Transcript M11_ Investigasi Kasus TI.

INVESTIGASI KASUS TI
Pengantar Komputer Forensik Teknologi Informasi
UNIVERSITAS GUNADARMA
TEKNIK INDUSTRI - TEKNIK INFORMATIKA
2010
Komputer Forensik
1
INVESTIGASI KASUS TEKNOLOGI
INFORMASI
 A. Prosedur Forensik yang biasa dilakukan Investigator
1. Membuat copies dari keseluruhan log data, files dll yang
2.
3.
4.
5.
dianggap perlu pada suatu media yang terpisah.
Membuat fingerprint dari data secara matematis (contoh
hashing algorithm, MD5).
Membuat fingerprint dari copies secara matematis.
Membuat suatu hashes masterlist.
Dokumentasi yang baik dari segala sesuatu yang telah
dikerjakan.
 Selain
itu perlu dilakukan investigasi lanjutan dengan
menggunakan metodologi forensik TI. Metode Search and
seizure biasanya lebih banyak digunakan dibanding metode
pencarian informasi.
2010
Komputer Forensik
2
A1. Metode Search dan Seizure
 Selain melakukan tahap Search dan Seizure mulai dari identifikasi
.
sampai dengan evaluasi hipotesa, metode ini juga memberikan
penekanan dan batas-batas untuk investigator agar hipotesa
yang dihasilkan sangat akurat, yaitu :
1. Jangan merubah bukti asli
2. Jangan mengeksekusi program pada bukti (komputer) terutama
3.
4.
5.
6.
2010
Operating Systemnya
Tidak mengijinkan tersangka untuk berinteraksi dengan bukti
(komputer)
Sesegera mungkin mem-backup bukti yang ada dalam komputer
tersangka. Jika pada saat diidentifikasi komputer masih menyala,
jangan dimatikan sampai seluruh data termasuk temporary selesai
dianalisa dan disimpan.
Rekam seluruh aktifitas investigasi
Jika perlu, pindahkan bukti ke tempat penyimpanan yang lebih
aman
Komputer Forensik
3
A2. Pencarian Informasi
 Hal-hal yang harus diperhatikan dalam pencarian
informasi
sebagai
bukti
memperkuat hipotesa, yaitu :
tambahan
untuk
1. Jika melakukan penggalian informasi lebih dalam ke
saksi, gunakan wawancara interaktif, sehingga bukti
yang ada dapat di cross-check agar keberadaan
bukti tersebut diakui oleh tersangka
2. Jika memungkinkan, rekonstruksi dilakukan dengan /
tanpa tersangka sehingga apa yang masih belum
jelas dapat tergambar dalam rekonstruksi.
2010
Komputer Forensik
4
B. Data Recovery
 Data recovery merupakan bagian dari analisa
forensik yang merupakan komponen penting untuk
mengetahui apa yang telah terjadi, rekaman data,
korespondensi dan petunjuk lainnya
2010
Komputer Forensik
5
C. Pengelompokan Analisa Media
 Pengelompokan ini bertujuan untuk mengetahui
aliran dan proses dalam media yang digunakan
dalam kejahatan. Dari pengelompokan ini dapat
disimpan informasi penting yang didukung oleh
sistem yang ada. Pengelompokan dalam bentuk
laporan ini diisi dengan keadaan fakta di
lapangan
2010
Komputer Forensik
6
D. Pembuatan Laporan dalam
Analisa Media

Beberapa hal penting yang perlu dimasukkan dalam laporan analisa media
adalah sbb :
1. Tanggal dan waktu terjadinya pelanggaran hukum pada CPU
2. Tanggal dan waktu pada saat investigasi
3. Permasalahan yang signifikan terjadi
.
4. Masa berlaku analisa laporan
5. Penemuan yang berharga (bukti)
6. Teknik khusus yang dibutuhkan atau digunakan (contoh; password
cracker)
7. Bantuan pihak yang lain (pihak ketiga)
 Pada saat penyidikan, pelaporan dalam bentuk worksheet ini di cross-check
dengan saksi yang ada, baik yang terlibat langsung maupun tidak langsung
2010
Komputer Forensik
7
E. Log Out Evidence – Visual
Inspection and Inventory
 Tahapan yang dilalui dalam inspeksi komputer secara visual
adalah :
1. Log out seluruh komputer untuk dianalisa lebih lanjut
2. Jika ada media penyimpanan yang lain (CD / disket), diberi label
3.
4.
5.
6.
7.
2010
khusus agar bukti tersebut tetap utuh.
Inspeksi visual dilakukan dengan melakukan physical makeup
Buka casing CPU, identifikasi dan analisa sirkuit internal, buat
catatan apa saja yang ada dalam CPU tersebut. Catat juga
kartu tambahan (expansion cards) jika ada.
Beri rekomendasi apakah CPU tersebut bisa dijadikan sebagai
barang bukti fisik atau tidak.
Catat keseluruhan letak perangkat keras (harddisk, CD ROM,
RAM dsb)
Dokumentasikan dalam bentuk gambar sebelum dan sesudah
identifikasi dan analisa.
Komputer Forensik
8
Data File
 Memahami media penyimpanan
 Format
 Partisi
 Partisi
 Menbagi media secara logika
 File system
 Mendefinisikan bagaimana file dinamai, disimpan,
diakses dan diorganisir pada logical volume
2010
Komputer Forensik
9
Jenis File System
 FAT12
 FAT16
 HFS
MSDos dan windows
 FAT32
 NTFS
windows
 HPFS
 ext2fs
 ext3fs
2010
 HFS plus
MAC OS
 UFS
Unix
 CDFS
CDRom
 ISO 9660
Linux OS
Komputer Forensik
10
Teknik meng-copy file
 Logical backup
 Mengcopy file dan directori secara logika tersimpan di
media penyimpanan
 Bit stream imaging
 Copy mebcakup free space dan slack space
2010
Komputer Forensik
11
Informasi lain
 Informasi yang dibutuhkan dan menjelaskan data file
sewaktu user beraktivitas :
 Waktu modifikasi
 Waktu pengaksesan
 Waktu pembuatan
2010
Komputer Forensik
12
Memeriksa Data
 Pemeriksaan dilakukan terhadap data backup
 Proses :
 Akses read only

Untuk menjaga konsistensi – integritas data
 Write bloker

2010
Untuk mencegah memodifikasi terhadap data yang diperiksa
Komputer Forensik
13
Mengekstrak Data
 Melakukan ekstraksi data, dengan melihat
kerakteristik file
 Jika ragu gunakan aplikasi untuk mengetahui header
information file
 Contoh aplikasi :
 Program identifyimagefile
 Atau program lain
2010
Komputer Forensik
14
Menggunakan Software Forensik
 Terdapat beberapa software foerensik untuk
menangani data file :
 File viewer
 Uncompressing files
 Menampilkan struktur direktori dlam interface grafis
 Mengidentifikasi file yang tidak dikenal
 Melakukan pencarian terhadap string atau pola tertentu
 Mengakses metadata
2010
Komputer Forensik
15
Data Sistem Operasi
 Data non - volatile
 File konfigurasi
 Logs file
 Application file
 Data files
 Swap files
 Dump files
 Hibernation files
 Temporary files
2010
Komputer Forensik
 Data volatile
 Slack space
 Free space
 Network configuration
 Network connection
 Running process
 Open files
 Login session
 Operating system time
16
Penanganan Data Berdasarkan Prioritas
 Network connection
 Login sessions
 Contents of memory
 Running processes
 Open files
 Network configuration
 Operating system time
2010
Komputer Forensik
17
Kuis 6
 Sebutkan sumber daya dalam komputer forensik ?
 Jelaskan mengapa database memiliki ruang dan
fungsi tersendiri dalam konteks sumber daya ?
 Jelaskan komponen – komponen pengolahan ?
 Jelaskan pembagian dari brainware ?
 Jelaskan tentang BUS, cache memory dan RAM ?
2010
Komputer Forensik
18
Terima Kasih
2010
Komputer Forensik
19