investigasi kasus ti

INVESTIGASI KASUS TI Pengantar Komputer Forensik Teknologi Informasi

UNIVERSITAS GUNADARMATEKNIK INDUSTRI - TEKNIK INFORMATIKA

2010 1Komputer Forensik

INVESTIGASI KASUS TEKNOLOGI INFORMASI

A. Prosedur Forensik yang biasa dilakukan Investigator

1. Membuat copies dari keseluruhan log data, files dll yang dianggap perlu pada suatu media yang terpisah.

2. Membuat fingerprint dari data secara matematis (contoh hashing algorithm, MD5).

3. Membuat fingerprint dari copies secara matematis.4. Membuat suatu hashes masterlist.5. Dokumentasi yang baik dari segala sesuatu yang telah

dikerjakan.

Selain itu perlu dilakukan investigasi lanjutan dengan menggunakan metodologi forensik TI. Metode Search and seizure biasanya lebih banyak digunakan dibanding metode pencarian informasi.


.

A1. Metode Search dan Seizure Selain melakukan tahap Search dan Seizure mulai dari identifikasi

sampai dengan evaluasi hipotesa, metode ini juga memberikan penekanan dan batas-batas untuk investigator agar hipotesa yang dihasilkan sangat akurat, yaitu :

1. Jangan merubah bukti asli2. Jangan mengeksekusi program pada bukti (komputer) terutama

Operating Systemnya3. Tidak mengijinkan tersangka untuk berinteraksi dengan bukti

(komputer)4. Sesegera mungkin mem-backup bukti yang ada dalam komputer

tersangka. Jika pada saat diidentifikasi komputer masih menyala, jangan dimatikan sampai seluruh data termasuk temporary selesai dianalisa dan disimpan.

5. Rekam seluruh aktifitas investigasi6. Jika perlu, pindahkan bukti ke tempat penyimpanan yang lebih

aman


A2. Pencarian Informasi Hal-hal yang harus diperhatikan dalam pencarian

informasi sebagai bukti tambahan untuk memperkuat hipotesa, yaitu :

1. Jika melakukan penggalian informasi lebih dalam ke saksi, gunakan wawancara interaktif, sehingga bukti yang ada dapat di cross-check agar keberadaan bukti tersebut diakui oleh tersangka

2. Jika memungkinkan, rekonstruksi dilakukan dengan / tanpa tersangka sehingga apa yang masih belum jelas dapat tergambar dalam rekonstruksi.


B. Data RecoveryData recovery merupakan bagian dari analisa

forensik yang merupakan komponen penting untuk mengetahui apa yang telah terjadi, rekaman data, korespondensi dan petunjuk lainnya


C. Pengelompokan Analisa Media Pengelompokan ini bertujuan untuk mengetahui

aliran dan proses dalam media yang digunakan dalam kejahatan. Dari pengelompokan ini dapat disimpan informasi penting yang didukung oleh sistem yang ada. Pengelompokan dalam bentuk laporan ini diisi dengan keadaan fakta di lapangan


.

D. Pembuatan Laporan dalam Analisa Media

Beberapa hal penting yang perlu dimasukkan dalam laporan analisa media adalah sbb :

1. Tanggal dan waktu terjadinya pelanggaran hukum pada CPU

2. Tanggal dan waktu pada saat investigasi

3. Permasalahan yang signifikan terjadi

4. Masa berlaku analisa laporan

5. Penemuan yang berharga (bukti)

6. Teknik khusus yang dibutuhkan atau digunakan (contoh; password cracker)

7. Bantuan pihak yang lain (pihak ketiga) Pada saat penyidikan, pelaporan dalam bentuk worksheet ini di cross-check

dengan saksi yang ada, baik yang terlibat langsung maupun tidak langsung


E. Log Out Evidence – Visual Inspection and Inventory

Tahapan yang dilalui dalam inspeksi komputer secara visual adalah :1. Log out seluruh komputer untuk dianalisa lebih lanjut2. Jika ada media penyimpanan yang lain (CD / disket), diberi

label khusus agar bukti tersebut tetap utuh.3. Inspeksi visual dilakukan dengan melakukan physical makeup4. Buka casing CPU, identifikasi dan analisa sirkuit internal, buat

catatan apa saja yang ada dalam CPU tersebut. Catat juga kartu tambahan (expansion cards) jika ada.

5. Beri rekomendasi apakah CPU tersebut bisa dijadikan sebagai barang bukti fisik atau tidak.

6. Catat keseluruhan letak perangkat keras (harddisk, CD ROM, RAM dsb)

7. Dokumentasikan dalam bentuk gambar sebelum dan sesudah identifikasi dan analisa.


Data FileMemahami media penyimpanan

FormatPartisi

PartisiMenbagi media secara logika

File systemMendefinisikan bagaimana file dinamai,

disimpan, diakses dan diorganisir pada logical volume


Jenis File SystemFAT12FAT16FAT32NTFSHPFSext2fsext3fs

HFSHFS plusUFSCDFSISO 9660

MSDos dan windows

windows

Linux OS

MAC OS

Unix

CDRom


Teknik meng-copy fileLogical backup

Mengcopy file dan directori secara logika tersimpan di media penyimpanan

Bit stream imagingCopy mebcakup free space dan slack space


Informasi lainInformasi yang dibutuhkan dan menjelaskan

data file sewaktu user beraktivitas :Waktu modifikasiWaktu pengaksesanWaktu pembuatan


Memeriksa DataPemeriksaan dilakukan terhadap data backupProses :

Akses read only Untuk menjaga konsistensi – integritas data

Write bloker Untuk mencegah memodifikasi terhadap data yang

diperiksa


Mengekstrak DataMelakukan ekstraksi data, dengan melihat

kerakteristik fileJika ragu gunakan aplikasi untuk mengetahui

header information fileContoh aplikasi :

Program identifyimagefileAtau program lain


Menggunakan Software ForensikTerdapat beberapa software foerensik untuk

menangani data file :File viewerUncompressing filesMenampilkan struktur direktori dlam interface

grafisMengidentifikasi file yang tidak dikenalMelakukan pencarian terhadap string atau

pola tertentuMengakses metadata


Data Sistem OperasiData non - volatile

File konfigurasiLogs fileApplication fileData filesSwap filesDump filesHibernation filesTemporary files

Data volatileSlack spaceFree spaceNetwork

configurationNetwork connectionRunning processOpen filesLogin sessionOperating system

time2010 16Komputer Forensik

Penanganan Data Berdasarkan PrioritasNetwork connectionLogin sessionsContents of memoryRunning processesOpen filesNetwork configurationOperating system time


Kuis 6Sebutkan sumber daya dalam komputer

forensik ?Jelaskan mengapa database memiliki ruang

dan fungsi tersendiri dalam konteks sumber daya ?

Jelaskan komponen – komponen pengolahan ?

Jelaskan pembagian dari brainware ?Jelaskan tentang BUS, cache memory dan

RAM ?2010 18Komputer Forensik

investigasi kasus ti

Documents