DIGITAL FORENSIK DAN PENANGANAN PASCA IN
DIGITAL FORENSIK DAN PENANGANAN PASCA INSIDEN
Oleh
Panji Panuntun (G.211.12.0166)
Progdi Teknik Informatika, Fakultas Teknologi Informasi
UNIVERSITAS SEMARANG 2014
ABSTRAK
Digital Forensik merupakan bidang ilmu baru dalam dunia komputer yang berkembang pesat
akhir-akhir ini dengan ditunjukannya berita-berita yang mengulas tentang kejahatan di
bidang komputer serta semakin banyaknya buku-buku yang mengupas mengenai digital
forensik, sehingga semakin menambah refrensi pengetahuan bagi peneliti-peneliti muda.
Dengan lahirnya Undang-undang Informasi Transaksi Elektronik nomor 11 Tahun 2008,
maka semakin membuat bidang ilmu ini menjadi perangkat wajib untuk membongkar
kejahatan yang melibatkan dunia komputer, karena pada umumnya kejahatan komputer
ini meninggalkan jejak digital, maka perlu adanya seorang ahli komputer forensik yang
akan mengamankan barang bukti digital atau biasa disebut digital evidence. Komputer
Forensik tentu memerlukan suatu standart operational procedure dalam mengambil buktibukti digital agar tidak terkontaminasi pada saat data di ambil dari digital evidence
sehingga sangat memudahkan para ahli komputer forensik untuk melakukan pemulihan
sistem pasca kerusakan.
A. Latar belakang
B.
C.
D.
E.
Komputer forensik adalah salah satu cabang ilmu forensik yang berkaitan dengan
bukti legal yang ditemui pada komputer dan media penyimpanan digital. Di era serba
digital seperti sekarang ini, setiap kasus pasti memiliki jejak digital yang bisa dilacak.
pembobolan ATM menggunakan skimmer, tersebarnya video mesra mirip artis papan
atas Indonesia cukup menghebohkan dengan keluar tahanan untuk liburan dan
pelesiran ke luar negeri, merupakan beberapa contoh kasus yang banyak
mengandalkan barang bukti digital dalam pengungkapan dan penyelesaiannya.
Penyelidikan forensik dilakukan karena berbagai alasan diantaranya berkaitan dengan
investigasi kriminal, atau proses pengadilan sipil, dan berbagai macam situasi lainnya
termasuk pelacakan langkah yang mungkin diambil ketika data telah hilang. Tujuan
utama Digital Forensik adalah untuk memberikan bukti digital dari suatu aktivitas
tertentu atau umum dalam mengungkap sebuah kasus kejahatan.
Rumusan masalah
a. Konsentrasi pada komputer forensik
b. Apa itu digital evidance
c. Permodelan komputer forensik
d. Penanganan kerusakan
Tujuan
menjabarkan keadaan dari suatu artefak digital. Istilah artefak digital bisa mencakup
sebuah sistem komputer, media penyimpanan (seperti flash disk, hard disk, atau CDROM), sebuah dokumen elektronik (misalnya sebuah pesan email atau gambar
JPEG), atau bahkan sederetan paket yang berpindah dalam jaringan komputer.
Metodelogi penelitian
Dalam penelitian ini dapat memelajari apa itu komputer forensik bagaimana langkah
langkah dan permodelan dalam komputer forensik dan penangganan langsung
terhadap suatu masalah.
Pembahasan
Konsentrasi Komputer Forensik
Semakin kompleksnya tindak kejahatan dalam bidang komputer membuat bidang
ilmu komputer forensik melebarkan kajian ilmu forensik dari berbagai aspek.
Maka dari itu perlu adanya pembagian konsentrasi ilmu dalam bidang komputer
forensik tersebut, ini ditujukankan agar dalam melakukan investigasi untuk
mengungkap kejahatan bahkan memulihkan sistem pasca kerusakan dapat dengan
mudah dilakukan, karena sudah dibagi kedalam beberapa konsentrasi
yakni :
1. Forensik Disk
ilmu yang satu ini sudah mulai berkembang, dimana forensik disk melibatkan
berbagai media penyimpanan. Ilmu forensik yang satu ini sudahterdokumentasi
dengan baik di berbagai literatur, bahkan profesional IT pun bisa menangani
permasalahan forensik disk ini. Misalkan, mendapatkan file-file yang sudah
terhapus, mengubah partisi harddisk, mencari jejak bad sector, memulihkan
registry windows yang termodifikasi atau ter-hidden oleh virus dan lain
sebagainya.
2. Forensik Sistem
ilmu ini masih sulit untuk dikaji lebih dalam, ini dikarenakan banyaknya
sistem operasi yang berkembang saat ini, dimana sistem operasi memiliki
karakteristik dan prilaku yang berbeda,misalnya saja berbagai file sistem,
maka dari itu metode forensik yang ada sekarang ini masih sulit untuk disama
ratakan. Kendalanya yakni software pendukung yang ada sekarang dimana
sebagai tool untuk membedah sistem operasi masih ber-flatform windows.
3. Forensik Jaringan
adalah suatu metode menangkap, menyimpan dan menganalisa data pengguna
jaringan untuk menemukan sumber dari pelanggaran keamanan sistem atau
masalah keamanan sistem informasi. Jika kita berbicara tentang bagian yang
satu ini, pastinya ini melibatkan OSI (Open System Interconnection) layer,
yang menjelaskan bagaimana komputer dapat berkomunikasi.
4. Forensik Internet
Melalui forensik internet ini kita dapat melacak siapa yang mengirim e-mail,
kapan dikirim dan sedang berada di mana si pengirim, hal ini dapat dilakukan
mengingat semakin banyaknya e-mail palsu yang meng-atasnamakan
perusahaan tertentu dengan modus undian berhadiah yang akan merugikan si
penerima e-mail, atau juga banyak e-mail yang bernada ancaman.
Digital Evidence
Evidence adalah informasi dan data. Cara pandangnya sama saja, tetapi dalam
kasus komputer forensik, kita mengenal subjek tersebut sebagai Digital Evidence.
Semakin kompleksnya konteks digital evidence dikarenakan faktor media yang
melekatkan data, misalnya digital evidence berupa dokumen, yang umumnya
dikategorikan ke dalam tiga bagian, antara lain :
Arsip ( Archieval Files )
File Aktif ( Active Files )
Residual Data ( Disebut pula sebagian data sisa, data sampingan atau data
temporer )
File yang tergolong arsip dikarena kebutuhan file tersebut dalam fungsi
pengarsipan, mencakup penanganan dokumen untuk disimpan dalam format yang
ditentukan, proses mendapatkannya kembali dan pendistribusian untuk kebutuhan
yang lainnya, misalnya beberapa dokumen yang didigitalisasi untuk disimpan
dalam format TIFF untuk menjaga kualitas dokumen.File aktif adalah file yang
memang digunakan untuk berbagai kepentingan yang berkaitan erat dengan
kegiatan yang sedang dilakukan, misalnya file-file gambar, dokumen teks, dan
lain-lain.Sedangkan file yang tergolong residual mencakup file-file yang diproduksi
seiring proses komputer dan aktivitas pengguna, misalkan catatan penggunan
dalam menggunakan internet, database log, berbagai temporary file, dan lain
sebagainya.
Pemodelan Komputer Forensik
Model di dalam ilmu forensik pada umumnya dapat diterapkan di berbagai bidang,
dan model ini melibatkan tiga komponen yang dirangkai, diberdayakan dan
dikelola sedemikian rupa menjadi tujuan akhir dengan segala kelayakan dan kualitas.
Tiga komponen ini mencakup :
Manusia ( people )
Peralatan ( equipment )
Aturan ( protocol )
Komponen jaminan kualitas
komponen yang paling penting dalam pemodelan komputer forensik, aturan
dalam menggali, mendapatkan, menganalisa dan akhirnya menyajikan dalam
laporan - laporan. Aturan dalam komputer forensik yang harus dijalankan oleh
seorang ahli mencakup ke dalam empat fase, antara lain :
Pengumpulan
Pengujian
Analisa
Laporan
Penanganan kerusakan
Ketika kita mengakses registry windows, dalam proses forensik ini disebut juga
dengan pembedahan komputer, karena registry merupakan konfigurasi sistem yang
substansial dab merupakan single logical dan store. Pada dasarnya registry dibagi
ke dalam tiga basisdata yang terpisah dan dialokasikan untuk menangani user,
sistem dan pengaturan jaringan, dimana bagian -bagian ini menyimpan informasi
yang sangat penting. Untuk melakukan pembongkaran registrysebaiknya harus
diketahui terlebih dahulu struktur daripada registry windows.
Registry terdiri dari tujuh root key yakni :
HKEY_CLASSES_ROOT
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE
HKEY_USERS
HKEY_CURRENT_CONFIG
HKEY_DYN_DATA
HKEY_PERFORMANCE_DATA
Pada registry ini akan dilihat apa-apa saja informasi yang tersimpan di dalam
nya, misalkan melihat aktivitas internet dapat mengakses registry key
sebagai berikut : HKEY_CURRENT_USER\Software\Microsoft\
InternetExplorer\TypedUr, Untuk melihat beberapa device yang terintegrasi pada
komputer dapat mengakses registry key sebagai berikut :
HKEY_CURRENT_USER\
Software\Microsoft\WindowsNT\CurrentVersion\Device, Hal lain yang dapat
dianalisa dari registry windows, misalnya mengetikkan command pada run
command windows tercatat pada registry. Untuk dapat mengaksesnya melalui
registry key sebagai berikut :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explor
er\RunMRU
Penangganan paska kerusakkan
Dalam memperbaiki sebuah sistem yang mengalami kerusakan perlu adanya
peralatan berupa software untuk memulihkan sistem yang rusak. Pada bagian ini
akan diberikan contoh sederhana kerusakan pada registryyang telah dimodifikasi,
bisa dikarenakan virus dan bisa juga disengaja dimodifikasi. Dan untuk
penanganan kerusakannya dapat menggunakan softwareanti virus Smadav versi
8.3.4. Kasus yang terjadi adalah icon recycle bin pada desktop berubah nama
menjadi “Gudang Virus” seorang investigator biasanya sudah dapat menganalisis
penyebab dan cara pemulihannya. Ada dua faktor penyebab, yakni bisa karena virus
dan bisa karena disengaja oleh user. Dan yang perlu diketahui adalah jika ini
disebabkan karena virus biasanya tujuan utama seorang pembuat virus adalah
registry windows, karena dengan bagian ini virus dapat melumpuhkan sistem
komputer dengan merusak, memodifikasi atau meng-hiddenregistry tersebut.Untuk
penanganan kasus ini, dapat di gunakan anti virus Smadav 8.3.4. maka lakukan
scanning terhadap komputer yang terinfeksi. Dari hasil scanning di atas dapat
dibuktikan bahwa ada dua registry yang terinfeksi, bisa juga dikatakantermodifikasi.
Untuk lebih membuktikan registrymana yang terinfeksi terlihat registry yang
terinfeksi adalah file default dan LocalizedString pada key
HKCR\CLSID\HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F0800AA002F954E}.
Kemudian klik Repair All untuk memulihkan registry yang terinfeksi
tersebut. Maka setelah di refresh, icon recycle bin akan kembali seperti semula.
Kesimpulan dan saran
Masih banyak lagi bidang ilmu IT Forensik yang harus digali pengetahuannya lebih
dalam, karena bidang ini sudah menjadi bagian yang sangat penting dalam mengungkap
kejahatan-kejahatan komputer. Ini tidak terlepas akan hal tersebut, dikarenakan ilmu
pengetahuan yang semakin maju pesat ditambah dengan akhlak manusia yang semakin
merosot dan jauh dari nilai-nilai Agama. Kiranya perlu adanya monitoring dari setiap
aktivitas manusia yang menyangkut kepentingan.
Kelebihan
Dapat membantu para peneliti untuk menegetahui bagaimana alur kerjanya bahkan bisa
mengembangkan pemikiran pembaca untuk bisa bermanfaat.
Kekurangan
Dari makalah ini masih banyak hal yang belum di sampaikan tentang digital forensik, masih
banyak hal yang masih di bahas dalam digital forensik ini
Oleh
Panji Panuntun (G.211.12.0166)
Progdi Teknik Informatika, Fakultas Teknologi Informasi
UNIVERSITAS SEMARANG 2014
ABSTRAK
Digital Forensik merupakan bidang ilmu baru dalam dunia komputer yang berkembang pesat
akhir-akhir ini dengan ditunjukannya berita-berita yang mengulas tentang kejahatan di
bidang komputer serta semakin banyaknya buku-buku yang mengupas mengenai digital
forensik, sehingga semakin menambah refrensi pengetahuan bagi peneliti-peneliti muda.
Dengan lahirnya Undang-undang Informasi Transaksi Elektronik nomor 11 Tahun 2008,
maka semakin membuat bidang ilmu ini menjadi perangkat wajib untuk membongkar
kejahatan yang melibatkan dunia komputer, karena pada umumnya kejahatan komputer
ini meninggalkan jejak digital, maka perlu adanya seorang ahli komputer forensik yang
akan mengamankan barang bukti digital atau biasa disebut digital evidence. Komputer
Forensik tentu memerlukan suatu standart operational procedure dalam mengambil buktibukti digital agar tidak terkontaminasi pada saat data di ambil dari digital evidence
sehingga sangat memudahkan para ahli komputer forensik untuk melakukan pemulihan
sistem pasca kerusakan.
A. Latar belakang
B.
C.
D.
E.
Komputer forensik adalah salah satu cabang ilmu forensik yang berkaitan dengan
bukti legal yang ditemui pada komputer dan media penyimpanan digital. Di era serba
digital seperti sekarang ini, setiap kasus pasti memiliki jejak digital yang bisa dilacak.
pembobolan ATM menggunakan skimmer, tersebarnya video mesra mirip artis papan
atas Indonesia cukup menghebohkan dengan keluar tahanan untuk liburan dan
pelesiran ke luar negeri, merupakan beberapa contoh kasus yang banyak
mengandalkan barang bukti digital dalam pengungkapan dan penyelesaiannya.
Penyelidikan forensik dilakukan karena berbagai alasan diantaranya berkaitan dengan
investigasi kriminal, atau proses pengadilan sipil, dan berbagai macam situasi lainnya
termasuk pelacakan langkah yang mungkin diambil ketika data telah hilang. Tujuan
utama Digital Forensik adalah untuk memberikan bukti digital dari suatu aktivitas
tertentu atau umum dalam mengungkap sebuah kasus kejahatan.
Rumusan masalah
a. Konsentrasi pada komputer forensik
b. Apa itu digital evidance
c. Permodelan komputer forensik
d. Penanganan kerusakan
Tujuan
menjabarkan keadaan dari suatu artefak digital. Istilah artefak digital bisa mencakup
sebuah sistem komputer, media penyimpanan (seperti flash disk, hard disk, atau CDROM), sebuah dokumen elektronik (misalnya sebuah pesan email atau gambar
JPEG), atau bahkan sederetan paket yang berpindah dalam jaringan komputer.
Metodelogi penelitian
Dalam penelitian ini dapat memelajari apa itu komputer forensik bagaimana langkah
langkah dan permodelan dalam komputer forensik dan penangganan langsung
terhadap suatu masalah.
Pembahasan
Konsentrasi Komputer Forensik
Semakin kompleksnya tindak kejahatan dalam bidang komputer membuat bidang
ilmu komputer forensik melebarkan kajian ilmu forensik dari berbagai aspek.
Maka dari itu perlu adanya pembagian konsentrasi ilmu dalam bidang komputer
forensik tersebut, ini ditujukankan agar dalam melakukan investigasi untuk
mengungkap kejahatan bahkan memulihkan sistem pasca kerusakan dapat dengan
mudah dilakukan, karena sudah dibagi kedalam beberapa konsentrasi
yakni :
1. Forensik Disk
ilmu yang satu ini sudah mulai berkembang, dimana forensik disk melibatkan
berbagai media penyimpanan. Ilmu forensik yang satu ini sudahterdokumentasi
dengan baik di berbagai literatur, bahkan profesional IT pun bisa menangani
permasalahan forensik disk ini. Misalkan, mendapatkan file-file yang sudah
terhapus, mengubah partisi harddisk, mencari jejak bad sector, memulihkan
registry windows yang termodifikasi atau ter-hidden oleh virus dan lain
sebagainya.
2. Forensik Sistem
ilmu ini masih sulit untuk dikaji lebih dalam, ini dikarenakan banyaknya
sistem operasi yang berkembang saat ini, dimana sistem operasi memiliki
karakteristik dan prilaku yang berbeda,misalnya saja berbagai file sistem,
maka dari itu metode forensik yang ada sekarang ini masih sulit untuk disama
ratakan. Kendalanya yakni software pendukung yang ada sekarang dimana
sebagai tool untuk membedah sistem operasi masih ber-flatform windows.
3. Forensik Jaringan
adalah suatu metode menangkap, menyimpan dan menganalisa data pengguna
jaringan untuk menemukan sumber dari pelanggaran keamanan sistem atau
masalah keamanan sistem informasi. Jika kita berbicara tentang bagian yang
satu ini, pastinya ini melibatkan OSI (Open System Interconnection) layer,
yang menjelaskan bagaimana komputer dapat berkomunikasi.
4. Forensik Internet
Melalui forensik internet ini kita dapat melacak siapa yang mengirim e-mail,
kapan dikirim dan sedang berada di mana si pengirim, hal ini dapat dilakukan
mengingat semakin banyaknya e-mail palsu yang meng-atasnamakan
perusahaan tertentu dengan modus undian berhadiah yang akan merugikan si
penerima e-mail, atau juga banyak e-mail yang bernada ancaman.
Digital Evidence
Evidence adalah informasi dan data. Cara pandangnya sama saja, tetapi dalam
kasus komputer forensik, kita mengenal subjek tersebut sebagai Digital Evidence.
Semakin kompleksnya konteks digital evidence dikarenakan faktor media yang
melekatkan data, misalnya digital evidence berupa dokumen, yang umumnya
dikategorikan ke dalam tiga bagian, antara lain :
Arsip ( Archieval Files )
File Aktif ( Active Files )
Residual Data ( Disebut pula sebagian data sisa, data sampingan atau data
temporer )
File yang tergolong arsip dikarena kebutuhan file tersebut dalam fungsi
pengarsipan, mencakup penanganan dokumen untuk disimpan dalam format yang
ditentukan, proses mendapatkannya kembali dan pendistribusian untuk kebutuhan
yang lainnya, misalnya beberapa dokumen yang didigitalisasi untuk disimpan
dalam format TIFF untuk menjaga kualitas dokumen.File aktif adalah file yang
memang digunakan untuk berbagai kepentingan yang berkaitan erat dengan
kegiatan yang sedang dilakukan, misalnya file-file gambar, dokumen teks, dan
lain-lain.Sedangkan file yang tergolong residual mencakup file-file yang diproduksi
seiring proses komputer dan aktivitas pengguna, misalkan catatan penggunan
dalam menggunakan internet, database log, berbagai temporary file, dan lain
sebagainya.
Pemodelan Komputer Forensik
Model di dalam ilmu forensik pada umumnya dapat diterapkan di berbagai bidang,
dan model ini melibatkan tiga komponen yang dirangkai, diberdayakan dan
dikelola sedemikian rupa menjadi tujuan akhir dengan segala kelayakan dan kualitas.
Tiga komponen ini mencakup :
Manusia ( people )
Peralatan ( equipment )
Aturan ( protocol )
Komponen jaminan kualitas
komponen yang paling penting dalam pemodelan komputer forensik, aturan
dalam menggali, mendapatkan, menganalisa dan akhirnya menyajikan dalam
laporan - laporan. Aturan dalam komputer forensik yang harus dijalankan oleh
seorang ahli mencakup ke dalam empat fase, antara lain :
Pengumpulan
Pengujian
Analisa
Laporan
Penanganan kerusakan
Ketika kita mengakses registry windows, dalam proses forensik ini disebut juga
dengan pembedahan komputer, karena registry merupakan konfigurasi sistem yang
substansial dab merupakan single logical dan store. Pada dasarnya registry dibagi
ke dalam tiga basisdata yang terpisah dan dialokasikan untuk menangani user,
sistem dan pengaturan jaringan, dimana bagian -bagian ini menyimpan informasi
yang sangat penting. Untuk melakukan pembongkaran registrysebaiknya harus
diketahui terlebih dahulu struktur daripada registry windows.
Registry terdiri dari tujuh root key yakni :
HKEY_CLASSES_ROOT
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE
HKEY_USERS
HKEY_CURRENT_CONFIG
HKEY_DYN_DATA
HKEY_PERFORMANCE_DATA
Pada registry ini akan dilihat apa-apa saja informasi yang tersimpan di dalam
nya, misalkan melihat aktivitas internet dapat mengakses registry key
sebagai berikut : HKEY_CURRENT_USER\Software\Microsoft\
InternetExplorer\TypedUr, Untuk melihat beberapa device yang terintegrasi pada
komputer dapat mengakses registry key sebagai berikut :
HKEY_CURRENT_USER\
Software\Microsoft\WindowsNT\CurrentVersion\Device, Hal lain yang dapat
dianalisa dari registry windows, misalnya mengetikkan command pada run
command windows tercatat pada registry. Untuk dapat mengaksesnya melalui
registry key sebagai berikut :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explor
er\RunMRU
Penangganan paska kerusakkan
Dalam memperbaiki sebuah sistem yang mengalami kerusakan perlu adanya
peralatan berupa software untuk memulihkan sistem yang rusak. Pada bagian ini
akan diberikan contoh sederhana kerusakan pada registryyang telah dimodifikasi,
bisa dikarenakan virus dan bisa juga disengaja dimodifikasi. Dan untuk
penanganan kerusakannya dapat menggunakan softwareanti virus Smadav versi
8.3.4. Kasus yang terjadi adalah icon recycle bin pada desktop berubah nama
menjadi “Gudang Virus” seorang investigator biasanya sudah dapat menganalisis
penyebab dan cara pemulihannya. Ada dua faktor penyebab, yakni bisa karena virus
dan bisa karena disengaja oleh user. Dan yang perlu diketahui adalah jika ini
disebabkan karena virus biasanya tujuan utama seorang pembuat virus adalah
registry windows, karena dengan bagian ini virus dapat melumpuhkan sistem
komputer dengan merusak, memodifikasi atau meng-hiddenregistry tersebut.Untuk
penanganan kasus ini, dapat di gunakan anti virus Smadav 8.3.4. maka lakukan
scanning terhadap komputer yang terinfeksi. Dari hasil scanning di atas dapat
dibuktikan bahwa ada dua registry yang terinfeksi, bisa juga dikatakantermodifikasi.
Untuk lebih membuktikan registrymana yang terinfeksi terlihat registry yang
terinfeksi adalah file default dan LocalizedString pada key
HKCR\CLSID\HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F0800AA002F954E}.
Kemudian klik Repair All untuk memulihkan registry yang terinfeksi
tersebut. Maka setelah di refresh, icon recycle bin akan kembali seperti semula.
Kesimpulan dan saran
Masih banyak lagi bidang ilmu IT Forensik yang harus digali pengetahuannya lebih
dalam, karena bidang ini sudah menjadi bagian yang sangat penting dalam mengungkap
kejahatan-kejahatan komputer. Ini tidak terlepas akan hal tersebut, dikarenakan ilmu
pengetahuan yang semakin maju pesat ditambah dengan akhlak manusia yang semakin
merosot dan jauh dari nilai-nilai Agama. Kiranya perlu adanya monitoring dari setiap
aktivitas manusia yang menyangkut kepentingan.
Kelebihan
Dapat membantu para peneliti untuk menegetahui bagaimana alur kerjanya bahkan bisa
mengembangkan pemikiran pembaca untuk bisa bermanfaat.
Kekurangan
Dari makalah ini masih banyak hal yang belum di sampaikan tentang digital forensik, masih
banyak hal yang masih di bahas dalam digital forensik ini