Langkah dalam menyelesaikan masalah IT Forensics
• Komputer forensik
Penyelidikan dan analisis komputer untuk menentukan potensi bukti legal. Bertahun-tahun yang lalu, kebanyakan bukti dikumpulkan pada kertas. Saat ini, kebanyakan bukti bertempat pada komputer, membuatnya lebih rapuh, karena sifat alaminya. Data elektronik bisa muncul dalam bentuk dokumen, informasi keuangan, e-mail, job schedule, log, atau transkripsi voice-mail.
• Kriteria penyelidik forensik menurut :
“Seorang penyelidik yang baik harus mudah berkomunikasi dengan siapapun, dan sangat kritis. Berpikir lojik, objektif dan tidak bias, tanpa kontroversi. Kemampuan verbal dan tulisan sehingga setiap orang memahami apa yang terjadi, karena. akan ditanyai saran dan kepakaran saat diperlukan.”
• Pengetahuan yang diperlukan ahli forensik di antaranya.
1. Dasar-dasar hardware dan pemahaman bagaimana umumnya sistem operasi bekerja
2. Bagaimana partisi drive, hidden partition, dan di mana tabel partisi bisa ditemukan pada sistem operasi yang berbeda
3. Bagaimana umumnya master boot record tersebut dan bagaimana drive geometry.
4. Pemahaman untuk hide, delete, recover file dan directory bisa mempercepat pemahaman pada bagaimana tool forensik dan sistem operasi yang berbeda bekerja.
5. Familiar dengan header dan ekstension file yang bisa jadi berkaitan dengan file tertentu.
• Metodologi umum dalam proses pemeriksaan insiden :
Berikut adalah lima tahapan pemrosesan barang bukti dari. Asumsinya di sini adalah semua ijin untuk mempergunakan mesin (PC, Server, Tape, dan lainnya) sudah dimiliki secara hukum:
1. Persiapan
Sebelum penyelidikan, pastikan persiapan yang diperlukan. Beberapa panduan:
- Sterilkan semua media dari virus.
- Pastikan semua tool forensik bisa dipergunakan secara resmi.
- Periksa kerja semua peralatan lab
- Pilih ahli forensik yang tepat yang mampu memberikan kesaksian dan penjelasan yang baik pada persidangan. Misal untuk menerangkan hal-hal teknis yang asing bagi orang lain.
2. Snapshot
Beberapa panduan:
- Foto lingkungan
- Catat rinciannya.
- Foto barang bukti, misal monitor dan PC.
- Dokumentasikan konfigurasi hardware
- Labeli barang bukti sesuai metodologi anda
- Foto barang bukti lagi setelah dilabeli
- Dokumentasikan apa yang terjadi
3. Transport
Dengan asumsi ijin resmi sudah diperoleh, tindakan untuk transportasi adalah:
- Lakukan pengemasan dengan aman.
- Foto dan dokumentasikan penanganan barang bukti meninggalkan tempat transport sampai ke lab pengujian
4. Persiapan
Berikut adalah persiapan untuk uji lab:
- Lakukan unpack sesuai metodologi.
- Lakukan uji visual dan catat setiap konfigurasi yang tidak semestinya.
Buat image dari hard disk. Hal yang penting untuk diingat:
- Matikan software virus scanning
- Catat waktu CMOS (Complementary Metal Oxide Semiconductor). Hal ini perlu dilakukan khususnya saat zona waktu dibutuhkan.
Anda bisa membuat image dengan banyak cara
- Catat bagaimana image dibuat
- Pastikan tool untuk image tidak mengakses sistem file dari media bukti.
- Setelah membuat image simpan barang bukti di tempat aman dan catatlah.
- Merupakan hal yang baik untuk membuat image kedua.
5. Pengujian
Ini merupakan tahapan analisis barang bukti dari berbagai media (Floppy, hard drive, tape), dan sistem operasi (Linux, Windows). Mesin yang digunakan untuk melakukan analisa seharusnya adalah stand alone dan tidak terhubung dalam jaringan, sehingga memastikan tidak ada orang lain yang mengaksesnya.
Analisis forensik dilakukan pada dua level:
- Level fisik, di mana ingin dilihat cluster dan sektor tertentu untuk mencari informasi. Tabel master atau file allocation table biasanya disebut system area.
- Level lojik, misalkan gambar yang nampak sebagai rangkaian heksadesimal.
Karena tidak bisa sepenuhnya mempercayai bukti apapun, maka harus diperhitungkan rangkaian kepercayaan (chain of evidence) berikut:Shell (termasuk variabel environment), Command, Dynamic libraries, Device driver, Kernel, Controller
• Mencari tau bagian mana program yang rusak??
Hal yang menarik bagi pelaku penyusupan kejahatan dan komputer adalah faktor anonimitas, artinya pembuat virus, trojan, atau pelaku compromise tidak merasa khawatir akan dikenali. Di sisi lain, insiden penyusupan virus, worm, trojan dan cracker kadang meninggalkan potongan program. Bisakah dengan peninggalan tersebut diidentifikasi sumbernya? Peninggalan dari serangan tersebut bisa berupa source program, kode object, shell script, perubahan pada program yang ada, atau file teks yang dibuat oleh penyusup. Hal tersebut bisa dipergunakan untuk mengidentifikasi sumber dari serangan, serupa dengan analisis tulisan tangan yang dilakukan oleh aparat hukum untuk mengenali penulis suatu dokumen. Hal ini biasa disebut forensik perangkat lunak. Forensik perangkat lunak bisa dilakukan pada:
1. Kode executable. Biasanya dilakukan pada virus atau worm. Sayangnya banyak feature yang bisa berguna dalam analisis telah terhapus, misalkan komentar, identasi dan identifier. Optimisasi juga dilakukan sehingga program telah berbeda dengan program semula. Beberapa feature yang masih bisa dipertimbangkan di antaranya:
- Algoritma dan struktur data: Pilihan algoritma dan struktur data bisa menunjukkan background dari pembuat
- Kompilator: Dalam kasus virus bisa ditentukan bahasa pemrogramannya dan dari vendor mana, karena rutin-rutin dan library yang dipergunakan
- Pengetahuan pemrograman: Bisa dilihat tingkat kemampuan pemrogram dari penggunaan fungsi dan error checking semacam exception handling
- Pilihan system call
- Kesalahan: Beberapa programmer membuat kesalahan serupa pada program-programnya
2. Kode Sumber. Ini mampu memberikan informasi yang lebih banyak. Beberapa feature yang bisa dianalisis:
- Bahasa: Menunjukkan pengetahuan dan ketersediaan pada pemrogram
- Format: Biasanya konsisten, misal identasi dan deklarasi
- Komentar
- Nama variabel
- Ejaan: Ada pemrogram yang melakukan kesalahan eja secara tetap
- Feature bahasa: Beberapa pemrogram lebih suka menggunakan pilihan tertentu, misal antara perulangan for dengan repeat until atau while
- Scope: pemilihan variabel lokal dan global
- Jalur eksekusi: adanya kode yang tidak pernah dieksekusi
- Bug: Kesalahan serupa yang dibuat dalam program-programnya
• Menganalisis unknow program
Materi pada bagian ini diambil dari sumber. Untuk mempelajari perilaku suatu program yang tidak kita ketahui sumber dan kegunaannya terdapat beberapa cara:
1. Analisis statik: Mempelajari program tanpa benar-benar mengeksekusinya. Tool yang dipergunakan adalah dissasembler, decompiler, tool analisis kode sumber, dan tool dasar semacam grep. Dalam kenyataannya bisa memberikan suatu gambaran pendekatan mengenai program.
2. Analisis dinamik: Mempelajari program saat dieksekusi. Tool yang dipergunakan adalah debugger, tracer, emulator mesin, analisis logika dan terkadang sniffer jaringan. Keuntungan dari analisis dinamik adalah cepat dan akurat. Kasus khusus dari analisis dinamik adalah analisis kotak hitam (black box), yaitu analisis dinamik tanpa mengakses internal program. Dalam kasus ini, pengamatan dilakukan pada input dan output eksternal, serta karakteristik pewaktuannya.
3. Analisis postmortem: Mempelajari perilaku perangkat lunak dengan mengamati dampak setelah eksekusi program. Bisa jadi ini merupakan satu-satunya alat yang tersedia setelah penyusupan sistem.
Analisis dinamik harus dilakukan sehingga tidak menimbulkan kerusakan yang berbahaya, sehingga eksekusi program bisa dijalankan pada:
1. Mesin “percobaan” tanpa koneksi jaringan
2. Mesin dengan sandbox Virtual Machine
Untuk memantau kemajuan (progress) suatu program, pengamatan bisa dilakukan dengan cara:
- Pengamatan pada level instruksi mesin
- Pengamatan system call yang dipergunakan
qSuatu mesin yang mengalami compromise tidak akan bisa dipercaya, dan semua informasi yang berasal dari mesin tersebut perlu diragukan. Perubahan pada suatu program aplikasi dan file data mudah dideteksi jika diketahui file mana yang mengalami perubahan. Perubahan pada proses yang berjalan lebih susah dideteksi, begitu pula dengan perubahan pada level kernel sistem operasi, atau bahkan perubahan pada tingkat di bawah level kernel.
• Tool Forensik
Tool yang dipergunakan oleh ahli forensik harus bekerja baik dan tidak mengubah data. Di samping itu, komunitas komputer forensik harus menerima tool dan hasilnya. Tool yang sama kadang dipergunakan untuk melakukan pemantauan dan audit pada jaringan.
Tool kit untuk pengujian forensik memungkinkan untuk mengumpulkan dan analisis data, seperti tcpdump, Argus, NFR, tcpwrapper, sniffer, nstat, tripwire, diskcopy (/v pada DOS), DD pada Unix. Karena ahli hukum percaya bit lebih mudah dipalsukan daripada kertas, maka aturan utamanya adalah “preserve then examine” . Salah satu Contoh tool untuk komputer forensik:
Penggunaan dd di Linux
dd adalah bagian dari paket coreutils (di Linux), dan umumnya terinstall di semua
varian UNIX. Format perintah dd adalah :
$ dd if=/dev/namadevice of=namafile bs=besar_sektor count=banyak_sektor
Contoh penggunaan dd di Linux :
• Untuk mengambil partisi pertama di IDE kedua (hdb1) sebesar 650MB, ketikkan :
$ dd if=/dev/hdb1 of=image_hdb1 bs=1024k count=650
• Untuk mengambil image dari floppy disk A:\ (fd0), ketikkan
$ dd if=/dev/fd0 of=image_fd0 bs=1k count=1440
Penggunaan dd di Windows
Jika tidak terdapat komputer yang dapat menjalankan UNIX, dapat digunakan dd versi
DOS/Windows. dd versi Windows/DOS dapat didownload dari
http://unxutils.sourceforge.net/. Format perintah dd untuk DOS/Windows adalah :
$ dd if=\\.\namadevice of=namafile bs=besar_sektor count=banyak_sektor
Contoh penggunaan dd di Windows
• Untuk mengambil image dari floppy disk A:\, ketikkan
$ dd if=\\.\a: of=c:\temp\disk1.img bs=1440k count=1
• Untuk mengambil image CDROM pertama
$ dd if=\\?\Device\CdRom0 of=c:\temp\disc1.iso bs=1M
• Untuk mengambil image dari partisi tertentu di harddisk
$ dd if=\\.\Harddisk\Partition of=c:\temp\image
Keterangan : n=0 utk harddisk pertama, partition0 adalah seluruh harddisk.
(SUMBER.juschie.wordpress.com/2010/05/26/it-forensic/ )
Penyelidikan dan analisis komputer untuk menentukan potensi bukti legal. Bertahun-tahun yang lalu, kebanyakan bukti dikumpulkan pada kertas. Saat ini, kebanyakan bukti bertempat pada komputer, membuatnya lebih rapuh, karena sifat alaminya. Data elektronik bisa muncul dalam bentuk dokumen, informasi keuangan, e-mail, job schedule, log, atau transkripsi voice-mail.
• Kriteria penyelidik forensik menurut :
“Seorang penyelidik yang baik harus mudah berkomunikasi dengan siapapun, dan sangat kritis. Berpikir lojik, objektif dan tidak bias, tanpa kontroversi. Kemampuan verbal dan tulisan sehingga setiap orang memahami apa yang terjadi, karena. akan ditanyai saran dan kepakaran saat diperlukan.”
• Pengetahuan yang diperlukan ahli forensik di antaranya.
1. Dasar-dasar hardware dan pemahaman bagaimana umumnya sistem operasi bekerja
2. Bagaimana partisi drive, hidden partition, dan di mana tabel partisi bisa ditemukan pada sistem operasi yang berbeda
3. Bagaimana umumnya master boot record tersebut dan bagaimana drive geometry.
4. Pemahaman untuk hide, delete, recover file dan directory bisa mempercepat pemahaman pada bagaimana tool forensik dan sistem operasi yang berbeda bekerja.
5. Familiar dengan header dan ekstension file yang bisa jadi berkaitan dengan file tertentu.
• Metodologi umum dalam proses pemeriksaan insiden :
Berikut adalah lima tahapan pemrosesan barang bukti dari. Asumsinya di sini adalah semua ijin untuk mempergunakan mesin (PC, Server, Tape, dan lainnya) sudah dimiliki secara hukum:
1. Persiapan
Sebelum penyelidikan, pastikan persiapan yang diperlukan. Beberapa panduan:
- Sterilkan semua media dari virus.
- Pastikan semua tool forensik bisa dipergunakan secara resmi.
- Periksa kerja semua peralatan lab
- Pilih ahli forensik yang tepat yang mampu memberikan kesaksian dan penjelasan yang baik pada persidangan. Misal untuk menerangkan hal-hal teknis yang asing bagi orang lain.
2. Snapshot
Beberapa panduan:
- Foto lingkungan
- Catat rinciannya.
- Foto barang bukti, misal monitor dan PC.
- Dokumentasikan konfigurasi hardware
- Labeli barang bukti sesuai metodologi anda
- Foto barang bukti lagi setelah dilabeli
- Dokumentasikan apa yang terjadi
3. Transport
Dengan asumsi ijin resmi sudah diperoleh, tindakan untuk transportasi adalah:
- Lakukan pengemasan dengan aman.
- Foto dan dokumentasikan penanganan barang bukti meninggalkan tempat transport sampai ke lab pengujian
4. Persiapan
Berikut adalah persiapan untuk uji lab:
- Lakukan unpack sesuai metodologi.
- Lakukan uji visual dan catat setiap konfigurasi yang tidak semestinya.
Buat image dari hard disk. Hal yang penting untuk diingat:
- Matikan software virus scanning
- Catat waktu CMOS (Complementary Metal Oxide Semiconductor). Hal ini perlu dilakukan khususnya saat zona waktu dibutuhkan.
Anda bisa membuat image dengan banyak cara
- Catat bagaimana image dibuat
- Pastikan tool untuk image tidak mengakses sistem file dari media bukti.
- Setelah membuat image simpan barang bukti di tempat aman dan catatlah.
- Merupakan hal yang baik untuk membuat image kedua.
5. Pengujian
Ini merupakan tahapan analisis barang bukti dari berbagai media (Floppy, hard drive, tape), dan sistem operasi (Linux, Windows). Mesin yang digunakan untuk melakukan analisa seharusnya adalah stand alone dan tidak terhubung dalam jaringan, sehingga memastikan tidak ada orang lain yang mengaksesnya.
Analisis forensik dilakukan pada dua level:
- Level fisik, di mana ingin dilihat cluster dan sektor tertentu untuk mencari informasi. Tabel master atau file allocation table biasanya disebut system area.
- Level lojik, misalkan gambar yang nampak sebagai rangkaian heksadesimal.
Karena tidak bisa sepenuhnya mempercayai bukti apapun, maka harus diperhitungkan rangkaian kepercayaan (chain of evidence) berikut:Shell (termasuk variabel environment), Command, Dynamic libraries, Device driver, Kernel, Controller
• Mencari tau bagian mana program yang rusak??
Hal yang menarik bagi pelaku penyusupan kejahatan dan komputer adalah faktor anonimitas, artinya pembuat virus, trojan, atau pelaku compromise tidak merasa khawatir akan dikenali. Di sisi lain, insiden penyusupan virus, worm, trojan dan cracker kadang meninggalkan potongan program. Bisakah dengan peninggalan tersebut diidentifikasi sumbernya? Peninggalan dari serangan tersebut bisa berupa source program, kode object, shell script, perubahan pada program yang ada, atau file teks yang dibuat oleh penyusup. Hal tersebut bisa dipergunakan untuk mengidentifikasi sumber dari serangan, serupa dengan analisis tulisan tangan yang dilakukan oleh aparat hukum untuk mengenali penulis suatu dokumen. Hal ini biasa disebut forensik perangkat lunak. Forensik perangkat lunak bisa dilakukan pada:
1. Kode executable. Biasanya dilakukan pada virus atau worm. Sayangnya banyak feature yang bisa berguna dalam analisis telah terhapus, misalkan komentar, identasi dan identifier. Optimisasi juga dilakukan sehingga program telah berbeda dengan program semula. Beberapa feature yang masih bisa dipertimbangkan di antaranya:
- Algoritma dan struktur data: Pilihan algoritma dan struktur data bisa menunjukkan background dari pembuat
- Kompilator: Dalam kasus virus bisa ditentukan bahasa pemrogramannya dan dari vendor mana, karena rutin-rutin dan library yang dipergunakan
- Pengetahuan pemrograman: Bisa dilihat tingkat kemampuan pemrogram dari penggunaan fungsi dan error checking semacam exception handling
- Pilihan system call
- Kesalahan: Beberapa programmer membuat kesalahan serupa pada program-programnya
2. Kode Sumber. Ini mampu memberikan informasi yang lebih banyak. Beberapa feature yang bisa dianalisis:
- Bahasa: Menunjukkan pengetahuan dan ketersediaan pada pemrogram
- Format: Biasanya konsisten, misal identasi dan deklarasi
- Komentar
- Nama variabel
- Ejaan: Ada pemrogram yang melakukan kesalahan eja secara tetap
- Feature bahasa: Beberapa pemrogram lebih suka menggunakan pilihan tertentu, misal antara perulangan for dengan repeat until atau while
- Scope: pemilihan variabel lokal dan global
- Jalur eksekusi: adanya kode yang tidak pernah dieksekusi
- Bug: Kesalahan serupa yang dibuat dalam program-programnya
• Menganalisis unknow program
Materi pada bagian ini diambil dari sumber. Untuk mempelajari perilaku suatu program yang tidak kita ketahui sumber dan kegunaannya terdapat beberapa cara:
1. Analisis statik: Mempelajari program tanpa benar-benar mengeksekusinya. Tool yang dipergunakan adalah dissasembler, decompiler, tool analisis kode sumber, dan tool dasar semacam grep. Dalam kenyataannya bisa memberikan suatu gambaran pendekatan mengenai program.
2. Analisis dinamik: Mempelajari program saat dieksekusi. Tool yang dipergunakan adalah debugger, tracer, emulator mesin, analisis logika dan terkadang sniffer jaringan. Keuntungan dari analisis dinamik adalah cepat dan akurat. Kasus khusus dari analisis dinamik adalah analisis kotak hitam (black box), yaitu analisis dinamik tanpa mengakses internal program. Dalam kasus ini, pengamatan dilakukan pada input dan output eksternal, serta karakteristik pewaktuannya.
3. Analisis postmortem: Mempelajari perilaku perangkat lunak dengan mengamati dampak setelah eksekusi program. Bisa jadi ini merupakan satu-satunya alat yang tersedia setelah penyusupan sistem.
Analisis dinamik harus dilakukan sehingga tidak menimbulkan kerusakan yang berbahaya, sehingga eksekusi program bisa dijalankan pada:
1. Mesin “percobaan” tanpa koneksi jaringan
2. Mesin dengan sandbox Virtual Machine
Untuk memantau kemajuan (progress) suatu program, pengamatan bisa dilakukan dengan cara:
- Pengamatan pada level instruksi mesin
- Pengamatan system call yang dipergunakan
qSuatu mesin yang mengalami compromise tidak akan bisa dipercaya, dan semua informasi yang berasal dari mesin tersebut perlu diragukan. Perubahan pada suatu program aplikasi dan file data mudah dideteksi jika diketahui file mana yang mengalami perubahan. Perubahan pada proses yang berjalan lebih susah dideteksi, begitu pula dengan perubahan pada level kernel sistem operasi, atau bahkan perubahan pada tingkat di bawah level kernel.
• Tool Forensik
Tool yang dipergunakan oleh ahli forensik harus bekerja baik dan tidak mengubah data. Di samping itu, komunitas komputer forensik harus menerima tool dan hasilnya. Tool yang sama kadang dipergunakan untuk melakukan pemantauan dan audit pada jaringan.
Tool kit untuk pengujian forensik memungkinkan untuk mengumpulkan dan analisis data, seperti tcpdump, Argus, NFR, tcpwrapper, sniffer, nstat, tripwire, diskcopy (/v pada DOS), DD pada Unix. Karena ahli hukum percaya bit lebih mudah dipalsukan daripada kertas, maka aturan utamanya adalah “preserve then examine” . Salah satu Contoh tool untuk komputer forensik:
Penggunaan dd di Linux
dd adalah bagian dari paket coreutils (di Linux), dan umumnya terinstall di semua
varian UNIX. Format perintah dd adalah :
$ dd if=/dev/namadevice of=namafile bs=besar_sektor count=banyak_sektor
Contoh penggunaan dd di Linux :
• Untuk mengambil partisi pertama di IDE kedua (hdb1) sebesar 650MB, ketikkan :
$ dd if=/dev/hdb1 of=image_hdb1 bs=1024k count=650
• Untuk mengambil image dari floppy disk A:\ (fd0), ketikkan
$ dd if=/dev/fd0 of=image_fd0 bs=1k count=1440
Penggunaan dd di Windows
Jika tidak terdapat komputer yang dapat menjalankan UNIX, dapat digunakan dd versi
DOS/Windows. dd versi Windows/DOS dapat didownload dari
http://unxutils.sourceforge.net/. Format perintah dd untuk DOS/Windows adalah :
$ dd if=\\.\namadevice of=namafile bs=besar_sektor count=banyak_sektor
Contoh penggunaan dd di Windows
• Untuk mengambil image dari floppy disk A:\, ketikkan
$ dd if=\\.\a: of=c:\temp\disk1.img bs=1440k count=1
• Untuk mengambil image CDROM pertama
$ dd if=\\?\Device\CdRom0 of=c:\temp\disc1.iso bs=1M
• Untuk mengambil image dari partisi tertentu di harddisk
$ dd if=\\.\Harddisk\Partition of=c:\temp\image
Keterangan : n=0 utk harddisk pertama, partition0 adalah seluruh harddisk.
(SUMBER.juschie.wordpress.com/2010/05/26/it-forensic/ )
Aplikasi Bidang Keahlian Akustik : Forensic Speaker Identification (FSI)
Aplikasi Bidang Keahlian Akustik : Forensic Speaker Identification (FSI)
Forensic Speaker Identification merupakan salah satu aplikasi kecil dari bidang keahlian akustik yang hadir satu-satunya di Teknik Fisika ITB. Bidang keahlian ini sendiri merupakan bidang kajian yang mencakup banyak disiplin keilmuan, dari teknologi bahasa, telekomunikasi, electronic, recording, sinyal prosesing, psikologi, hukum, matematika (statistik) dan akustik (lebih khusus: Phonetics, Anatomy, Physiology, acoustics & psycholinguistics, cognitive psychology).Pada kenyataannya, bidang keahlian akustik dapat digunakan di berbagai hal, salah satunya di FSI ini.
Sebagai seorang pakar akustik, dosen Teknik Fisika, Ir Joko Sarwono ,PhD dengan bidang keahlian utamanya Arsitektural Acoustics dan Sound System Design bersama rekan-rekannya di Group Riset Teknik Fisika ITB pernah dipercaya Komisi Pemberantasan Korupsi untuk membantu menangani keabsahan suatu tuntutan ditinjau dari sisi akustiknya. Misalnya pada kasus ini digunakan FSI untuk membuktikan benar tidaknya peimilik suara percakapan di telpon adalah pemilik suara orang yang dituju. Prinsip yang digunakan kasus ini adalah “membandingkan”, sehingga dibutuhkan file unknown yang akan dibandingkan dengan file known. Pada kasus ini, suara hasil penyadapan dianggap sebagai file unknown (identitasnya) dan file known diperoleh dengan cara mewawancarai yang bersangkutan ataupun meminta yang bersangkutan mengulang apa yang diucapkan lewat telepon, sementara itu yang dibandingkan bisa kalimat utuh, bisa juga kata-kata penyusun kalimat itu. Kemudian yang digunakan untuk membandingkan adalah fitur akustik dari suara percakapan yang disebut pitch dan formant. Pitch adalah nada dasar dari suara manusia, sedangkan formant menunjukkan karakter vocal tract dari sistem produksi suara manusia (mulai dari rongga dada-perut, membran diantara keduanya, pita suara, kerongkongan, anak tekak rongga mulut dampai gigi). Untuk setiap orang, karakter vocal tract nya berbeda-beda, sama halnya dengan sidik jari, DNA dan retina. Namun, sidik jari, DNA dan retina bersifat statis, sedangkan suara yang dihasilkan vocal tract bersifat dinamis, sehingga dapat dengan sengaja diubah, dapat pula berubah dengan tidak sengaja (misalnya dalam kondisi flu ataupun dalam kondisi tertekan secara emosional). Pada akhirnya, jika ternyata kedua file tersebut memiliki kesamaan lebih dari 80%, dapat disimpulkan penelpon adalah orang yang sama bukan orang lain.
Analisis yang digunakan Team dari TF ini menggunakan sistem penilaian standar baku di Eropa, Jepang, Australia, dan Amerika Serikat, mengacu pada standar yang dikeluarkan asosiasi forensik suara, sedangkan asosiasi ini menginduk pada International Association of Forensic Linguists. Untuk membantu perhitungan kalkulasi, TF Group menggunakan freeware Praat yang dikembangkan Research Group di Belanda. Hingga saat ini, sudah lebih dari sepuluh kasus telah ditangani tim FSI TF.
Terkait dengan diberlakukannya UU IT terbaru yang salah satu pasalnya menyebutkan bahwa sinyal ucapan hasil penyadapan dapat digunakan sebagai bukti resmi dalam proses peradilan, FSI expert/examiner tampaknya akan semakin diperlukan ke depan. Untuk mengantisipasi hal tersebut, mata kuliah mengenai FSI ini untuk pertama kalinya dibuka di mata kuliah tingkat empat yang di bimbing oleh Dr Ir Joko Sarwono.
“Kenyataannya, ilmu akustik terus berkembang sehingga aplikasinya semakin lama akan semakin luas.”
(SUMBER.www.tf.itb.ac.id/.../apikasi-bidang-keahlian-akustik-forensic-speaker-identification-fsi/ )
Forensic Speaker Identification merupakan salah satu aplikasi kecil dari bidang keahlian akustik yang hadir satu-satunya di Teknik Fisika ITB. Bidang keahlian ini sendiri merupakan bidang kajian yang mencakup banyak disiplin keilmuan, dari teknologi bahasa, telekomunikasi, electronic, recording, sinyal prosesing, psikologi, hukum, matematika (statistik) dan akustik (lebih khusus: Phonetics, Anatomy, Physiology, acoustics & psycholinguistics, cognitive psychology).Pada kenyataannya, bidang keahlian akustik dapat digunakan di berbagai hal, salah satunya di FSI ini.
Sebagai seorang pakar akustik, dosen Teknik Fisika, Ir Joko Sarwono ,PhD dengan bidang keahlian utamanya Arsitektural Acoustics dan Sound System Design bersama rekan-rekannya di Group Riset Teknik Fisika ITB pernah dipercaya Komisi Pemberantasan Korupsi untuk membantu menangani keabsahan suatu tuntutan ditinjau dari sisi akustiknya. Misalnya pada kasus ini digunakan FSI untuk membuktikan benar tidaknya peimilik suara percakapan di telpon adalah pemilik suara orang yang dituju. Prinsip yang digunakan kasus ini adalah “membandingkan”, sehingga dibutuhkan file unknown yang akan dibandingkan dengan file known. Pada kasus ini, suara hasil penyadapan dianggap sebagai file unknown (identitasnya) dan file known diperoleh dengan cara mewawancarai yang bersangkutan ataupun meminta yang bersangkutan mengulang apa yang diucapkan lewat telepon, sementara itu yang dibandingkan bisa kalimat utuh, bisa juga kata-kata penyusun kalimat itu. Kemudian yang digunakan untuk membandingkan adalah fitur akustik dari suara percakapan yang disebut pitch dan formant. Pitch adalah nada dasar dari suara manusia, sedangkan formant menunjukkan karakter vocal tract dari sistem produksi suara manusia (mulai dari rongga dada-perut, membran diantara keduanya, pita suara, kerongkongan, anak tekak rongga mulut dampai gigi). Untuk setiap orang, karakter vocal tract nya berbeda-beda, sama halnya dengan sidik jari, DNA dan retina. Namun, sidik jari, DNA dan retina bersifat statis, sedangkan suara yang dihasilkan vocal tract bersifat dinamis, sehingga dapat dengan sengaja diubah, dapat pula berubah dengan tidak sengaja (misalnya dalam kondisi flu ataupun dalam kondisi tertekan secara emosional). Pada akhirnya, jika ternyata kedua file tersebut memiliki kesamaan lebih dari 80%, dapat disimpulkan penelpon adalah orang yang sama bukan orang lain.
Analisis yang digunakan Team dari TF ini menggunakan sistem penilaian standar baku di Eropa, Jepang, Australia, dan Amerika Serikat, mengacu pada standar yang dikeluarkan asosiasi forensik suara, sedangkan asosiasi ini menginduk pada International Association of Forensic Linguists. Untuk membantu perhitungan kalkulasi, TF Group menggunakan freeware Praat yang dikembangkan Research Group di Belanda. Hingga saat ini, sudah lebih dari sepuluh kasus telah ditangani tim FSI TF.
Terkait dengan diberlakukannya UU IT terbaru yang salah satu pasalnya menyebutkan bahwa sinyal ucapan hasil penyadapan dapat digunakan sebagai bukti resmi dalam proses peradilan, FSI expert/examiner tampaknya akan semakin diperlukan ke depan. Untuk mengantisipasi hal tersebut, mata kuliah mengenai FSI ini untuk pertama kalinya dibuka di mata kuliah tingkat empat yang di bimbing oleh Dr Ir Joko Sarwono.
“Kenyataannya, ilmu akustik terus berkembang sehingga aplikasinya semakin lama akan semakin luas.”
(SUMBER.www.tf.itb.ac.id/.../apikasi-bidang-keahlian-akustik-forensic-speaker-identification-fsi/ )
Macam-Macam Tools dalam IT Forensics
Tools dalam Forensik IT
1. antiword
Antiword merupakan sebuah aplikasi yang digunakan untuk menampilkan teks dan gambar dokumen Microsoft Word. Antiword hanya mendukung dokumen yang dibuat oleh MS Word versi 2 dan versi 6 atau yang lebih baru.
2. Autopsy
The Autopsy Forensic Browser merupakan antarmuka grafis untuk tool analisis investigasi diginal perintah baris The Sleuth Kit. Bersama, mereka dapat menganalisis disk dan filesistem Windows dan UNIX (NTFS, FAT, UFS1/2, Ext2/3).
3. binhash
binhash merupakan sebuah program sederhana untuk melakukan hashing terhadap berbagai bagian file ELF dan PE untuk perbandingan. Saat ini ia melakukan hash terhadap segmen header dari bagian header segmen obyek ELF dan bagian segmen header obyekPE.
4. sigtool
sigtcol merupakan tool untuk manajemen signature dan database ClamAV. sigtool dapat digunakan untuk rnenghasilkan checksum MD5, konversi data ke dalam format heksadesimal, menampilkan daftar signature virus dan build/unpack/test/verify database CVD dan skrip update.
5. ChaosReader
ChaosReader merupakan sebuah tool freeware untuk melacak sesi TCP/UDP/… dan mengambil data aplikasi dari log tcpdump. la akan mengambil sesi telnet, file FTP, transfer HTTP (HTML, GIF, JPEG,…), email SMTP, dan sebagainya, dari data yang ditangkap oleh log lalu lintas jaringan. Sebuah file index html akan tercipta yang berisikan link ke seluruh detil sesi, termasuk program replay realtime untuk sesi telnet, rlogin, IRC, X11 atau VNC; dan membuat laporan seperti laporan image dan laporan isi HTTP GET/POST.
6. chkrootkit
chkrootkit merupakan sebuah tool untuk memeriksa tanda-tanda adanya rootkit secara lokal. la akan memeriksa utilitas utama apakah terinfeksi, dan saat ini memeriksa sekitar 60 rootkit dan variasinya.
7. dcfldd
Tool ini mulanya dikembangkan di Department of Defense Computer Forensics Lab (DCFL). Meskipun saat ini Nick Harbour tidak lagi berafiliasi dengan DCFL, ia tetap memelihara tool ini.
8. ddrescue
GNU ddrescue merupakan sebuah tool penyelamat data, la menyalinkan data dari satu file atau device blok (hard disc, cdrom, dsb.) ke yang lain, berusaha keras menyelamatkan data dalam hal kegagalan pembacaan. Ddrescue tidak memotong file output bila tidak diminta. Sehingga setiap kali anda menjalankannya kefile output yang sama, ia berusaha mengisi kekosongan.
9. foremost
Foremost merupakan sebuah tool yang dapat digunakan untuk me-recover file berdasarkan header, footer, atau struktur data file tersebut. la mulanya dikembangkan oleh Jesse Kornblum dan Kris Kendall dari the United States Air Force Office of Special Investigations and The Center for Information Systems Security Studies and Research. Saat ini foremost dipelihara oleh Nick Mikus seorang Peneliti di the Naval Postgraduate School Center for Information Systems Security Studies and Research.
10. gqview
Gqview merupakan sebuah program untuk melihat gambar berbasis GTK la mendukung beragam format gambar, zooming, panning, thumbnails, dan pengurutan gambar.
11. galleta
Galleta merupakan sebuah tool yang ditulis oleh Keith J Jones untuk melakukan analisis forensic terhadap cookie Internet Explorer.
12. Ishw
Ishw (Hardware Lister) merupakan sebuah tool kecil yang memberikan informasi detil mengenai konfigurasi hardware dalam mesin. la dapat melaporkan konfigurasi memori dengan tepat, versi firmware, konfigurasi mainboard, versi dan kecepatan CPU, konfigurasi cache, kecepatan bus, dsb. pada sistem t>MI-capable x86 atau sistem EFI.
13. pasco
Banyak penyelidikan kejahatan komputer membutuhkan rekonstruksi aktivitas Internet tersangka. Karena teknik analisis ini dilakukan secara teratur, Keith menyelidiki struktur data yang ditemukan dalam file aktivitas Internet Explorer (file index.dat). Pasco, yang berasal dari bahasa Latin dan berarti “browse”, dikembangkan untuk menguji isi file cache Internet Explorer. Pasco akan memeriksa informasi dalam file index.dat dan mengeluarkan hasil dalam field delimited sehingga dapat diimpor ke program spreadsheet favorit Anda.
14. scalpel
calpel adalah sebuah tool forensik yang dirancang untuk mengidentifikasikan, mengisolasi dan merecover data dari media komputer selama proses investigasi forensik. Scalpel mencari hard drive, bit-stream image, unallocated space file, atau sembarang file komputer untuk karakteristik, isi atau atribut tertentu, dan menghasilkan laporan mengenai lokasi dan isi artifak yang ditemukan selama proses pencarian elektronik. Scalpel juga menghasilkan (carves) artifak yang ditemukan sebagai file individual.
(SUMBER.tamiyatechnology.blogspot.com/2010/05/it-forensic.html)
1. antiword
Antiword merupakan sebuah aplikasi yang digunakan untuk menampilkan teks dan gambar dokumen Microsoft Word. Antiword hanya mendukung dokumen yang dibuat oleh MS Word versi 2 dan versi 6 atau yang lebih baru.
2. Autopsy
The Autopsy Forensic Browser merupakan antarmuka grafis untuk tool analisis investigasi diginal perintah baris The Sleuth Kit. Bersama, mereka dapat menganalisis disk dan filesistem Windows dan UNIX (NTFS, FAT, UFS1/2, Ext2/3).
3. binhash
binhash merupakan sebuah program sederhana untuk melakukan hashing terhadap berbagai bagian file ELF dan PE untuk perbandingan. Saat ini ia melakukan hash terhadap segmen header dari bagian header segmen obyek ELF dan bagian segmen header obyekPE.
4. sigtool
sigtcol merupakan tool untuk manajemen signature dan database ClamAV. sigtool dapat digunakan untuk rnenghasilkan checksum MD5, konversi data ke dalam format heksadesimal, menampilkan daftar signature virus dan build/unpack/test/verify database CVD dan skrip update.
5. ChaosReader
ChaosReader merupakan sebuah tool freeware untuk melacak sesi TCP/UDP/… dan mengambil data aplikasi dari log tcpdump. la akan mengambil sesi telnet, file FTP, transfer HTTP (HTML, GIF, JPEG,…), email SMTP, dan sebagainya, dari data yang ditangkap oleh log lalu lintas jaringan. Sebuah file index html akan tercipta yang berisikan link ke seluruh detil sesi, termasuk program replay realtime untuk sesi telnet, rlogin, IRC, X11 atau VNC; dan membuat laporan seperti laporan image dan laporan isi HTTP GET/POST.
6. chkrootkit
chkrootkit merupakan sebuah tool untuk memeriksa tanda-tanda adanya rootkit secara lokal. la akan memeriksa utilitas utama apakah terinfeksi, dan saat ini memeriksa sekitar 60 rootkit dan variasinya.
7. dcfldd
Tool ini mulanya dikembangkan di Department of Defense Computer Forensics Lab (DCFL). Meskipun saat ini Nick Harbour tidak lagi berafiliasi dengan DCFL, ia tetap memelihara tool ini.
8. ddrescue
GNU ddrescue merupakan sebuah tool penyelamat data, la menyalinkan data dari satu file atau device blok (hard disc, cdrom, dsb.) ke yang lain, berusaha keras menyelamatkan data dalam hal kegagalan pembacaan. Ddrescue tidak memotong file output bila tidak diminta. Sehingga setiap kali anda menjalankannya kefile output yang sama, ia berusaha mengisi kekosongan.
9. foremost
Foremost merupakan sebuah tool yang dapat digunakan untuk me-recover file berdasarkan header, footer, atau struktur data file tersebut. la mulanya dikembangkan oleh Jesse Kornblum dan Kris Kendall dari the United States Air Force Office of Special Investigations and The Center for Information Systems Security Studies and Research. Saat ini foremost dipelihara oleh Nick Mikus seorang Peneliti di the Naval Postgraduate School Center for Information Systems Security Studies and Research.
10. gqview
Gqview merupakan sebuah program untuk melihat gambar berbasis GTK la mendukung beragam format gambar, zooming, panning, thumbnails, dan pengurutan gambar.
11. galleta
Galleta merupakan sebuah tool yang ditulis oleh Keith J Jones untuk melakukan analisis forensic terhadap cookie Internet Explorer.
12. Ishw
Ishw (Hardware Lister) merupakan sebuah tool kecil yang memberikan informasi detil mengenai konfigurasi hardware dalam mesin. la dapat melaporkan konfigurasi memori dengan tepat, versi firmware, konfigurasi mainboard, versi dan kecepatan CPU, konfigurasi cache, kecepatan bus, dsb. pada sistem t>MI-capable x86 atau sistem EFI.
13. pasco
Banyak penyelidikan kejahatan komputer membutuhkan rekonstruksi aktivitas Internet tersangka. Karena teknik analisis ini dilakukan secara teratur, Keith menyelidiki struktur data yang ditemukan dalam file aktivitas Internet Explorer (file index.dat). Pasco, yang berasal dari bahasa Latin dan berarti “browse”, dikembangkan untuk menguji isi file cache Internet Explorer. Pasco akan memeriksa informasi dalam file index.dat dan mengeluarkan hasil dalam field delimited sehingga dapat diimpor ke program spreadsheet favorit Anda.
14. scalpel
calpel adalah sebuah tool forensik yang dirancang untuk mengidentifikasikan, mengisolasi dan merecover data dari media komputer selama proses investigasi forensik. Scalpel mencari hard drive, bit-stream image, unallocated space file, atau sembarang file komputer untuk karakteristik, isi atau atribut tertentu, dan menghasilkan laporan mengenai lokasi dan isi artifak yang ditemukan selama proses pencarian elektronik. Scalpel juga menghasilkan (carves) artifak yang ditemukan sebagai file individual.
(SUMBER.tamiyatechnology.blogspot.com/2010/05/it-forensic.html)
IT Forensik dan tools yang digunakan
IT Forensik adalah cara untuk menganalisa suatu masalah IT berupa criminal. Banyak pelanggaran di Dunia IT yang sulit untuk diketahui adanya, seperti jejak hacker, software bajakan dan semacamnya. Oleh karena itu… dibuatlah tools untuk menganalisa masalah itu. Ada banyak tools yang dapat digunakan untuk IT forensic. Ada yang freeware dan ada yang lisensi.
* IT forensik bertujuan untuk mendapatkan fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi
* Fakta-fakta tersebut setelah diverifikasi akan menjadi buktibukti (evidence) yang akan digunakan dalam proses hokum
* Metodologi umum dalam proses pemeriksaan insiden sampai proses hukum:
1. Pengumpulan data/fakta dari sistem komputer (harddisk, usb-stick, log, memory-dump, internet, dll) – termasuk di dalamnya data yang sdh terhapus
2. Mendokumentasikan fakta-fakta yang ditemukan dan menjaga integritas data selama proses forensik dan hukum dengan proteksi fisik, penanganan khusus, pembuatan image, dan menggunakan algoritma HASH untuk pembuktian / verifikasi
3. Merunut kejadian (chain of events) berdasarkan waktu kejadian
4. Memvalidasi kejadian2 tersebut dengan metode “sebab-akibat”
5. Dokumentasi hasil yang diperoleh dan menyusun laporan
6. Proses hukum (pengajuan delik, proses persidangan, saksi ahli, dll).
Salah satu contoh tools IT forensic:
Honeypot dan Alat Analisis forensik berdasarkan distro KNOPPIX STD dan Tiny honeypot oleh George Bakos. Alat ini untuk memonitor jaringan untuk intrusi yang tidak sah pada sistem informasi. Alat untuk melakukan analisis forensik pada data yang diambil. Alat ini berlisensi di bawah GNU GPL. Alat ini lingkungan yang lengkap untuk pengujian jaringan dan menggunakan hasilnya untuk melakukan analisis forensik dari data. lingkungan ini memberikan landasan yang kokoh bagi pembangunan, dan penelitian kerentanan. Sebagian dari alat ini terdiri dari komponen yang ditulis dalam kode Shell dan Perl Proyek ini dilakukan oleh Vijay Vikram Shreenivos sebagai bagian dari disertasi tugas akhir masa jabatannya pada James Cook University Singapore. Persyaratan Sistem hardware adalah sebagai berikut :
1. Pentium 150 MHz atau lebih unggul
2. Hard disk IDE atau SCSI (512MB ukuran minimal)
3. Minimal 64MB RAM
4. 1 CDROM Drive SSH ver 1 dan 2.
(SUMBER.parwisart.wordpress.com/.../it-forensik-dan-tolls-yang-digunakan/)
* IT forensik bertujuan untuk mendapatkan fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi
* Fakta-fakta tersebut setelah diverifikasi akan menjadi buktibukti (evidence) yang akan digunakan dalam proses hokum
* Metodologi umum dalam proses pemeriksaan insiden sampai proses hukum:
1. Pengumpulan data/fakta dari sistem komputer (harddisk, usb-stick, log, memory-dump, internet, dll) – termasuk di dalamnya data yang sdh terhapus
2. Mendokumentasikan fakta-fakta yang ditemukan dan menjaga integritas data selama proses forensik dan hukum dengan proteksi fisik, penanganan khusus, pembuatan image, dan menggunakan algoritma HASH untuk pembuktian / verifikasi
3. Merunut kejadian (chain of events) berdasarkan waktu kejadian
4. Memvalidasi kejadian2 tersebut dengan metode “sebab-akibat”
5. Dokumentasi hasil yang diperoleh dan menyusun laporan
6. Proses hukum (pengajuan delik, proses persidangan, saksi ahli, dll).
Salah satu contoh tools IT forensic:
Honeypot dan Alat Analisis forensik berdasarkan distro KNOPPIX STD dan Tiny honeypot oleh George Bakos. Alat ini untuk memonitor jaringan untuk intrusi yang tidak sah pada sistem informasi. Alat untuk melakukan analisis forensik pada data yang diambil. Alat ini berlisensi di bawah GNU GPL. Alat ini lingkungan yang lengkap untuk pengujian jaringan dan menggunakan hasilnya untuk melakukan analisis forensik dari data. lingkungan ini memberikan landasan yang kokoh bagi pembangunan, dan penelitian kerentanan. Sebagian dari alat ini terdiri dari komponen yang ditulis dalam kode Shell dan Perl Proyek ini dilakukan oleh Vijay Vikram Shreenivos sebagai bagian dari disertasi tugas akhir masa jabatannya pada James Cook University Singapore. Persyaratan Sistem hardware adalah sebagai berikut :
1. Pentium 150 MHz atau lebih unggul
2. Hard disk IDE atau SCSI (512MB ukuran minimal)
3. Minimal 64MB RAM
4. 1 CDROM Drive SSH ver 1 dan 2.
(SUMBER.parwisart.wordpress.com/.../it-forensik-dan-tolls-yang-digunakan/)
Prosedur Forensik
Prosedur Forensik
Prosedur Forensik
Generally Umumnya
Undang-Undang '] The Prosedur Forensik UU 2000 [' itu berlaku untuk memungkinkan prosedur forensik yang akan dilaksanakan pada orang-orang tertentu seperti tersangka atau orang yang dituduh melakukan tindak serius, untuk membantu polisi dalam memecahkan kejahatan. Sebuah prosedur forensik non-intim mungkin melibatkan mengambil sampel darah, air liur atau bulu (bukan rambut kemaluan) atau pemeriksaan luar dari bagian tubuh, selain merupakan bagian tubuh yang intim. Sampel yang paling umum saat ini diambil adalah buccal swab (di bagian dalam pipi). Sebuah prosedur forensik intim mungkin melibatkan pemeriksaan luar kelamin, dubur, pantat, payudara, sebuah rongga tubuh internal selain mulut dan pengambilan sampel rambut kemaluan.
Exclusions Pengecualian
Undang-undang tidak memungkinkan prosedur forensik yang akan dilaksanakan pada anak di bawah 10 tahun atau bagi para korban pelanggaran. Undang-undang juga tidak berlaku untuk foto dan rekaman video yang diperoleh dalam operasi pengawasan polisi.
Circumstances For Carrying Out Forensic Procedure Keadaan Untuk Penyelenggaraan Prosedur Forensik
Sebuah prosedur forensik intim dapat dilakukan pada tersangka atau dibebankan orang (orang yang ditangkap dan dituduh melakukan pelanggaran serius) yang 15 tahun atau lebih, asalkan tersangka atau dibebankan orang telah memberikan persetujuan mereka. Informed consent adalah persetujuan yang diberikan setelah semua rincian prosedur telah menjelaskan kepada orang tersebut. Jika tersangka atau dibebankan orang yang tidak memberikan persetujuan untuk prosedur forensik yang sedang dilakukan, polisi harus mendapatkan perintah dari hakim.
Sebuah prosedur forensik non-intim dapat dilakukan terhadap tersangka atau orang yang dibebankan adalah 15 tahun atau lebih, asalkan tersangka atau dibebankan orang telah memberikan persetujuan untuk prosedur. Jika tersangka atau dibebankan orang yang tidak memberikan persetujuan untuk prosedur forensik yang sedang dilakukan, Order Polisi harus diperoleh.
Dimana seorang tersangka atau orang yang dikenakan di bawah 15 tahun, suatu prosedur forensik dapat dilakukan pada orang yang jika keduanya tersangka atau orang yang dibebankan dan orangtua mereka telah memberikan informed consent untuk prosedur. Sekali lagi, jika tersangka atau dibebankan orang atau orang tua mereka menolak untuk memberikan persetujuan mereka, perintah hakim harus diperoleh.
Seorang tersangka atau dibebankan orang dapat menarik persetujuan mereka dengan prosedur forensik sebelum atau selama pelaksanaan prosedur, baik dengan mengatakan begitu atau berperilaku sedemikian rupa untuk menunjukkan bahwa persetujuan mereka telah ditarik.
Carrying Out Of Forensic Procedures Tercatat Out Of Forensik Prosedur
Sebuah prosedur forensik harus dilakukan dalam keadaan affording privasi yang wajar untuk orang yang mengalami prosedur dan harus dilaksanakan sesuai dengan standar medis yang tepat.
A forensic procedure may only be carried out by an authorised person. Sebuah prosedur forensik hanya dapat dilakukan oleh orang yang berwenang. The Act contains a list of all forensic procedures and the persons authorised to carry out those procedures. UU berisi daftar semua prosedur forensik dan orang-orang yang berwenang untuk melaksanakan prosedur tersebut.. Ini umumnya praktisi medis, perawat, dokter gigi, dan dalam beberapa situasi, petugas polisi.
Jika memungkinkan, sebuah prosedur forensik intim (selain mengambil dari kesan gigi atau x-ray) akan dilakukan oleh seseorang yang berjenis kelamin sama dengan orang menjalani prosedur. Sebuah prosedur forensik non-intim untuk mana orang tersebut harus menghapus pakaian meliputi bagian intim tubuh juga akan dilakukan oleh orang dari jenis kelamin yang sama.
Semua prosedur forensik terhadap tersangka atau dibebankan orang di bawah usia 15 tahun harus dilakukan di hadapan orang tua, atau jika kedua orang tua tidak tersedia, saksi independen lebih dari 18 tahun yang bukan petugas polisi dan tidak tersangka atau dibebankan orang tua '.
petugas Polisi dapat hadir dalam pelaksanaan prosedur forensik untuk tujuan keselamatan, keamanan, kontinuitas bukti, penyelidikan dan efektif melaksanakan prosedur sesuai dengan UU.
Use Of Force Penggunaan Angkatan
Jika pelaksanaan prosedur forensik diberi kewenangan berdasarkan Undang-Undang, pihak yang berwenang dan polisi mungkin menggunakan kekerasan untuk mengaktifkan prosedur forensik yang akan dilakukan dan untuk mencegah kerugian, kerusakan atau kontaminasi setiap sampel.
Seorang petugas polisi mungkin, sambil menunggu aplikasi untuk perintah forensik yang akan ditentukan oleh hakim, juga menggunakan kekerasan untuk mencegah tersangka atau dibebankan orang, jika dalam tahanan, merusak atau mencemari bukti yang mungkin diperoleh dengan melakukan yang forensik prosedur. Ini tidak, namun, mengesahkan pelaksanaan prosedur forensik.
Magistrates Order Penguasa Orde
Seorang petugas polisi dapat berlaku untuk hakim untuk perintah otorisasi pelaksanaan dari prosedur forensik intim pada tersangka atau dibebankan orang dari setiap umur atau prosedur forensik non-intim pada tersangka atau dibebankan orang yang berada di bawah usia 15 tahun. . Seorang hakim hanya akan mengeluarkan surat perintah kalau puas order dibenarkan dalam semua keadaan.
Refusing Or Obstructing Forensic Procedure Menolak atau menghalangi Prosedur Forensik
I Jika seorang polisi atau hakim yang membuat perintah otorisasi pelaksanaan prosedur forensik terhadap tersangka atau orang yang dibebankan, bukti bahwa tersangka atau dibebankan orang:
menolak untuk mematuhi semua arah yang masuk akal untuk melaksanakan prosedur forensik; atau
seseorang terhambat sehubungan dengan pelaksanaan prosedur forensik; atau
menolak seseorang sehubungan dengan pelaksanaan prosedur forensik; atau
menghambat seseorang sehubungan dengan pelaksanaan prosedur forensik; atau
digunakan kekerasan terhadap seseorang sehubungan dengan pelaksanaan prosedur forensik; atau
mengancam seseorang sehubungan dengan pelaksanaan prosedur forensik; atau
diintimidasi seseorang sehubungan dengan pelaksanaan prosedur forensik -
yang diterima dalam setiap proses hukum terhadap tersangka atau orang yang dibebankan sehubungan dengan tindak pidana yang prosedur forensik dilakukan.
(SUMBER.www.legalaid.tas.gov.au/factsheets/Forensic%20Procedures.html
Prosedur Forensik
Generally Umumnya
Undang-Undang '] The Prosedur Forensik UU 2000 [' itu berlaku untuk memungkinkan prosedur forensik yang akan dilaksanakan pada orang-orang tertentu seperti tersangka atau orang yang dituduh melakukan tindak serius, untuk membantu polisi dalam memecahkan kejahatan. Sebuah prosedur forensik non-intim mungkin melibatkan mengambil sampel darah, air liur atau bulu (bukan rambut kemaluan) atau pemeriksaan luar dari bagian tubuh, selain merupakan bagian tubuh yang intim. Sampel yang paling umum saat ini diambil adalah buccal swab (di bagian dalam pipi). Sebuah prosedur forensik intim mungkin melibatkan pemeriksaan luar kelamin, dubur, pantat, payudara, sebuah rongga tubuh internal selain mulut dan pengambilan sampel rambut kemaluan.
Exclusions Pengecualian
Undang-undang tidak memungkinkan prosedur forensik yang akan dilaksanakan pada anak di bawah 10 tahun atau bagi para korban pelanggaran. Undang-undang juga tidak berlaku untuk foto dan rekaman video yang diperoleh dalam operasi pengawasan polisi.
Circumstances For Carrying Out Forensic Procedure Keadaan Untuk Penyelenggaraan Prosedur Forensik
Sebuah prosedur forensik intim dapat dilakukan pada tersangka atau dibebankan orang (orang yang ditangkap dan dituduh melakukan pelanggaran serius) yang 15 tahun atau lebih, asalkan tersangka atau dibebankan orang telah memberikan persetujuan mereka. Informed consent adalah persetujuan yang diberikan setelah semua rincian prosedur telah menjelaskan kepada orang tersebut. Jika tersangka atau dibebankan orang yang tidak memberikan persetujuan untuk prosedur forensik yang sedang dilakukan, polisi harus mendapatkan perintah dari hakim.
Sebuah prosedur forensik non-intim dapat dilakukan terhadap tersangka atau orang yang dibebankan adalah 15 tahun atau lebih, asalkan tersangka atau dibebankan orang telah memberikan persetujuan untuk prosedur. Jika tersangka atau dibebankan orang yang tidak memberikan persetujuan untuk prosedur forensik yang sedang dilakukan, Order Polisi harus diperoleh.
Dimana seorang tersangka atau orang yang dikenakan di bawah 15 tahun, suatu prosedur forensik dapat dilakukan pada orang yang jika keduanya tersangka atau orang yang dibebankan dan orangtua mereka telah memberikan informed consent untuk prosedur. Sekali lagi, jika tersangka atau dibebankan orang atau orang tua mereka menolak untuk memberikan persetujuan mereka, perintah hakim harus diperoleh.
Seorang tersangka atau dibebankan orang dapat menarik persetujuan mereka dengan prosedur forensik sebelum atau selama pelaksanaan prosedur, baik dengan mengatakan begitu atau berperilaku sedemikian rupa untuk menunjukkan bahwa persetujuan mereka telah ditarik.
Carrying Out Of Forensic Procedures Tercatat Out Of Forensik Prosedur
Sebuah prosedur forensik harus dilakukan dalam keadaan affording privasi yang wajar untuk orang yang mengalami prosedur dan harus dilaksanakan sesuai dengan standar medis yang tepat.
A forensic procedure may only be carried out by an authorised person. Sebuah prosedur forensik hanya dapat dilakukan oleh orang yang berwenang. The Act contains a list of all forensic procedures and the persons authorised to carry out those procedures. UU berisi daftar semua prosedur forensik dan orang-orang yang berwenang untuk melaksanakan prosedur tersebut.. Ini umumnya praktisi medis, perawat, dokter gigi, dan dalam beberapa situasi, petugas polisi.
Jika memungkinkan, sebuah prosedur forensik intim (selain mengambil dari kesan gigi atau x-ray) akan dilakukan oleh seseorang yang berjenis kelamin sama dengan orang menjalani prosedur. Sebuah prosedur forensik non-intim untuk mana orang tersebut harus menghapus pakaian meliputi bagian intim tubuh juga akan dilakukan oleh orang dari jenis kelamin yang sama.
Semua prosedur forensik terhadap tersangka atau dibebankan orang di bawah usia 15 tahun harus dilakukan di hadapan orang tua, atau jika kedua orang tua tidak tersedia, saksi independen lebih dari 18 tahun yang bukan petugas polisi dan tidak tersangka atau dibebankan orang tua '.
petugas Polisi dapat hadir dalam pelaksanaan prosedur forensik untuk tujuan keselamatan, keamanan, kontinuitas bukti, penyelidikan dan efektif melaksanakan prosedur sesuai dengan UU.
Use Of Force Penggunaan Angkatan
Jika pelaksanaan prosedur forensik diberi kewenangan berdasarkan Undang-Undang, pihak yang berwenang dan polisi mungkin menggunakan kekerasan untuk mengaktifkan prosedur forensik yang akan dilakukan dan untuk mencegah kerugian, kerusakan atau kontaminasi setiap sampel.
Seorang petugas polisi mungkin, sambil menunggu aplikasi untuk perintah forensik yang akan ditentukan oleh hakim, juga menggunakan kekerasan untuk mencegah tersangka atau dibebankan orang, jika dalam tahanan, merusak atau mencemari bukti yang mungkin diperoleh dengan melakukan yang forensik prosedur. Ini tidak, namun, mengesahkan pelaksanaan prosedur forensik.
Magistrates Order Penguasa Orde
Seorang petugas polisi dapat berlaku untuk hakim untuk perintah otorisasi pelaksanaan dari prosedur forensik intim pada tersangka atau dibebankan orang dari setiap umur atau prosedur forensik non-intim pada tersangka atau dibebankan orang yang berada di bawah usia 15 tahun. . Seorang hakim hanya akan mengeluarkan surat perintah kalau puas order dibenarkan dalam semua keadaan.
Refusing Or Obstructing Forensic Procedure Menolak atau menghalangi Prosedur Forensik
I Jika seorang polisi atau hakim yang membuat perintah otorisasi pelaksanaan prosedur forensik terhadap tersangka atau orang yang dibebankan, bukti bahwa tersangka atau dibebankan orang:
menolak untuk mematuhi semua arah yang masuk akal untuk melaksanakan prosedur forensik; atau
seseorang terhambat sehubungan dengan pelaksanaan prosedur forensik; atau
menolak seseorang sehubungan dengan pelaksanaan prosedur forensik; atau
menghambat seseorang sehubungan dengan pelaksanaan prosedur forensik; atau
digunakan kekerasan terhadap seseorang sehubungan dengan pelaksanaan prosedur forensik; atau
mengancam seseorang sehubungan dengan pelaksanaan prosedur forensik; atau
diintimidasi seseorang sehubungan dengan pelaksanaan prosedur forensik -
yang diterima dalam setiap proses hukum terhadap tersangka atau orang yang dibebankan sehubungan dengan tindak pidana yang prosedur forensik dilakukan.
(SUMBER.www.legalaid.tas.gov.au/factsheets/Forensic%20Procedures.html
Investigasi Insiden Keamanan Forensics
HHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH
HHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH HHHHHHHHHHHH HHHHHHHHHHHHHHHHHHHHHHHHHHHH
HHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH HHHHHHHHHHHH HHHHHHHHHHHHHHHHHHHHHHHHHHHH
HHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH HHHHHHHHHHHH HHHHHHHHHHHHHHHHHHHHHHHHHHHH
HHHHHHHHHHHHHHHHHHHHH HHHH HHH HHHHHH HHH HHH HH HH H HHHH HH
HHHHHHHHHHHHHHHHHHHH H HH H HH HHH HH HHHHHHH HHHHHH HH H H
HHHHHHHHHHHHHHHHHHHH HH HHHHH H HH H HH HHHHHH HHH HH H HH H
HHHHHHHHHHHHHHHHHHHH HHHHH HHHHH H HH H HH HHHHH HHHH HH H HH HHHH
HHHHHHHHHHHHHHHHHHHH H HH H HH H HH H HH HHHH HHHHH HH H HH H H
HHHHHHHHHHHHHHHHHHHHH HHHH HHH H HHH HHH HHH HH HH H HHH HH
HHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH
echo|zine, Vol 3 Issue 11, 05-05-05
------------| Digital Forensic: Investigasi Insiden Keamanan
Biatch-X
"How prepared is your environment? If you are not sure, then you are
not prepared."
-- John Tan.
------| Preface
Mungkin kalian sudah pernah mendengar nama 'forensik'. Apabila terdapat
suatu kejadian kriminal dan pelaku tidak ditemukan, adalah tugas ahli
forensik yang mengungkap ciri khas atau sesuatu yang unik pada tempat
kejadian atau korban sehingga pelaku kejahatan dapat dilacak. Hal tersebut
dimungkinkan karena setiap tindakan kriminal pasti meninggalkan jejak
walaupun hanya sehelai rambut.
Kali ini kita akan membahas 'Digital Forensic', hampir mirip dengan
'forensic' yang biasa digunakan oleh pihak kepolisian untuk menemukan
jati diri (identity) dari pelaku kejahatan tersebut. Yang membedakan
hanya terletak pada 'aerial' (tempat).
Tujuan artikel ini adalah pengenalan terhadap 'Digital Forensic' dan
memahami bagaimana sebuah proses investigasi dilakukan dengan pemicu
sebuah insiden keamanan.
------| Investigasi
Dalam melakukan analisis sebuah komputer yang telah berhasil disusupi,
terkadang memakan waktu lebih lama daripada aksi penyusupan itu sendiri.
Kecepatan sebuah organisasi memberikan respon sebuah insiden tergantung
dari kewaspadaan yang dimiliki organisasi tersebut.
Sebagai ilustrasi, jika sebuah usaha hacking untuk mengambil alih sebuah
system membutuhkan waktu sekitar 2 jam, maka proses investigasi insiden
yang terjadi dapat membutuhkan waktu 40 jam (mungkin juga lebih) untuk
mendapatkan 'false-positive report' dan berbagai 'evidences'. Waktu yang
dialokasikan tersebut belum termasuk aktivitas memperbaiki dan mengembalikan
(restoring) data yang kemungkinan besar ikut hilang pada proses intrusi.
Perbedaan 'cost' antara proses pencegahan dan perbaikan cukup besar dan
ikut mempengaruhi kesigapan sebuah organisasi dalam menghadapi sebuah
insiden pada sistem yang mereka miliki.
---| Key questions
Untuk mempersiapkan yang terbaik sebelum terjadinya sebuah penyusupan,
sebuah organisasi perlu untuk menjawab beberapa pertanyaan penting.
* Bagaimana sebaiknya kami menyediakan laporan dari sebuah
penyusupan yang terjadi?
* Ketika sebuah penyusupan terdeteksi, apa rencana kelanjutan-bisnis
kedepan?
* Data apa yang harus kami tangkap (capture) sebelum, sementara,
dan sesudah terjadinya suatu penyusupan?
---| Collecting the Evidence
Dalam sebuah kasus pembunuhan, polisi akan mengumpulkan semua bukti dan
petunjuk dimulai dengan menghentikan semua akses fisik ke TKP (Tempat
Kejadian Perkara) dan membuat dokumentasi gambar (picture/image) dari
TKP. Pada kasus investigasi digital, seorang investigator yang menangani
kasus penyusupan sistem akan melakukan hal serupa. Informasi sebuah
penyusupan umumnya terdapat pada 'hard disk' dari sistem. Pengumpulan
bukti dilakukan dengan membuat digital image (salah satu cara adalah
melakukan disk mirrorring) dari sistem yang disusupi untuk menjaga
keaslian informasi selama proses investigasi. Secara ideal, investigator
akan membuat sistem tersebut offline dan menyimpan disk asli sebagai
bukti dan melakukan analisis pada salinan disk berupa image.
Pembuatan salinan disk berupa image harus dilakukan secepat mungkin
untuk menjaga integritas dari bukti penyusupan karena setiap user
yang memiliki akses dapat menghilangkan atau mengacaukan bukti kejahatan
dengan melakukan proses overwrite pada file. Bahkan pada back-up system
yang dilakukan secara reguler dapat memodifikasi waktu pada sistem
seperti 'last accessed', 'last modified' dan 'create' sebuah file.
Beberapa aplikasi bahkan dapat memberikan 'null point' pada
'time-accessed logs'.
---| Retaining The Evidence
Selanjutnya yang harus dilakukan dalam proses 'digital forensic' adalah
mengumpulkan sebuah buti terjadinya penyusupan pada sistem. Lalu menetapkan
rantai penyidikan (chain-of-custody). Beberapa dokumen harus disiapkan
untuk menyimpan bukti penyidikan yang akan digunakan di pengadilan.
Sebuah formulir isian dari setiap item akan sangat membantu proses
penyidikan. Formulir tersebut harus membuat penjelasan mengenai item
yang dimaksud serta hal-hal pendukung lainnya.
Penyidikan dilakukan terhadap salinan image dari disk yang asli. Image
tersebut harus dikirimkan kepada ahli digital forensic melalui kurir
yang dipercaya. Sementara disk yang asli harus disimpan bersama
chain-of-custody.
Contoh formulir isian yang dapat digunakan:
+-------------------------------------------------------+
| |
| * SUBLIME SECURITY LABS * |
| |
| |
| Item Description : |
| ......................................... |
| ......................................... |
| ......................................... |
| |
| |
| CHAIN OF CUSTODY DOCUMENTATION |
| |
| Name |
| ......................................... |
| |
| Signature |
| ......................................... |
| |
| Date & Time |
| ......................................... |
| |
| Purpose |
| ......................................... |
| ......................................... |
| ......................................... |
| ......................................... |
| ......................................... |
| ......................................... |
| |
| |
| |
+-------------------------------------------------------+
Jika disk asli tidak dapat dibuat offline untuk dibuatkan image-nya, maka
bukti lain dapat dipergunakan. Bukti yang dimaksud termasuk yang bersifat
non-computing seperti saksi mata atau logfiles dari
* Intrusion Detection System (IDS) dan Firewall logs, yang tersimpan
di komputer lain seperti Management Service Provider
* Logs dari komputer lain yang ikut dipakai oleh intruder.
Perlu diperhatikan catatan waktu yang tertera pada log dan disesuaikan
dengan Greenwich Mean Time (GMT).
Hal yang harus diperhatikan dengan seksama adalah Backdoors. Backdoors
dapat berupa aplikasi remote, konfigurasi sistem yang salah, penambahan
user baru, extra services atau memodifikasi proses.
------| Business Continuity
---| Reconstitution
Aturan pertama dari 'reconstitution' adalah melakukan re-install dan
'restore backup' untuk mengantisipasi 'service setting' yang vulnerable,
hal ini untuk mengurangi kemungkinan sistem akan disusupi kembali.
Lakukan juga terhadap prosedur penyimpanan. Dalam banyak kasus, restorasi
data tidak dapat dihindarkan, tetapi dapat diminimalisasi.
---| Host Hardening
Jangan pernah bergantung pada patches saja. Walaupun operating system dan
aplikasi telah menyediakan patch untuk setiap vulnerability, seringkali
lemah dalam filesystem permission. Host hardening membatasi semua yang
tidak mempunyai fungsi vital. Ini termasuk setting konfigurasi keamanan
yang baik dan edukasi user.
Setelah sistem dibersihkan dari fungsi-fungsi yang tidak perlu, penggunaan
aplikasi pengganti yang cenderung aman sangatlah disarankan, sebagai contoh
penggunaan telnet diganti dengan SSH. Selain itu, pembatasan hak akses user
yang dibatasi untuk menjalankan service juga disarankan seperti memberikan
hak akses kepada program 'su' hanya kepada staff administrasi saja.
---| Logging
Ketika insiden penyusupan terjadi, Anda harus melakukan pengumpulan bukti
dan melakukan analisis, 'system hardening', dan membangun kembali sistem
tersebut. Sebuah logging system yang komplit dan akurat dapat membantu
proses penyidikan.
Untuk menggunakan log secara efektif, jawablah pertanyaan dibawah ini.
* Informasi apa yang tersimpan didalam log?
* Dimanakah log akan disimpan?
* Bagaimana log akan dilindungi?
* Bagaimana melakukan korelasi log dari beberapa sistem komputer?
* Bagaimana caranya waktu disamakan (synchronized)?
Jika Anda dapat menjawab semua pertanyaan diatas dan telah mengimplementasi-
kannya, berarti Anda telah selangkah lebih maju daripada para penyusup.
---| Recovering from 'Incident'
* Image system disk suspected of being compromised.
* Document incident evidence and chain of custody.
* Safeguard copies of evidence.
* Reinstall as much as possible.
* Restore only what cannot be reinstalled.
* Harden the system.
* Look for additional weaknesses.
* Continually patch and harden the system.
* Regularly audit the system.
------| Conclusion
Digital Forensic dapat menyita waktu anda, ambillah beberapa waktu untuk
segera menyiapkan sistem Anda dari serangan sebelum serangan itu terjadi.
Ini akan sangat membantu Anda untuk melakukan analisis, mengumpulkan bukti
dan memperbaiki sistem serta 'data restore' juga sangat menghemat waktu
ketika sistem Anda disusupi.
"Planning and policies are the keys to successful forensic analysis."
-- John Tan.
"when a wannabe become a true hacker, they leave a unique trace of who
they are."
-- vQ.
------| References
* John Tan @ SBQ - www.sbq.com
* Secure Business Quarterly, 196 Broadway. Cambridge, MA 02139 USA
* http://www.ietf.org/internet-drafts/draft-ietf-syslog-auth-00.txt
* http://citeseer.nj.nec.com/bishop90security.html
* Stealing the Network. (Chapter: The Art of Tracking by M. Burnett)
------| Greetz
ISIC Staff, eCHO staff and Chatterz, Aikmel Crew and Chatterz, 1st Link,
kudel, X-Window, Bandung (cewek-cewek disana cakep-cakep euy), HyDr4,
mitha_cute, AHL Boys, mitha_moore, Co_bain, anak² sukaluyu (Bdg),
para eggdroperz, slashcore, jimgeovedi dan kalian semua.
SSL Staff (mari kita lanjutkan Project Indonesia Bebas Intruder), K-159,
yudhax, SlimJim100, SakitJiwa, Pey.
EgLa (the best thing that ever happen to myself).
---| EOF
(SUMBER.ezine.echo.or.id/ezine11/echo11-004.txt)
HHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH HHHHHHHHHHHH HHHHHHHHHHHHHHHHHHHHHHHHHHHH
HHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH HHHHHHHHHHHH HHHHHHHHHHHHHHHHHHHHHHHHHHHH
HHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH HHHHHHHHHHHH HHHHHHHHHHHHHHHHHHHHHHHHHHHH
HHHHHHHHHHHHHHHHHHHHH HHHH HHH HHHHHH HHH HHH HH HH H HHHH HH
HHHHHHHHHHHHHHHHHHHH H HH H HH HHH HH HHHHHHH HHHHHH HH H H
HHHHHHHHHHHHHHHHHHHH HH HHHHH H HH H HH HHHHHH HHH HH H HH H
HHHHHHHHHHHHHHHHHHHH HHHHH HHHHH H HH H HH HHHHH HHHH HH H HH HHHH
HHHHHHHHHHHHHHHHHHHH H HH H HH H HH H HH HHHH HHHHH HH H HH H H
HHHHHHHHHHHHHHHHHHHHH HHHH HHH H HHH HHH HHH HH HH H HHH HH
HHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH
echo|zine, Vol 3 Issue 11, 05-05-05
------------| Digital Forensic: Investigasi Insiden Keamanan
Biatch-X
"How prepared is your environment? If you are not sure, then you are
not prepared."
-- John Tan.
------| Preface
Mungkin kalian sudah pernah mendengar nama 'forensik'. Apabila terdapat
suatu kejadian kriminal dan pelaku tidak ditemukan, adalah tugas ahli
forensik yang mengungkap ciri khas atau sesuatu yang unik pada tempat
kejadian atau korban sehingga pelaku kejahatan dapat dilacak. Hal tersebut
dimungkinkan karena setiap tindakan kriminal pasti meninggalkan jejak
walaupun hanya sehelai rambut.
Kali ini kita akan membahas 'Digital Forensic', hampir mirip dengan
'forensic' yang biasa digunakan oleh pihak kepolisian untuk menemukan
jati diri (identity) dari pelaku kejahatan tersebut. Yang membedakan
hanya terletak pada 'aerial' (tempat).
Tujuan artikel ini adalah pengenalan terhadap 'Digital Forensic' dan
memahami bagaimana sebuah proses investigasi dilakukan dengan pemicu
sebuah insiden keamanan.
------| Investigasi
Dalam melakukan analisis sebuah komputer yang telah berhasil disusupi,
terkadang memakan waktu lebih lama daripada aksi penyusupan itu sendiri.
Kecepatan sebuah organisasi memberikan respon sebuah insiden tergantung
dari kewaspadaan yang dimiliki organisasi tersebut.
Sebagai ilustrasi, jika sebuah usaha hacking untuk mengambil alih sebuah
system membutuhkan waktu sekitar 2 jam, maka proses investigasi insiden
yang terjadi dapat membutuhkan waktu 40 jam (mungkin juga lebih) untuk
mendapatkan 'false-positive report' dan berbagai 'evidences'. Waktu yang
dialokasikan tersebut belum termasuk aktivitas memperbaiki dan mengembalikan
(restoring) data yang kemungkinan besar ikut hilang pada proses intrusi.
Perbedaan 'cost' antara proses pencegahan dan perbaikan cukup besar dan
ikut mempengaruhi kesigapan sebuah organisasi dalam menghadapi sebuah
insiden pada sistem yang mereka miliki.
---| Key questions
Untuk mempersiapkan yang terbaik sebelum terjadinya sebuah penyusupan,
sebuah organisasi perlu untuk menjawab beberapa pertanyaan penting.
* Bagaimana sebaiknya kami menyediakan laporan dari sebuah
penyusupan yang terjadi?
* Ketika sebuah penyusupan terdeteksi, apa rencana kelanjutan-bisnis
kedepan?
* Data apa yang harus kami tangkap (capture) sebelum, sementara,
dan sesudah terjadinya suatu penyusupan?
---| Collecting the Evidence
Dalam sebuah kasus pembunuhan, polisi akan mengumpulkan semua bukti dan
petunjuk dimulai dengan menghentikan semua akses fisik ke TKP (Tempat
Kejadian Perkara) dan membuat dokumentasi gambar (picture/image) dari
TKP. Pada kasus investigasi digital, seorang investigator yang menangani
kasus penyusupan sistem akan melakukan hal serupa. Informasi sebuah
penyusupan umumnya terdapat pada 'hard disk' dari sistem. Pengumpulan
bukti dilakukan dengan membuat digital image (salah satu cara adalah
melakukan disk mirrorring) dari sistem yang disusupi untuk menjaga
keaslian informasi selama proses investigasi. Secara ideal, investigator
akan membuat sistem tersebut offline dan menyimpan disk asli sebagai
bukti dan melakukan analisis pada salinan disk berupa image.
Pembuatan salinan disk berupa image harus dilakukan secepat mungkin
untuk menjaga integritas dari bukti penyusupan karena setiap user
yang memiliki akses dapat menghilangkan atau mengacaukan bukti kejahatan
dengan melakukan proses overwrite pada file. Bahkan pada back-up system
yang dilakukan secara reguler dapat memodifikasi waktu pada sistem
seperti 'last accessed', 'last modified' dan 'create' sebuah file.
Beberapa aplikasi bahkan dapat memberikan 'null point' pada
'time-accessed logs'.
---| Retaining The Evidence
Selanjutnya yang harus dilakukan dalam proses 'digital forensic' adalah
mengumpulkan sebuah buti terjadinya penyusupan pada sistem. Lalu menetapkan
rantai penyidikan (chain-of-custody). Beberapa dokumen harus disiapkan
untuk menyimpan bukti penyidikan yang akan digunakan di pengadilan.
Sebuah formulir isian dari setiap item akan sangat membantu proses
penyidikan. Formulir tersebut harus membuat penjelasan mengenai item
yang dimaksud serta hal-hal pendukung lainnya.
Penyidikan dilakukan terhadap salinan image dari disk yang asli. Image
tersebut harus dikirimkan kepada ahli digital forensic melalui kurir
yang dipercaya. Sementara disk yang asli harus disimpan bersama
chain-of-custody.
Contoh formulir isian yang dapat digunakan:
+-------------------------------------------------------+
| |
| * SUBLIME SECURITY LABS * |
| |
| |
| Item Description : |
| ......................................... |
| ......................................... |
| ......................................... |
| |
| |
| CHAIN OF CUSTODY DOCUMENTATION |
| |
| Name |
| ......................................... |
| |
| Signature |
| ......................................... |
| |
| Date & Time |
| ......................................... |
| |
| Purpose |
| ......................................... |
| ......................................... |
| ......................................... |
| ......................................... |
| ......................................... |
| ......................................... |
| |
| |
| |
+-------------------------------------------------------+
Jika disk asli tidak dapat dibuat offline untuk dibuatkan image-nya, maka
bukti lain dapat dipergunakan. Bukti yang dimaksud termasuk yang bersifat
non-computing seperti saksi mata atau logfiles dari
* Intrusion Detection System (IDS) dan Firewall logs, yang tersimpan
di komputer lain seperti Management Service Provider
* Logs dari komputer lain yang ikut dipakai oleh intruder.
Perlu diperhatikan catatan waktu yang tertera pada log dan disesuaikan
dengan Greenwich Mean Time (GMT).
Hal yang harus diperhatikan dengan seksama adalah Backdoors. Backdoors
dapat berupa aplikasi remote, konfigurasi sistem yang salah, penambahan
user baru, extra services atau memodifikasi proses.
------| Business Continuity
---| Reconstitution
Aturan pertama dari 'reconstitution' adalah melakukan re-install dan
'restore backup' untuk mengantisipasi 'service setting' yang vulnerable,
hal ini untuk mengurangi kemungkinan sistem akan disusupi kembali.
Lakukan juga terhadap prosedur penyimpanan. Dalam banyak kasus, restorasi
data tidak dapat dihindarkan, tetapi dapat diminimalisasi.
---| Host Hardening
Jangan pernah bergantung pada patches saja. Walaupun operating system dan
aplikasi telah menyediakan patch untuk setiap vulnerability, seringkali
lemah dalam filesystem permission. Host hardening membatasi semua yang
tidak mempunyai fungsi vital. Ini termasuk setting konfigurasi keamanan
yang baik dan edukasi user.
Setelah sistem dibersihkan dari fungsi-fungsi yang tidak perlu, penggunaan
aplikasi pengganti yang cenderung aman sangatlah disarankan, sebagai contoh
penggunaan telnet diganti dengan SSH. Selain itu, pembatasan hak akses user
yang dibatasi untuk menjalankan service juga disarankan seperti memberikan
hak akses kepada program 'su' hanya kepada staff administrasi saja.
---| Logging
Ketika insiden penyusupan terjadi, Anda harus melakukan pengumpulan bukti
dan melakukan analisis, 'system hardening', dan membangun kembali sistem
tersebut. Sebuah logging system yang komplit dan akurat dapat membantu
proses penyidikan.
Untuk menggunakan log secara efektif, jawablah pertanyaan dibawah ini.
* Informasi apa yang tersimpan didalam log?
* Dimanakah log akan disimpan?
* Bagaimana log akan dilindungi?
* Bagaimana melakukan korelasi log dari beberapa sistem komputer?
* Bagaimana caranya waktu disamakan (synchronized)?
Jika Anda dapat menjawab semua pertanyaan diatas dan telah mengimplementasi-
kannya, berarti Anda telah selangkah lebih maju daripada para penyusup.
---| Recovering from 'Incident'
* Image system disk suspected of being compromised.
* Document incident evidence and chain of custody.
* Safeguard copies of evidence.
* Reinstall as much as possible.
* Restore only what cannot be reinstalled.
* Harden the system.
* Look for additional weaknesses.
* Continually patch and harden the system.
* Regularly audit the system.
------| Conclusion
Digital Forensic dapat menyita waktu anda, ambillah beberapa waktu untuk
segera menyiapkan sistem Anda dari serangan sebelum serangan itu terjadi.
Ini akan sangat membantu Anda untuk melakukan analisis, mengumpulkan bukti
dan memperbaiki sistem serta 'data restore' juga sangat menghemat waktu
ketika sistem Anda disusupi.
"Planning and policies are the keys to successful forensic analysis."
-- John Tan.
"when a wannabe become a true hacker, they leave a unique trace of who
they are."
-- vQ.
------| References
* John Tan @ SBQ - www.sbq.com
* Secure Business Quarterly, 196 Broadway. Cambridge, MA 02139 USA
* http://www.ietf.org/internet-drafts/draft-ietf-syslog-auth-00.txt
* http://citeseer.nj.nec.com/bishop90security.html
* Stealing the Network. (Chapter: The Art of Tracking by M. Burnett)
------| Greetz
ISIC Staff, eCHO staff and Chatterz, Aikmel Crew and Chatterz, 1st Link,
kudel, X-Window, Bandung (cewek-cewek disana cakep-cakep euy), HyDr4,
mitha_cute, AHL Boys, mitha_moore, Co_bain, anak² sukaluyu (Bdg),
para eggdroperz, slashcore, jimgeovedi dan kalian semua.
SSL Staff (mari kita lanjutkan Project Indonesia Bebas Intruder), K-159,
yudhax, SlimJim100, SakitJiwa, Pey.
EgLa (the best thing that ever happen to myself).
---| EOF
(SUMBER.ezine.echo.or.id/ezine11/echo11-004.txt)
Manfaat IT Audit dan Forensics
IT Audit & Forensics
Definisi IT Audit
IT Audit : Penilaian / pengujian kontrol dalam sistem informasi atau infrastruktur teknologi informasi.
Proses IT Audit:
Mengumpulkan dan mengevaluasi bukti-bukti bagaimana sistem
informasi dikembangkan, dioperasikan, diorganisasikan, serta
bagaimana praktek dilaksanakan:
● Apakah IS melindungi aset institusi: asset protection, availability
● Apakah integritas data dan sistem diproteksi secara cukup (security,
confidentiality )?
● Apakah operasi sistem efektif dan efisien dalam mencapai tujuan
organisasi, dan lain-lain.
19 Langkah Umum Audit TSI
● Kontrol lingkungan:
1. Apakah kebijakan keamanan (security policy) memadai dan efektif ?
2. Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dr external auditor
3. Jika sistem dibeli dari vendor, periksa kestabilan finansial
4.Memeriksa persetujuan lisen (license agreement)
● Kontrol keamanan fisik
5. Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai
6. Periksa apakah backup administrator keamanan sudah memadai (trained,tested)
7. Periksa apakah rencana kelanjutan bisnis memadai dan efektif
8. Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai
● Kontrol keamanan logikal
9. Periksa apakah password memadai dan perubahannya dilakukan reguler
10.Apakah administrator keamanan memprint akses kontrol setiap user
11.Memeriksa dan mendokumentasikan parameter keamanan default
12.Menguji fungsionalitas sistem keamanan (password, suspend userID, etc)
13.Memeriksa apakah password file / database disimpan dalam bentuk tersandi dan tidak dapat dibuka oleh pengguna umum
14.Memeriksa apakah data sensitif tersandi dalam setiap phase dalam prosesnya
15.Memeriksa apakah prosedur memeriksa dan menganalisa log memadai
16.Memeriksa apakah akses kontrol remote (dari tempat yang lain) memadai: (VPN,
CryptoCard, SecureID, etc)
● Menguji Kontrol Operasi
17.Memeriksa apakah tugas dan job description memadai dalam semua tugas dalam operasi tsb
18.Memeriksa apakah ada problem yang signifikan
19.Memeriksa apakah kontrol yang menjamin fungsionalitas sistem informasi telah memadai
Alasan dilakukannya Audit IT
Ron Webber, Dekan Fakultas Teknologi Informasi, monash University, dalam salah satu bukunya Information System Controls and Audit (Prentice-Hall, 2000) menyatakan beberapa alasan penting mengapa Audit IT perlu dilakukan, antara lain :
1. Kerugian akibat kehilangan data.
2. Kesalahan dalam pengambilan keputusan.
3. Resiko kebocoran data.
4. Penyalahgunaan komputer.
5. Kerugian akibat kesalahan proses perhitungan.
6. Tingginya nilai investasi perangkat keras dan perangkat lunak komputer.
Manfaat Audit IT.
A. Manfaat pada saat Implementasi (Pre-Implementation Review)
1. Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria.
2. Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
3. Mengetahui apakah outcome sesuai dengan harapan manajemen.
B. Manfaat setelah sistem live (Post-Implementation Review)
1. Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk penanganannya.
2. Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis, dan anggaran pada periode berikutnya.
3. Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang.
4. Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan.
5. Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan pemeriksaan.
6. Membantu dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak lanjutnya.
Definisi IT Forensics
1. penggunaan sekumpulan prosedur untuk melakukan pengujian secara menyeluruh suatu sistem komputer dengan mempergunakan software dan tool untuk memelihara barang bukti tindakan kriminal.
2. Menurut Noblett, yaitu berperan untuk mengambil, menjaga, mengembalikan, dan menyajikan data yang telah diproses secara elektronik dan disimpan di media komputer.
3. Menurut Judd Robin, yaitu penerapan secara sederhana dari penyidikan komputer dan teknik analisisnya untuk menentukan bukti-bukti hukum yang mungkin.
4. Ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode yang digunakan.
Tujuan IT Forensics
Bertujuan untuk mendapatkan fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi / kejahatan komputer.
Kejahatan Komputer dibagi menjadi dua, yaitu :
1. Komputer fraud.
Kejahatan atau pelanggaran dari segi sistem organisasi komputer.
2. Komputer crime.
Merupakan kegiatan berbahaya dimana menggunakan media komputer dalam melakukan pelanggaran hukum.
Metodologi umum dalam proses pemeriksaan insiden sampai proses hukum:
1. Pengumpulan data/fakta dari sistem komputer (harddisk, usb-stick, log, memory-dump, internet, dll) – termasuk di dalamnya data yang sdh terhapus
2.Mendokumentasikan fakta-fakta yang ditemukan dan menjaga integritas data selama proses forensik dan hukum dengan proteksi fisik, penanganan khusus, pembuatan image, dan menggunakan algoritma HASH untuk pembuktian / verifikasi
3.Merunut kejadian (chain of events) berdasarkan waktu kejadian
4.Memvalidasi kejadian2 tersebut dengan metode “sebab-akibat”
5.Dokumentasi hasil yang diperoleh dan menyusun laporan
6.Proses hukum (pengajuan delik, proses persidangan, saksi ahli, dll)
(SUMBER.sidodolipet.blogspot.com/2010/04/it-audit-forensics.html)
Definisi IT Audit
IT Audit : Penilaian / pengujian kontrol dalam sistem informasi atau infrastruktur teknologi informasi.
Proses IT Audit:
Mengumpulkan dan mengevaluasi bukti-bukti bagaimana sistem
informasi dikembangkan, dioperasikan, diorganisasikan, serta
bagaimana praktek dilaksanakan:
● Apakah IS melindungi aset institusi: asset protection, availability
● Apakah integritas data dan sistem diproteksi secara cukup (security,
confidentiality )?
● Apakah operasi sistem efektif dan efisien dalam mencapai tujuan
organisasi, dan lain-lain.
19 Langkah Umum Audit TSI
● Kontrol lingkungan:
1. Apakah kebijakan keamanan (security policy) memadai dan efektif ?
2. Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dr external auditor
3. Jika sistem dibeli dari vendor, periksa kestabilan finansial
4.Memeriksa persetujuan lisen (license agreement)
● Kontrol keamanan fisik
5. Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai
6. Periksa apakah backup administrator keamanan sudah memadai (trained,tested)
7. Periksa apakah rencana kelanjutan bisnis memadai dan efektif
8. Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai
● Kontrol keamanan logikal
9. Periksa apakah password memadai dan perubahannya dilakukan reguler
10.Apakah administrator keamanan memprint akses kontrol setiap user
11.Memeriksa dan mendokumentasikan parameter keamanan default
12.Menguji fungsionalitas sistem keamanan (password, suspend userID, etc)
13.Memeriksa apakah password file / database disimpan dalam bentuk tersandi dan tidak dapat dibuka oleh pengguna umum
14.Memeriksa apakah data sensitif tersandi dalam setiap phase dalam prosesnya
15.Memeriksa apakah prosedur memeriksa dan menganalisa log memadai
16.Memeriksa apakah akses kontrol remote (dari tempat yang lain) memadai: (VPN,
CryptoCard, SecureID, etc)
● Menguji Kontrol Operasi
17.Memeriksa apakah tugas dan job description memadai dalam semua tugas dalam operasi tsb
18.Memeriksa apakah ada problem yang signifikan
19.Memeriksa apakah kontrol yang menjamin fungsionalitas sistem informasi telah memadai
Alasan dilakukannya Audit IT
Ron Webber, Dekan Fakultas Teknologi Informasi, monash University, dalam salah satu bukunya Information System Controls and Audit (Prentice-Hall, 2000) menyatakan beberapa alasan penting mengapa Audit IT perlu dilakukan, antara lain :
1. Kerugian akibat kehilangan data.
2. Kesalahan dalam pengambilan keputusan.
3. Resiko kebocoran data.
4. Penyalahgunaan komputer.
5. Kerugian akibat kesalahan proses perhitungan.
6. Tingginya nilai investasi perangkat keras dan perangkat lunak komputer.
Manfaat Audit IT.
A. Manfaat pada saat Implementasi (Pre-Implementation Review)
1. Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria.
2. Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
3. Mengetahui apakah outcome sesuai dengan harapan manajemen.
B. Manfaat setelah sistem live (Post-Implementation Review)
1. Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk penanganannya.
2. Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis, dan anggaran pada periode berikutnya.
3. Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang.
4. Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan.
5. Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan pemeriksaan.
6. Membantu dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak lanjutnya.
Definisi IT Forensics
1. penggunaan sekumpulan prosedur untuk melakukan pengujian secara menyeluruh suatu sistem komputer dengan mempergunakan software dan tool untuk memelihara barang bukti tindakan kriminal.
2. Menurut Noblett, yaitu berperan untuk mengambil, menjaga, mengembalikan, dan menyajikan data yang telah diproses secara elektronik dan disimpan di media komputer.
3. Menurut Judd Robin, yaitu penerapan secara sederhana dari penyidikan komputer dan teknik analisisnya untuk menentukan bukti-bukti hukum yang mungkin.
4. Ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode yang digunakan.
Tujuan IT Forensics
Bertujuan untuk mendapatkan fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi / kejahatan komputer.
Kejahatan Komputer dibagi menjadi dua, yaitu :
1. Komputer fraud.
Kejahatan atau pelanggaran dari segi sistem organisasi komputer.
2. Komputer crime.
Merupakan kegiatan berbahaya dimana menggunakan media komputer dalam melakukan pelanggaran hukum.
Metodologi umum dalam proses pemeriksaan insiden sampai proses hukum:
1. Pengumpulan data/fakta dari sistem komputer (harddisk, usb-stick, log, memory-dump, internet, dll) – termasuk di dalamnya data yang sdh terhapus
2.Mendokumentasikan fakta-fakta yang ditemukan dan menjaga integritas data selama proses forensik dan hukum dengan proteksi fisik, penanganan khusus, pembuatan image, dan menggunakan algoritma HASH untuk pembuktian / verifikasi
3.Merunut kejadian (chain of events) berdasarkan waktu kejadian
4.Memvalidasi kejadian2 tersebut dengan metode “sebab-akibat”
5.Dokumentasi hasil yang diperoleh dan menyusun laporan
6.Proses hukum (pengajuan delik, proses persidangan, saksi ahli, dll)
(SUMBER.sidodolipet.blogspot.com/2010/04/it-audit-forensics.html)
Langganan:
Postingan (Atom)