AUDIT TRAIL, REAL TIME AUDIT,

IT FORENSICS

Nama : Anzas Hilmawan

Npm : 41111003

Kelas : 3DC02

UNIVERSITAS GUNADARMA

2013

1

IT AUDIT TRAIL

Audit Trail merupakan salah satu fitur dalam suatu program yang mencacat semua

kegiatan yang dilakukan tiap user dalam suatu tabel log. Secara rinci, Audit Trail secara

default akan mencacat waktu, user, data yang diakses dan berbagai jenis kegiatan. Jenis

kegiatan bisa berupa menambah, merubah, dan menghapus. Audit Trail apabila diurutkan

berdasarkan waktu bisa membentuk suatu kronologis manipulasi data. Dasar ide membuat

fitur Audit Trail adalah menyimpan histori tentang suatu data (Dibuat, Diubah, atau Dihapus)

dan oleh siapa serta bisa menampilkannya secara kronologis. Dengan adanya trail ini, semua

kegiatan dalam program yang bersangkutan diharapkan bisa dicatat dengan baik.

CARA KERJA AUDIT TRAIL

Audit Trail Yang Disimpan Dalam Suatu Tabel

a. Dengan menyisipkan perintah penambahan record ditiap Query Insert, Update, Delete

b. Dengan memanfaatkan fitur trigger pada DBMS. Trigger adalah kumpulan SQL statement,

yang secara otomatis menyimpan log pada event INSERT, UPDATE, ataupun DELETE pada

sebuah tabel.

FASILITAS AUDIT TRAIL

Fasilitas Audit Trail diaktifkan, maka setiap transaksi yang dimasukkan ke Accurate,

jurnalnya akan dicacat di dalam sebuah tabel, termasuk oleh siapa, dan kapan. Apabila ada

sebuah transaksi yang di - edit, maka jurnal lamanya akan disimpan, begitu pula dengan

jurnal barunya.

2

HASIL AUDIT TRAIL

Record Audit Trail Disimpan Dalam Bentuk, Yaitu :

a. Binary File (Ukuran tidak besar dan tidak bisa dibaca begitu saja)

Mengingat ukuran log yang dapat mencapai ukuran relatif besar, Anda dapat

melakukan penghematan kapasitas ruang harddisk, dengan menyimpan log pada fi le binary.

Walaupun memiliki keuntungan dari sisi penggunaan kapasitas, tetapi fi le binary tentunya

tidak dapat dibaca begitu saja melalui text editor, karena Anda hanya akan melihat karakter-

karakter biner yang tidak dapat dimengerti. Anda harus membuat modul atau program untuk

melakukan konversi fi le biner ini, menjadi format yang dapat dibaca dengan mudah.

b. Text File ( Ukuran besar dan bisa dibaca langsung)

Merupakan jenis log yang mudah digunakan oleh siapapun, Anda dapat langsung

melihatnya pada text editor favorit Anda. Kerugiannya selain menyita kapasitas harddisk

yang relatif besar, juga tidak terdapat keamanan yang memadai. Siapapun yang dapat

mengakses file tersebut akan dapat melihat isi fi le log ini, dan bisa jadi dapat mengubahnya,

jika memiliki hak untuk mengedit fi le tersebut.

c. Tabel

Dengan menyimpan log di dalam table, Anda dapat memperoleh keuntungan lain,

yaitu kemudahan untuk memroses lebih lanjut data log di dalam table tersebut, baik untuk

kegunaan analisis ataupun pencarian data. Selain itu, penyimpanan dalam table relatif lebih

aman, karena untuk mengaksesnya harus melalui akses database yang menjadi hak database

administrator. Data di dalam table juga dapat dengan mudah diekspor menjadi format text,

excel, ataupun format umum lainnya, bilamana diperlukan. Lalu, informasi apa saja yang

perlu disimpan dalam sebuah Log Audit Trail aplikasi database? Beberapa fi eld di bawah

dapat Anda pertimbangkan:

1. Tanggal dan jam.

2. User/Pengguna.

3. Nama table yang diakses.

4. Aksi yang dilakukan (INSERT, DELETE, ataukah UPDATE).

3

5. Informasi field/kolom yang diproses, termasuk dengan nilai pada masing –

masing field.

REAL TIME AUDIT

Real Timer Audit atau RTA adalah suatu sistem untuk mengawasi kegiatan teknis dan

keuangan sehingga dapat memberikan penilaian yang transparan status saat ini dari semua

kegiatan, dimana pun mereka berada. Ini mengkombinasikan prosedur sederhana dan logis

untuk merencanakan dan melakukan dana untuk kegiatan dan "Siklus Proyek" pendekatan

untuk memantau kegiatan yang sedang berlangsung dan penilaian termasuk cara mencegah

pengeluaran yang tidak sesuai.

Real Time Audit menyediakan teknik ideal untuk memungkinkan mereka yang

bertanggung jawab untuk dana, seperti bantuan donor, investor dan sponsor kegiatan untuk

dapat "Terlihat Di Atas Bahu" dari manajer kegiatan di danai sehingga untuk memantau

kemajuan. Sejauh kegiatan manajer prihatin Real Time Audit meningkatkan kinerja karena

sistem ini tidak mengganggu dan donor atau investor dapat memperoleh informasi yang

mereka butuhkan tanpa menuntut waktu manajer. Pada bagian ini dari pemodal Real Time

Audit adalah metode biaya yang sangat nyaman dan rendah untuk memantau kemajuan dan

menerima laporan rinci reguler tanpa menimbulkan beban administrasi yang berlebihan baik

untuk staf. Mereka sendiri atau manajemen atau bagian dari aktivitas manajer.

Penghematan biaya overhead administrasi yang timbul dari penggunaan Real Time

Audit yang signifikan dan meningkat seiring kemajuan teknologi dan teknik dan kualitas

pelaporan dan kontrol manajemen meningkatkan menyediakan kedua manajer dan pemilik

modal dengan cara untuk mencari kegiatan yang dibiayai dari sudut pandang beberapa

manfaat dengan minimum atau tidak ada konsumsi waktu di bagian aktivitas manajer.

Jenis aktivitas ini disebut sebagai auditing melalui komputer. Penggunaan istilah

lainnya adalah untuk menjelaskan pemanfaatan komputer oleh auditor untuk melaksanakan

beberapa pekerjaan audit yang tidak dapat dilakukan secara manual. Jenis aktivitas ini disebut

audit dengan komputer.

4

Audit IT sendiri berhubungan dengan berbagai macam ilmu, antara lain Traditional

Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan

Behavioral Science. Audit IT bertujuan untuk meninjau dan mengevaluasi faktor-faktor

ketersediaan (availability), kerahasiaan (confidentiality), dan keutuhan (integrity) dari sistem

informasi organisasi yang bersifat online atau real time.

IT FORENSICS

IT Forensik yaitu suatu ilmu yang berhubungan dengan pengumpulan fakta dan bukti

pelanggaran keamanan sistem informasi serta validasinya menurut metode yang digunakan

(misalnya metode sebab-akibat). Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-

bukti yang akan digunakan dalam proses selanjutnya.Selain itu juga diperlukan keahlian

dalam bidang IT ( termasuk diantaranya hacking) dan alat bantu (tools) baik hardware

maupun software untuk membuktikan pelanggaran-pelanggaran yang terjadi dalam bidang

teknologi sistem informasi tersebut. Tujuan dari IT forensik itu sendiri adalah untuk

mengamankan dan menganalisa bukti-bukti digital.

Tujuan IT Forensics adalah untuk mendapatkan fakta - fakta objektif dari sistem

informasi, karena semakin berkembangnya teknologi komputer dapat digunakan sebagai alat

bagi para pelaku kejahatan komputer.

Fakta - fakta tersebut setelah di verifikasi akan menjadi bukti - bukti (Evidence) yang akan

digunakan dalam proses hukum, selain itu juga memerlukan keahlian dibidang IT (Termasuk

diantara Hacking dan alat bantu (Tools) baik hardware maupun software).

Kunci utama IT Forensik.

Terdapat empat elemen kunci forensik yang harus diperhatikan berkenaan dengan bukti

digital dalam teknologi informasi yaitu antara lain :

1. Identifikasi dalam bukti digital (Identification/Collecting Digital Evidence),

Merupakan tahapan paling awal dalam teknologi informasi. Pada tahapan ini

dilakukan identifikasi dimana bukti itu berada, dimana bukti itu disimpan, dan bagaimana

penyimpanannya untuk mempermudah penyelidikan.

5

2. Penyimpanan bukti digital (Preserving Digital Evidence).

Bentuk, isi, makna bukti digital hendaknya disimpan dalam tempat yang steril. Untuk

benar-benar memastikan tidak ada perubahan-perubahan, hal ini vital untuk diperhatikan.

Karena sedikit perubahan saja dalam bukti digital, akan merubah juga hasil penyelidikan.

3. Analisa bukti digital (Analizing Digital Evidence)

Barang bukti setelah disimpan, perlu diproses ulang sebelum diserahkan pada pihak

yang membutuhkan. Pada proses inilah skema yang diperlukan akan fleksibel sesuai dengan

kasus-kasus yang dihadapi. Barang bukti yang telah didapatkan perlu diexplore kembali

beberapa poin yang berhubungan dengan tindak pengusutan, antara lain: (a) Siapa yang telah

melakukan. (b) Apa yang telah dilakukan (Ex. Penggunaan software apa), (c) Hasil proses

apa yang dihasilkan. (d) Waktu melakukan. Setiap bukti yang ditemukan, hendaknya

kemudian dilist bukti-bukti potensial apa sajakah yang dapat didokumentasikan.

4. Presentasi bukti digital (Presentation of Digital Evidence)

Kesimpulan akan didapatkan ketika semua tahapan tadi telah dilalui, terlepas dari

ukuran obyektifitas yang didapatkan, atau standar kebenaran yang diperoleh, minimal bahan-

bahan inilah nanti yang akan dijadikan “modal” untuk ke pengadilan. Proses digital dimana

bukti digital akan dipersidangkan, diuji otentifikasi dan dikorelasikan dengan kasus yang ada.

Pada tahapan ini menjadi penting, karena disinilah proses-proses yang telah dilakukan

sebelumnya akan diurai kebenarannya serta dibuktikan kepada hakim untuk mengungkap

data dan informasi kejadian.

http://ayunuranggrainy.blogspot.com/2013/03/pengertian-it-audit-trail-real-time.html

Komputer forensik, suatu disiplin ilmu baru di dalam keamanan komputer, yang

membahas atas temuan bukti digital setelah suatu peristiwa keamanan komputer terjadi.

Komputer forensik akan lakukan analisa penyelidikan secara sistematis dan harus

menemukan bukti pada suatu sistem digital yang nantinya dapat dipergunakan dan diterima di

depan pengadilan, otentik, akurat, komplit, menyakinkan dihadapan juri, dan diterima

didepan masyarakat. Hal ini dilakukan oleh pihak berwajib untuk membuktikan pidana dari

tindak suatu kejahatan. Maka saat ini menjadi seorang detective tidak hanya didunia nyata

tapi juga didunia cyber. Coba kita bayangkan seorang hacker telah berhasil masuk ke system

6

kita atau merubah data kita, baik itu menyalin, menghapus, menambah data baru, dll, Susah

untuk kita buktikan karena keterbatasan alat dan tools. Dengan metode computer forensic kita

dapat melakukan analisa seperti layaknya kejadian olah TKP….

Apa saja peralatan yang dibutuhkan untuk menjadi seorang detective cyber ini ?

Yang pasti peralatan standar polisi seperti, rompi anti peluru, dll, namun tidak seperti

polisi biasa seperti pasukan khusus atau penjinak bom, detektif cyber ini atau forensic dunia

digital ini dilengkapi dengan peralatan lain seperti hardware dan software tertentu, dan yang

pasti mereka mengerti dan menguasai OS tertentu, misal Windows, Linux atau OS lain. Dari

segi hardware dilengkapi dengan lampu senter, laptop, kamera digital dan computer forensics

toolkit.

Hardware disini bisa berupa sebuah computer khusus seperti FREDM (Forensics

Recovery of Evidence Device, Modular), FRED (Forensics Recovery of Evidence Device)

FREDDIE (Forensics Recovery of Evidence Device Diminutive Interrogation Equipment).

Tool hardware lain seperti ;

- Hardisk kapasitas besar (minimal 250 GB)

· IDE ribbon cable

· Boot Disk atau utility akusisi data

· Laptop IDE 40 pin adapter

· IDE Disk ekternal write protector

· Kantong plastic anti-static

· Label untuk barang bukti

Software khususnya ;

· Forensics Data seperti : En case, Safe Back, Norton Ghost

· Password Recovery toolkit

· Pembangkit data setelah delete : WipeDrive dan Secure Clean

7

· Menemukan perubahan data digital : DriveSpy

· dll

Tools – Tools Pada IT Forensik

1. Antiword

Antiword merupakan sebuah aplikasi yang digunakan untuk menampilkan teks dan

gambar dokumen Microsoft Word. Antiword hanya mendukung dokumen yang dibuat oleh

MS Word versi 2 dan versi 6 atau yang lebih baru.

2. Autopsy

The Autopsy Forensic Browser merupakan antarmuka grafis untuk tool analisis

investigasi diginal perintah baris The Sleuth Kit. Bersama, mereka dapat menganalisis disk

dan filesistem Windows dan UNIX (NTFS, FAT, UFS1/2, Ext2/3).

3. Binhash

Binhash merupakan sebuah program sederhana untuk melakukan hashing terhadap

berbagai bagian file ELF dan PE untuk perbandingan. Saat ini ia melakukan hash terhadap

segmen header dari bagian header segmen obyek ELF dan bagian segmen header obyekPE.

4. Sigtool

Sigtcol merupakan tool untuk manajemen signature dan database ClamAV. sigtool

dapat digunakan untuk rnenghasilkan checksum MD5, konversi data ke dalam format

heksadesimal, menampilkan daftar signature virus dan build/unpack/test/verify database

CVD dan skrip update.

5. ChaosReader

ChaosReader merupakan sebuah tool freeware untuk melacak sesi TCP/UDP/… dan

mengambil data aplikasi dari log tcpdump. la akan mengambil sesi telnet, file FTP, transfer

HTTP (HTML, GIF, JPEG,…), email SMTP, dan sebagainya, dari data yang ditangkap oleh

log lalu lintas jaringan. Sebuah file index html akan tercipta yang berisikan link ke seluruh

detil sesi, termasuk program replay realtime untuk sesi telnet, rlogin, IRC, X11 atau VNC;

dan membuat laporan seperti laporan image dan laporan isi HTTP GET/POST.

6. Chkrootkit

8

Chkrootkit merupakan sebuah tool untuk memeriksa tanda-tanda adanya rootkit

secara lokal. la akan memeriksa utilitas utama apakah terinfeksi, dan saat ini memeriksa

sekitar 60 rootkit dan variasinya.

7. dcfldd

Tool ini mulanya dikembangkan di Department of Defense Computer Forensics Lab

(DCFL). Meskipun saat ini Nick Harbour tidak lagi berafiliasi dengan DCFL, ia tetap

memelihara tool ini.

8. ddrescue

GNU ddrescue merupakan sebuah tool penyelamat data, la menyalinkan data dari satu

file atau device blok (hard disc, cdrom, dsb.) ke yang lain, berusaha keras menyelamatkan

data dalam hal kegagalan pembacaan. Ddrescue tidak memotong file output bila tidak

diminta. Sehingga setiap kali anda menjalankannya kefile output yang sama, ia berusaha

mengisi kekosongan.

9. foremost

Foremost merupakan sebuah tool yang dapat digunakan untuk me-recover file

berdasarkan header, footer, atau struktur data file tersebut. la mulanya dikembangkan oleh

Jesse Kornblum dan Kris Kendall dari the United States Air Force Office of Special

Investigations and The Center for Information Systems Security Studies and Research. Saat

ini foremost dipelihara oleh Nick Mikus seorang Peneliti di the Naval Postgraduate School

Center for Information Systems Security Studies and Research.

10. Gqview

Gqview merupakan sebuah program untuk melihat gambar berbasis GTK la

mendukung beragam format gambar, zooming, panning, thumbnails, dan pengurutan gambar.

http://mami96.wordpress.com/2012/02/29/it-audit-trailreal-time-audit-it-forensik/

Apa yang harus dilakukan oleh seorang forensics atau detective ini setelah penyitaan barang

bukti ?

Prosedurnya hampir sama dengan yang biasa pada kepolisian namun ada beberapa hal

yang menjadi catatan, yaitu ;

· Dilengkapi surat perintah sita dan menunjukan apa yang akan disita

· Metode penyimpanan, pengantar dan penjagaan barang bukti harus terjamin.

9

· Penyitaan biasanya tidak hanya computer tapi bisa juga peralatan lain yang dapat meyimpan

data dan sebagai alat komunikasi data, mis : mesin fax, telpon hp, printer, PDA, DVD rec,

camera digital mesin fotocopy, dll

· Kita tidak boleh melakukan booting pc atau laptop tersebut, kita harus membuat image

restorenya atau raw datanya.

· Jangan pernah menyalin, menulis bahkan menghapus data yang ada di disk tersangka

walaupun itu termasuk file yang tidak penting

· Kita harus dapat menelaah dan menganalisa terhadap barang bukti

· Catatlah sebuah temuan, perubahan, dan kegiatan yang kita lakukan

· Lakukan percobaan berulang kali dan pastikan hasilnya sama

· Mengembalikan file yang telah terhapuskan.

· dll.

Tadi dibilang dalam langkah setelah penyitaan adalah kita tidak boleh melakukan

booting pada mesin tersebut, mengapa dan lantas gimana kita mengetahui isi dari hardisknya

? OK maksudnya kenapa kita ngak boleh boot dari mesin korban karena bisa saja pada saat

kita boot dari hardisknya, tersangka telah membuat semacam script yang apabila kita

melakukan boot tidak dengan cara yang dibuatnya maka isi dari seluruh hardisk nya akan

hancur alias terhapus. Atau bisa saja pada saat di boot maka struktur file dan system OS nya

berubah secara total, karena setiap OS cenderung mempunyai karakteristik masing-masing.

Nah agar kita aman dan tidak merusah data yang ada didalam hardisk mesin tersebut,

kita dapat melakukan berbagai cara, diantaranya telah menjadi standar adalah dengan

membuat raw image copy dari hardisk tersangka, dengan jalan mencabut hardisk dan

memasangkannya pada IDE (ATA) port ke computer forensic kita. Pada proses ini kita harus

ekstra hati-hati karena bisa saja secara tidak sengaja kita menghapus filenya, maka kita

memerlukan suatu alat disebut sebagai IDE HARDWARE BASED BLOCK WRITE

BLOCKER seperti dari FireFly.

Untuk memindahkan datanya tanpa menganggu file tersangka kita dapat

menggunakan Norton Ghost atau encase untuk menyalin datanya agar dapat kita pelajari

10

lebih jauh, intinya Norton ghost dan Encase membuat restore datanya. Analisa terhadap

barang bukti bertujuan untuk membentuk petunjuk yang ada, mengidentifikas tersangka,

format data, pengembangan barang bukti mengrekontruksi kejahatan yang dilakukan dan

mengumpulkan lebih banyak data. Data yang didapat mungkin saja mengarah ke IP address

tertentu, nama-nama file yang ada, system name, jenis file dan isinya, software yang

terinstall, motif, cara dan tools lain yang digunakan dapat kita ungkap. Format data harus

menjadi perhatian kita karena ada banyak system yang standar sampai yang non standar, data

yang terkompresi, dienkrpsi biasanya data yang menjadi perhatian adalah data yang telah

dihapus atau sengaja disembunyikan dengan metode enkripsi tertentu.

Computer forensics sangat berhubungan dengan pembuktian fakta maupun

interpretasi, fakta dikumpulkan dan didokumentasi, sedangkan interpretasi bersifat subyektif,

untuk itu kebenaran harus dapat diturunkan daro eksperiman.

http://andrie07.wordpress.com/2012/05/08/it-audit-trails-real-time-audit-it-forensic-detectiv-cyber/

Dihapus file.

Teknik umum yang digunakan dalam forensik komputer adalah pemulihan file

dihapus. Perangkat lunak forensik modern memiliki alat sendiri untuk memulihkan atau

mengukir data yang dihapus. Sebagian besar sistem operasi dan file sistem tidak selalu

menghapus file data fisik, memungkinkan untuk direkonstruksi dari fisik sektor disk . Ukiran

berkas melibatkan mencari header file yang dikenal dalam disk image dan merekonstruksi

bahan dihapus.

Ketika merebut bukti, jika mesin masih aktif, informasi apapun yang tersimpan

hanya dalam RAM yang tidak pulih sebelum powering down mungkin akan hilang.Salah satu

aplikasi dari “analisis hidup” adalah untuk memulihkan data RAM (misalnya, menggunakan

Microsoft Cofee alat, windd, WindowsSCOPE) sebelum melepas pameran.

RAM dapat dianalisis untuk konten sebelum setelah kehilangan kekuasaan, karena

muatan listrik yang tersimpan dalam sel-sel memori membutuhkan waktu untuk menghilang,

efek dieksploitasi oleh serangan boot dingin . Lamanya waktu yang datanya pemulihan

adalah mungkin meningkat dengan suhu rendah dan tegangan sel yang lebih tinggi.

Memegang RAM unpowered bawah -60 ° C akan membantu melestarikan data residual

11

dengan urutan besarnya, sehingga meningkatkan kemungkinan pemulihan yang sukses.

Namun, dapat menjadi tidak praktis untuk melakukan hal ini selama pemeriksaan lapangan.

Sejumlah open source dan alat komersial ada untuk investigasi komputer forensik. Analisis

forensik umum meliputi review manual material pada media, meninjau registri Windows

untuk informasi tersangka, menemukan dan cracking password, pencarian kata kunci untuk

topik yang terkait dengan kejahatan, dan mengekstrak e-mail dan gambar untuk diperiksa.

http://martindonovan91.blogspot.com/2013/03/pengertian-it-audit-trail-real-time.html

Kesimpulan:

Audit Trail merupakan urutan kronologis catatan audit, yang masing-masing

berisikan bukti langsung yang berkaitan dengan yang dihasilkan dari pelaksanaan suatu

proses bisnis atau fungsi sistem. Catatan audit biasanya hasil kerja dari kegiatan seperti

transaksi atau komunikasi oleh orang-orang individu, sistem, rekening atau badan lainnya.

Dengan adanya Audit Trail diharapkan semua kronologis/kegiatan program dapat

terekam dengan baik. IT Audit Trail bisa dikatakan ke akuratan dalam mencatat semua

transaksi yang diisi, diubah, atau dihapus oleh seseorang, seseorang di sini merupakan

seorang IT yang tentunya ahli dibidang IT Audit. Fasilitas ini dinamakan Audit Trail.

Fasilitas ini dapat diaktifkan atau di non-aktifkan melalui menu preferences. Jadi, apa pun

yang dilakukan oleh user di Accurate dapat dipantau dari laporan Audit Trail. Laporan ini

dapat berupa summary (aktivitas apa saja yang dilakukan), atau detail (semua perubahan

jurnal akan ditampilkan).

Audit IT juga sangat membantu dalam IT forensik jika pengguna IT menderita

kerugian terutama dalam bidang finansial akibat kejahatan komputer seperti Komputer fraud

(Kejahatan atau pelanggaran dari segi sistem organisasi komputer) dan Komputer crime.

(menggunakan media komputer dalam melakukan pelanggaran hukum). Sehingga

memudahkan Penyidik IT forensik dalam menganalisa.