH HHH HH HH H HHHH HH
HHHHHHHHHHHHHHHHHHHH H HH H HH HHH HH HHHHHHH HHHHHH HH H H
HHHHHHHHHHHHHHHHHHHH HH HHHHH H HH H HH HHHHHH HHH HH H HH H
HHHHHHHHHHHHHHHHHHHH HHHHH HHHHH H HH H HH HHHHH HHHH HH H HH HHHH
HHHHHHHHHHHHHHHHHHHH H HH H HH H HH H HH HHHH HHHHH HH H HH H H
HHHHHHHHHHHHHHHHHHHHH HHHH HHH H HHH HHH HHH HH HH H HHH HH
HHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH
echo|zine, Vol 3 Issue 11, 05-05-05
------------| Digital Forensic: Investigasi Insiden Keamanan
Biatch-X
"How prepared is your environment? If you are not sure, then you are
not prepared."
-- John Tan.
------| Preface
Mungkin kalian sudah pernah mendengar nama 'forensik'. Apabila terdapat
suatu kejadian kriminal dan pelaku tidak ditemukan, adalah tugas ahli
forensik yang mengungkap ciri khas atau sesuatu yang unik pada tempat
kejadian atau korban sehingga pelaku kejahatan dapat dilacak. Hal tersebut
dimungkinkan karena setiap tindakan kriminal pasti meninggalkan jejak
walaupun hanya sehelai rambut.
Kali ini kita akan membahas 'Digital Forensic', hampir mirip dengan
'forensic' yang biasa digunakan oleh pihak kepolisian untuk menemukan
jati diri (identity) dari pelaku kejahatan tersebut. Yang membedakan
hanya terletak pada 'aerial' (tempat).
Tujuan artikel ini adalah pengenalan terhadap 'Digital Forensic' dan
memahami bagaimana sebuah proses investigasi dilakukan dengan pemicu
sebuah insiden keamanan.
------| Investigasi
Dalam melakukan analisis sebuah komputer yang telah berhasil disusupi,
terkadang memakan waktu lebih lama daripada aksi penyusupan itu sendiri.
Kecepatan sebuah organisasi memberikan respon sebuah insiden tergantung
dari kewaspadaan yang dimiliki organisasi tersebut.
Sebagai ilustrasi, jika sebuah usaha hacking untuk mengambil alih sebuah
system membutuhkan waktu sekitar 2 jam, maka proses investigasi insiden
yang terjadi dapat membutuhkan waktu 40 jam (mungkin juga lebih) untuk
mendapatkan 'false-positive report' dan berbagai 'evidences'. Waktu yang
dialokasikan tersebut belum termasuk aktivitas memperbaiki dan mengembalikan
(restoring) data yang kemungkinan besar ikut hilang pada proses intrusi.
Perbedaan 'cost' antara proses pencegahan dan perbaikan cukup besar dan
ikut mempengaruhi kesigapan sebuah organisasi dalam menghadapi sebuah
insiden pada sistem yang mereka miliki.
---| Key questions
Untuk mempersiapkan yang terbaik sebelum terjadinya sebuah penyusupan,
sebuah organisasi perlu untuk menjawab beberapa pertanyaan penting.
* Bagaimana sebaiknya kami menyediakan laporan dari sebuah
penyusupan yang terjadi?
* Ketika sebuah penyusupan terdeteksi, apa rencana kelanjutan-bisnis
kedepan?
* Data apa yang harus kami tangkap (capture) sebelum, sementara,
dan sesudah terjadinya suatu penyusupan?
---| Collecting the Evidence
Dalam sebuah kasus pembunuhan, polisi akan mengumpulkan semua bukti dan
petunjuk dimulai dengan menghentikan semua akses fisik ke TKP (Tempat
Kejadian Perkara) dan membuat dokumentasi gambar (picture/image) dari
TKP. Pada kasus investigasi digital, seorang investigator yang menangani
kasus penyusupan sistem akan melakukan hal serupa. Informasi sebuah
penyusupan umumnya terdapat pada 'hard disk' dari sistem. Pengumpulan
bukti dilakukan dengan membuat digital image (salah satu cara adalah
melakukan disk mirrorring) dari sistem yang disusupi untuk menjaga
keaslian informasi selama proses investigasi. Secara ideal, investigator
akan membuat sistem tersebut offline dan menyimpan disk asli sebagai
bukti dan melakukan analisis pada salinan disk berupa image.
Pembuatan salinan disk berupa image harus dilakukan secepat mungkin
untuk menjaga integritas dari bukti penyusupan karena setiap user
yang memiliki akses dapat menghilangkan atau mengacaukan bukti kejahatan
dengan melakukan proses overwrite pada file. Bahkan pada back-up system
yang dilakukan secara reguler dapat memodifikasi waktu pada sistem
seperti 'last accessed', 'last modified' dan 'create' sebuah file.
Beberapa aplikasi bahkan dapat memberikan 'null point' pada
'time-accessed logs'.
---| Retaining The Evidence
Selanjutnya yang harus dilakukan dalam proses 'digital forensic' adalah
mengumpulkan sebuah buti terjadinya penyusupan pada sistem. Lalu menetapkan
rantai penyidikan (chain-of-custody). Beberapa dokumen harus disiapkan
untuk menyimpan bukti penyidikan yang akan digunakan di pengadilan.
Sebuah formulir isian dari setiap item akan sangat membantu proses
penyidikan. Formulir tersebut harus membuat penjelasan mengenai item
yang dimaksud serta hal-hal pendukung lainnya.
Penyidikan dilakukan terhadap salinan image dari disk yang asli. Image
tersebut harus dikirimkan kepada ahli digital forensic melalui kurir
yang dipercaya. Sementara disk yang asli harus disimpan bersama
chain-of-custody.
Contoh formulir isian yang dapat digunakan:
+-------------------------------------------------------+
| |
| * SUBLIME SECURITY LABS * |
| |
| |
| Item Description : |
| ......................................... |
| ......................................... |
| ......................................... |
| |
| |
| CHAIN OF CUSTODY DOCUMENTATION |
| |
| Name |
| ......................................... |
| |
| Signature |
| ......................................... |
| |
| Date & Time |
| ......................................... |
| |
| Purpose |
| ......................................... |
| ......................................... |
| ......................................... |
| ......................................... |
| ......................................... |
| ......................................... |
| |
| |
| |
+-------------------------------------------------------+
Jika disk asli tidak dapat dibuat offline untuk dibuatkan image-nya, maka
bukti lain dapat dipergunakan. Bukti yang dimaksud termasuk yang bersifat
non-computing seperti saksi mata atau logfiles dari
* Intrusion Detection System (IDS) dan Firewall logs, yang tersimpan
di komputer lain seperti Management Service Provider
* Logs dari komputer lain yang ikut dipakai oleh intruder.
Perlu diperhatikan catatan waktu yang tertera pada log dan disesuaikan
dengan Greenwich Mean Time (GMT).
Hal yang harus diperhatikan dengan seksama adalah Backdoors. Backdoors
dapat berupa aplikasi remote, konfigurasi sistem yang salah, penambahan
user baru, extra services atau memodifikasi proses.
------| Business Continuity
---| Reconstitution
Aturan pertama dari 'reconstitution' adalah melakukan re-install dan
'restore backup' untuk mengantisipasi 'service setting' yang vulnerable,
hal ini untuk mengurangi kemungkinan sistem akan disusupi kembali.
Lakukan juga terhadap prosedur penyimpanan. Dalam banyak kasus, restorasi
data tidak dapat dihindarkan, tetapi dapat diminimalisasi.
---| Host Hardening
Jangan pernah bergantung pada patches saja. Walaupun operating system dan
aplikasi telah menyediakan patch untuk setiap vulnerability, seringkali
lemah dalam filesystem permission. Host hardening membatasi semua yang
tidak mempunyai fungsi vital. Ini termasuk setting konfigurasi keamanan
yang baik dan edukasi user.
Setelah sistem dibersihkan dari fungsi-fungsi yang tidak perlu, penggunaan
aplikasi pengganti yang cenderung aman sangatlah disarankan, sebagai contoh
penggunaan telnet diganti dengan SSH. Selain itu, pembatasan hak akses user
yang dibatasi untuk menjalankan service juga disarankan seperti memberikan
hak akses kepada program 'su' hanya kepada staff administrasi saja.
---| Logging
Ketika insiden penyusupan terjadi, Anda harus melakukan pengumpulan bukti
dan melakukan analisis, 'system hardening', dan membangun kembali sistem
tersebut. Sebuah logging system yang komplit dan akurat dapat membantu
proses penyidikan.
Untuk menggunakan log secara efektif, jawablah pertanyaan dibawah ini.
* Informasi apa yang tersimpan didalam log?
* Dimanakah log akan disimpan?
* Bagaimana log akan dilindungi?
* Bagaimana melakukan korelasi log dari beberapa sistem komputer?
* Bagaimana caranya waktu disamakan (synchronized)?
Jika Anda dapat menjawab semua pertanyaan diatas dan telah mengimplementasi-
kannya, berarti Anda telah selangkah lebih maju daripada para penyusup.
---| Recovering from 'Incident'
* Image system disk suspected of being compromised.
* Document incident evidence and chain of custody.
* Safeguard copies of evidence.
* Reinstall as much as possible.
* Restore only what cannot be reinstalled.
* Harden the system.
* Look for additional weaknesses.
* Continually patch and harden the system.
* Regularly audit the system.
------| Conclusion
Digital Forensic dapat menyita waktu anda, ambillah beberapa waktu untuk
segera menyiapkan sistem Anda dari serangan sebelum serangan itu terjadi.
Ini akan sangat membantu Anda untuk melakukan analisis, mengumpulkan bukti
dan memperbaiki sistem serta 'data restore' juga sangat menghemat waktu
ketika sistem Anda disusupi.
"Planning and policies are the keys to successful forensic analysis."
-- John Tan.
"when a wannabe become a true hacker, they leave a unique trace of who
they are."
-- vQ.
------| References
* John Tan @ SBQ - www.sbq.com
* Secure Business Quarterly, 196 Broadway. Cambridge, MA 02139 USA
* http://www.ietf.org/internet-drafts/draft-ietf-syslog-auth-00.txt
* http://citeseer.nj.nec.com/bishop90security.html
* Stealing the Network. (Chapter: The Art of Tracking by M. Burnett)
------| Greetz
ISIC Staff, eCHO staff and Chatterz, Aikmel Crew and Chatterz, 1st Link,
kudel, X-Window, Bandung (cewek-cewek disana cakep-cakep euy), HyDr4,
mitha_cute, AHL Boys, mitha_moore, Co_bain, anak² sukaluyu (Bdg),
para eggdroperz, slashcore, jimgeovedi dan kalian semua.
SSL Staff (mari kita lanjutkan Project Indonesia Bebas Intruder), K-159,
yudhax, SlimJim100, SakitJiwa, Pey.
EgLa (the best thing that ever happen to myself).
---| EOF
(SUMBER.ezine.echo.or.id/ezine11/echo11-004.txt)
HHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH HHHHHHHHHHHH HHHHHHHHHHHHHHHHHHHHHHHHHHHH
HHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH HHHHHHHHHHHH HHHHHHHHHHHHHHHHHHHHHHHHHHHH
HHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH HHHHHHHHHHHH HHHHHHHHHHHHHHHHHHHHHHHHHHHH
HHHHHHHHHHHHHHHHHHHHH HHHH HHH HHHHHH HHH HHH HH HH H HHHH HH
HHHHHHHHHHHHHHHHHHHH H HH H HH HHH HH HHHHHHH HHHHHH HH H H
HHHHHHHHHHHHHHHHHHHH HH HHHHH H HH H HH HHHHHH HHH HH H HH H
HHHHHHHHHHHHHHHHHHHH HHHHH HHHHH H HH H HH HHHHH HHHH HH H HH HHHH
HHHHHHHHHHHHHHHHHHHH H HH H HH H HH H HH HHHH HHHHH HH H HH H H
HHHHHHHHHHHHHHHHHHHHH HHHH HHH H HHH HHH HHH HH HH H HHH HH
HHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH
echo|zine, Vol 3 Issue 11, 05-05-05
------------| Digital Forensic: Investigasi Insiden Keamanan
Biatch-X
"How prepared is your environment? If you are not sure, then you are
not prepared."
-- John Tan.
------| Preface
Mungkin kalian sudah pernah mendengar nama 'forensik'. Apabila terdapat
suatu kejadian kriminal dan pelaku tidak ditemukan, adalah tugas ahli
forensik yang mengungkap ciri khas atau sesuatu yang unik pada tempat
kejadian atau korban sehingga pelaku kejahatan dapat dilacak. Hal tersebut
dimungkinkan karena setiap tindakan kriminal pasti meninggalkan jejak
walaupun hanya sehelai rambut.
Kali ini kita akan membahas 'Digital Forensic', hampir mirip dengan
'forensic' yang biasa digunakan oleh pihak kepolisian untuk menemukan
jati diri (identity) dari pelaku kejahatan tersebut. Yang membedakan
hanya terletak pada 'aerial' (tempat).
Tujuan artikel ini adalah pengenalan terhadap 'Digital Forensic' dan
memahami bagaimana sebuah proses investigasi dilakukan dengan pemicu
sebuah insiden keamanan.
------| Investigasi
Dalam melakukan analisis sebuah komputer yang telah berhasil disusupi,
terkadang memakan waktu lebih lama daripada aksi penyusupan itu sendiri.
Kecepatan sebuah organisasi memberikan respon sebuah insiden tergantung
dari kewaspadaan yang dimiliki organisasi tersebut.
Sebagai ilustrasi, jika sebuah usaha hacking untuk mengambil alih sebuah
system membutuhkan waktu sekitar 2 jam, maka proses investigasi insiden
yang terjadi dapat membutuhkan waktu 40 jam (mungkin juga lebih) untuk
mendapatkan 'false-positive report' dan berbagai 'evidences'. Waktu yang
dialokasikan tersebut belum termasuk aktivitas memperbaiki dan mengembalikan
(restoring) data yang kemungkinan besar ikut hilang pada proses intrusi.
Perbedaan 'cost' antara proses pencegahan dan perbaikan cukup besar dan
ikut mempengaruhi kesigapan sebuah organisasi dalam menghadapi sebuah
insiden pada sistem yang mereka miliki.
---| Key questions
Untuk mempersiapkan yang terbaik sebelum terjadinya sebuah penyusupan,
sebuah organisasi perlu untuk menjawab beberapa pertanyaan penting.
* Bagaimana sebaiknya kami menyediakan laporan dari sebuah
penyusupan yang terjadi?
* Ketika sebuah penyusupan terdeteksi, apa rencana kelanjutan-bisnis
kedepan?
* Data apa yang harus kami tangkap (capture) sebelum, sementara,
dan sesudah terjadinya suatu penyusupan?
---| Collecting the Evidence
Dalam sebuah kasus pembunuhan, polisi akan mengumpulkan semua bukti dan
petunjuk dimulai dengan menghentikan semua akses fisik ke TKP (Tempat
Kejadian Perkara) dan membuat dokumentasi gambar (picture/image) dari
TKP. Pada kasus investigasi digital, seorang investigator yang menangani
kasus penyusupan sistem akan melakukan hal serupa. Informasi sebuah
penyusupan umumnya terdapat pada 'hard disk' dari sistem. Pengumpulan
bukti dilakukan dengan membuat digital image (salah satu cara adalah
melakukan disk mirrorring) dari sistem yang disusupi untuk menjaga
keaslian informasi selama proses investigasi. Secara ideal, investigator
akan membuat sistem tersebut offline dan menyimpan disk asli sebagai
bukti dan melakukan analisis pada salinan disk berupa image.
Pembuatan salinan disk berupa image harus dilakukan secepat mungkin
untuk menjaga integritas dari bukti penyusupan karena setiap user
yang memiliki akses dapat menghilangkan atau mengacaukan bukti kejahatan
dengan melakukan proses overwrite pada file. Bahkan pada back-up system
yang dilakukan secara reguler dapat memodifikasi waktu pada sistem
seperti 'last accessed', 'last modified' dan 'create' sebuah file.
Beberapa aplikasi bahkan dapat memberikan 'null point' pada
'time-accessed logs'.
---| Retaining The Evidence
Selanjutnya yang harus dilakukan dalam proses 'digital forensic' adalah
mengumpulkan sebuah buti terjadinya penyusupan pada sistem. Lalu menetapkan
rantai penyidikan (chain-of-custody). Beberapa dokumen harus disiapkan
untuk menyimpan bukti penyidikan yang akan digunakan di pengadilan.
Sebuah formulir isian dari setiap item akan sangat membantu proses
penyidikan. Formulir tersebut harus membuat penjelasan mengenai item
yang dimaksud serta hal-hal pendukung lainnya.
Penyidikan dilakukan terhadap salinan image dari disk yang asli. Image
tersebut harus dikirimkan kepada ahli digital forensic melalui kurir
yang dipercaya. Sementara disk yang asli harus disimpan bersama
chain-of-custody.
Contoh formulir isian yang dapat digunakan:
+-------------------------------------------------------+
| |
| * SUBLIME SECURITY LABS * |
| |
| |
| Item Description : |
| ......................................... |
| ......................................... |
| ......................................... |
| |
| |
| CHAIN OF CUSTODY DOCUMENTATION |
| |
| Name |
| ......................................... |
| |
| Signature |
| ......................................... |
| |
| Date & Time |
| ......................................... |
| |
| Purpose |
| ......................................... |
| ......................................... |
| ......................................... |
| ......................................... |
| ......................................... |
| ......................................... |
| |
| |
| |
+-------------------------------------------------------+
Jika disk asli tidak dapat dibuat offline untuk dibuatkan image-nya, maka
bukti lain dapat dipergunakan. Bukti yang dimaksud termasuk yang bersifat
non-computing seperti saksi mata atau logfiles dari
* Intrusion Detection System (IDS) dan Firewall logs, yang tersimpan
di komputer lain seperti Management Service Provider
* Logs dari komputer lain yang ikut dipakai oleh intruder.
Perlu diperhatikan catatan waktu yang tertera pada log dan disesuaikan
dengan Greenwich Mean Time (GMT).
Hal yang harus diperhatikan dengan seksama adalah Backdoors. Backdoors
dapat berupa aplikasi remote, konfigurasi sistem yang salah, penambahan
user baru, extra services atau memodifikasi proses.
------| Business Continuity
---| Reconstitution
Aturan pertama dari 'reconstitution' adalah melakukan re-install dan
'restore backup' untuk mengantisipasi 'service setting' yang vulnerable,
hal ini untuk mengurangi kemungkinan sistem akan disusupi kembali.
Lakukan juga terhadap prosedur penyimpanan. Dalam banyak kasus, restorasi
data tidak dapat dihindarkan, tetapi dapat diminimalisasi.
---| Host Hardening
Jangan pernah bergantung pada patches saja. Walaupun operating system dan
aplikasi telah menyediakan patch untuk setiap vulnerability, seringkali
lemah dalam filesystem permission. Host hardening membatasi semua yang
tidak mempunyai fungsi vital. Ini termasuk setting konfigurasi keamanan
yang baik dan edukasi user.
Setelah sistem dibersihkan dari fungsi-fungsi yang tidak perlu, penggunaan
aplikasi pengganti yang cenderung aman sangatlah disarankan, sebagai contoh
penggunaan telnet diganti dengan SSH. Selain itu, pembatasan hak akses user
yang dibatasi untuk menjalankan service juga disarankan seperti memberikan
hak akses kepada program 'su' hanya kepada staff administrasi saja.
---| Logging
Ketika insiden penyusupan terjadi, Anda harus melakukan pengumpulan bukti
dan melakukan analisis, 'system hardening', dan membangun kembali sistem
tersebut. Sebuah logging system yang komplit dan akurat dapat membantu
proses penyidikan.
Untuk menggunakan log secara efektif, jawablah pertanyaan dibawah ini.
* Informasi apa yang tersimpan didalam log?
* Dimanakah log akan disimpan?
* Bagaimana log akan dilindungi?
* Bagaimana melakukan korelasi log dari beberapa sistem komputer?
* Bagaimana caranya waktu disamakan (synchronized)?
Jika Anda dapat menjawab semua pertanyaan diatas dan telah mengimplementasi-
kannya, berarti Anda telah selangkah lebih maju daripada para penyusup.
---| Recovering from 'Incident'
* Image system disk suspected of being compromised.
* Document incident evidence and chain of custody.
* Safeguard copies of evidence.
* Reinstall as much as possible.
* Restore only what cannot be reinstalled.
* Harden the system.
* Look for additional weaknesses.
* Continually patch and harden the system.
* Regularly audit the system.
------| Conclusion
Digital Forensic dapat menyita waktu anda, ambillah beberapa waktu untuk
segera menyiapkan sistem Anda dari serangan sebelum serangan itu terjadi.
Ini akan sangat membantu Anda untuk melakukan analisis, mengumpulkan bukti
dan memperbaiki sistem serta 'data restore' juga sangat menghemat waktu
ketika sistem Anda disusupi.
"Planning and policies are the keys to successful forensic analysis."
-- John Tan.
"when a wannabe become a true hacker, they leave a unique trace of who
they are."
-- vQ.
------| References
* John Tan @ SBQ - www.sbq.com
* Secure Business Quarterly, 196 Broadway. Cambridge, MA 02139 USA
* http://www.ietf.org/internet-drafts/draft-ietf-syslog-auth-00.txt
* http://citeseer.nj.nec.com/bishop90security.html
* Stealing the Network. (Chapter: The Art of Tracking by M. Burnett)
------| Greetz
ISIC Staff, eCHO staff and Chatterz, Aikmel Crew and Chatterz, 1st Link,
kudel, X-Window, Bandung (cewek-cewek disana cakep-cakep euy), HyDr4,
mitha_cute, AHL Boys, mitha_moore, Co_bain, anak² sukaluyu (Bdg),
para eggdroperz, slashcore, jimgeovedi dan kalian semua.
SSL Staff (mari kita lanjutkan Project Indonesia Bebas Intruder), K-159,
yudhax, SlimJim100, SakitJiwa, Pey.
EgLa (the best thing that ever happen to myself).
---| EOF
(SUMBER.ezine.echo.or.id/ezine11/echo11-004.txt)
Manfaat IT Audit dan Forensics
IT Audit & Forensics
Definisi IT Audit
IT Audit : Penilaian / pengujian kontrol dalam sistem informasi atau infrastruktur teknologi informasi.
Proses IT Audit:
Mengumpulkan dan mengevaluasi bukti-bukti bagaimana sistem
informasi dikembangkan, dioperasikan, diorganisasikan, serta
bagaimana praktek dilaksanakan:
● Apakah IS melindungi aset institusi: asset protection, availability
● Apakah integritas data dan sistem diproteksi secara cukup (security,
confidentiality )?
● Apakah operasi sistem efektif dan efisien dalam mencapai tujuan
organisasi, dan lain-lain.
19 Langkah Umum Audit TSI
● Kontrol lingkungan:
1. Apakah kebijakan keamanan (security policy) memadai dan efektif ?
2. Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dr external auditor
3. Jika sistem dibeli dari vendor, periksa kestabilan finansial
4.Memeriksa persetujuan lisen (license agreement)
● Kontrol keamanan fisik
5. Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai
6. Periksa apakah backup administrator keamanan sudah memadai (trained,tested)
7. Periksa apakah rencana kelanjutan bisnis memadai dan efektif
8. Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai
● Kontrol keamanan logikal
9. Periksa apakah password memadai dan perubahannya dilakukan reguler
10.Apakah administrator keamanan memprint akses kontrol setiap user
11.Memeriksa dan mendokumentasikan parameter keamanan default
12.Menguji fungsionalitas sistem keamanan (password, suspend userID, etc)
13.Memeriksa apakah password file / database disimpan dalam bentuk tersandi dan tidak dapat dibuka oleh pengguna umum
14.Memeriksa apakah data sensitif tersandi dalam setiap phase dalam prosesnya
15.Memeriksa apakah prosedur memeriksa dan menganalisa log memadai
16.Memeriksa apakah akses kontrol remote (dari tempat yang lain) memadai: (VPN,
CryptoCard, SecureID, etc)
● Menguji Kontrol Operasi
17.Memeriksa apakah tugas dan job description memadai dalam semua tugas dalam operasi tsb
18.Memeriksa apakah ada problem yang signifikan
19.Memeriksa apakah kontrol yang menjamin fungsionalitas sistem informasi telah memadai
Alasan dilakukannya Audit IT
Ron Webber, Dekan Fakultas Teknologi Informasi, monash University, dalam salah satu bukunya Information System Controls and Audit (Prentice-Hall, 2000) menyatakan beberapa alasan penting mengapa Audit IT perlu dilakukan, antara lain :
1. Kerugian akibat kehilangan data.
2. Kesalahan dalam pengambilan keputusan.
3. Resiko kebocoran data.
4. Penyalahgunaan komputer.
5. Kerugian akibat kesalahan proses perhitungan.
6. Tingginya nilai investasi perangkat keras dan perangkat lunak komputer.
Manfaat Audit IT.
A. Manfaat pada saat Implementasi (Pre-Implementation Review)
1. Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria.
2. Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
3. Mengetahui apakah outcome sesuai dengan harapan manajemen.
B. Manfaat setelah sistem live (Post-Implementation Review)
1. Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk penanganannya.
2. Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis, dan anggaran pada periode berikutnya.
3. Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang.
4. Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan.
5. Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan pemeriksaan.
6. Membantu dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak lanjutnya.
Definisi IT Forensics
1. penggunaan sekumpulan prosedur untuk melakukan pengujian secara menyeluruh suatu sistem komputer dengan mempergunakan software dan tool untuk memelihara barang bukti tindakan kriminal.
2. Menurut Noblett, yaitu berperan untuk mengambil, menjaga, mengembalikan, dan menyajikan data yang telah diproses secara elektronik dan disimpan di media komputer.
3. Menurut Judd Robin, yaitu penerapan secara sederhana dari penyidikan komputer dan teknik analisisnya untuk menentukan bukti-bukti hukum yang mungkin.
4. Ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode yang digunakan.
Tujuan IT Forensics
Bertujuan untuk mendapatkan fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi / kejahatan komputer.
Kejahatan Komputer dibagi menjadi dua, yaitu :
1. Komputer fraud.
Kejahatan atau pelanggaran dari segi sistem organisasi komputer.
2. Komputer crime.
Merupakan kegiatan berbahaya dimana menggunakan media komputer dalam melakukan pelanggaran hukum.
Metodologi umum dalam proses pemeriksaan insiden sampai proses hukum:
1. Pengumpulan data/fakta dari sistem komputer (harddisk, usb-stick, log, memory-dump, internet, dll) – termasuk di dalamnya data yang sdh terhapus
2.Mendokumentasikan fakta-fakta yang ditemukan dan menjaga integritas data selama proses forensik dan hukum dengan proteksi fisik, penanganan khusus, pembuatan image, dan menggunakan algoritma HASH untuk pembuktian / verifikasi
3.Merunut kejadian (chain of events) berdasarkan waktu kejadian
4.Memvalidasi kejadian2 tersebut dengan metode “sebab-akibat”
5.Dokumentasi hasil yang diperoleh dan menyusun laporan
6.Proses hukum (pengajuan delik, proses persidangan, saksi ahli, dll)
(SUMBER.sidodolipet.blogspot.com/2010/04/it-audit-forensics.html)
Definisi IT Audit
IT Audit : Penilaian / pengujian kontrol dalam sistem informasi atau infrastruktur teknologi informasi.
Proses IT Audit:
Mengumpulkan dan mengevaluasi bukti-bukti bagaimana sistem
informasi dikembangkan, dioperasikan, diorganisasikan, serta
bagaimana praktek dilaksanakan:
● Apakah IS melindungi aset institusi: asset protection, availability
● Apakah integritas data dan sistem diproteksi secara cukup (security,
confidentiality )?
● Apakah operasi sistem efektif dan efisien dalam mencapai tujuan
organisasi, dan lain-lain.
19 Langkah Umum Audit TSI
● Kontrol lingkungan:
1. Apakah kebijakan keamanan (security policy) memadai dan efektif ?
2. Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dr external auditor
3. Jika sistem dibeli dari vendor, periksa kestabilan finansial
4.Memeriksa persetujuan lisen (license agreement)
● Kontrol keamanan fisik
5. Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai
6. Periksa apakah backup administrator keamanan sudah memadai (trained,tested)
7. Periksa apakah rencana kelanjutan bisnis memadai dan efektif
8. Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai
● Kontrol keamanan logikal
9. Periksa apakah password memadai dan perubahannya dilakukan reguler
10.Apakah administrator keamanan memprint akses kontrol setiap user
11.Memeriksa dan mendokumentasikan parameter keamanan default
12.Menguji fungsionalitas sistem keamanan (password, suspend userID, etc)
13.Memeriksa apakah password file / database disimpan dalam bentuk tersandi dan tidak dapat dibuka oleh pengguna umum
14.Memeriksa apakah data sensitif tersandi dalam setiap phase dalam prosesnya
15.Memeriksa apakah prosedur memeriksa dan menganalisa log memadai
16.Memeriksa apakah akses kontrol remote (dari tempat yang lain) memadai: (VPN,
CryptoCard, SecureID, etc)
● Menguji Kontrol Operasi
17.Memeriksa apakah tugas dan job description memadai dalam semua tugas dalam operasi tsb
18.Memeriksa apakah ada problem yang signifikan
19.Memeriksa apakah kontrol yang menjamin fungsionalitas sistem informasi telah memadai
Alasan dilakukannya Audit IT
Ron Webber, Dekan Fakultas Teknologi Informasi, monash University, dalam salah satu bukunya Information System Controls and Audit (Prentice-Hall, 2000) menyatakan beberapa alasan penting mengapa Audit IT perlu dilakukan, antara lain :
1. Kerugian akibat kehilangan data.
2. Kesalahan dalam pengambilan keputusan.
3. Resiko kebocoran data.
4. Penyalahgunaan komputer.
5. Kerugian akibat kesalahan proses perhitungan.
6. Tingginya nilai investasi perangkat keras dan perangkat lunak komputer.
Manfaat Audit IT.
A. Manfaat pada saat Implementasi (Pre-Implementation Review)
1. Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria.
2. Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
3. Mengetahui apakah outcome sesuai dengan harapan manajemen.
B. Manfaat setelah sistem live (Post-Implementation Review)
1. Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk penanganannya.
2. Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis, dan anggaran pada periode berikutnya.
3. Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang.
4. Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan.
5. Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan pemeriksaan.
6. Membantu dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak lanjutnya.
Definisi IT Forensics
1. penggunaan sekumpulan prosedur untuk melakukan pengujian secara menyeluruh suatu sistem komputer dengan mempergunakan software dan tool untuk memelihara barang bukti tindakan kriminal.
2. Menurut Noblett, yaitu berperan untuk mengambil, menjaga, mengembalikan, dan menyajikan data yang telah diproses secara elektronik dan disimpan di media komputer.
3. Menurut Judd Robin, yaitu penerapan secara sederhana dari penyidikan komputer dan teknik analisisnya untuk menentukan bukti-bukti hukum yang mungkin.
4. Ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode yang digunakan.
Tujuan IT Forensics
Bertujuan untuk mendapatkan fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi / kejahatan komputer.
Kejahatan Komputer dibagi menjadi dua, yaitu :
1. Komputer fraud.
Kejahatan atau pelanggaran dari segi sistem organisasi komputer.
2. Komputer crime.
Merupakan kegiatan berbahaya dimana menggunakan media komputer dalam melakukan pelanggaran hukum.
Metodologi umum dalam proses pemeriksaan insiden sampai proses hukum:
1. Pengumpulan data/fakta dari sistem komputer (harddisk, usb-stick, log, memory-dump, internet, dll) – termasuk di dalamnya data yang sdh terhapus
2.Mendokumentasikan fakta-fakta yang ditemukan dan menjaga integritas data selama proses forensik dan hukum dengan proteksi fisik, penanganan khusus, pembuatan image, dan menggunakan algoritma HASH untuk pembuktian / verifikasi
3.Merunut kejadian (chain of events) berdasarkan waktu kejadian
4.Memvalidasi kejadian2 tersebut dengan metode “sebab-akibat”
5.Dokumentasi hasil yang diperoleh dan menyusun laporan
6.Proses hukum (pengajuan delik, proses persidangan, saksi ahli, dll)
(SUMBER.sidodolipet.blogspot.com/2010/04/it-audit-forensics.html)
Digital Forensics
Digital Forensics
Apakah Digital Forensics?
Digital Forensics adalah istilah yang digunakan ketika digital seni yang dikumpulkan dari sebuah sistem komputer di forensically suara yang tepat. Dengan kata lain, seni digital seperti dokumen, spreadsheet, gambar dan email dapat diambil dari komputer, PDA atau jenis perangkat digital dengan kemampuan penyimpanan. Bahan-bahan tersebut kemudian dianalisis dan diawetkan. Operasi ini dapat sering dilakukan meskipun data telah sengaja terhapus. Digital Forensics prosedur akan mengizinkan forensik pemeriksa untuk mengungkapkan bukti digital, dan ditampilkan secara tepat waktu dan tanggal informasi yang telah dibuat, diinstal, atau di-download, serta ketika ia terakhir diakses. Walaupun kejahatan komputer yang pertama terjadi di tahun 1970-an, computer forensics masih relatif baru lapangan. Meskipun kami sekarang memiliki lebih banyak PC dan perangkat selular pengguna kemudian lamanya, permintaan Digital Forensics cepat meningkat. Komputer laptop, PDA dan ponsel dengan kemampuan menyimpan gambar, terhubung ke internet dan e-mail, lebih banyak dan lebih sering memerlukan kebutuhan Digital Forensics untuk menentukan tindakan yang akan diambil dalam kasus litigasi pidana, korporasi spionase, dan tuduhan pornografi anak, Demikian pula, tindakan terorisme serta praktik tdk puas karyawan dan perilaku kecurangan pasangannya, semua ada satu hal di Common mereka sering memanfaatkan sistem komputer dan perangkat mobile untuk membantu mereka dalam tindakan tidak etis dan kejahatan. Bukti yang meninggalkan kegiatan-kegiatan tersebut adalah mudah terdeteksi melalui prosedur digital forensics.
Digital Forensics atau Computer Forensics?
Pada masa lalu, komputer forensik penyelidikan telah PC dan Laptop sistem sebagai target utama mereka untuk pemeriksaan. Di dalam tahun-tahun sebelumnya, komputer bidang forensik telah dipaksa untuk memperluas jangkauannya, alat-alat dan teknik investigasi untuk tetap sejajar dari pribadi teknologi yang digunakan oleh masyarakat umum. Peralatan seperti Cell phones, PDA’s, Blackberrys dan sistem GPS digunakan setiap hari, dan dapat berisi informasi penting dari tes pesan sms, email, telepon dan log sebelumnya tujuan koordinat GPS. Oleh karena itu istilah Digital Forensics menjadi sangat populer sebagai komputer forensik dan memperluas lapangan juga digital analisis perangkat teknologi baru.
Apa yang dapat terampil digital forensik pemeriksa lakukan?
J terampil digital forensik pemeriksa dapat memulihkan file yang telah dihapus dari komputer. Ia dapat melihat situs Web yang telah dikunjungi dari komputer tertentu bahkan setelah browser sejarah dan cache telah dihapus dan dihapus. Digital forensik pemeriksa dapat meninjau sebelumnya komunikasi yang dikirim dan diterima melalui pesan cepat dan chatting aplikasi seperti yahoo instant messenger dan msn messenger. Proses forensik yang juga akan mengembalikan dihapus atau tersembunyi gambar dan pesan email. Selain itu adalah yang forensik pemeriksa terlatih untuk menganalisa dan dihapus kembali membuat pesan teks dan log panggilan dari ponsel, PDA dan perangkat Blackberry.
Bagaimana Swasta penyidik bisa mendapatkan keuntungan dari Digital Forensics
Digital Forensics swasta dapat membantu penyidik dengan berbagai cara oleh prinsipnya mengidentifikasi dan menyimpan informasi penting biaya dan waktu. Sering 2-3 jam digital forensik pemeriksaan teknik dapat mengekspos bukti lebih dari beberapa hari kemudian dan surveilans dumpster diving. Dihapus data dari perangkat digital seperti ponsel dan pesan teks lainnya bertindak sering kembali, misalnya, apakah Anda memiliki istri klien percakapan olahpesan cepat? Apakah email yang dihapus dipulihkan? Apa website itu tersangka kunjungi?
Beberapa contoh di bawah ini menguraikan cara digital forensics swasta dapat membantu penyidik dalam kasus tertentu dan tugas:
Zina kasus:
Online chatting atau sms pesan teks yang sering digunakan untuk mengadakan rapat dan memberikan bersuami komunikasi untuk menghindari kecurigaan oleh pasangannya.
Kasus Penipuan:
Hal ini sering dilakukan untuk menentukan kapan dan jika dokumen itu diubah. Kecuali dokumen yang dihasilkan oleh sebuah mesin ketik, ada yang selalu atau setidaknya telah ada satu salinan elektronik somewhere. Selain itu yang paling umum pengolah kata, “Microsoft Word” yang merupakan bagian dari Microsoft office suite embeds Meta data ke dalam setiap dokumen. Meta data ini dapat memberikan informasi penting seperti identitas pengirimnya dan komputer di mana dokumen itu terdiri. Hal yang sama juga berlaku untuk aplikasi spreadsheet Microsoft Excel.
Tailing seorang tersangka:
Bila seorang tersangka tailing, bayangkan bagaimana informatif dapat mengetahui dia tujuan sebelumnya, sebelum memulai tugas. Anda mungkin berkata! Hal ini tidak sepenuhnya begitu, terutama jika individu telah dijalani oleh mobil dan menggunakan GPS (Global Positioning System). Beberapa dari yang terbaru dalam advancements Digital Forensics membolehkan untuk media informasi yang paling umum dari sistem GPS.
Kasus pelecehan:
Ada banyak berbagai jenis pelecehan. Hal ini sering terjadi bahwa klien Anda mungkin tidak hanya akan menerima pelecehan dalam orang, tetapi juga melalui telepon, dan / atau email. J forensik pemeriksa dapat melestarikan log yang menerima panggilan telepon dari ponsel dan hadir sebagai bukti menjaga ketat oleh sebuah rantai dari tahanan. Setiap email yang dikirimkan dari sumber ke suatu tujuan tertentu daun informasi yang terdapat dalam email. Informasi ini disebut sebagai header email. Yang dapat menganalisis forensik pemeriksa email header dan jejak kembali ke asal dari alamat IP yang telah dikirim.
Surveilans:
Ketika mempertimbangkan surveilans, kebanyakan tentang teknik tradisional seperti: tailing, stakeouts dan video surveillance. Namun, teknik modern komputer juga dapat menjadi aset berharga untuk pribadi penyidik. Ada semacam perangkat sebagai spy ware program dan keystroke logger yang akan memberikan informasi real time tentang apa, di mana dan bila ada hal-hal yang diduga terjadi pada komputer.
Siapa yang berhak untuk mencari sebuah komputer atau perangkat digital?
Keempat Perubahan perlindungan terhadap serangan haram pencarian dan hanya berlaku bagi badan pemerintah seperti penegakan hukum. Keempat Perubahan tidak berlaku untuk pencarian pribadi. J swasta pencarian atau dapat dilakukan oleh orang yang berwenang memiliki hak hukum untuk data yang tersimpan pada komputer, seperti pengusaha atau pasangan. Sejak komputer adalah milik umum, pasangan dapat memberikan izin kepada swasta pencarian dari komputer
Kesimpulan:
Dalam dunia yang dinamis Swasta Investigasi, sangat penting untuk beradaptasi dengan teknologi baru dan dapat menyediakan klien dengan layanan yang kompetitif tertinggi derajat. Paling penting adalah penting untuk menjaga klien dalam domain Anda untuk semua kebutuhan mereka investigasi. Oleh karena itu pelatihan swasta penyelidik dalam seni Digital Forensics atau bermitra dengan ahli forensik digital adalah sebuah langkah penting dalam pengamanan tidak hanya stabilitas dan dirgahayu bisnis Anda tetapi memastikan bahwa ia sudah siap untuk memenuhi persyaratan yang exigencies teknologi masa depan.
(SUMBER.blog.binadarma.ac.id/nayel/?p=122)
Apakah Digital Forensics?
Digital Forensics adalah istilah yang digunakan ketika digital seni yang dikumpulkan dari sebuah sistem komputer di forensically suara yang tepat. Dengan kata lain, seni digital seperti dokumen, spreadsheet, gambar dan email dapat diambil dari komputer, PDA atau jenis perangkat digital dengan kemampuan penyimpanan. Bahan-bahan tersebut kemudian dianalisis dan diawetkan. Operasi ini dapat sering dilakukan meskipun data telah sengaja terhapus. Digital Forensics prosedur akan mengizinkan forensik pemeriksa untuk mengungkapkan bukti digital, dan ditampilkan secara tepat waktu dan tanggal informasi yang telah dibuat, diinstal, atau di-download, serta ketika ia terakhir diakses. Walaupun kejahatan komputer yang pertama terjadi di tahun 1970-an, computer forensics masih relatif baru lapangan. Meskipun kami sekarang memiliki lebih banyak PC dan perangkat selular pengguna kemudian lamanya, permintaan Digital Forensics cepat meningkat. Komputer laptop, PDA dan ponsel dengan kemampuan menyimpan gambar, terhubung ke internet dan e-mail, lebih banyak dan lebih sering memerlukan kebutuhan Digital Forensics untuk menentukan tindakan yang akan diambil dalam kasus litigasi pidana, korporasi spionase, dan tuduhan pornografi anak, Demikian pula, tindakan terorisme serta praktik tdk puas karyawan dan perilaku kecurangan pasangannya, semua ada satu hal di Common mereka sering memanfaatkan sistem komputer dan perangkat mobile untuk membantu mereka dalam tindakan tidak etis dan kejahatan. Bukti yang meninggalkan kegiatan-kegiatan tersebut adalah mudah terdeteksi melalui prosedur digital forensics.
Digital Forensics atau Computer Forensics?
Pada masa lalu, komputer forensik penyelidikan telah PC dan Laptop sistem sebagai target utama mereka untuk pemeriksaan. Di dalam tahun-tahun sebelumnya, komputer bidang forensik telah dipaksa untuk memperluas jangkauannya, alat-alat dan teknik investigasi untuk tetap sejajar dari pribadi teknologi yang digunakan oleh masyarakat umum. Peralatan seperti Cell phones, PDA’s, Blackberrys dan sistem GPS digunakan setiap hari, dan dapat berisi informasi penting dari tes pesan sms, email, telepon dan log sebelumnya tujuan koordinat GPS. Oleh karena itu istilah Digital Forensics menjadi sangat populer sebagai komputer forensik dan memperluas lapangan juga digital analisis perangkat teknologi baru.
Apa yang dapat terampil digital forensik pemeriksa lakukan?
J terampil digital forensik pemeriksa dapat memulihkan file yang telah dihapus dari komputer. Ia dapat melihat situs Web yang telah dikunjungi dari komputer tertentu bahkan setelah browser sejarah dan cache telah dihapus dan dihapus. Digital forensik pemeriksa dapat meninjau sebelumnya komunikasi yang dikirim dan diterima melalui pesan cepat dan chatting aplikasi seperti yahoo instant messenger dan msn messenger. Proses forensik yang juga akan mengembalikan dihapus atau tersembunyi gambar dan pesan email. Selain itu adalah yang forensik pemeriksa terlatih untuk menganalisa dan dihapus kembali membuat pesan teks dan log panggilan dari ponsel, PDA dan perangkat Blackberry.
Bagaimana Swasta penyidik bisa mendapatkan keuntungan dari Digital Forensics
Digital Forensics swasta dapat membantu penyidik dengan berbagai cara oleh prinsipnya mengidentifikasi dan menyimpan informasi penting biaya dan waktu. Sering 2-3 jam digital forensik pemeriksaan teknik dapat mengekspos bukti lebih dari beberapa hari kemudian dan surveilans dumpster diving. Dihapus data dari perangkat digital seperti ponsel dan pesan teks lainnya bertindak sering kembali, misalnya, apakah Anda memiliki istri klien percakapan olahpesan cepat? Apakah email yang dihapus dipulihkan? Apa website itu tersangka kunjungi?
Beberapa contoh di bawah ini menguraikan cara digital forensics swasta dapat membantu penyidik dalam kasus tertentu dan tugas:
Zina kasus:
Online chatting atau sms pesan teks yang sering digunakan untuk mengadakan rapat dan memberikan bersuami komunikasi untuk menghindari kecurigaan oleh pasangannya.
Kasus Penipuan:
Hal ini sering dilakukan untuk menentukan kapan dan jika dokumen itu diubah. Kecuali dokumen yang dihasilkan oleh sebuah mesin ketik, ada yang selalu atau setidaknya telah ada satu salinan elektronik somewhere. Selain itu yang paling umum pengolah kata, “Microsoft Word” yang merupakan bagian dari Microsoft office suite embeds Meta data ke dalam setiap dokumen. Meta data ini dapat memberikan informasi penting seperti identitas pengirimnya dan komputer di mana dokumen itu terdiri. Hal yang sama juga berlaku untuk aplikasi spreadsheet Microsoft Excel.
Tailing seorang tersangka:
Bila seorang tersangka tailing, bayangkan bagaimana informatif dapat mengetahui dia tujuan sebelumnya, sebelum memulai tugas. Anda mungkin berkata! Hal ini tidak sepenuhnya begitu, terutama jika individu telah dijalani oleh mobil dan menggunakan GPS (Global Positioning System). Beberapa dari yang terbaru dalam advancements Digital Forensics membolehkan untuk media informasi yang paling umum dari sistem GPS.
Kasus pelecehan:
Ada banyak berbagai jenis pelecehan. Hal ini sering terjadi bahwa klien Anda mungkin tidak hanya akan menerima pelecehan dalam orang, tetapi juga melalui telepon, dan / atau email. J forensik pemeriksa dapat melestarikan log yang menerima panggilan telepon dari ponsel dan hadir sebagai bukti menjaga ketat oleh sebuah rantai dari tahanan. Setiap email yang dikirimkan dari sumber ke suatu tujuan tertentu daun informasi yang terdapat dalam email. Informasi ini disebut sebagai header email. Yang dapat menganalisis forensik pemeriksa email header dan jejak kembali ke asal dari alamat IP yang telah dikirim.
Surveilans:
Ketika mempertimbangkan surveilans, kebanyakan tentang teknik tradisional seperti: tailing, stakeouts dan video surveillance. Namun, teknik modern komputer juga dapat menjadi aset berharga untuk pribadi penyidik. Ada semacam perangkat sebagai spy ware program dan keystroke logger yang akan memberikan informasi real time tentang apa, di mana dan bila ada hal-hal yang diduga terjadi pada komputer.
Siapa yang berhak untuk mencari sebuah komputer atau perangkat digital?
Keempat Perubahan perlindungan terhadap serangan haram pencarian dan hanya berlaku bagi badan pemerintah seperti penegakan hukum. Keempat Perubahan tidak berlaku untuk pencarian pribadi. J swasta pencarian atau dapat dilakukan oleh orang yang berwenang memiliki hak hukum untuk data yang tersimpan pada komputer, seperti pengusaha atau pasangan. Sejak komputer adalah milik umum, pasangan dapat memberikan izin kepada swasta pencarian dari komputer
Kesimpulan:
Dalam dunia yang dinamis Swasta Investigasi, sangat penting untuk beradaptasi dengan teknologi baru dan dapat menyediakan klien dengan layanan yang kompetitif tertinggi derajat. Paling penting adalah penting untuk menjaga klien dalam domain Anda untuk semua kebutuhan mereka investigasi. Oleh karena itu pelatihan swasta penyelidik dalam seni Digital Forensics atau bermitra dengan ahli forensik digital adalah sebuah langkah penting dalam pengamanan tidak hanya stabilitas dan dirgahayu bisnis Anda tetapi memastikan bahwa ia sudah siap untuk memenuhi persyaratan yang exigencies teknologi masa depan.
(SUMBER.blog.binadarma.ac.id/nayel/?p=122)
Forensik Teknologi Informasi (IT Forensics)
Forensik Teknologi Informasi (IT Forensics)
Ini adalah Perlunya Perkembangan IT Forensics
1.1 Latar Belakang Masalah
Pada abad ke 21 ini perkembangan teknologi sudah semakin pesat. Terutama teknologi informasi yang tiap harinya mengalami kemajuan. Penggunaan teknologi informasi juga sudah merambah ke setiap sendi kehidupan manusia.
Contohnya, setiap organisasi membutuhkan banyak data untuk diolah menjadi sebuah informasi yang berguna bagi organisasi tersebut. Data seperti ini biasa disimpan atau di transfer oleh sistem komputer, personal digital assistants (PDA), networking equipment dan sumber – sumber data lainnya. Untuk itu penting adanya analisa data. Karena analisa data dapat digunakan untuk berbagai tujuan, seperti merekonstruksi kejadian keamanan komputer, trouble shooting permasalahan operasional dan pemulihan dari kerusakan sistem yang terjadi secara mendadak.
Analisa data terdiri dari analisa data komputer dan analisa data jaringan. Analisa data komputer berhubungan dengan data pada media penyimpanan suatu komputer, sedangkan analisa data jaringan berhubungan dengan data yang melintas pada suatu jaringan. Jadi, jika kedua jenis analisa ini dikombinasikan maka dapat menangani dan memberikan dukungan operasional terhadap suatu masalah.
Untuk melakukan analisa ini, ada proses – proses yang harus dilakukan, diantaranya acquisition, examination, utilization dan review. Biasanya dalam melakukan proses – proses tersebut terdapat kesulitan, untuk itu penulis membuat guide lines proses – proses tersebut. Hal ini diupayakan untuk memudahkan penyelenggaraan proses analisa data tersebut, serta untuk memberikan informasi atas penggunaan proses dengan empat kategori sumber data utama, diantaranya file, sistem operasi, lalu lintas jaringan dan aplikasi.
1.2 Batasan masalah
Yang menjadi batasan masalah pada penulisan ilmiah adalah dimana proses dan teknik analisa data yang akan diperkenalkan didasarkan pada prinsip forensik digital. Dimana forensik digital adalah aplikasi dari ilmu pengetahuan kepada indentifikasi, koleksi, analisa, dan pengujian dari bukti digital. Untuk itu disini hanya akan membahas penggunaan data yang bersumber dari data files, operating system, network traffic, application dan sumber data lainnya secara garis besarnya saja.
1.3 Tujuan penelitian
Tujuan dari penelitian ini adalah memberikan suatu standar guide lines, supaya kita dapat menentukan tools yang seperti apa yang dapat digunakan dalam menghadapi suatu masalah berdasarkan sumber data yang kita gunakan, karena hal ini merupakan bagian dari proses analisa data.
1.4 Metode Penelitian
Metode pada penelitian ini yaitu dengan menggunakan Studi Pustaka dimana bahan materi guide lines ini diperoleh dengan cara mengumpulkan beberapa artikel yang mempunyai keterkaitan dengan masalah ini, terutama yang berkaitan dengan computer forensics.
Sumber (amutiara.wordpress.com/category/information.../it-forensics/.../2/)
Ini adalah Perlunya Perkembangan IT Forensics
1.1 Latar Belakang Masalah
Pada abad ke 21 ini perkembangan teknologi sudah semakin pesat. Terutama teknologi informasi yang tiap harinya mengalami kemajuan. Penggunaan teknologi informasi juga sudah merambah ke setiap sendi kehidupan manusia.
Contohnya, setiap organisasi membutuhkan banyak data untuk diolah menjadi sebuah informasi yang berguna bagi organisasi tersebut. Data seperti ini biasa disimpan atau di transfer oleh sistem komputer, personal digital assistants (PDA), networking equipment dan sumber – sumber data lainnya. Untuk itu penting adanya analisa data. Karena analisa data dapat digunakan untuk berbagai tujuan, seperti merekonstruksi kejadian keamanan komputer, trouble shooting permasalahan operasional dan pemulihan dari kerusakan sistem yang terjadi secara mendadak.
Analisa data terdiri dari analisa data komputer dan analisa data jaringan. Analisa data komputer berhubungan dengan data pada media penyimpanan suatu komputer, sedangkan analisa data jaringan berhubungan dengan data yang melintas pada suatu jaringan. Jadi, jika kedua jenis analisa ini dikombinasikan maka dapat menangani dan memberikan dukungan operasional terhadap suatu masalah.
Untuk melakukan analisa ini, ada proses – proses yang harus dilakukan, diantaranya acquisition, examination, utilization dan review. Biasanya dalam melakukan proses – proses tersebut terdapat kesulitan, untuk itu penulis membuat guide lines proses – proses tersebut. Hal ini diupayakan untuk memudahkan penyelenggaraan proses analisa data tersebut, serta untuk memberikan informasi atas penggunaan proses dengan empat kategori sumber data utama, diantaranya file, sistem operasi, lalu lintas jaringan dan aplikasi.
1.2 Batasan masalah
Yang menjadi batasan masalah pada penulisan ilmiah adalah dimana proses dan teknik analisa data yang akan diperkenalkan didasarkan pada prinsip forensik digital. Dimana forensik digital adalah aplikasi dari ilmu pengetahuan kepada indentifikasi, koleksi, analisa, dan pengujian dari bukti digital. Untuk itu disini hanya akan membahas penggunaan data yang bersumber dari data files, operating system, network traffic, application dan sumber data lainnya secara garis besarnya saja.
1.3 Tujuan penelitian
Tujuan dari penelitian ini adalah memberikan suatu standar guide lines, supaya kita dapat menentukan tools yang seperti apa yang dapat digunakan dalam menghadapi suatu masalah berdasarkan sumber data yang kita gunakan, karena hal ini merupakan bagian dari proses analisa data.
1.4 Metode Penelitian
Metode pada penelitian ini yaitu dengan menggunakan Studi Pustaka dimana bahan materi guide lines ini diperoleh dengan cara mengumpulkan beberapa artikel yang mempunyai keterkaitan dengan masalah ini, terutama yang berkaitan dengan computer forensics.
Sumber (amutiara.wordpress.com/category/information.../it-forensics/.../2/)
IT Audit Forensics
IT Audit & Forensic
IT Audit
* Latar Belakang:
– ICT telah dimanfaatkan sedemikian (i) luas dan (ii) dalam, dan banyak institusi / organisasi bergantung pada ICT, sehingga resiko bisnis semakin besar
* Definisi:
– Penilaian / pengujian kontrol dalam sistem informasi atau infrastruktur teknologi informasi
* Proses IT Audit:
– Mengumpulkan dan mengevaluasi bukti-bukti bagaimana sistem informasi dikembangkan, dioperasikan, diorganisasikan, serta bagaimana praktek dilaksanakan:
* Apakah IS melindungi aset institusi: asset protection, availability
* Apakah integritas data dan sistem diproteksi secara cukup (security, confidentiality )?
* Apakah operasi sistem efektif dan efisien dalam mencapai tujuan organisasi, dan lain-lain (coba cari pertanyaan2 lain)
* Stakeholders:
– Internal IT Deparment
– External IT Consultant
– Board of Commision
– Management
– Internal IT Auditor
– External IT Auditor
* Kualifikasi Auditor:
– Certified Information Systems Auditor (CISA)
– Certified Internal Auditor (CIA)
– Certified Information Systems Security Professional (CISSP)
– dll
* Output Internal IT:
– Solusi teknologi meningkat, menyeluruh & mendalam
– Fokus kepada global, menuju ke standard2 yang diakui
* Output External IT:
– Rekrutmen staff, teknologi baru dan kompleksitasnya
– Outsourcing yang tepat
– Benchmark / Best-Practices
* Output Internal Audit & Business:
– Menjamin keseluruhan audit
– Budget & Alokasi sumber daya
– Reporting
Metodologi & Framework
* Framework Besar:
1. IT Audit
2. Analisis Resiko berdasarkan hasil audit
3. Memeriksa “kesehatan” system & security benchmarking terhadap sistem yang lain / standard
4. Hasil dari ketiganya (1,2,3) melahirkan konsep keamanan sistem Informasi
5. Hasil dari konsep keamanan: panduan keamanan sistem (handbook of system security)
* Metodologi IT Audit:
o CobiT : www.isaca.org
o BS 7799 – Code of Practice (CoP) : www.bsi.org.uk/disc/
o BSI -IT baseline protection manual : www.bsi.bund.de/gshb/english/menue.htm
o ITSEC: www.itsec.gov.uk
o Common Criteria (CC) : csrc.nist.gov/cc/
COBIT
* Dikembangkan oleh ISACA
* Membantu dalam implementasi sistem kontrol di sistem IT
* (mungkin) cocok untuk self-assesement tapi kurang cocok untuk mengembangkan buku petunjuk keamanan sistem
* Dokumentasi detail kurang
* Tidak begitu user-friendly
BS 7799 – Code of Practice
* Code of Practice for Inform. Security Management
* Dikembangkan oleh UK, BSI: British Standard
* Security baseline controls:
– 10 control categories
– 32 control groups
– 109 security controls
– 10 security key controls
* Kategori kontrol:
– System access control
– Systems development & maintenance
– Business continuity planning
– Compliance
– Information security policy
– Security organization
– Assets classification & control
– Personnel security
– Physical & environmental security
– Computer & network management
* Digunakan untuk self-assasement: konsep keamanan dan kesehatan sistem
* Tidak ada metodologi evaluasi dan tidak diterangkan bagaimana assemen thd keamanan sistem
* Sangat user-friendly sangat mudah digunakan (menurut yang sudah menggunakan)
BSI (Bundesamt für Sicherheit in der Informationstechnik)
* IT Baseline Protection Manual (IT- Grundschutzhandbuch )
* Dikembangkan oleh GISA: German Information Security Agency
* Digunakan: evaluasi konsep keamanan & manual
* Metodologi evaluasi tidak dijelaskan
* Mudah digunakan dan sangat – detail – sekali
* Tidak cocok untuk analisis resiko
* Representasi tdk dalam grafik yg mudah dibaca
* IT security measures
* Safeguards catalogue
* Threats catalogue
o 5 categories of threats
* Security Measures (example):
* 7 areas
* 34 modules (building blocks)
* 6 categories of security measures
– Protection for generic components
– Infrastructure
– Non-networked systems
– LANs
– Data transfer systems
– Telecommunications
– Other IT components
* Komponen generik:
– Organisation
– Personnel
– Contingency Planning
– Data Protection
* Infrastruktur:
– Buildings, Cabling, Rooms, Office, Server Room, Storage Media Archives, Technical Infrastructure Room, Protective cabinets, Home working place
* Human error
ITSEC, Common Criteria
* ITSEC: IT Security Evaluation Criteria
* Developed by UK, Germany, France, Netherl. and based primarily on USA TCSEC (Orange Book)
* Based on systematic, documented approach for security evaluations of systems & products
* Common Criteria (CC)
* Developed by USA, EC: based on ITSEC
* ISO International Standard
* Evaluation steps:
o Definition of functionality
o Assurance: confidence in functionality
Komparasi Metodologi
* Standardisation
* Ease of use
* Independence
* Update frequency
* CobiT
* Certifyability
* BS 7799
* BSI
* ITSEC
* Applicability in practice
* Efficiency
* Presentation of results
* Adaptability
19 Langkah Umum Audit TSI
* Kontrol lingkungan:
1. Apakah kebijakan keamanan (security policy) memadai dan efektif ?
2. Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dr external auditor
3. Jika sistem dibeli dari vendor, periksa kestabilan finansial
4. Memeriksa persetujuan lisen (license agreement)
* Kontrol keamanan fisik:
1. Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai
2. Periksa apakah backup administrator keamanan sudah memadai (trained,tested)
3. Periksa apakah rencana kelanjutan bisnis memadai dan efektif
4. Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai
* Kontrol keamanan logikal:
1. Periksa apakah password memadai dan perubahannya dilakukan reguler
10. Apakah administrator keamanan memprint akses kontrol setiap user
11. Memeriksa dan mendokumentasikan parameter keamanan default
12. Menguji fungsionalitas sistem keamanan (password, suspend userID, etc)
13. Memeriksa apakah password file / database disimpan dalam bentuk tersandi dan tidak dapat dibuka oleh pengguna umum
14. Memeriksa apakah data sensitif tersandi dalam setiap phase dalam prosesnya
15. Memeriksa apakah prosedur memeriksa dan menganalisa log memadai
16. Memeriksa apakah akses kontrol remote (dari tempat yang lain) memadai: (VPN, CryptoCard, SecureID, etc)
* Menguji Kontrol Operasi:
17. Memeriksa apakah tugas dan job description memadai dalam semua tugas dalam operasi tsb
18. Memeriksa apakah ada problem yang signifikan
19. Memeriksa apakah kontrol yang menjamin fungsionalitas sistem informasi telah memadai
IT Forensic
* Bertujuan untuk mendapatkan fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi
* Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-bukti (evidence) yang akan digunakan dalam proses hukum
* Metodologi umum dalam proses pemeriksaan insiden sampai proses hukum:
1. Pengumpulan data/fakta dari sistem komputer (harddisk usb-stick, log, memory-dump, internet, dll) – termasuk di dalamnya data yang sdh terhapus
2. Mendokumentasikan fakta-fakta yang ditemukan dan menjaga integritas data selama proses forensik dan hukum dengan proteksi fisik, penanganan khusus, pembuatan image, dan menggunakan algoritma HASH untuk pembuktian / verifikasi
3. Merunut kejadian (chain of events) berdasarkan waktu kejadian
4. Memvalidasi kejadian2 tersebut dengan metode “sebab-akibat”
5. Dokumentasi hasil yang diperoleh dan menyusun laporan
6. Proses hukum (pengajuan delik, proses persidangan, saksi ahli, dll)
Kebutuhan
* Hardware:
– Harddisk IDE & SCSI kapasitas sangat besar, CD-R, DVR drives
– Memori yang besar (1-2GB RAM)
– Hub, Switch, keperluan LAN
– Legacy hardware (8088s, Amiga, …)
– Laptop forensic workstations
* Software:
– Viewers (QVP http://www.avantstar.com/, http://www.thumbsplus.de/
– Erase/Unerase tools Diskscrub/Norton utilities)
– Hash utility (MD5, SHA1)
– Text search utilities (dtsearch http://www.dtsearch.com/)
– Drive imaging utilities (Ghost, Snapback, Safeback,…)
– Forensic toolkits : Unix/Linux: TCT The Coroners Toolkit/ForensiX , Windows: Forensic Toolkit
– Disk editors (Winhex,…)
– Forensic acquisition tools (DriveSpy, EnCase, Safeback, SnapCopy,…)
– Write-blocking tools (FastBloc http://www.guidancesoftware.com) untuk memproteksi bukti-bukti
Forensik
* Prinsip:
– Forensik bukan proses Hacking
– Data yang didapat harus dijaga jgn berubah
– Membuat image dari HD / Floppy / USB-Stick / Memory-dump adalah prioritas tanpa merubah isi, kadang digunakan hardware khusus
– Image tsb yang diotak-atik (hacking) dan dianalisis – bukan yang asli
– Data yang sudah terhapus membutuhkan tools khusus untuk merekonstruksi
– Pencarian bukti dengan: tools pencarian teks khusus, atau mencari satu persatu dalam image
Kesimpulan
* CobiT: Metode audit untuk semua proses IT
* ITSEC, CC: Pendekatan evaluasi yang sistematik
* BS7799, BSI:
– Evaluasi yang detail dan digunakan sebagai dokumentasi “best-practice”
– Detailed audit plans, checklists, tools for technical audits (operating systems, LANs, etc.)
* IT Forensik:
– Ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode yang digunakan (misalnya metode sebab-akibat)
– Memerlukan keahlian dibidang IT ( termasuk diantaranya hacking) – dan alat bantu (tools) baik hardware maupun software
* Auditor dan Dokter-komputer-forensik: penuh dengan tanggungjawab dan harus independen, diasses secara formal
(Sumber : Avinanta Tarigan)
IT Audit
* Latar Belakang:
– ICT telah dimanfaatkan sedemikian (i) luas dan (ii) dalam, dan banyak institusi / organisasi bergantung pada ICT, sehingga resiko bisnis semakin besar
* Definisi:
– Penilaian / pengujian kontrol dalam sistem informasi atau infrastruktur teknologi informasi
* Proses IT Audit:
– Mengumpulkan dan mengevaluasi bukti-bukti bagaimana sistem informasi dikembangkan, dioperasikan, diorganisasikan, serta bagaimana praktek dilaksanakan:
* Apakah IS melindungi aset institusi: asset protection, availability
* Apakah integritas data dan sistem diproteksi secara cukup (security, confidentiality )?
* Apakah operasi sistem efektif dan efisien dalam mencapai tujuan organisasi, dan lain-lain (coba cari pertanyaan2 lain)
* Stakeholders:
– Internal IT Deparment
– External IT Consultant
– Board of Commision
– Management
– Internal IT Auditor
– External IT Auditor
* Kualifikasi Auditor:
– Certified Information Systems Auditor (CISA)
– Certified Internal Auditor (CIA)
– Certified Information Systems Security Professional (CISSP)
– dll
* Output Internal IT:
– Solusi teknologi meningkat, menyeluruh & mendalam
– Fokus kepada global, menuju ke standard2 yang diakui
* Output External IT:
– Rekrutmen staff, teknologi baru dan kompleksitasnya
– Outsourcing yang tepat
– Benchmark / Best-Practices
* Output Internal Audit & Business:
– Menjamin keseluruhan audit
– Budget & Alokasi sumber daya
– Reporting
Metodologi & Framework
* Framework Besar:
1. IT Audit
2. Analisis Resiko berdasarkan hasil audit
3. Memeriksa “kesehatan” system & security benchmarking terhadap sistem yang lain / standard
4. Hasil dari ketiganya (1,2,3) melahirkan konsep keamanan sistem Informasi
5. Hasil dari konsep keamanan: panduan keamanan sistem (handbook of system security)
* Metodologi IT Audit:
o CobiT : www.isaca.org
o BS 7799 – Code of Practice (CoP) : www.bsi.org.uk/disc/
o BSI -IT baseline protection manual : www.bsi.bund.de/gshb/english/menue.htm
o ITSEC: www.itsec.gov.uk
o Common Criteria (CC) : csrc.nist.gov/cc/
COBIT
* Dikembangkan oleh ISACA
* Membantu dalam implementasi sistem kontrol di sistem IT
* (mungkin) cocok untuk self-assesement tapi kurang cocok untuk mengembangkan buku petunjuk keamanan sistem
* Dokumentasi detail kurang
* Tidak begitu user-friendly
BS 7799 – Code of Practice
* Code of Practice for Inform. Security Management
* Dikembangkan oleh UK, BSI: British Standard
* Security baseline controls:
– 10 control categories
– 32 control groups
– 109 security controls
– 10 security key controls
* Kategori kontrol:
– System access control
– Systems development & maintenance
– Business continuity planning
– Compliance
– Information security policy
– Security organization
– Assets classification & control
– Personnel security
– Physical & environmental security
– Computer & network management
* Digunakan untuk self-assasement: konsep keamanan dan kesehatan sistem
* Tidak ada metodologi evaluasi dan tidak diterangkan bagaimana assemen thd keamanan sistem
* Sangat user-friendly sangat mudah digunakan (menurut yang sudah menggunakan)
BSI (Bundesamt für Sicherheit in der Informationstechnik)
* IT Baseline Protection Manual (IT- Grundschutzhandbuch )
* Dikembangkan oleh GISA: German Information Security Agency
* Digunakan: evaluasi konsep keamanan & manual
* Metodologi evaluasi tidak dijelaskan
* Mudah digunakan dan sangat – detail – sekali
* Tidak cocok untuk analisis resiko
* Representasi tdk dalam grafik yg mudah dibaca
* IT security measures
* Safeguards catalogue
* Threats catalogue
o 5 categories of threats
* Security Measures (example):
* 7 areas
* 34 modules (building blocks)
* 6 categories of security measures
– Protection for generic components
– Infrastructure
– Non-networked systems
– LANs
– Data transfer systems
– Telecommunications
– Other IT components
* Komponen generik:
– Organisation
– Personnel
– Contingency Planning
– Data Protection
* Infrastruktur:
– Buildings, Cabling, Rooms, Office, Server Room, Storage Media Archives, Technical Infrastructure Room, Protective cabinets, Home working place
* Human error
ITSEC, Common Criteria
* ITSEC: IT Security Evaluation Criteria
* Developed by UK, Germany, France, Netherl. and based primarily on USA TCSEC (Orange Book)
* Based on systematic, documented approach for security evaluations of systems & products
* Common Criteria (CC)
* Developed by USA, EC: based on ITSEC
* ISO International Standard
* Evaluation steps:
o Definition of functionality
o Assurance: confidence in functionality
Komparasi Metodologi
* Standardisation
* Ease of use
* Independence
* Update frequency
* CobiT
* Certifyability
* BS 7799
* BSI
* ITSEC
* Applicability in practice
* Efficiency
* Presentation of results
* Adaptability
19 Langkah Umum Audit TSI
* Kontrol lingkungan:
1. Apakah kebijakan keamanan (security policy) memadai dan efektif ?
2. Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dr external auditor
3. Jika sistem dibeli dari vendor, periksa kestabilan finansial
4. Memeriksa persetujuan lisen (license agreement)
* Kontrol keamanan fisik:
1. Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai
2. Periksa apakah backup administrator keamanan sudah memadai (trained,tested)
3. Periksa apakah rencana kelanjutan bisnis memadai dan efektif
4. Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai
* Kontrol keamanan logikal:
1. Periksa apakah password memadai dan perubahannya dilakukan reguler
10. Apakah administrator keamanan memprint akses kontrol setiap user
11. Memeriksa dan mendokumentasikan parameter keamanan default
12. Menguji fungsionalitas sistem keamanan (password, suspend userID, etc)
13. Memeriksa apakah password file / database disimpan dalam bentuk tersandi dan tidak dapat dibuka oleh pengguna umum
14. Memeriksa apakah data sensitif tersandi dalam setiap phase dalam prosesnya
15. Memeriksa apakah prosedur memeriksa dan menganalisa log memadai
16. Memeriksa apakah akses kontrol remote (dari tempat yang lain) memadai: (VPN, CryptoCard, SecureID, etc)
* Menguji Kontrol Operasi:
17. Memeriksa apakah tugas dan job description memadai dalam semua tugas dalam operasi tsb
18. Memeriksa apakah ada problem yang signifikan
19. Memeriksa apakah kontrol yang menjamin fungsionalitas sistem informasi telah memadai
IT Forensic
* Bertujuan untuk mendapatkan fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi
* Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-bukti (evidence) yang akan digunakan dalam proses hukum
* Metodologi umum dalam proses pemeriksaan insiden sampai proses hukum:
1. Pengumpulan data/fakta dari sistem komputer (harddisk usb-stick, log, memory-dump, internet, dll) – termasuk di dalamnya data yang sdh terhapus
2. Mendokumentasikan fakta-fakta yang ditemukan dan menjaga integritas data selama proses forensik dan hukum dengan proteksi fisik, penanganan khusus, pembuatan image, dan menggunakan algoritma HASH untuk pembuktian / verifikasi
3. Merunut kejadian (chain of events) berdasarkan waktu kejadian
4. Memvalidasi kejadian2 tersebut dengan metode “sebab-akibat”
5. Dokumentasi hasil yang diperoleh dan menyusun laporan
6. Proses hukum (pengajuan delik, proses persidangan, saksi ahli, dll)
Kebutuhan
* Hardware:
– Harddisk IDE & SCSI kapasitas sangat besar, CD-R, DVR drives
– Memori yang besar (1-2GB RAM)
– Hub, Switch, keperluan LAN
– Legacy hardware (8088s, Amiga, …)
– Laptop forensic workstations
* Software:
– Viewers (QVP http://www.avantstar.com/, http://www.thumbsplus.de/
– Erase/Unerase tools Diskscrub/Norton utilities)
– Hash utility (MD5, SHA1)
– Text search utilities (dtsearch http://www.dtsearch.com/)
– Drive imaging utilities (Ghost, Snapback, Safeback,…)
– Forensic toolkits : Unix/Linux: TCT The Coroners Toolkit/ForensiX , Windows: Forensic Toolkit
– Disk editors (Winhex,…)
– Forensic acquisition tools (DriveSpy, EnCase, Safeback, SnapCopy,…)
– Write-blocking tools (FastBloc http://www.guidancesoftware.com) untuk memproteksi bukti-bukti
Forensik
* Prinsip:
– Forensik bukan proses Hacking
– Data yang didapat harus dijaga jgn berubah
– Membuat image dari HD / Floppy / USB-Stick / Memory-dump adalah prioritas tanpa merubah isi, kadang digunakan hardware khusus
– Image tsb yang diotak-atik (hacking) dan dianalisis – bukan yang asli
– Data yang sudah terhapus membutuhkan tools khusus untuk merekonstruksi
– Pencarian bukti dengan: tools pencarian teks khusus, atau mencari satu persatu dalam image
Kesimpulan
* CobiT: Metode audit untuk semua proses IT
* ITSEC, CC: Pendekatan evaluasi yang sistematik
* BS7799, BSI:
– Evaluasi yang detail dan digunakan sebagai dokumentasi “best-practice”
– Detailed audit plans, checklists, tools for technical audits (operating systems, LANs, etc.)
* IT Forensik:
– Ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode yang digunakan (misalnya metode sebab-akibat)
– Memerlukan keahlian dibidang IT ( termasuk diantaranya hacking) – dan alat bantu (tools) baik hardware maupun software
* Auditor dan Dokter-komputer-forensik: penuh dengan tanggungjawab dan harus independen, diasses secara formal
(Sumber : Avinanta Tarigan)
Anti Forensics Seek and Destroy
Computer forensics adalah suatu metode untuk mengidentifikasi, mengekstrak dan menemukan informasi dari media digital seperti komputer dan “hard drives”.
Computer forensics dalam artian sempit, hanya diaplikasikan kepada proses evaluasi komputer, “data storage’ dan “processing devices”[1]. Computer forensic biasanya dimanfaatkan terkait dengan hukum dan persidangan.
Lalu, apa yang dimaksud dengan “Computer Anti Forensics” adalah suatu metode untuk membuat para “computer forensics investigator” kesulitan dalam melaksanakan tugasnya.
======= Forensic: Know your enemy:lol: —|
Sebelum memulai Pembahasan tentang Anti-forensic, ada baiknya terlebih dahulu saya mengajak kita semua untuk menjadi Ahli Computer Forensic. Ya, kita akan menjadi ahli komputer forensic, untuk dapat mengetahui cara kerjanya dan bagaimana meng-”counter”-nya untuk keperluan anti-forensic nantinya. Dalam hal ini, saya sengaja mengambil contoh untuk merecover sebuah file yang telah dihapus oleh attacker (kita? :lol: )
Sebagai contoh file yang dihapus adalah log files (syslog, httpd log,
firewall log) yang merupakan sumber vital bagi ahli computer forensic, adapun alasan kedua lebih kepada artikel ini, yaitu kemungkinan kita dapat/harus melakukan recovery saat mesin masih menyala/ proses belum di “kill”.
Catatan: Pada artikel kali ini saya menggunakan user root, baik dalam proses computer forensic atau Anti-forensic, jangan tanyakan saya bagaimana mendapatkan root atau kenapa harus menggunakan user root, karena jika pertanyaan itu terbersit pada benak anda, maka dengan berat hati saya meminta anda untuk tidak melanjutkan membaca artikel ini, karena akan melukai hati dan merusak otak anda!
Go away, kiddo.. ini Anti-forensics !
========= Recover file yang terhapus —|
Sekarang, kita akan coba menghapus file syslog lalu me-recover-nya kembali, sebelum itu, untuk memastikan file ini masih di akses/buka oleh system, maka ada baiknya kita lihat isinya, sekaligus sebagai metode verifikasi setelah proses recovery nanti.
——————– untuk keperluan recovery & verifikasi ——————–
root@hell:~# tail -f syslog
Feb 10 14:20:47 hell NetworkManager: [1235028047.728549] nm_hal_device\
Feb 10 14:20:47 hell NetworkManager: [1235028047.959516] nm_hal_device\
Feb 10 14:20:47 hell NetworkManager: [1235028047.982317] nm_hal_device\
Feb 10 14:21:23 hell sendmail[5406]: unable to qualify my own domain name (hell)
Feb 10 14:21:24 hell dhclient: bound to 192.168.16.14 — renewal in 984139
Feb 10 14:21:24 hell sendmail[6860]: My unqualified host name (hell) unknown;
Feb 10 14:21:27 hell ntpdate[6782]: step time server 91.189.94.4 offset -207.\
Feb 10 14:22:24 hell sendmail[6860]: unable to qualify my own domain name (hell)
Feb 10 14:25:46 hell anacron[6522]: Job `cron.daily’ started
Feb 10 14:25:46 hell anacron[7003]: Updated timestamp for job `cron.daily’ to\
**** Isi dari syslog saya mutilasi dengan “\”, dan setelahnya dihapus, untuk mengurangi “junk” dan mengikuti ketentuan length < 80. :lol: **** Sebelum memulai proses penghapusan, ada baiknya kita mencatat nomer inode dari file syslog, untuk mempermudah kita dalam melakukan sorting menggunakan “lsof” nantinya root@hell:~# stat /var/log/syslog File: `/var/log/syslog’ Size: 91967 Blocks: 8 IO Block: 4096 regular file Device: 801h/2049d Inode: 99810 Links: 1 Access: (0640/-rw-r—–) Uid: ( 102/ syslog) Gid: ( 4/ adm) Access: 2009-02-10 25:51:19.000000000 +0700 Modify: 2009-02-10 25:51:01.000000000 +0700 Change: 2009-02-10 25:51:01.000000000 +0700 root@hell:~# /var/log/syslog memiliki inode “99810″, ——————– untuk keperluan recovery & verifikasi ——————- Kita akan menggunakan perintah remove “rm” dengan opsi “rf” terhadap file syslog root@hell:~# rm -rf /var/log/syslog Silahkan di cek, root@hell:~# ls -la /var/log/syslog. ls: cannot access /var/log/syslog.: No such file or directory root@hell:~# ls -la /var/log/syslog ls: cannot access /var/log/syslog: No such file or directory root@hell:~# stat syslog stat: cannot stat `syslog’: No such file or directory Sampai disini proses penghapusan sukses dilaksanakan. ========= Lsof; proses recovery file —| Sekarang, Kita akan mencoba untuk mengembalikan file log yang telah kita hapus, dalam hal ini kita akan menggunakan lsof untuk mendapatkan info file dan merecovernya, mengikuti “kultur” sistem operasi dan filesystem yang digunakan. Lsof adalah suatu utilitas yang berfungsi untuk menampilkan semua informasi secara komprehensif dari suatu file/direktori, file spesial, network file (internet socket, NFS, unix domain socket), dsb. Informasi yang kita perlukan adalah PID (process id), serta file descriptor. Seluruh proses akan memiliki suatu direktori khusus dalam direktori “/proc” dengan nomer PID sebagai namanya, dan sebelum proses induk tersebut di “kill”, maka meskipun data telah dihapus dengan “rm”, kopian dari data tersebut akan berada di sini. (got the point?) Adapun pemetaan path lengkapnya akan seperti berikut, /proc/process id/fd/file descriptor =========== Forensic recovery di mulai —| Sekarang, kita perlu untuk mendapatkan informasi file syslog, dengan menggunakan lsof dan melakukan “sorting” memanfaatkan nomer inode-nya, root@hell:~# lsof | grep 99785 syslogd 5484 syslog 2w REG 8,1 91967 99785 /var/log/syslog (deleted) Sehingga, didapatkan PID=5484 dan file descriptor=2 (dari 2w), dan apabila kita sesuaikan dengan pemetaan path untuk pseudo-filesystem adalah, root@hell:~# ls -l /proc/5484/fd/2 l-wx—— 1 root root 64 [X] 14:27 /proc/5484/fd/2 ->/var/log/syslog (deleted)
root@hell:~#
**** X= berisi tanggal, 2009-02-10 ****
Maka akan tampil satu blok berwarna merah, yang menandakan link
/proc/5484/fd/2 sudah dihapus.
root@hell:~# file /proc/5484/fd/2
/proc/5484/fd/2: broken symbolic link to `/var/log/syslog (deleted)’
Karena sesungguhnya “rm” hanya menghapus link ke inode, dan atribut, informasi dan blok data dari file tersebut tidak tersentuh, maka cara termudah untuk me-recovery-nya adalah dengan mengkopikan file tersebut kembali. Sebagai contoh digunakan nama “syslog” kembali,
root@hell:~# cp /proc/5484/fd/2 syslog
lalu, periksalah hasilnya untuk melihat isinya,
root@hell:~# tail -f syslog
Feb 10 14:20:47 hell NetworkManager: [1235028047.728549] nm_hal_device\
Feb 10 14:20:47 hell NetworkManager: [1235028047.959516] nm_hal_device\
Feb 10 14:20:47 hell NetworkManager: [1235028047.982317] nm_hal_device\
Feb 10 14:21:23 hell sendmail[5406]: unable to qualify my own domain name (hell)
Feb 10 14:21:24 hell dhclient: bound to 192.168.16.14 — renewal in 984139
Feb 10 14:21:24 hell sendmail[6860]: My unqualified host name (hell) unknown;
Feb 10 14:21:27 hell ntpdate[6782]: step time server 91.189.94.4 offset -207.\
Feb 10 14:22:24 hell sendmail[6860]: unable to qualify my own domain name (hell)
Feb 10 14:25:46 hell anacron[6522]: Job `cron.daily’ started
Feb 10 14:25:46 hell anacron[7003]: Updated timestamp for job `cron.daily’ to\
dan kita yang seolah ahli komputer forensik akan dapat kembali membaca file log yang (dianggap) terhapus oleh attacker. **we are doomed**
======= Anti forensic —|
Setelah diatas kita membuktikan bahwa penggunaan ‘rm’ hanyalah menghapus link ke inode atau lebih dikenal dengan index node, yang menyimpan atribut dari suatu file, dan inode di identifikasi dengan nomer yang unik untuk tiap inode. Atribut dari suatu file itu adalah semisal: tipe file, “permission”, info pemilik dan grup, ukuran file, jumlah link (soft/hard), alamatnya di blok data, dsb.
Saya tidak berusaha mengulas dan bercerita lebih jauh tentang file di unix/linux, jadi kita akan “skip” hal ini. (sorry , no candy for you all kiddo)
Penggunaan “rm” dalam melakukan penghapusan file dari mesin target tidaklah efissien, karena para ahli komputer forensik dapat dengan mudah untuk kembali me-recover data-data, baik log, dsb, hal tersebut sudah saya buktikan diatas.
Penggunaan “lsof” hanyalah salah satu cara, banyak sekali aplikasi/utility/tools yang dapat digunakan untuk me-recover file, bahkan keseluruhan data di media, baik saat komputer menyala atau setelah restart,”single mode” atau “network mode”.
========= Secure Data Deletion —|
Secure Data Deletion adalah salah satu teknik tertua/tradisional dari anti-forensics, suatu metode yang sangat mudah, efisien dan “simple” untuk dilakukan, dibanding dengan berbagai teknik lain seperti enkripsi, “steganography”, modifikasi data, penyembunyian data, dsb. Meskipun resiko untuk diketahui akan relatif lebih mudah, tetapi untuk kegiatan computer rforensic, apabila data yang dibutuhkan tidak didapatkan maka akan mempersulit/memperlambat kegiatannya.
Beberapa aplikasi yang bisa anda manfaatkan adalah: srm, wipe, shred, dsb, tetapi dalam demo ini saya mengunakan shred di sistem operasi GNU/Linux dengan filesystem ext3.
Sejak 2008 Shred masuk kedalam paket penting dari GNU (GNU coreutils) dan akan membuat secara default terinstall, sehingga anda tidak perlu melakukan instalasi aplikasi Secure Data Deletion lainnya.
=========== Shred —|
Apa yang dilakukan Shred adalah dengan menulis ulang file/s secara berulang kali dengan tujuan mempersulit kemungkinan untuk merecover data yang sudah dihapus.
Shred, bagaikan pisau bermata dua. Tetapi shred juga memiliki berbagai
keterbatasan pada jenis file system tertentu, terkompresi dan yag memiliki dukungan snapshot, dan untuk detilnya silahkan baca manual shred.
Untuk lebih jelasnya kita akan menggunakan shred dan mencoba me-recovery data tersebut kembali seperti yang sudah kita lakukan di atas.
=========== Shred Beraksi —|
Sekarang, kita akan kembali menghapus file syslog, sebelum itu, untuk memastikan file ini masih di akses/buka oleh system, maka ada baiknya kita lihat, sekaligus sebagai metode verifikasi setelah proses recovery (seperti diatas).
root@hell:~# tail -f /var/log/syslog
Feb 10 15:01:01 hell sm-msp-queue[8122]: n1J7f194007446: to=postmaster, delay=\
Feb 10 15:17:01 hell /USR/SBIN/CRON[8262]: (root) CMD ( cd / && run-parts –\
Feb 10 15:20:01 hell sm-msp-queue[8304]: My unqualified host name (hell) \
Feb 10 15:21:01 hell sm-msp-queue[8304]: unable to qualify my own domain name \
Feb 10 15:21:01 hell sm-msp-queue[8304]: n1J7f194007446: to=postmaster, delay=\
Feb 10 15:40:01 hell /USR/SBIN/CRON[8468]: (smmsp) CMD (test -x /etc/init.d/\
Feb 10 15:40:01 hell sm-msp-queue[8483]: My unqualified host name (hell) \
Feb 10 15:41:01 hell sm-msp-queue[8483]: unable to qualify my own domain name \
Feb 10 15:41:01 hell sm-msp-queue[8483]: n1J7f194007446: to=postmaster, delay=\
Catat inode dari file syslog, akan bermanfaat saat proses melakukan recovery.
“Inode /var/log/syslog” adalah “99810″
root@hell:~# stat /var/log/syslog
File: `/var/log/syslog’
Size: 2400 Blocks: 8 IO Block: 4096 regular file
Device: 801h/2049d Inode: 99810 Links: 1
Access: (0640/-rw-r—–) Uid: ( 102/ syslog) Gid: ( 4/ adm)
Access: 2009-02-10 15:41:19.000000000 +0700
Modify: 2009-02-10 15:41:01.000000000 +0700
Change: 2009-02-10 15:41:01.000000000 +0700
root@hell:~#
Selanjutnya kita akan menghapus file tersebut dengan menggunakan shred, untuk mengerti penggunaan opsi yang diberikan, silahkan cek manual dari shred
root@hell:~# shred –random-source=/dev/urandom -u /var/log/syslog
Shred terbukti telah berhasil menghapus file /var/log/syslog,
root@hell:~# ls -la /var/log/syslog
ls: cannot access /var/log/syslog: No such file or directory
root@hell:~# stat syslog
stat: cannot stat `syslog’: No such file or directory
Selanjutnya adalah me-”list” file/s yang masih terbuka, dan seperti sebelumnya, karena syslog akan secara kontinyu di tulisi oleh sistem, maka otomatis file tersebut akan dianggap masih ada,
root@hell:~# lsof | grep 99810
syslogd 5484 syslog 3w REG 8,1 0 99810 /var/log/0 (deleted)
Lihat dan samakan inode number dari file syslog, dan kita temukan bahwa saat ini yang tercatat adalah file “0″, berbeda dengan saat kita menghapus menggunakan “rm”.
Selanjutnya, seperti saat kita me-”recovery” file syslog sebelumnya adalah dengan hanya mengkopikannya kembali dari direktori tempat pseudo-filesystem.
root@hell:~# cp /proc/5484/fd/3 syslog
root@hell:~# tail -f syslog
root@hell:~# file syslog
syslog: empty
Dan kemudian setelah kita periksa ternyata file tersebut tidak mengandung data apapun a.k.a empty.
Yup, “we are done now homey”, Bisa tidur nyenyak, karena proses recovery menjadi hal yang relatif sulit bagi para ahli-forensik.
======= Referensi —|
[1] http://www.forensicswiki.org/
[2] lsof manual
[3] shred manual
(Sumber www.untukku.com/.../anti-forensic-seek-and-destroy-untukku.html )
Computer forensics dalam artian sempit, hanya diaplikasikan kepada proses evaluasi komputer, “data storage’ dan “processing devices”[1]. Computer forensic biasanya dimanfaatkan terkait dengan hukum dan persidangan.
Lalu, apa yang dimaksud dengan “Computer Anti Forensics” adalah suatu metode untuk membuat para “computer forensics investigator” kesulitan dalam melaksanakan tugasnya.
======= Forensic: Know your enemy:lol: —|
Sebelum memulai Pembahasan tentang Anti-forensic, ada baiknya terlebih dahulu saya mengajak kita semua untuk menjadi Ahli Computer Forensic. Ya, kita akan menjadi ahli komputer forensic, untuk dapat mengetahui cara kerjanya dan bagaimana meng-”counter”-nya untuk keperluan anti-forensic nantinya. Dalam hal ini, saya sengaja mengambil contoh untuk merecover sebuah file yang telah dihapus oleh attacker (kita? :lol: )
Sebagai contoh file yang dihapus adalah log files (syslog, httpd log,
firewall log) yang merupakan sumber vital bagi ahli computer forensic, adapun alasan kedua lebih kepada artikel ini, yaitu kemungkinan kita dapat/harus melakukan recovery saat mesin masih menyala/ proses belum di “kill”.
Catatan: Pada artikel kali ini saya menggunakan user root, baik dalam proses computer forensic atau Anti-forensic, jangan tanyakan saya bagaimana mendapatkan root atau kenapa harus menggunakan user root, karena jika pertanyaan itu terbersit pada benak anda, maka dengan berat hati saya meminta anda untuk tidak melanjutkan membaca artikel ini, karena akan melukai hati dan merusak otak anda!
Go away, kiddo.. ini Anti-forensics !
========= Recover file yang terhapus —|
Sekarang, kita akan coba menghapus file syslog lalu me-recover-nya kembali, sebelum itu, untuk memastikan file ini masih di akses/buka oleh system, maka ada baiknya kita lihat isinya, sekaligus sebagai metode verifikasi setelah proses recovery nanti.
——————– untuk keperluan recovery & verifikasi ——————–
root@hell:~# tail -f syslog
Feb 10 14:20:47 hell NetworkManager: [1235028047.728549] nm_hal_device\
Feb 10 14:20:47 hell NetworkManager: [1235028047.959516] nm_hal_device\
Feb 10 14:20:47 hell NetworkManager: [1235028047.982317] nm_hal_device\
Feb 10 14:21:23 hell sendmail[5406]: unable to qualify my own domain name (hell)
Feb 10 14:21:24 hell dhclient: bound to 192.168.16.14 — renewal in 984139
Feb 10 14:21:24 hell sendmail[6860]: My unqualified host name (hell) unknown;
Feb 10 14:21:27 hell ntpdate[6782]: step time server 91.189.94.4 offset -207.\
Feb 10 14:22:24 hell sendmail[6860]: unable to qualify my own domain name (hell)
Feb 10 14:25:46 hell anacron[6522]: Job `cron.daily’ started
Feb 10 14:25:46 hell anacron[7003]: Updated timestamp for job `cron.daily’ to\
**** Isi dari syslog saya mutilasi dengan “\”, dan setelahnya dihapus, untuk mengurangi “junk” dan mengikuti ketentuan length < 80. :lol: **** Sebelum memulai proses penghapusan, ada baiknya kita mencatat nomer inode dari file syslog, untuk mempermudah kita dalam melakukan sorting menggunakan “lsof” nantinya root@hell:~# stat /var/log/syslog File: `/var/log/syslog’ Size: 91967 Blocks: 8 IO Block: 4096 regular file Device: 801h/2049d Inode: 99810 Links: 1 Access: (0640/-rw-r—–) Uid: ( 102/ syslog) Gid: ( 4/ adm) Access: 2009-02-10 25:51:19.000000000 +0700 Modify: 2009-02-10 25:51:01.000000000 +0700 Change: 2009-02-10 25:51:01.000000000 +0700 root@hell:~# /var/log/syslog memiliki inode “99810″, ——————– untuk keperluan recovery & verifikasi ——————- Kita akan menggunakan perintah remove “rm” dengan opsi “rf” terhadap file syslog root@hell:~# rm -rf /var/log/syslog Silahkan di cek, root@hell:~# ls -la /var/log/syslog. ls: cannot access /var/log/syslog.: No such file or directory root@hell:~# ls -la /var/log/syslog ls: cannot access /var/log/syslog: No such file or directory root@hell:~# stat syslog stat: cannot stat `syslog’: No such file or directory Sampai disini proses penghapusan sukses dilaksanakan. ========= Lsof; proses recovery file —| Sekarang, Kita akan mencoba untuk mengembalikan file log yang telah kita hapus, dalam hal ini kita akan menggunakan lsof untuk mendapatkan info file dan merecovernya, mengikuti “kultur” sistem operasi dan filesystem yang digunakan. Lsof adalah suatu utilitas yang berfungsi untuk menampilkan semua informasi secara komprehensif dari suatu file/direktori, file spesial, network file (internet socket, NFS, unix domain socket), dsb. Informasi yang kita perlukan adalah PID (process id), serta file descriptor. Seluruh proses akan memiliki suatu direktori khusus dalam direktori “/proc” dengan nomer PID sebagai namanya, dan sebelum proses induk tersebut di “kill”, maka meskipun data telah dihapus dengan “rm”, kopian dari data tersebut akan berada di sini. (got the point?) Adapun pemetaan path lengkapnya akan seperti berikut, /proc/process id/fd/file descriptor =========== Forensic recovery di mulai —| Sekarang, kita perlu untuk mendapatkan informasi file syslog, dengan menggunakan lsof dan melakukan “sorting” memanfaatkan nomer inode-nya, root@hell:~# lsof | grep 99785 syslogd 5484 syslog 2w REG 8,1 91967 99785 /var/log/syslog (deleted) Sehingga, didapatkan PID=5484 dan file descriptor=2 (dari 2w), dan apabila kita sesuaikan dengan pemetaan path untuk pseudo-filesystem adalah, root@hell:~# ls -l /proc/5484/fd/2 l-wx—— 1 root root 64 [X] 14:27 /proc/5484/fd/2 ->/var/log/syslog (deleted)
root@hell:~#
**** X= berisi tanggal, 2009-02-10 ****
Maka akan tampil satu blok berwarna merah, yang menandakan link
/proc/5484/fd/2 sudah dihapus.
root@hell:~# file /proc/5484/fd/2
/proc/5484/fd/2: broken symbolic link to `/var/log/syslog (deleted)’
Karena sesungguhnya “rm” hanya menghapus link ke inode, dan atribut, informasi dan blok data dari file tersebut tidak tersentuh, maka cara termudah untuk me-recovery-nya adalah dengan mengkopikan file tersebut kembali. Sebagai contoh digunakan nama “syslog” kembali,
root@hell:~# cp /proc/5484/fd/2 syslog
lalu, periksalah hasilnya untuk melihat isinya,
root@hell:~# tail -f syslog
Feb 10 14:20:47 hell NetworkManager: [1235028047.728549] nm_hal_device\
Feb 10 14:20:47 hell NetworkManager: [1235028047.959516] nm_hal_device\
Feb 10 14:20:47 hell NetworkManager: [1235028047.982317] nm_hal_device\
Feb 10 14:21:23 hell sendmail[5406]: unable to qualify my own domain name (hell)
Feb 10 14:21:24 hell dhclient: bound to 192.168.16.14 — renewal in 984139
Feb 10 14:21:24 hell sendmail[6860]: My unqualified host name (hell) unknown;
Feb 10 14:21:27 hell ntpdate[6782]: step time server 91.189.94.4 offset -207.\
Feb 10 14:22:24 hell sendmail[6860]: unable to qualify my own domain name (hell)
Feb 10 14:25:46 hell anacron[6522]: Job `cron.daily’ started
Feb 10 14:25:46 hell anacron[7003]: Updated timestamp for job `cron.daily’ to\
dan kita yang seolah ahli komputer forensik akan dapat kembali membaca file log yang (dianggap) terhapus oleh attacker. **we are doomed**
======= Anti forensic —|
Setelah diatas kita membuktikan bahwa penggunaan ‘rm’ hanyalah menghapus link ke inode atau lebih dikenal dengan index node, yang menyimpan atribut dari suatu file, dan inode di identifikasi dengan nomer yang unik untuk tiap inode. Atribut dari suatu file itu adalah semisal: tipe file, “permission”, info pemilik dan grup, ukuran file, jumlah link (soft/hard), alamatnya di blok data, dsb.
Saya tidak berusaha mengulas dan bercerita lebih jauh tentang file di unix/linux, jadi kita akan “skip” hal ini. (sorry , no candy for you all kiddo)
Penggunaan “rm” dalam melakukan penghapusan file dari mesin target tidaklah efissien, karena para ahli komputer forensik dapat dengan mudah untuk kembali me-recover data-data, baik log, dsb, hal tersebut sudah saya buktikan diatas.
Penggunaan “lsof” hanyalah salah satu cara, banyak sekali aplikasi/utility/tools yang dapat digunakan untuk me-recover file, bahkan keseluruhan data di media, baik saat komputer menyala atau setelah restart,”single mode” atau “network mode”.
========= Secure Data Deletion —|
Secure Data Deletion adalah salah satu teknik tertua/tradisional dari anti-forensics, suatu metode yang sangat mudah, efisien dan “simple” untuk dilakukan, dibanding dengan berbagai teknik lain seperti enkripsi, “steganography”, modifikasi data, penyembunyian data, dsb. Meskipun resiko untuk diketahui akan relatif lebih mudah, tetapi untuk kegiatan computer rforensic, apabila data yang dibutuhkan tidak didapatkan maka akan mempersulit/memperlambat kegiatannya.
Beberapa aplikasi yang bisa anda manfaatkan adalah: srm, wipe, shred, dsb, tetapi dalam demo ini saya mengunakan shred di sistem operasi GNU/Linux dengan filesystem ext3.
Sejak 2008 Shred masuk kedalam paket penting dari GNU (GNU coreutils) dan akan membuat secara default terinstall, sehingga anda tidak perlu melakukan instalasi aplikasi Secure Data Deletion lainnya.
=========== Shred —|
Apa yang dilakukan Shred adalah dengan menulis ulang file/s secara berulang kali dengan tujuan mempersulit kemungkinan untuk merecover data yang sudah dihapus.
Shred, bagaikan pisau bermata dua. Tetapi shred juga memiliki berbagai
keterbatasan pada jenis file system tertentu, terkompresi dan yag memiliki dukungan snapshot, dan untuk detilnya silahkan baca manual shred.
Untuk lebih jelasnya kita akan menggunakan shred dan mencoba me-recovery data tersebut kembali seperti yang sudah kita lakukan di atas.
=========== Shred Beraksi —|
Sekarang, kita akan kembali menghapus file syslog, sebelum itu, untuk memastikan file ini masih di akses/buka oleh system, maka ada baiknya kita lihat, sekaligus sebagai metode verifikasi setelah proses recovery (seperti diatas).
root@hell:~# tail -f /var/log/syslog
Feb 10 15:01:01 hell sm-msp-queue[8122]: n1J7f194007446: to=postmaster, delay=\
Feb 10 15:17:01 hell /USR/SBIN/CRON[8262]: (root) CMD ( cd / && run-parts –\
Feb 10 15:20:01 hell sm-msp-queue[8304]: My unqualified host name (hell) \
Feb 10 15:21:01 hell sm-msp-queue[8304]: unable to qualify my own domain name \
Feb 10 15:21:01 hell sm-msp-queue[8304]: n1J7f194007446: to=postmaster, delay=\
Feb 10 15:40:01 hell /USR/SBIN/CRON[8468]: (smmsp) CMD (test -x /etc/init.d/\
Feb 10 15:40:01 hell sm-msp-queue[8483]: My unqualified host name (hell) \
Feb 10 15:41:01 hell sm-msp-queue[8483]: unable to qualify my own domain name \
Feb 10 15:41:01 hell sm-msp-queue[8483]: n1J7f194007446: to=postmaster, delay=\
Catat inode dari file syslog, akan bermanfaat saat proses melakukan recovery.
“Inode /var/log/syslog” adalah “99810″
root@hell:~# stat /var/log/syslog
File: `/var/log/syslog’
Size: 2400 Blocks: 8 IO Block: 4096 regular file
Device: 801h/2049d Inode: 99810 Links: 1
Access: (0640/-rw-r—–) Uid: ( 102/ syslog) Gid: ( 4/ adm)
Access: 2009-02-10 15:41:19.000000000 +0700
Modify: 2009-02-10 15:41:01.000000000 +0700
Change: 2009-02-10 15:41:01.000000000 +0700
root@hell:~#
Selanjutnya kita akan menghapus file tersebut dengan menggunakan shred, untuk mengerti penggunaan opsi yang diberikan, silahkan cek manual dari shred
root@hell:~# shred –random-source=/dev/urandom -u /var/log/syslog
Shred terbukti telah berhasil menghapus file /var/log/syslog,
root@hell:~# ls -la /var/log/syslog
ls: cannot access /var/log/syslog: No such file or directory
root@hell:~# stat syslog
stat: cannot stat `syslog’: No such file or directory
Selanjutnya adalah me-”list” file/s yang masih terbuka, dan seperti sebelumnya, karena syslog akan secara kontinyu di tulisi oleh sistem, maka otomatis file tersebut akan dianggap masih ada,
root@hell:~# lsof | grep 99810
syslogd 5484 syslog 3w REG 8,1 0 99810 /var/log/0 (deleted)
Lihat dan samakan inode number dari file syslog, dan kita temukan bahwa saat ini yang tercatat adalah file “0″, berbeda dengan saat kita menghapus menggunakan “rm”.
Selanjutnya, seperti saat kita me-”recovery” file syslog sebelumnya adalah dengan hanya mengkopikannya kembali dari direktori tempat pseudo-filesystem.
root@hell:~# cp /proc/5484/fd/3 syslog
root@hell:~# tail -f syslog
root@hell:~# file syslog
syslog: empty
Dan kemudian setelah kita periksa ternyata file tersebut tidak mengandung data apapun a.k.a empty.
Yup, “we are done now homey”, Bisa tidur nyenyak, karena proses recovery menjadi hal yang relatif sulit bagi para ahli-forensik.
======= Referensi —|
[1] http://www.forensicswiki.org/
[2] lsof manual
[3] shred manual
(Sumber www.untukku.com/.../anti-forensic-seek-and-destroy-untukku.html )
Langganan:
Postingan (Atom)