BAB 5
Apa yang harus di miliki oleh seorang ahli komputer forensik ? tidak cukup sekedar pengetahuan tentang teknologi informasi saja.
Diperlukan pemahaman akan proses forensik yang dimampukan oleh manusia, perangkat forensik, dan aturan. Maka tidak heran jika efisiensi waktu bukan lah hal utama; sebaliknya efektifitas dalam mendapatkan buktilah tujuan dari proses forensik.
Pengetahuan invesitigasi berpedoman pada proses, dan proses ini yang menjadi acuan langkah kerja Dengan demikian seorang examner dapat mengulang kembalu ke proses sebelumnya jika proses yang dilakukan tidak membuahkan hasil.
Data dalam komputer dikemas dalam file, maka dari itu disebut sebagai data file atau file saja. Ada banyak sekali jenis dan ragam file, mencakup file dokumen, applikasi, file yang di ciptakan waktu sistem berjalan (runtime log file), dan ada banyak media penyimpanan dengan ragam fitur dan kapasitas penyimpanan.
Lalu bagaimana dengan data-data yang ada pada media penyimpanan yang kemudian dihapus ? data yang dihapus tidak sepenuhnya hilang begitu saja dari media penyimpanan. Meskipun proses penghapusan sudah di lalui tetapi pengahapusan hanya menandai file-file sebagai file yang terhapus secara logika dan bukan secara fisik meskipun anda sudah membersihkan recyle bin sekalipun.
Butuh waktu lama agar file sepenuhnya hilang dari media penyimpan yang secara sistematis akan digunakan untuk menyimpan file lain. Dalam kasus ini masih ada kemungkinan file-file yang sudah di hapus masih mungkin di kembalikan.
Slack space pada media peyimpanan memasukan lokasi yang tidak terpakai dan di kelola mengacu pada file sistem yang di gunakan.
Sedangkan free space merupakan lokasi penyimpanan yang dapat digunakan kemudian tapi tidak serta-merta kosong, dimungkinkan ada data di dalamnya mungkin karena proses delete. Dan masih di mungkinkan data di peroleh dari free space.
Dalam pemeriksaan, dilakukan hanya terhadap data hasil backup, bukan data yang sesunguhnya dan akses read only akan menjaga konsistensi/integritas data.
Dalam melakukan ekstraksi data, anda harus tahu file-file apa saja yang ada didalamnya . untuk mengetahui karakteristik file, dapat kita lihat extension file tersebut.
Mengunakan software forensik, beberapa fungsi fitur yang terdapat pada software forensik sehubungan penanganan data file antara lain:
1. File viewer (menampilkan konten sebuah file).
2. File non-kompresi (uncompressing files).
3. Menampilkan struktur direktori dalam interface grafis.
4. Mengindentifikasi file yang tidak dikenal.
5. Melakukan pencarian terhadap string atau pola tertentu.
6. Mengakses data.
Berbagai tool forensik dapat digunakan untuk proses analisa. Sebagai pengingat, perhatikan file times dan waktu sistem. Temuan-temuan akan muncul sehubung tahap ini, yakni kapan kejadian terjadi, kapan waktu file dibuat atau dimodifikasi, serta kapan e-ail di kirim Tool-tool forensik yang melibatkan analisis mendalam akan memberikan kepada anda rangkaian kejadian secara sistematis.
Dalam memandang data dalam sistem oprasi umumnya kita golongkan ke dalam dua bagian, yaitu data volatile dan non-volatile.
Yang tergolong dalam data non-volatile yaitu:
1. File konfigurasi
2. Log file
3. Application
4. Data file
5. Swap file
6. Dump file
7. Hibernation file
8. Temporary file
Yang termaksud data volatile yaitu :
1. Slack space
2. Free space
3. Network configuration
4. Network connection
5. Running process
6. Open file
7. Login session
8. Oprating system time
Dari data karakterisik data sistem oprasi tentunya dibedakan dalam mengumpulkan data volatile dan non-volatile.
Jenis data volatile os:
1. Content of memory (Ram)
2. Network configuration
3. Network connection
4. Running process
5. Open file
6. Login session
7. Oprating system time
Ternyata tidak melulu mengandalkan software forensik dalam prosesnya, beberapa aplikasi lain dapat digunakan. Kita golongkan aplikasi ini ke dalam kategori “software umum” misalnya:
1. Os command prompt
2. Sha-1 checksum
3. Directory list
4. String search
5. Text editor
Berikut didaftarkan data-data berdasarkan urutan prioritas untuk ditangani terlebih dahulu:
1. Network connection
2. Login session
3. Content of memory (Ram)
4. Running process
5. Open file
6. Network configuration
7. Oprating system time
Mengumpulkan data no-volatile umumnya dapat diberlakukan tahapan sebagai berikut:
1. Melakukan shutdown sistem oprasi
2. Remove power dari sistem
Kemampuan tool atau ultilitas pada sistem operasi mampu mengorganisasi dan menyimpan informasi berharga yang sangat berguna untuk keperluan investigasi:
1. Manajemen users and group
2. Password
3. Network share
4. Log
Selain dari berbagai tool/utilitas yang secara lansung dapat mengakses dan menampilkan tool-tool lain untuk menggali informasi
Hanya sekedar memahami komputer, bagaimana data dan file komputer ditangani dan dikelola tidaklah cukup. Dan mengerti hardware, software mencakup sistem oprasi dan berbagai aplikasi itupun belum cukup.
Examiner harus berurusan dengan bukti yang tergolong rentang hilang/rusak pembiasan atau hilangnya data sangat dimungkinkan terjadi karena beberapa faktor, antara lain:
1. Pemakai melakukan perubahan terhadap bukti.
2. Bukti sangat mudah dirusak atau di modifikasi.
3. Kesalahan dalam menangani data dan media penyimpanan akan sangat berpengaruh terhadap data yang menjadi bukti.
Aksi keriminal pun makin rapi dan terorganisasi, mungkin sudah direncanakan dengan sedemikian rupa. Examiner harus teliti mengalamti aktivitas dan perilaku, misalnya saja yang dilakukan (dalam ruamng lingkup internet, sebaran data akan melebar dan melibatkan pula kebutuhan informasi yang tersimpan pada isp) sebab berikurt:
1. Berbagi informasi dan bertransaksi.
2. Memalsukan document.
3. Menggunkan identitas lain.
4. Sewaktu mendistribusikan informasi atau mendistribusikan informasi yang salah.
5. Alokasi data pada worksation, server, atau oraganisasi lain.
6. Bagaimana seandainya tindak kriminal melibatkan pula jalinan komunikasi
7. Catatan pada internet service provider.
BAB 6
BEDAH KOMPUTER FORENSIK
6.1 Belajar dari Pengetahuan IT
Memantau aktifitas sistem akan sangat menarik, terlebih lagi jika mencurigai gerak-gerik seseorang yang memakai computer yang sama dengan anda. Banyak hal mungkin ditemukan, misalnya saja beberapa website “terlalang” yang diakses, atau history dari file-file “miring” yang di-download, bahkan pesan e-mail yang masih tersimpan dalam temporary internet file, pasti membangkitkan rasa ingin tahu. Dalam hal ini, tidak di anjurkan untuk memata-matai aktifitas orang lain sebagai media pembelajaran.
Tentu Anda pernah menghapus file, bahkan mengosongkan keranjang sampah (recycle bin). File yang telah terhapus tersebut tidak sepenuhnya hilang dalam hard disk, masih dimungkinkan untuk mendapatkan kembali informasi seperti itu mengskipun recycle bin sudah dalam keadaan kosong. Tidak harus menggunakan software forensic spesifik untuk mendapatkan informasi yang sudah terhapus, program utilitas yang dibuat systematic, misalnya, mampu mendapatkan kembali file yang sudah terhapus karena data-data tersebut sebenernya masih ada pada hard disk.
Anda juga mungkin sering men-download program dari internet, seperti file gambar, lagu, movie. Bukankah lebih nyaman jika menggunakan software khusus untuk men-download-nya ?
Software demiklian akan mendokumentasikan secara rapi aktifitas anda di dalamanya. Coba perhatikan salah satu software download, yakni GetRight. URL download pun tercatat, memudahkan anda untuk men-download dan memudahkan pula bagi examiner untuk menulusuri aktivitas berkomputer.
6.2 Windows Registry
Sewaktu anda mengakses registry windows dalam proses forensic, anda sebenernya sedang melakukan pembedahan computer forensic. Jika sistem operasi windows registry, perilaku aplikasi, proses dari sistem operasi komponen lain yang terlibat, seperti data, dan ragam aktivitas pengguna yang melibatkan perangkat keras dan perangkat lunak.
Registry merupakan konfigurasi sistem yang substansial dan merupakan single logical data store. Pada dasarnya dibagi ke dalam tiga database yang terpisah, dilokasikan untuk menangani :
1. user
2. sistem
3. pengaturan dan kebijakan pada jaringan computer (network policies)
Berdasarkan apa yang di katakan The Microsoft Computer Dictionary, Fifth Edition, registry adalah “pusat” database hierarkis yang digunakan pada Microsoft Windows 9x, Windows CE, Windows NT, dan Windows 2000 untuk menyimpan informasi penting dalam mengkonfigurasi sistem yang melibatkan user, aplikasi/software, dan hardware.
Registry terdiri dari tujuh root key atau hives. Dapat anda lihat pada gambar, bahwa key tersebut diawali dengan kata “HKEY” (handle to a key). Dari key yang ada, hanya dua saja yang dikatakan sebagai registry yang sebenarnya, yang lain hanyalah pengembangan yang merupakan shortcut yang mengacu pada dua hives ini.
Tujuh key dalam registry ditampilkan dan dijelaskan sebagi berikut:
1. HKEY_USERS, berisi informasi mengenai user, mengcakup pula generic user.
2. HKEY_LOCAL_MACHINE, hive yang teridiri dari informasi sepesifik computer yang berhubungan dengan langsung sistem operasi
3. HKEY_CLASSES_ROOT, informasinya tergolong sama dengan reg.dat.
4. HKEY_CURRENT_USER, key ini berisi informasi sepesifik user yang diciptakan sewaktu user login ke sistem yang di bangun pada awalnya dengan informasi yang umum pada key HKEY_USERS
5. HKEY_CURRENT_CONFIG, key ini menyimpan informasi konfigurasi sistem saat ini.
6. HKEY_DYN_DATA, berisi status dinamis informasi yantuk perangkat/devices yang menggunakan arsitektur plug-and-play.
7. HKEY_PERFORMACE_DATA, key ini menyediakan dukungan untuk sistem monitoring didasarkan pada karnel Windows NT.
Singkatan
|
Root key(hives)
|
HKU
|
HKEY-USERS
|
HKLM
|
HKEY_LOCAL_MACHINE
|
HKCR
|
HKEY_CLASSES_ROOT
|
HKCU
|
HKEY_CURRENT_USER
|
HKCC
|
HKEY_CURRENT_CONFIG
|
HKDD
|
HKEY_DYN_DATA
|
HKPD
|
HKEY_PERFORMANCE_DATA
|
File registry disimpan pada lokasi yang berbeda, bergantung pada sistem operasi windows yang digunakan, misalnya saja :
1. sistem operasi windows 3.x pada c:\windows\reg.dat.
2. sistem operasi windows 98 pada c:\windows.
3. sistem operasi windows NT pada c:\winnt\system32\config.
4. sistem operasi windows xp pada c:\windows\system32\config.
6.3 Informasi Esensial pada Registry
Kita langsung saja melihat apa saja yang disimpan pada registry, telepas dari hal-hal teknis yang anda pelajari kemudian berkenaan registry dan masing-masing hive-nya.
Bila yang terbiasa mengakses registry, akan sulit memilah-milah informasi yang ingin dipindai dari registry beberapa aplikasi dengan antarmuka grafis memberikan kemudahan guna membaca informasi registry.
Misalnya PassView software yang meng-eksplorasi informasi pada registry tadi, dan software ini mampu memberikan informasi berikut:
1. outlook Password
2. password autocomplete pada internet explorer
3. password protected pada internet explorer
4. password MSN explorer
Untuk meilhat aplikasi yang dijalankan sewaktu sistem opeasi dijalankan (start up), informasinya tersimpan pada beberapa registry key sebagai berikut :
1. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce
2. HKLM\SPFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
3. HKLM\Software\Microsoft\ Windows\CurrentVersion\Run
4. HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows\Run
5. HKCU\Software\Microsoft\Windows\CurrentVersion\run
6. HKCU\Software\Microsoft\Windows\CurrentVersion\RunOne
7. ProfilePatStartMenu\Program\Startup\
6.4 Informasi dari Software Forensik
Komputer desktop sudah menjadi perangkat teknologi informasi dan komunikasi yang banyak digunakan, setiap orang mengingini satu bagi dirinya. Ini terbukti dengan banyaknya pengguna computer rumahan dan perkantoran desktop dalam beraktifitas. Salah satu aplikasi yang digunakan dalam mengakses informasi yang terdokumentasi demikian dengan menggunakan software Total Recall. Salah satu forensic analysis tool gratis yang digunakan untuk merekonstruksi aktivitas.
Total Recall mampu merekontruksi aktivitas yang terjadi pada Microsoft Internet Explorer(MS IE), mencakup pula aktivias pengguna computer yang dimaksud. Pada dasarnya, aktivitas internet disimpan oleh Microsoft Internet Explorer dan disimpan pada file index.dat
Informasi seputar user data, internet cookies, dan internet history dapat ditemukan pada folder di users profile. Aktivitas lain, misalnya browser activity file (aktifitas mengakses konten internet via web browser), disimpan dalam bentuk biner. Untuk mudahnya, dibutuhkan perangkat lunak khusus untuk membaca infromasi tersebut.
Beberapa investigasi yang dilakukan oleh program ini antara lain:
1. aktivitas user pada internet explorer.
2. Internet explorer history.
3. Internet explorer cookies.
4. Favortites pada Internet Explorer.
5. aktifitas pemakai, yang mencakup :
- File temporer yang tidak dihapus dan masih tersimpan di computer.
- file yang baru di akses.
Informasi dapat dieskpor dalam bentuk file .XML(extensible markup language) dan .TXT(teks).
6.5 Kasus Nyata Komputer Forensik
Berikut dipercontohkan sebuah kasus dan proses forensic yang dilalui untuk mengungkap fakta sehubungan pornografi anak, dan beginilah pada dasarnya ahli forensic bekerja dan mendokumentasikan semua aktifitasnnya.
Catatan:
Material ini dibuat oleh U.S. Department of Justice yang termasuk public domain yang dapat dipergunakan tanpa melanggar hak kekayaan intelektual.
Ringkasan Kasus : Pornografi Anak
Subject : seseorang yang merupakan pemilik perusahaan X(subject) memerintahakan karyawannya untuk mengirimkan kompyer laptop kepada salah seorang karyawan untuk dibawa perusahaan service computer Mom & Pop. Perbaikan ditujukan karena masalah pada monitor.
Untuk memastikan bahwa laptop berhasil diperbaiki, maka sudah menjadi prosedur pada Mom & Pop untuk melakukan pengecekan dengan terlebih dahulu mengakses start bar dari windows 98 dan file untuk di tampilkan.
Alhasil, salah satu file yang dilihat adalah gambar anak-anak yang memperlihatkan aksi seks. Perushaan lalu melaporkan ke pihak berwajib. Laptop itu lalu di sita petugas dengan keberaadan material seks, dan ini adalah langkah pertama sebagai aksi dari investigasi aksi criminal.
Laptop dijadikan barang bukti sesuai kebijakan lembaga hokum. Computer di serahkan untuk pemeriksaan.
Tujuan (objectives) : untuk menentukan apakah subject memiliki pornografi anak.
Jenis komputer (computer type) : Laptop generic, serial#123456789.
Sistem operasi (operating system) : Microsoft windows 98.
Petugas (case agent) : investigator Johnson.
Nomor bukti (evidence number) : 012345
Chain of custody : lihat formulir terlampir.
Lokasi pemeriksaan berlangsung (where examination took place) : Unit investigasi criminal.
Peralatan yang digunakan (tools used) : disk acquisition utility, universal graphic viewer, command line.
Langkah selanjutnya (next step) :
Mewawancarai karyawan yang memberikan computer laptop ke mom & pop. Sang karyawan dinyatakan tidak pernah mengoprasikan computer.
Subject pernah memperlihatkan pada sang karyawan perihal gambar seksual yang melibatkan anak-anak pada laptop nya.
Subject mengatakan kepada karyawan bahwa dia menyimpan gambar-gambar serupa pada disket dirumah; subject lupa bahwa ada satu gambar masih tersimpan pada laptop.
Ringkasan kasus: aksi pencurian
Seorang warga negara menghubungi departemen kepolisian perihal dugaan barang curian.
Tujuan (Objective)
Mencari tau apakah menggunakan computer laptop sebagai alat dalam tindak kejahatan pecurian kendaraan bermotor penipuan, pemalsuan, membuat dukumen palsu perihal kendaraan curian.
Jenis computer : gateway solo 9100 notebook computer
System oprasi: Microsoft windows 98
Pelanggaran : pencurian kendaraan bermotor, penipuan, pemalsuan, membuat dokumen palsu kepemilikan kendaraan bermotor.
Petugas : petugas divisi pencurian kendaraan bermotor.
Nomor bukti : 012345.
Lokasi pemeriksaan berlangsung : labolatorium computer forensic
Peralatan yang digunakan : guidance software encase, digit, jasc software quick view plus, and accesdata password recovery tool kit.
Proseder pemprosesan
1. Peninjauan dokumentasi yang di berikan penyidik.
2. Penyidik computer forensic bertemu dengan agen yang menangani kasus tersebut.
3. Bukti lengkap di berikan.
4. Kasus diteruskan ke penyidik computer.
Pemberlakuan “image”file pada notebook:
1. Computer notebook diperiksa dan di foto.
2. Membuat file yang berisi “image” perihal hardisk notebook menggunakan aplikasi encase.
Pemeriksaan :
1. Computer labolatorium menggunakan menggunakan os windows 98, app encase dan program perangkat lunak forensic lain nya.
2. Bukti dari computer notebook disalin menggunakan encase.
3. Bukti hasil pemindahan encase diperiksa menggunakan encase.
4. Uncallocated clusters disimpan pada hard disk yang masih kosong.
5. File yang di proteksi disimpan pada floppy disk.
Dokumentasi dan pelaporan :
1. Laporan forensik.
2. Laporan kepolisian.
3. Hasil kerja.
Hasil akhir didapati:
Tersangka akhirnya mengaku bersalah dan dalam pemenjaraan.
Tidak ada komentar:
Posting Komentar