Digital Forensic untuk Tangkap Maling Internet. part 1


digital forensicUU Cybercrime atau yang lebih di kenal dengan UU ITE No.11 Tahun 2008 maka istilah digital forensik semakin dikenal sebagai satu-satunya pembuktian dari adanya tindakan yang melanggar UU tersebut, definisi dari digital forensik sendiri adalah salah satu cabang ilmu forensik yang berkaitan dengan bukti legal yang ditemui pada komputer dan media penyimpanan dijital seperti hardisk, flashdisk, floppy disk, disc dan lain-lain. Tujuan dari komputer forensik adalah untuk menjabarkan keadaan kini dari suatu artefak dijital. Istilah artefak dijital bisa mencakup sebuah sistem komputer, media penyimpanan (seperti flash disk, hard disk, atau CD-ROM), sebuah dokumen elektronik (misalnya sebuah pesan email atau gambar JPEG), atau bahkan sederetan paket yang berpindah dalam jaringan komputer.

Tujuan artikel ini adalah pengenalan terhadap “Digital Forensic” dan memahami bagaimana sebuah proses investigasi dilakukan dengan pemicu sebuah insiden keamanan seperti pencurian nomor kartu kredit, tercurinya informasi berharga dari sebuah situs, rusaknya sistem komputerisasi oleh cracker, pencurian identitas dan masih banyak lagi ancaman-ancaman yang dapat dijadikan alasan untuk dilakukannya “Digital Forensic”.

LATAR BELAKANG

Mungkin anda sudah pernah mendengar nama ‘forensik’. Apabila terdapat suatu kejadian kriminal dan pelaku tidak ditemukan, adalah tugas ahli forensik yang  mengungkap ciri khas atau sesuatu yang unik pada tempat kejadian atau korban sehingga pelaku kejahatan dapat dilacak. Hal tersebut dimungkinkan karena setiap tindakan kriminal pasti meninggalkan jejak walaupun hanya sehelai rambut.

Digital Forensic hampir mirip dengan Forensik yang biasa digunakan oleh pihak kepolisian untuk menemukan jati diri (identity) dari pelaku kejahatan tersebut. Yang membedakan hanya terletak pada areal atau tempat, jikalau forensik yang dilakukan pihak kepolisian berada di dalam dunia nyata, sedangkan “Digital Forensic” dilakukan pada dunia maya atau internet oleh pihak yang ahli dibidang keamanan komputer dan internet .

Forensic

Model forensik melibatkan tiga komponen terangkai yang dikelola sedemikian rupa­ hingga menjadi sebuah tujuan akhir dengan segala kelayakan dan hasil yang berkualitas. Ketiga komponen tersebut adalah:

1. Manusia (People), diperlukan kualifikasi­ untuk mencapai manusia yang berkua­litas. Memang mudah untuk belajar komputer forensik, tetapi untuk menjadi­ ahlinya, dibutuhkan lebih dari sekadar pengetahuan dan pengalaman.

2. Peralatan (Equipment), diperlukan sejumlah perangkat atau alat yang tepat untuk mendapatkan sejumlah bukti (evidence) yang dapat dipercaya dan bukan­ sekadar bukti palsu.

3. Aturan (Protocol), diperlukan dalam menggali, mendapatkan, menganalisis, dan akhirnya menyajikan dalam bentuk laporan yang akurat. Dalam komponen aturan, diperlukan pemahaman yang baik dalam segi hukum dan etika, kalau perlu dalam menyelesaikan sebuah kasus perlu melibatkan peran konsultasi yang mencakup pengetahuan akan teknologi informasi dan ilmu hukum.

Dalam melakukan investigas sebuah komputer yang telah berhasil disusupi, terkadang memakan waktu lebih lama daripada aksi penyusupan itu sendiri. Sebagai ilustrasi, jika sebuah usaha hacking untuk mengambil alih sebuah system membutuhkan waktu sekitar 2 jam, maka proses investigasi insiden yang terjadi dapat membutuhkan waktu 40 jam (mungkin juga lebih) untuk mendapatkan ‘false-positive report’ dan pengumpulan catatan segala aktifitas dari sistem tersebut. Waktu yang dialokasikan tersebut belum termasuk aktivitas memperbaiki dan mengembalikan (restoring) data yang kemungkinan besar ikut hilang pada proses intrusi.

Perbedaan ‘cost’ antara proses pencegahan dan perbaikan cukup besar. Lebih baik kita mengalokasikan sejumlah dana yang cukup dalam proses pencegahan serangan cracker yang kuat untuk sistem komputer yang menyimpan aset berharga suatu organisasi atau perusahaan, daripada kita menggadaikan informasi berharga untuk sebuah keamanan sistem komputer yang lemah, yang dapat berakibat kerugian yang jauh lebih besar dari pada ongkos pengamanan sistem komputer.

Pengumpulan Data

Dalam sebuah kasus pembunuhan, polisi akan mengumpulkan semua bukti dan petunjuk dimulai dengan menghentikan semua akses fisik ke TKP (Tempat Kejadian Perkara) dan membuat dokumentasi gambar (picture/image) dari TKP. Pada kasus investigasi digital, seorang investigator yang menangani kasus penyusupan sistem akan melakukan hal serupa. Informasi sebuah penyusupan umumnya terdapat pada “hard disk” dari sistem. Pengumpulan bukti dilakukan dengan membuat digital image (salah satu cara adalah melakukan penggandaan seluruh isi hardisk hardisk lain) dari sistem yang disusupi untuk menjaga keaslian informasi selama proses investigasi. Secara ideal, investigator akan membuat sistem tersebut offline dan menyimpan disk asli sebagai bukti dan melakukan analisis pada salinan disk berupa image.

Tool kit atau peralatan yang membantu untuk pengujian digital forensik memungkinkan untuk mengumpulkan dan analisis data, seperti TCPdump, Ethereal, Argus, NFR, tcpwrapper, sniffer, nstat, tripwire, diskcopy (/v pada DOS), DD pada Unix. Karena ahli hukum percaya bit lebih mudah dipalsukan daripada kertas, maka aturan utamanya adalah “preserve then examine” . Melalui kakas ini beberapa data yang dapat dijadikan bukti adalah : ip address, nomor port, protokol, nama file, waktu akses dan sebagainya.

Berikut ini contoh hasil penangkapan log file bahwa ada sebuah aktifitas penetrasi ke komputer korban oleh penyusup (ip 192.168.0.6) dengan aplikasi analisa jaringan yaitu tcpdump versi linux :

root@slacker:~# tcpdump -n -t
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
IP 192.168.0.6 > 192.168.0.16: ICMP echo request, id 64527, seq 1, length 64
IP 192.168.0.16 > 192.168.0.6: ICMP echo reply, id 64527, seq 1, length 64
arp who-has 192.168.0.6 tell 192.168.0.16
arp reply 192.168.0.6 is-at 00:1e:ec:c4:86:67
IP 192.168.0.6.57615 > 192.168.0.16.22: S 373530827:373530827(0) win 5840 <mss 1460,sackOK,timestamp 20417 0,no
IP 192.168.0.16.22 > 192.168.0.6.57615: R 0:0(0) ack 373530828 win 0
arp who-has 192.168.0.16 tell 192.168.0.6
arp reply 192.168.0.16 is-at 00:d0:09:be:8b:81
IP 192.168.0.6.38962 > 192.168.0.16.23: S 691220934:691220934(0) win 5840 <mss 1460,sackOK,timestamp 25387 0,no
IP 192.168.0.16.23 > 192.168.0.6.38962: S 410286478:410286478(0) ack 691220935 win 5792 <mss 1460,sackOK,timest
IP 192.168.0.6.38962 > 192.168.0.16.23: . ack 1 win 92 <nop,nop,timestamp 25387 791225>
IP 192.168.0.6.38962 > 192.168.0.16.23: P 1:28(27) ack 1 win 92 <nop,nop,timestamp 25387 791225>
IP 192.168.0.16.23 > 192.168.0.6.38962: . ack 28 win 362 <nop,nop,timestamp 7912
IP 192.168.0.16.23 > 192.168.0.6.38962: P 1:13(12) ack 28 win 362 <nop,nop,times
IP 192.168.0.6.38962 > 192.168.0.16.23: . ack 13 win 92 <nop,nop,timestamp 25406
IP 192.168.0.16.23 > 192.168.0.6.38962: P 13:52(39) ack 28 win 362 <nop,nop,time

Banyak admin panik langsung mematikan sistem dan menghapus kesalahan sehingga sistem bisa up (dihidupkan) kembali. Tetapi sebaiknya lakukan langkah yang tepat untuk menyimpan bukti dengan cara menyimpan kondisi memori, kondisi file temporar, kondisi soket terbuka dan lain sebagainya. Pada dunia komputer forensik ini yang dikenal membuat “snapshot” dari sistem yang sedang berjalan. Setelah itu baru memeriksa sistem yang ada. Teknik mesin virtual saat ini memungkinkan kita menjalankan “image” sistem dengan snapshoot berjalan seperti kondisi tersebut.

Sejumlah software, seperti EnCase, yang dikembangkan oleh Guidance Software Pasadena, Linux DD yang pernah digunakan oleh FBI (Federal Bureau Investigation)­ dalam kasus Zacarias Moussaoui, dan Jaguar­Forensics Toolkit, yaitu sebuah tool yang diperkaya dengan beberapa­ feature menarik, seperti generator report untuk memenuhi kebutuhan komputer forensik

jaguarforensic
Gambar 1. Interface program JaguarForensics ToolKit yang dapat digunakan oleh Anda untuk mendapatkan sejumlah informasi secara rinci mengenai hardware, sistem operasi, aplikasi, network, dan sebagainya.

Setelah image disimpan baru lakukan proses analisis forensik standard. Dalam melakukan proses forensik ada kaidah utama yang diterapkan yaitu “Chain of custody” artinya setiap langkah yang dilakukan, siapa, bagaimana dan hasilnya harus tercatat rapih. Data-data lain yang dapat dijadikan sumber analisa adalah sebagai berikut ;

Metadata

Pembuatan salinan disk berupa image harus dilakukan secepat mungkin untuk menjaga integritas dari bukti penyusupan karena setiap user yang memiliki akses dapat menghilangkan atau mengacaukan bukti kejahatan dengan melakukan proses overwrite pada file. Bahkan pada back-up system yang dilakukan secara reguler dapat memodifikasi waktu pada sistem seperti ‘last accessed’, ‘last modified’ dan ‘create’ sebuah file.

Beberapa aplikasi bahkan dapat memberikan ‘null point’ pada ‘time-accessed logs’. Contohnya sebuah file “rahasia.doc” mempunyai catatan kapan dibuat, kapan terakhir diakses, kapan terakhir dimodifikasi, jika seorang maling berhasil masuk ke dalam sistem dapat mengakses file “rahasia.doc” maka catatan-catatan yang tadi dijelaskan akan berubah, dan si maling lupa untuk menghapus jejak catatan yang ditingalkannya, lalu kemudian si maling tersadar terlebih dahulu sebelum kita melakukan pembuatan disk salinan berupa image, maka si maling dapat mengacaukan bukti kejahatannya. Informasi tentang waktu pembuatan, terakhir diakses, atau terakhir dimodifikasi disebut dengan metadata.

metadata
Gambar 2. Sebuah contoh dari metadata sebuah file bernama enkripsi.c.

Log Files

Selanjutnya yang harus dilakukan dalam proses digital forensik adalah mengumpulkan sebuah bukti terjadinya penyusupan pada sistem. Lalu menetapkan rantai penyidikan (chain-of-custody). Beberapa dokumen harus disiapkan untuk menyimpan bukti penyidikan yang akan digunakan di pengadilan.

Bersambung ke Digital Forensic untuk Tangkap Maling Internet. part 2

7 thoughts on “Digital Forensic untuk Tangkap Maling Internet. part 1

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s