M11_ Investigasi Kasus TI.
Download
Report
Transcript M11_ Investigasi Kasus TI.
INVESTIGASI KASUS TI
Pengantar Komputer Forensik Teknologi Informasi
UNIVERSITAS GUNADARMA
TEKNIK INDUSTRI - TEKNIK INFORMATIKA
2010
Komputer Forensik
1
INVESTIGASI KASUS TEKNOLOGI
INFORMASI
A. Prosedur Forensik yang biasa dilakukan Investigator
1. Membuat copies dari keseluruhan log data, files dll yang
2.
3.
4.
5.
dianggap perlu pada suatu media yang terpisah.
Membuat fingerprint dari data secara matematis (contoh
hashing algorithm, MD5).
Membuat fingerprint dari copies secara matematis.
Membuat suatu hashes masterlist.
Dokumentasi yang baik dari segala sesuatu yang telah
dikerjakan.
Selain
itu perlu dilakukan investigasi lanjutan dengan
menggunakan metodologi forensik TI. Metode Search and
seizure biasanya lebih banyak digunakan dibanding metode
pencarian informasi.
2010
Komputer Forensik
2
A1. Metode Search dan Seizure
Selain melakukan tahap Search dan Seizure mulai dari identifikasi
.
sampai dengan evaluasi hipotesa, metode ini juga memberikan
penekanan dan batas-batas untuk investigator agar hipotesa
yang dihasilkan sangat akurat, yaitu :
1. Jangan merubah bukti asli
2. Jangan mengeksekusi program pada bukti (komputer) terutama
3.
4.
5.
6.
2010
Operating Systemnya
Tidak mengijinkan tersangka untuk berinteraksi dengan bukti
(komputer)
Sesegera mungkin mem-backup bukti yang ada dalam komputer
tersangka. Jika pada saat diidentifikasi komputer masih menyala,
jangan dimatikan sampai seluruh data termasuk temporary selesai
dianalisa dan disimpan.
Rekam seluruh aktifitas investigasi
Jika perlu, pindahkan bukti ke tempat penyimpanan yang lebih
aman
Komputer Forensik
3
A2. Pencarian Informasi
Hal-hal yang harus diperhatikan dalam pencarian
informasi
sebagai
bukti
memperkuat hipotesa, yaitu :
tambahan
untuk
1. Jika melakukan penggalian informasi lebih dalam ke
saksi, gunakan wawancara interaktif, sehingga bukti
yang ada dapat di cross-check agar keberadaan
bukti tersebut diakui oleh tersangka
2. Jika memungkinkan, rekonstruksi dilakukan dengan /
tanpa tersangka sehingga apa yang masih belum
jelas dapat tergambar dalam rekonstruksi.
2010
Komputer Forensik
4
B. Data Recovery
Data recovery merupakan bagian dari analisa
forensik yang merupakan komponen penting untuk
mengetahui apa yang telah terjadi, rekaman data,
korespondensi dan petunjuk lainnya
2010
Komputer Forensik
5
C. Pengelompokan Analisa Media
Pengelompokan ini bertujuan untuk mengetahui
aliran dan proses dalam media yang digunakan
dalam kejahatan. Dari pengelompokan ini dapat
disimpan informasi penting yang didukung oleh
sistem yang ada. Pengelompokan dalam bentuk
laporan ini diisi dengan keadaan fakta di
lapangan
2010
Komputer Forensik
6
D. Pembuatan Laporan dalam
Analisa Media
Beberapa hal penting yang perlu dimasukkan dalam laporan analisa media
adalah sbb :
1. Tanggal dan waktu terjadinya pelanggaran hukum pada CPU
2. Tanggal dan waktu pada saat investigasi
3. Permasalahan yang signifikan terjadi
.
4. Masa berlaku analisa laporan
5. Penemuan yang berharga (bukti)
6. Teknik khusus yang dibutuhkan atau digunakan (contoh; password
cracker)
7. Bantuan pihak yang lain (pihak ketiga)
Pada saat penyidikan, pelaporan dalam bentuk worksheet ini di cross-check
dengan saksi yang ada, baik yang terlibat langsung maupun tidak langsung
2010
Komputer Forensik
7
E. Log Out Evidence – Visual
Inspection and Inventory
Tahapan yang dilalui dalam inspeksi komputer secara visual
adalah :
1. Log out seluruh komputer untuk dianalisa lebih lanjut
2. Jika ada media penyimpanan yang lain (CD / disket), diberi label
3.
4.
5.
6.
7.
2010
khusus agar bukti tersebut tetap utuh.
Inspeksi visual dilakukan dengan melakukan physical makeup
Buka casing CPU, identifikasi dan analisa sirkuit internal, buat
catatan apa saja yang ada dalam CPU tersebut. Catat juga
kartu tambahan (expansion cards) jika ada.
Beri rekomendasi apakah CPU tersebut bisa dijadikan sebagai
barang bukti fisik atau tidak.
Catat keseluruhan letak perangkat keras (harddisk, CD ROM,
RAM dsb)
Dokumentasikan dalam bentuk gambar sebelum dan sesudah
identifikasi dan analisa.
Komputer Forensik
8
Data File
Memahami media penyimpanan
Format
Partisi
Partisi
Menbagi media secara logika
File system
Mendefinisikan bagaimana file dinamai, disimpan,
diakses dan diorganisir pada logical volume
2010
Komputer Forensik
9
Jenis File System
FAT12
FAT16
HFS
MSDos dan windows
FAT32
NTFS
windows
HPFS
ext2fs
ext3fs
2010
HFS plus
MAC OS
UFS
Unix
CDFS
CDRom
ISO 9660
Linux OS
Komputer Forensik
10
Teknik meng-copy file
Logical backup
Mengcopy file dan directori secara logika tersimpan di
media penyimpanan
Bit stream imaging
Copy mebcakup free space dan slack space
2010
Komputer Forensik
11
Informasi lain
Informasi yang dibutuhkan dan menjelaskan data file
sewaktu user beraktivitas :
Waktu modifikasi
Waktu pengaksesan
Waktu pembuatan
2010
Komputer Forensik
12
Memeriksa Data
Pemeriksaan dilakukan terhadap data backup
Proses :
Akses read only
Untuk menjaga konsistensi – integritas data
Write bloker
2010
Untuk mencegah memodifikasi terhadap data yang diperiksa
Komputer Forensik
13
Mengekstrak Data
Melakukan ekstraksi data, dengan melihat
kerakteristik file
Jika ragu gunakan aplikasi untuk mengetahui header
information file
Contoh aplikasi :
Program identifyimagefile
Atau program lain
2010
Komputer Forensik
14
Menggunakan Software Forensik
Terdapat beberapa software foerensik untuk
menangani data file :
File viewer
Uncompressing files
Menampilkan struktur direktori dlam interface grafis
Mengidentifikasi file yang tidak dikenal
Melakukan pencarian terhadap string atau pola tertentu
Mengakses metadata
2010
Komputer Forensik
15
Data Sistem Operasi
Data non - volatile
File konfigurasi
Logs file
Application file
Data files
Swap files
Dump files
Hibernation files
Temporary files
2010
Komputer Forensik
Data volatile
Slack space
Free space
Network configuration
Network connection
Running process
Open files
Login session
Operating system time
16
Penanganan Data Berdasarkan Prioritas
Network connection
Login sessions
Contents of memory
Running processes
Open files
Network configuration
Operating system time
2010
Komputer Forensik
17
Kuis 6
Sebutkan sumber daya dalam komputer forensik ?
Jelaskan mengapa database memiliki ruang dan
fungsi tersendiri dalam konteks sumber daya ?
Jelaskan komponen – komponen pengolahan ?
Jelaskan pembagian dari brainware ?
Jelaskan tentang BUS, cache memory dan RAM ?
2010
Komputer Forensik
18
Terima Kasih
2010
Komputer Forensik
19