IT FORENSIK (contoh kasus, tools dan tutorial)

Menurut Ruby Alamsyah (salah seorang ahli forensik IT Indonesia), digital forensik atau terkadang disebut komputer forensik adalah ilmu yang menganalisa barang bukti digital sehingga dapat dipertanggungjawabkan di pengadilan. Barang bukti digital tersebut termasuk handphone, notebook, server, alat teknologi apapun yang mempunyai media penyimpanan dan bisa dianalisa.

Berikut ini merupakan contoh dari kasus IT Forensik.

Polri membuka isi laptop Noordin M. Top tanggal 29 September 2009 dalam penggerebekan di kota Solo. Di dalamnya terdapat video rekaman dua ’pengantin’ dalam ledakan bom di Mega Kuningan yaitu Dani Dwi Permana dan Nana Ichwan Maulana. Pada video tersebut terekam aktifitas keduanya yang didampingi oleh Syaifuddin Zuhri telah melakukan dua kali ’field tracking’ atau survei pada target sasaran pemboman yaitu Hotel JW Marriot dan Ritz Carlton. Hal ini dikatakan oleh Kadiv Humas Polri Irjen Nanan Sukarna melalui ’digital evidence’ yang ditemukan.

Survei pertama dilakukan pada tanggal 21 Juni 2009 sekitar pukul 07.33, mereka bertiga memantau lokasi peledakan. Mereka berada di lapangan sekitar lokasi kedua hotel tersebut. Pada tanggal 28 Juni 2009 survei kedua dilakukan sekitar pukul 17.40. survei tersebut merupakan kunjungan terakhir sebelum pemboman dilakukan. Syaifuddin Zuhri mengatakan Amerika, Australia, dan Indonesia hancur sebagai tujuan utama peledakan bom.

Dalam laptop milik Noordin M. Top terdapat tulisan dari Saefudin Jaelani yang berisi pembagian tugas seperti Ketua, Bendahara, Pencari Senjata, dll serta keterangan terkait dengan dijadikannya Amerika dan Australia sebagai target peledakan. Hal ini dikemukakan oleh Kombes Petrus Golose. Petrus menambahkan bahwa Saefudin merupakan orang penting dalam jaringan Noordin yakni sebagai pemimpin strategis Al-Qaeda kawasan Asia Tenggara sejak tahun 2005. Pada pemboman yang terjadi tanggal 17 Juli 2009 tersebut, Saefudin berperan sebagai pemimpin lapangan sekaligus perekrut pelaku bom.

TOOLS-TOOLS YANG DIGUNAKAN DALAM IT FORENSIK

Secara garis besar tools untuk kepentingan IT forensik dapat dibedakan secara hardware dan software.

Hardware

  • Harddisk IDE & SCSI kapasitas sangat besar (min.250 GB), CD-R, DVR Drives.
  • Memory yang besar (1-2GB RAM).
  • Hub, Switch, keperluan LAN.
  • Legacy Hardware (8088s, Amiga).
  • Laptop forensic workstation.
  • Write blocker

Software

  • Encase
  • Helix
  • Viewers
  • Erase/un-Erase tools
  • Hash utility
  • Forensic Toolkit – Disk editors (Winhex,…)
  • Forensic acquisition tools (DriveSpy, Safeback, SnapCopy,…)
  • Write-blocking tools
  • Spy Anytime PC Spy
  • TCT The Coroners Toolkit/ForensiX (LINUX)

E n c a s e

Merupakan salah satu tool komersil yang banyak digunakan untuk melakukan penyidikan. Salah satu tool yang termasuk hebat di lingkungan IT Forensic ini adalah keluaran Guidance Software. Tidak hanya dapat membaca data-data yang sudah terhapus, encase juga dapat memberitahukan sistem-sistem yang belum di patch, menerima masukkan dari intrusion detection system untuk menyelidiki keanehan jaringan yang terjadi, merespon sebuah insiden keamanan, memonitoring pengaksesan sebuah file penting, dan banyak lagi.

Encase merupakan standar de facto untuk computer forensics. Ini dikarenakan sudah berhasilnya bukti-bukti yang dianalisa oleh Encase diterima oleh Pengadilan Amerika Serikat. EnCase merupakan salah satu bagian dari rantai-rantai penting yang ada dalam computer forensics. Encase merupakan sebuah program (aplikasi). Seperti juga DriveSpy, EnCase bukanlah program gratis, tetapi anda yang ingin mencobanya silakan gunakan versi demo-nya yang dapat di-download di http://www.worldnetnews.com/ensetup.exe atau dapatkan di dalam CD NeoTek kali ini.

EnCase merupakan software yang digunakan oleh banyak pelaksana hukum untuk mendapatkan keterangan atau kesaksian atau bukti kejahatan (yang dilakukan oleh seseorang yang dicurigai melakukan tindakan kejahatan dengan menggunakan komputer sebagai fasilitasnya) dengan melakukan scan terhadap hard drive (harddisk) komputer. Sekilas terlihat seperti program Recovery yang dapat membangkitkan file/data yang terhapus dari harddisk. Tetapi tetap ada perbedaannya, dan perbedaan tersebut akan anda ketahui setelah mencobanya. Setelah anda mendapatkan Ensetup.exe maka instalasi sudah dapat dilakukan dengan melakukan klik ganda pada ensetup.exe. Nantinya anda akan menemukan window instalasi. Untuk melanjutkan instalasi, klik tombol yang bertulisan Install Now, maka akan akan melihat proses instalasi yang berjalan. Tidak membutuhkan waktu yang sangat panjang dalam instalasi.

Encase terdiri dari versi DOS dan versi Windows.Versi DOS pada full version dapat digunakan untuk akuisisi data seperti halnya Norton Ghost, tetapi pada demo version fasilitas ini dihilangkan dan hanya dapat digunakan untuk melihat volume dari hard disk yang ada dalam sistem. Tidak banyak kegunaan versi DOS demo version ini. Versi Windows dari demo version ini mempunyai dua fungsi yang diaktifkan, yaitu Preview dan Create Evidence File. Preview berguna untuk analisa yang tidak mensyaratkan prosedur forensik, sedangkan yang memang dapat digunakan untuk keperluan forensic adalah Create Evidence File.

Pada Encase demo version, Preview hanya dapat dilakukan terhadap volume hard disk yang aktif (dalam hal ini drive C:), sedangkan volume dan drive lain tidak dikenali. Create Evidence File dapat mengenali volume maupun drive lain. Karena hanya digunakan pada drive aktif, maka hanya opsi No Lock yang dapat diterapkan pada Preview, sedangkan pada Create Evidence File, terhadap volume yang dibuatkan evidence filenya dapat diterapkan Write Lock ataupun Exclusive Lock yang secara software mencegah volume hard disk itu tertulis sewaktu proses pembentukan evidence file berlangsung.

Anda harus menyiapkan space pada hard disk yang cukup besar untuk menampung evidence file. Pada contoh ini drive D: dengan ukuran 10 Gbyte dibuatkan evidence file yang totalnya sebesar 13,8 Gbyte dan disimpan dalam drive C: Pembengkakan 30% ini masih terjadi walaupun sudah menggunakan opsi Good pada kompresi yang memakan waktu lebih dari 2 jam. Memang bisa memilih opsi Best untuk kompresi, tetapi waktu yang dibutuhkan untuk membuat evidence file akan lebih lama lagi.

Tutorial mempelajari Digital Forensik

  1. mempelajari mengambil sertifikat computer forensik seperti CISSP, CISM, CISA, or CCSP. ada banyak ebook dan video training yang bisa di download gratis diinternet.
  2. membaca paper dan panduan di http://www.e-evidence.info/thiefs_page.html
  3. jika anda tidak punya waktu mengambil training, ada tutorial video dengan instruktur profesional sehingga anda dapat belajar dengan menonton nya di rumah, contoh nya: Career Academy Advanced Digital Forensic Techniques
sumber : http://kingrio.wordpress.com/2010/06/07/pengenalan-it-forensik/