Ade Kurniawan

Document Sample
Ade Kurniawan Powered By Docstoc
					TINJAUAN ANALISIS FORENSIK DAN KONTRIBUSINYA
      PADA KEAMANAN SISTEM KOMPUTER




                       Oleh:


       ADE KURNIAWAN           08053111066




            TEKNIK INFORMATIKA
          FAKULTAS ILMU KOMPUTER
           UNIVERSITAS SRIWIJAYA
                       2008
                                     Daftar Isi

1.    Pendahuluan …………. …………………………………………………………………………….1
2.    Latar Belakang Dan Sejarah Komputer Forensik …………………………………………………..2
3.    Aspek Hukum Dari Komputer Forensik ……………………………………………………………3
4.    Profesi Komputer Forensik …………………………………………………………………………5
5.    Kecenderungan Insiden……………………………………………………………………………...6
6.    Persiapan Pra Insiden ……………………………………………………………………………….7
7.    Penanganan Dan Respon Pada Insiden ……………………………………………………………..8
8.    Standar Metodologi Komputer Forensik …………………………………………………………..10
9.    Perlunya Perlindungan Bukti ……………………………………………………………………...11
10.   Pemrosesan Barang Bukti …………………………………………………………………………12
11.   Melacak Sumber Program Perusak………………………………………………………………...16
12.   Analisis Unknown Program ……………………………………………………………………….16
13.   Tool Forensik………………………………………………………………………………………17
14.   Kesimpulan ………………………………………………………………………………………..18

Referensi ………………………………………………………………………………………….……19
1. Pendahuluan
    Komputer forensik adalah penyelidikan dan analisis komputer untuk menentukan potensi bukti legal. Bertahun-
tahun yang lalu, kebanyakan bukti dikumpulkan pada kertas. Saat ini, kebanyakan bukti bertempat pada komputer,
membuatnya lebih rapuh, karena sifat alaminya. Data elektronik bisa muncul dalam bentuk dokumen, informasi
keuangan, e-mail, job schedule, log, atau transkripsi voice-mail.
    Beberapa definisi komputer forensik:

       Definisi sederhana “Penggunaan sekumpulan prosedur untuk melakukan pengujian secara menyeluruh
        suatu sistem komputer dengan mempergunakan software dan tool untuk mengekstrak dan memelihara
        barang bukti tindakan kriminal”

       Menurut Judd Robin, seorang ahli komputer forensik: “Penerapan secara sederhana dari penyelidikan
        komputer dan teknik analisisnya untuk menentukan bukti-bukti hukum yang mungkin”

       New Technologies memperluas definisi Robin dengan: “Komputer forensik berkaitan dengan
        pemeliharaan, identifikasi, ekstraksi dan dokumentasi dari bukti-bukti komputer yang tersimpan dalam
        wujud informasi magnetik”


2. Latar Belakang dan Sejarah Komputer Forensik
    Barang bukti yang berasal dari komputer telah muncul dalam persidangan hampir 30 tahun. Awalnya, hakim
menerima bukti tersebut tanpa melakukan pembedaan dengan bentuk bukti lainnya. Sesuai dengan kemajuan
teknologi komputer, perlakuan serupa dengan bukti tradisional menjadi ambigu. US Federal Rules of Evidence
1976 menyatakan permasalahan tersebut. Hukum lainnya yang berkaitan dengan kejahatan komputer:
   1.   Economic Espionage Act 1996, berhubungan dengan pencurian rahasia dagang
   2.   The Electronic Communications Privacy Act 1986, berkaitan dengan penyadapan peralatan elektronik
   3.   The Computer Security Act 1987 (Public Law 100-235), berkaitan dengan keamanan sistem komputer
        pemerintahan
     Jika ingin menyelesaikan suatu “misteri komputer” secara efektif, diperlukan pengujian sistem sebagai seorang
detektif, bukan sebagai user. Komputer forensik bisa menjadi semacam puzzle. Sifat alami dari teknologi Internet
memungkinkan pelaku kejahatan untuk menyembunyikan jejaknya. Kejahatan komputer tidak memiliki batas
geografis. Kejahatan bisa dilakukan dari kamar sebelah, atau berjarak ribuan kilometer jauhnya dengan hasil yang
serupa. Bagaimanapun pada saat yang sama, teknologi memungkinkan menyingkap siapa dan bagaimana itu
dilakukan. Dalam komputer forensik, sesuatu tidak selalu seperti kelihatannya. Penjahat biasanya selangkah lebih
maju dari penegak hukum, dalam melindungi diri dan menghancurkan barang bukti. Merupakan tugas ahli
komputer forensik untuk menegakkan hukum dengan mengamankan barang bukti, rekonstruksi kejahatan, dan
menjamin jika bukti yang dikumpulkan itu berguna di persidangan.


3. Aspek Hukum dari Komputer Forensik
     Saat mendengar istilah kejahatan komputer, kebanyakan orang berpikir tentang hacker yang menyusup ke situs
web atau penjahat yang mencari informasi semacam nomor rekening bank, nomor kartu kredit atau rahasia dagang
untuk keuntungan finansial dan data spionase seperti informasi rahasia militer. Seperti halnya pada aktivitas sehari-
hari dan bisnis, teknologi juga menawarkan pada penjahat penggunaan praktis yang sama. Mafia kejahatan
melakukan catatan dan akuntansi bisnis semacam obat terlarang dan perjudian dengan mempergunakan program
komputer. Penjahat bisa mempergunakan komputer sebagai pengelola informasi yang berkaitan dengan kejahatan,
atau sebagai alat untuk melakukan kejahatan.
      Federal Guidelines for Searching and Seizing Computers menyebutkan, "Setiap PC bisa terhubung ke jaringan
dengan modem. Maka dalam kasus keberadaan suatu modem, harus dipertimbangkan komputer menyimpan
informasi berharga pada lokasi lain.." Aktivitas kriminal bisa dijalankan dari tempat manapun di seluruh dunia. Hal
ini tidak hanya membuat kejahatan lebih sulit untuk diselidiki tetapi membuatnya lebih menarik bagi pelaku. Loek
Weerd dikutip oleh Illena Armstrong menyatakan, "Karena data muncul pada layar mereka sendiri di lingkungan
mereka, batasan etis seperti kepemilikan menjadi kabur’
    Hukum federal AS menyatakan menyusup ke suatu komputer bukanlah kasus kejahatan federal. Ada
perkecualian, pada sistem keamanan nasional, institusi keuangan, atau catatan medis. Yang terpenting adalah
penyusup mengakibatkan kerusakan berbiaya 500.000 dollar atau lebih. Sederhananya, seseorang bisa melakukan
eksploit, memperoleh akses root, dan menginstall banyak program, asalkan tidak menghapus file yang penting, tidak
akan ada konsekuensi legal. Sehingga akan sulit untuk melakukan penuntutan pada penyusup yang tidak
mengakibatkan perusakan. Jika kasus penyusupan dengan memasang packet sniffer baru bisa dilakukan penuntutan
meski tidak ada kerusakan, karena ada intercept pada peralatan komunikasi.
     Apa yang dikerjakan oleh analisis forensik bisa membantu penegakan hukum atau pimpinan keamanan
perusahaan. James O. Holly, Direktur National Computer Forensics Lab Ernst & Young, mengatakan, "Anda perlu
membuka pintu untuk pemrosesan administratif, sipil, atau kriminal dalam merespon kejahatan komputer. Dan
penyelidik perlu menangani insiden dari awal sampai masuk ke persidangan”. Merupakan hal yang penting bagi
analis untuk mendapatkan bukti dan menyatakan bagaimana memperolehnya. Banyak kasus dimenangkan bukan
hanya berdasarkan fakta tetapi persepsinya. Thomas Welch dalam The Information Security Management Handbook
Vol. 1 halaman 601, menyatakan "Praktisi keamanan komputer harus memperdulikan teknologi dan faktor legal
yang berdampak pada sistem dan penggunanya, termasuk masalah penyelidikan dan penegakan hukum”.
   Ahli hukum memerlukan kepakaran spesialis komputer. Hal itu merupakan alasan yang bagus bagi ahli
komputer untuk secara formal mendapatkan pendidikan dan menerima kualifikasi internasional. Judd Robbins
menyatakan kejahatan dan pekerjaan yang memerlukan bukti dari keahlian komputer forensik:
   1.   Jaksa penuntut mempergunakan barang bukti komputer dalam kejahatan yang bermacam-macam, seperti
        obat bius, pornografi anak, pembunuhan, dan penggelapan keuangan
   2.   Detektif swasta bisa mempergunakan rekaman pada sistem komputer untuk melacak kasus penggelapan,
        perceraian, diskriminasi dan pelecehan.
   3.   Perusahaan asuransi bisa mengurangi biaya dengan bukti komputer yang menyatakan kemungkinan
        penggelapan pada insiden, kebakaran, atau kompensasi pekerja
   4.   Perusahaan menyewa ahli komputer forensik untuk menentukan bukti yang berkaitan dengan pelecehan
        seksual, penipuan, pencurian rahasia dagang, dan informasi rahasia internal lainnya
   5.   Petugas penegak hukum sering memerlukan bantuan dalam persiapan penggeledahan dan penyitaan
        perangkat komputer.
   6.   Perorangan kadang menyewa ahli komputer forensik untuk mendukung klaim pemutusan kerja, pelecehan
        seksual atau disriminasi umur.
    "Techniques of Crime Scene Investigation" menyatakan]: “Salah satu elemen yang penting pada penyelesaian
masalah kejahatan adalah penggunaan secara efektif dari sains dan teknologi. Sains dan teknologi diterapkan pada
penyelesaian tindakan kriminal, atau ilmu forensik, memecahkan kejahatan dengan membantu penyelidik kepolisian
untuk mengidentifikasikan tersangka dan program, membersihkan orang yang tidak bersalah dari dakwaan dan
membawa yang bersalah ke hadapan hukum".




4. Profesi Komputer Forensik
    Bagi seorang pemrogram, banyak keahlian yang diperlukan oleh komputer forensik mirip dengan yang
dipergunakannya saat melakukan pembuatan atau debugging software – berpikir lojik, pemahaman pada sebab dan
akibat dari suatu tindakan komputer, serta berpikir terbuka [7]. Ada beberapa perbedaan antara mencari bug dengan
menyelesaikan “misteri komputer”. Sebagai seorang programmer, biasanya kita bekerja melawan diri kita sendiri –
mencoba memperbaiki permasalahan yang kita buat sendiri. Menyelesaikan suatu kejahatan komputer lebih mirip
dengan melawan programmer “lawan” yang berusaha mengubah kode dan menyembunyikan bukti kerja mereka.
Untungnya di sini ia memiliki suatu keunggulan dibanding lawan, yaitu menguasai sistemnya sendiri dengan lebih
baik.
    Kriteria penyelidik forensik menurut: “Seorang penyelidik yang baik harus mudah berkomunikasi dengan
siapapun, dan sangat kritis. Berpikir lojik, objektif dan tidak bias, tanpa kontroversi. Kemampuan verbal dan tulisan
sehingga setiap orang memahami apa yang terjadi, karena. akan ditanyai saran dan kepakaran saat diperlukan.”
    Pengetahuan yang diperlukan ahli forensik di antaranya :
   1.   Dasar-dasar hardware dan pemahaman bagaimana umumnya sistem operasi bekerja
   2.   Bagaimana partisi drive, hidden partition, dan di mana tabel partisi bisa ditemukan pada sistem operasi yang
        berbeda
   3.   Bagaimana umumnya master boot record tersebut dan bagaimana drive geometry
   4.   Pemahaman untuk hide, delete, recover file dan directory bisa mempercepat pemahaman pada bagaimana
        tool forensik dan sistem operasi yang berbeda bekerja.
   5.   Familiar dengan header dan ekstension file yang bisa jadi berkaitan dengan file tertentu
     Kriteria ahli forensik berikut dijelaskan oleh Peter Sommer dari Virtual City Associates Forensic Technician,
serta Dan Farmer dan Wietse Venema:
   1.   Metode yang berhati-hati pada pendekatan pencatatan rekaman
   2.   Pengetahuan komputer, hukum, dan prosedur legal
   3.   Keahlian untuk mempergunakan utility
   4.   Kepedulian teknis dan memahami implikasi teknis dari setiap tindakan
   5.   Penguasaan bagaimana modifikasi bisa dilakukan pada data
   6.   Berpikiran terbuka dan mampu berpandangan jauh
   7.   Etika yang tinggi
   8.   Selalu belajar
   9.   Selalu mempergunakan data dalam jumlah redundan sebelum mengambil kesimpulan
   10. Aktivitas yang perlu dilakukan oleh penyelidik forensik menurut Judd Robins [11]:
   11. Perlindungan sistem komputer selama pengujian forensik dari semua kemungkinan perubahan, kerusakan,
       korupsi data, atau virus
   12. Temukan semua file pada sistem. Termasuk file normal, terhapus, hidden, pasword-protected, dan
       terenkripsi.
   13. Recovering file terhapus sebisa mungkin.
   14. Ambil isi file hidden juga file temporary atau swap yang dipergunakan baik oleh sistem operasi atau
       program aplikasi
   15. Lakukan akses (jika dimungkinkan secara legal) isi dari file terproteksi atau terenkripsi
   16. Analisa semua data yang relevan pada area spesial di disk. Misal unnalocated (tidak terpakai, tapi mungkin
       menyimpan data sebelumnya), slack space (area di akhir file pada last cluster yang mungkin menyimpan
       data sebelumnya juga)
   17. Cetak semua analisis keseluruhan dari sistem komputer, seperti halnya semua file yang relevan dan
       ditemukan. Berikan pendapat mengenai layout sistem, struktur file yang ditemukan, dan informasi
       pembuat, setiap usaha menyembunyikan, menghapus, melindungi, mengenkripsi informasi, dan lainnya
       yang ditemukan dan nampak relevan dengan keseluruhan pengujian sistem komputer.
   18. Berikan konsultasi ahli dan kesaksian yang diperlukan
     19. Karakteristik berikut diperlukan oleh ahli forensik untuk bekerja secara profesional [13]:
     20. Pendidikan, pengalaman dan sertifikasi merupakan kualifikasi yang baik untuk profesi komputer forensik.
         Pendidikan dengan pengalaman memberikan kepercayaan yang diperlukan untuk membuat keputusan dan
         mengetahui keputusan yang tepat. Sertifikasi menunjukkan bahwa pendidikan dan pengalamannya
         merupakan standar yang tinggi dan dapat dipahami.
     21. Yakinkan pada setiap tindakan dan keputusan, agar mencukupi untuk kesaksian di pengadilan
     22. Semua proses dilakukan dengan menyeluruh
     23. Memiliki pengetahuan yang banyak mengenai bagaimana recover data dari berbagai tipe media
     24. Mampu memecah password dari aplikasi dan sistem operasi yang berbeda dan mempergunakannya untuk
         penyelidikan
     25. Perlu pengetahuan yang memadai, tanpanya bisa terjadi kesalahan yang akan membuat barang bukti ditolak
         di pengadilan. Barang bukti bisa dirusak, diubah, atau informasi yang berharga terlewat.
     26. Obyektif dan tidak bias, harus fair pada penyelidikan, dengan fakta yang akurat dan lengkap
     27. Inovatif dan memiliki kemampuan interpersonal yang baik
     28. Memiliki kemampuan verbal dan oral yang baik
     29. Menggunakan penalaran dan logika yang tepat


5. Kecenderungan Insiden
    Saat membicarakan apa yang ditinggalkan penyusup, seperti trojan, backdoors, dan hacker tool lainnya, orang
cenderung berfokus kepada sistem komputer berbasis Windows. Hal ini dapat dimengerti karena sistem berbasis
Windows biasanya menjadi sasaran trojan. Simovits Consulting yang merinci trojan berdasar sistem operasi
menemukan 35 trojan untuk varian UNIX dan lebih dari 400 untuk Windows.
    Dewan Eropa telah mengusulkan untuk pelarangan tool hacker [2]. Pembatasan ini ditolak oleh komunitas
keamanan komputer karena dikhawatirkan akan mengganggu pekerjaan keamanan yang legal. Ada beberapa
keadaan di mana penggunaan tool tertentu digolongkan sebagai perbuatan kriminal atau tidak. Misal tool untuk
scanning port mana yang terbuka. Bagaimanapun beberapa tool biasa diinstall oleh penyusup saja, misal untuk
melancarkan serangan packet flooding. Hanya individu yang memiliki tanggung jawab administrator sistem yang
resmi bisa mempergunakan tool sniffer atau cracking password. Akan janggal untuk orang yang memiliki dua PC
dengan Windows 9x, NT atau Linux dan tidak memiliki akses resmi ke suatu jaringan komputer (di luar ISP), untuk
memiliki program cracking password, sniffer atau packet flood.
    Akses broadband DSL dan modem kabel membuat banyak orang dengan pengetahuan keamanan komputer
minmal mempunyai koneksi statik ke internet. Bila ada pilihan antara mencegah penyusupan dengan meminimalkan
kerusakan, kita akan memilih untuk mencegah penyusupan.
    Program yang diinstall oleh penyusup ditemukan pada sistem Unix perusahaan, ISP dan universitas. Dengan
mengevaluasi kasus dan tool yang ditemukan akan memunculkan implikasi yang penting untuk membuat pilihan
bagi administrator sistem. Pada beberapa kasus tool-tool tersebut juga ditemukan pada sistem korban. Pada 5 dari 6
kasus, korban tidak mempedulikan penyusupan untuk waktu lama (lebih dari 20 hari) [2].
      Tiga fungsi utama yang umum dari program-program hacking tersebut adalah:
1.    packet flooding
2.    packet sniffing
3.    backdoor
    Kebanyakan dari program tersebut harus ditempatkan pada sistem korban, dan yang paling berbahaya
memerlukan untuk berjalan sebagai root atau UID 0. Komputer korban bisa berada di luar firewall atau dalam
suatu DMZ (demiliterized zone). Program-program tersebut dirancang sebagai semacam script kiddie yang user
friendly, dengan dokumentasi yang bagus dan fungsi help. Usia penyusup bukanlah indikator yang tepat dari tingkat
kemampuan mereka. Pembuat program lebih sering mengidentifikasikan dirinya dengan nickname atau alamat e-
mail. Pembuat program biasanya menyertakan peringatan bahwa penggunaan program tersebut pada jaringan publik
adalah ilegal, dan pembuat tidak bertanggungjawab pada semua kerusakan yang terjadi. Program tersebut portabel di
antara beberapa varian UNIX.
     Dalam kenyataannya, kendala-kendala yang ada memaksa administrator sistem untuk memilih implementasi
keamanan yang dipergunakan dan menentukan prioritas aktivitas. Kebanyakan penyusupan sudah terjadi lama
sebelum diketahui. Administrator sistem baru menaruh perhatian saat user mengeluh mengenai kinerja sistem atau
jaringan. Pada kasus di mana insiden diidentifikasikan dengan log, administrator sistem membiarkannya pada sistem
korban untuk beberapa minggu. Mereka hanya bertindak setelah penyusup melakukan packet flood/denial of service
attack. Terdapat pula sejumlah penyusupan yang baru diketahui setelah penyusup memberitahukan secara eksplisit
pada administrator sistem. Menurut National Infrastructure Protection Center (NIPC), ada peningkatan aktivitas
hacker pada sistem yang berkaitan dengan e-commerce. Pada aktivitas tersebut hacker bisa mengambil informasi
selama beberapa bulan sebelum korban mengetahuinya. Karena akses penyusup sudah berlangsung dalam waktu
lama dan melibatkan banyak program, biaya terbesar adalah downtime berkaitan dengan mengembalikan sistem ke
keadaan yang aman.


6. Persiapan Pra Insiden
   Sesuai survey (Desember 2000), ancaman terbesar dari jaringan komputer adalah: 68% karyawan, 17% hacker,
9% kompetitor, dan 6% customer. Artinya kita masih harus melakukan perlindungan jaringan baik dari dalam
maupun dari luar. The Information Security Management Handbook, Vol. 2 halaman 559 menyatakan jenis insiden:
   1.   Virus
   2.   Unauthorized access
   3.   Pencurian atau kehilangan kepercayaan pada informasi
   4.   Serangan denial of service pada sistem
   5.   Korupsi informasi
   6.   Untuk menghadapi penyusupan dan serangan dapat dilakukan persiapan berikut [2][4]:
   7.   Penggunaan beberapa tool untuk mencegah penyusupan dengan deteksi. Amati aktivitas pada port- port
        yang biasanya berkaitan dengan trojan, backdoor, denial of service tool, dan yang serupa. Pergunakan tool
        semacam Tripwire untuk mengamati perubahan pada sistem, yang memungkinkan membuat snapshot sistem
        Pemeriksaan lainnya adalah mode promiscous pada network card dan adanya kompilator yang diinstall.
   8.   Kebutuhan untuk backup sistem yang baik sehingga bisa melakukan restore data sebelum penyusupan.
   9.   Jika diasumsikan penyusup mempergunakan sniffer untuk menangkap password, maka perlu diterapkan
        kebijakan pasword yang tepat. Bisa juga dipertimbangkan one time password. Practical Unix & Internet
        Security, oleh Simson Garfinkel dan Gene Spafford, merekomendasikan "Jangan mengirimkan clear text
        password yang bisa dipergunakan kembali lewat koneksi jaringan. Pergunakan one-time password atau
        metode rahasia “
   10. Suatu kebijakan keamanan harus diterapkan untuk menangani insiden yang muncul, dan harus cukup
       mudah diimplementasikan dan dimengerti oleh setiap orang [1]. Misalkan capture tampilan, jangan matikan
       komputer, lakukan shutdown normal, copot modem, labeli semua alat, dan tulis semua yang mungkin. Harus
       ditentukan standard operating procedures (SOP) di mana akan memastikan tidak ada kontaminasi dengan
       data lain atau data kasus sebelumnya [12].
   11. Lakukan instalasi patch security dari vendor sistem operasi atau aplikasi.
   12. Matikan semua service jaringan yang tidak dipergunakan, dan pergunakan security/auditing tool
   13. Luangkan lebih banyak waktu untuk mempelajari sistem anda dengan lebih baik
   14. Aktifkan fasilitas logging dan accounting
     15. Lakukan audit dan pengujian pada sistem secara rutin
     Banyak organisasi tidak hanya mengabaikan penerapan keamanan untuk melindungi jaringan dan data mereka,
tetapi juga tidak siap untuk menangani penyusupan dan insiden [11]. Organisasi harus menerapkan perencanaan
respon dan pelaporan insiden, serta membuat team untuk menanganinya. Hal itu bisa juga dilakukan dengan
menyewa ahli forensik dari perusahaan keamanan. Saat diduga terdapat kecurigaan compromise keamanan atau
tindakan ilegal yang berkaitan dengan komputer, maka akan merupakan suatu hal yang penting untuk melakukan
langkah–langkah dalam menjamin perlindungan terhadap data pada komputer atau media penyimpanan.
Penyimpanan data diperlukan untuk menentukan compromise tingkat keamanan dan letak bukti-bukti yang mungkin
berkaitan dengan tindakan ilegal [10].


7. Penanganan Dan Respon Pada Insiden
     Respon awal pada penanganan insiden bisa sangat mempengaruhi analisis laboratorium [12]. Orang-orang tidak
berkepentingan tidak seharusnya dibiarkan di sekitar tempat kejadian perkara. Perlu adanya dokumentasi mengenai
perlindungan barang bukti, analisis dan laporan penemuan.
     Suatu kebijakan dan prosedur penanganan insiden sangat penting untuk setiap organisasi. Hal-hal yang harus
diingat adalah [19]:
     Bagaimana untuk mengamankan atau menjaga barang bukti, baik dengan membuat copy image dan mengunci
     yang asli, sampai kedatangan ahli forensik
     Di mana atau bagaimana untuk mencari barang bukti, baik itu di drive lokal, backup sistem, komputer atau
     laptop
     Daftar yang harus dipersiapkan untuk laporan menyeluruh
     Daftar orang untuk keperluan pelaporan, pada suatu situasi tertentu
     Daftar software yang disarankan digunakan secara internal oleh penyelidik
     Daftar ahli yang disarankan untuk konsultasi
    Tidak semua perusahaan memiliki ahli forensik, kalau pun ada mereka tidak selalu berada di tempat. Sehingga
pada saat terjadi insiden staf harus terlatih sekurang-kurangnya [19]:
     Membuat image, sehingga yang asli tetap terjaga
     Analisis forensik dilakukan semua dari copy
     Memelihara rincian media dalam proses
     Respon awal pada keamanan komputer bisa jadi lebih penting daripada analisis teknis selanjutnya dari sistem
komputer, karena dampak tindakan yang dilakukan oleh tim penanganan insiden [10]. Dalam suatu kejadian yang
dicurigai sebagai insiden komputer, harus ada perlakuan secara berhati-hati untuk menjaga barang bukti dalam
keadaan aslinya. Meski kelihatan sesederhana melihat file pada suatu sistem yang tidak akan menghasilkan
perubahan media asli, membuka file tersebut akan mengakibatkan perubahan. Dari sudut pandang legal, hal tersebut
tidak lagi menjadi bukti orisinil dan tidak bisa diterima oleh proses administratif hukum.
    Tiap organisasi harus memiliki suatu tim penanganan insiden. Tim harus menulis prosedur penanganan insiden.
Prosedur sederhana untuk mengamankan suatu insiden komputer [10]:
1.   Amankan lingkungan
2.   Shutting down komputer
3.   Label barang bukti
4.   Dokumentasikan barang bukti
5.   Transportasikan barang bukti
6.   Dokumentasi rangkaian penyimpanan
    Berikut adalah dokumen penanganan insiden yang populer dari SANS Insititute [15]. Ini merupakan dokumen
konsensus di mana:
     Semua partisipan menyarankan elemen dan perubahan
     Proses berjalan dengan banyak perulangan
     Beberapa masalah disajikan dengan banyak pilihan
     Setiap partisipan harus menyetujui keseluruhan dokumen
     Hasilnya adalah panduan untuk persiapan dan respon pada insiden keamanan. Terdiri dari 44 halaman,
menyatakan 90 tindakan dalam 31 langkah dan 6 fase. Di sini ditunjukkan bagaimana berespon pada jenis insiden
tertentu seperti probing, spionase, dan lainnya. 6 Fase tersebut adalah:
1.   Fase 1: Persiapan (42 tindakan)
2.   Fase 2: Identifikasi (6 tindakan)
3.   Fase 3: Pengisian(17 tindakan)
4.   Fase 4: Pembasmian (10 tindakan)
5.   Fase 5: Pemulihan (6 tindakan)
6.   Fase 6: Tindak lanjut (9 tindakan)
    Salah satu bagian dari dokumen [15] yang bisa dipergunakan perusahaan yang belum siap menghadapi insiden
adalah Emergency Action Card, berupa sepuluh langkah berikut:
1.   Tetap tenang sehingga menghindari kesalahan fatal
2.   Buatlah catatan yang baik dan relevan: siapa, apa, bagaimana, kapan, di mana, mengapa
3.   Beritahu orang yang tepat dan carilah pertolongan, mulai dari koordinator keamanan dan manajer
4.   Tetapkan kebijakan orang-orang terpercaya yang boleh tahu
5.   Gunakan jalur komunikasi terpisah dari sistem yang mengalami compromise
6.   Isolasi masalah sehingga tidak bertambah buruk
7.   Buat backup sistem
8.   Temukan sumber masalah
9.   Kembali ke pekerjaan semula setelah backup terjamin, dan lakukan restore sistem
10. Belajar dari pengalaman


8. Standar Metodologi Komputer Forensik
     Kebutuhan akan ahli komputer foresik menjadi penting pada departemen penegakan hukum, pemerintahan, dan
perusahaan dunia. Dewasa ini tidak ada suatu metodologi tunggal untuk melakukan analisis dan penyelidikan
forensik, karena terdapat terlalu banyak variabel [14]. Misalkan sistem operasi, program aplikasi, algoritma
kriptografi, dan platform hardware. Di luar itu adalah aspek hukum, batas-batas internasional, dan publisitas. Karena
manusia tidak luput dari kesalahan maka harus ada metode yang pasti untuk melakukan penyelidikan dan standar
yang dikembangkan. David Morrow menyatakan [20] ”Seperti halnya anda tidak memulai perjalanan jauh ke daerah
asing tanpa peta jalan, jangan memulai penyelidikan tanpa memperhatikan rencana”
    Sains adalah metode, serta tindakan yang direncanakan untuk memperoleh dan menganalisa barang bukti,
sedangkan teknologi (dalam kasus komputer) adalah program yang memenuhi kebutuhan tertentu untuk
memperoleh dan menganalisa barang bukti [9]. Mengikuti metode standar merupakan hal yang penting demi
kesuksesan dan keefektifan komputer forensik, seperti halnya programmer mempergunakan metode pemrograman
standar [13]. Perancangan dan implementasi software merupakan hal yang mirip satu sama lain. Konsep ini dapat
diterapkan pula pada komputer forensik. Bukti komputer bisa muncul dalam bermacam bentuk dan versi. Penyelidik
yang memiliki pengetahuan mengenai banyak teknik dan metode penyimpanan bisa dengan cepat
mengidentifikasikan tempat untuk mencari tanda-tanda barang bukti. Suatu metode standar akan memungkinkan
perlindungan barang bukti. Ada beberapa panduan keprofesian yang diterima secara luas [15]:
     Pengujian forensik harus dilakukan secara menyeluruh. Pekerjaan ini menganalisa media dan melaporkan
     temuan tanpa adanya prasangka atau asumsi awal
     Media yang dipergunakan pada pengujian forensik harus disterilisasi sebelum setiap penggunaan
     Image bit dari media asli harus dibuat dan dipergunakan untuk analisa.
     Integritas dari media asli harus dipelihara selama keseluruhan penyelidikan.
     Dalam kaitan ini terdapat akronim PPAD pada komputer forensik [12]:
1.   Preserve the data to ensure the data is not changed (Pelihara data untuk menjamin data tidak berubah)
2.   Protect the evidence to ensure no one else has access to the evidence (Lindungi data untuk menjamin tidak ada
     yang mengakses barang bukti)
3.   Analyze the data using forensically sound techniques (Lakukan analisis data mempergunakan teknik forensik)
4.   Document everything (Dokumentasikan semuanya)
    Di sini integritas proses merupakan hal yang sepenting integritas data [12]. Karena itu, tahapan khusus
diperlukan untuk melindungi barang bukti. Sedikit organisasi yang memiliki tool atau ahli forensik sendiri untuk
menangani insiden yang serius. Ahli keamanan sendiri jarang dilatih komputer forensik sehingga kurang memiliki
pengetahuan prosedur tertentu yang diperlukan untuk persidangan. The International Association of Computer
Investigative Specialists (IACIS) memberikan tiga syarat untuk pengujian forensik: [11]:
1.   Penggunaan media forensik yang steril.
2.   Pengujian harus mempertahankan integritas media asli.
3.   Printout dan copy data hasil pengujian harus ditandai, dikenali dan disertakan
     Semua peralatan dan keahlian yang ada tidak akan berguna jika tidak disinkronisasikan dengan penegak hukum
[14]. Mungkin diperlukan dokumentasi yang lebih baik dan rangkaian penanganan barang bukti. Perlu dipelajari apa
yang diperlukan oleh aparat hukum dan menyesuaikan metodologi dengannya. Karena terdapat cukup banyak
variabel pada kasus forensik, ada dua hal yang diperlukan [14]:
1.   Definisikan metodologi, baik aturan dan panduan
2.   Kerjakan sesuai metodologi itu
     Pemikirannya di sini jika tidak bisa berargumen bagaimana anda bekerja dan mengapa melakukannya seperti
itu, hal tersebut akan dipertanyakan, “Mengapa setiap kasus ditangani secara berbeda?” Panduan harus diikuti
sebagai titik referensi setiap tahap penyelidikan. Meski tidak bisa persis karena tak ada dua kasus yang identik.
Misalkan saja mobil Ferrari dan Honda memiliki mekanisme dasar yang sama tetapi anda mengendarainya secara
berbeda.
    Hal terpenting lainnya adalah dokumentasi rangkaian barang bukti [14]. Misalkan saja forensik dilakukan oleh
beberapa orang, yang harus saling mengetahui tahapan dan pekerjaan masing-masing. Perlu dicatat pula waktu dan
nama yang terkait serta langkah yang diambil. Dengan dokumentasi yang lengkap bisa mematahkan argumen salah
prosedur, jika kita mengikuti metodologi yang telah ditentukan. Dokumentasi juga bisa membantu ahli forensik bila
kasus ditangani dalam waktu lama dan beban kerjanya tinggi.
     Beberapa aspek yang bisa dipelajari untuk meningkatkan kemampuan penyelidikan [20]:

        Lakukan pemeriksaan ulang dengan tool yang berbeda sehingga cukup memberikan keyakinan

        Salah satu hal yang tersulit adalah berusaha tetap obyektif selama penyelidikan. Berhentilah sebentar dan
         periksalah kenyataan yang ada untuk meyakinkan anda cukup beralasan. Perlu diingat pekerjaan ini
         berkaitan dengan mengumpulkan semua bukti yang tersedia bukan hanya bukti yang mendukung
         penuntutan

        Yakinkan langkah-langkah anda disetujui oleh pihak manajemen dan staf hukum.

        Kaitkan barang bukti dengan hardware tertentu

        Buatlah log tertulis untuk menjamin penyelidikan mengikuti langkah-langkah yang logis dan mampu
         menulis laporan yang akurat nantinya

        Gunakan capture full screen

        Backup barang bukti

        Kumpulkan juga barang bukti pada tempat terpisah


9. Perlunya Perlindungan Bukti
    Dari penyelidikan yang dilakukan oleh Electronic Privacy Information Center (EPIC) [1], “Sejak 1992 jumlah
kasus kejahatan komputer telah meningkat tiga kali. Dari 419 kasus yang diajukan oleh penuntut hanya 83 yang
dieksekusi karena kurangnya bukti. Saat suatu kasus diajukan bisa memakan waktu persidangan sampai lima tahun.
Alasannya adalah bukti yang dikumpulkan pada kasus kejahatan komputer sangat kompleks.”
    Banyak kasus tidak dibawa ke pengadilan karena barang bukti yang tidak memadai [13]. Bukti harus ditangani
secara hati-hati untuk mencegah penolakan dalam pengadilan, karena rusak atau mengalami perubahan. Barang
bukti komputer merupakan benda yang sensitif dan bisa mengalami kerusakan karena salah penanganan. Ahli
forensik harus menanganinya sedemikian sehingga dijamin tidak ada kerusakan atau perubahan.
     Ahli forensik bisa mengidentifikasikan penyusupan dengan mengetahui apa yang harus dicari, di mana, dan
bukti lain yang diperlukan [1]. Informasi harus mencukupi untuk menentukan apakah upaya penegakan hukum harus
disertakan. Proteksi barang bukti merupakan suatu hal yang krusial. Barang bukti tidak boleh rusak atau berubah
selama tahapan dan proses recovery dan analisis, juga diproteksi dari kerusakan virus dan mekanis/elektromekanis.
Proses harus dilakukan secepat mungkin setelah insiden supaya detilnya masih terekam baik oleh mereka yang
terlibat. Hal itu bisa dimulai dengan catatan secara kronologis. Misalnya tentang tanggal, jam, dan deskripsi
komputer. Bila menganalisa server mungkin akan diperiksa event log. Karena user bisa mengubah waktu dengan
mudah, perhatikanlah bagaimana kecocokannya dengan kronologi kejadian. Buka komputer dan lihat apakah ada
lebih dari satu hard disk, catat peripheral apa yang terhubung, termasuk nomor seri hard disk. Berikan label dan buat
foto bila perlu, sehingga bisa mengembalikannya ke tempat semula nanti. Bila harus memecah password
pertimbangkan untuk menanyakan pada user atau mempergunakan tool-tool yang ada di pasaran. Amati perangkat
semacam zip disk, floppy, dan disk image. Barang bukti bisa jadi muncul dalam bentuk yang kecil. Ada
kemungkinan pada komputer stand alone ada suatu port USB atau slot PCMCIA yang bisa di-plug ke perangkat
jaringan.
     Beberapa ancaman terhadap barang bukti [13] :
1.   Virus – Bisa mengakibatkan kerusakan atau perubahan file
2.   Prosedur cleanup – Adanya program atau script yang menghapus file saat komputer shutdown atau start up.
3.   Ancaman eksternal, misal dari lingkungan yang tidak kondusif sehingga merusak data. Seperti tempat yang
     terlalu panas, dingin, atau lembab.
4.   Judd Robbins dari “An Explanation of Computer Forensics” [19] mensyaratkan hal berikut:
5.   Barang bukti tidak rusak, atau terpengaruh oleh prosedur yang dipergunakan untuk penyelidikan
6.   Tidak terinfeksi virus komputer selama proses analisis.
7.   Bukti-bukti yang relevan dan ekstraksinya, ditangani dan dilindungi dari kerusakan mekanis atau
     elektromekanis lebih jauh
8.   Penerapan pemeliharaan
9.   Membatasi dampak pada operasi bisnis
10. Semua informasi client yang diperoleh selama eksplorasi forensik dihargai secara etis dan tidak diumumkan
     Beberapa faktor yang tidak berkaitan secara fisik dengan barang bukti [13]:
1.   Rangkaian pemeliharaan - Merupakan rekaman penanganan barang bukti dari penyitaan sampai di bawa ke
     pengadilan. Dokumentasinya harus menyatakan siapa, apa, di mana, kapan, mengapa dan bagaimana. Lebih
     rinci hal itu akan lebih baik.
2.   Batasan waktu – Batasan waktu bisa sangat krusial pada beberapa penyelidikan. Khususnya kasus yang
     melibatkan kehidupan manusia. Misalkan saja bila bukti yang ada berkaitan dengan rencana serangan teroris.
3.   Informasi yang tidak diumumkan - Informasi yang berkaitan dengan client
     Prioritas pengumpulan data harus dilakukan berdasarkan volatilitas [6]:
1.   Register, peripheral memori, dan cache
2.   Memori (kernel dan fisik)
3.   Keadaan jaringan
4.   Proses yang sedang berjalan
5.   Disk
6.   Floppy, media backup
7.   CD ROM, printout
     Dengan menganalogikan prinsip ketidakpastian Heisenberg dari [6]: “Melakukan pengujian sekumpulan atau
suatu bagian dari sistem akan menimbulkan gangguan pada komponen lainnya. Sehingga akan mustahil untuk
melakukan capture keseluruhan sistem pada satu saat saja.” Mengumpulkan barang bukti sangat memakan waktu
[13]. Banyak barang bukti dalam bentuk terenkripsi atau hidden. Terdapat program yang dipergunakan untuk
recovery password dari perusahaan software yang dipercaya. Program untuk mengeksploitasi kelemahan pada
beberapa sistem bisa didownload dari internet atau diperoleh dari penegak hukum. File bisa disimpan dengan
ekstension yang menipu atau gambar yang disimpan seperti dokumen teks, misal kasus gambar porno anak-anak
yang disimpan dalam nama README.TXT di folder setup.
    Harus diingat bahwa pengumpulan bukti suatu pelanggaran bisa meningkat ke dalam pengumpulan bukti dari
pelanggaran yang lebih serius [10]. Misal pengumpulan bukti penggunaan internet untuk surfing ke situs porno, bisa
menemukan bukti karyawan yang menggunakan internet untuk menyebarkan virus atau melakukan hacking.

10. Pemrosesan Barang Bukti
     Terdapat perdebatan dalam komunitas forensik untuk melakukan plug suatu sistem [12], misalnya apakah
diperlukan untuk mematikan mesin. Sistem operasi bersangkutan akan merupakan kuncinya. Jika ada suatu usaha
compromise atau penyusupan, penyelidikan diarahkan pada proses yang ada di memori, sistem file yang dipetakan
melalui jaringan, koneksi mencurigakan lainnya pada host tersebut dan port apa yang sedang dipergunakan. User
bisa jadi harus memilih untuk menyimpan beberapa file ke suatu server yang tidak terkena dampaknya. Begitu juga
bila sistem sedang aktif, dan terdapat barang bukti di layar, bisa diambil foto pada layar atau dicetak ke printer. Jika
dilakukan unplug ada beberapa hal yang bisa terlewat. Bisa jadi terdapat program yang akan menghapus bukti
semacam utility wipe. Jika perlu melakukan unplug lakukanlah di sistem Windows. Jangan lakukan di Unix kecuali
memiliki pengalaman bagaimana melakukan rebuild tabel I-node. Pada kasus perlu melakukan shutdown, lakukan
halt segera, putuskan koneksi jaringan dan gunakan utility image untuk sistem operasi tersebut. Jika pada sistem
Windows lakukan boot dengan disk, karena beberapa sistem operasi mulai menulis ke disk saat booting dan bisa
mengubah waktu akses dan data lain yang berkaitan. Masuklah ke BIOS dan amati bagaimana drive geometry.
Lakukan write protect pada drive dan image data level bit dengan tool yang banyak tersedia. Setelah diperoleh
image data, analisis dilakukan pada image copy-nya.
     Panduan umum pemrosesan barang bukti berikut diambil dari [19]:

    Shut down komputer, perlu dipertimbangkan kerusakan proses yang berjalan di background
    Dokumentasikan konfigurasi hardware dari sistem: Perhatikan bagaimana komputer di set up karena mungkin
     akan diperlukan restore kondisi semula pada tempat yang aman

    Pindahkan sistem komputer ke lokasi yang aman

    Buat backup bit dari hard disk dan floppy:

    Uji otentifitas data pada semua perangkat penyimpanan

    Dokumentasikan tanggal dan waktu yang berhubungan dengan file komputer

    Buat daftar key word pencarian, karena terdapat tool forensik yang bisa dipergunakan untuk pencarian
     informasi yang relevan

    Evaluasi swap file

    Evaluasi file slack, terdiri dari dump memori yang terjadi selama file ditutup.

    Evaluasi unallocated space (erased file). Fungsi undelete di DOS bisa dipergunakan untuk melakukan restore

    Pencarian keyword pada file, file slack, dan unallocated space

    Dokumentasikan nama file, serta atribut tanggal dan waktu

    Identifikasikan anomali file, program dan storage

    Evaluasi fungsionalitas program untuk mengetahui kegunaannya

    Dokumentasikan temuan dan software yang dipergunakan

    Buat copy dari software yang dipergunakan
    Merupakan keputusan sulit berespon pada insiden sedemikian agar tidak mengakibatkan korupsi data. Hal ini
sangat bergantung pada sistem operasinya. Karena barang bukti bisa berada pada file tapi bisa juga pada file slack,
erased atau swap. Misal pada Windows saat start akan membuka file baru yang menyebabkan overwrite data
sebelumnya.
    Berikut tabel prosedur shutdown untuk beberapa sistem operasi dari U.S. Department of Energy [10]:
        Sistem Operasi                                       Prosedur Shut Down
    MS DOS                          Foto layar dan catat program yang berjalan
                                    Copot kabel power
    UNIX/Linux                      Foto layar dan catat program yang berjalan
                                    Masuk sebagai root atau su
                                    Jika password root tidak ada copot kabel power
                                    Jika ada ketik sync;sync;halt, dan sistem akan shutdown
                                    Copot kabel power
    Mac                             Foto layar dan catat program yang berjalan
                                    Click Special
                                    Click Shutdown
                                    Window akan memberitahukan safe to turn off the computer.
                                    Copot kabel power
    Windows 3.X/95/98/NT            Foto layar dan catat program yang berjalan
                                     Copot kabel power


    Selanjutnya perlu menandai komputer, media dan kabel untuk keperluan pemindahan [10]:


                      Media                                                 Tandai
    5 ¼ inch disks                                  Tempatkan di atas takik (notch)
    3 ½ inch disks                                  Tempatkan di posisi terbuka
    Cassette tapes                                  Taruh record tab
    Removable hard drives                           Tempatkan di atas takik (notch)
    Cartridge tapes                                 Geser sampai panah “safe” muncul


    Catatan rinci harus dibuat mencakup semua aspek pemrosesan, bukan hanya siapa, apa, kapan, di mana. Entry
yang harus dicatat mencakup deskripsi (model dan nomor serial), tanda, kondisi, cara penandaan, dan lokasi.
Perlengkapan komputer harus ditangani secara baik, misal parking hard disk, pengemasan, kondisi temperatur, dan
kendaraan pengangkut .Tugas utama tim penanganan insiden adalah mengumpulkan dan memelihara barang bukti.
Yang nantinya akan dikumpulkan dan didokumentasikan kepada ahli teknis forensik .
   Berikut adalah lima tahapan pemrosesan barang bukti dari [13]. Asumsinya di sini adalah semua ijin untuk
mempergunakan mesin (PC, Server, Tape, dan lainnya) sudah dimiliki secara hukum:
1. Persiapan
    Sebelum penyelidikan, pastikan persiapan yang diperlukan. Beberapa panduan:

              Sterilkan semua media dari virus.

              Pastikan semua tool forensik bisa dipergunakan secara resmi.

              Periksa kerja semua peralatan lab

              Pilih ahli forensik yang tepat yang mampu memberikan kesaksian dan penjelasan yang baik pada
               persidangan. Misal untuk menerangkan hal-hal teknis yang asing bagi orang lain.
2. Snapshot
    Beberapa panduan:

              Foto lingkungan

              Catat rinciannya.

              Foto barang bukti, misal monitor dan PC.

              Dokumentasikan konfigurasi hardware

              Labeli barang bukti sesuai metodologi anda

              Foto barang bukti lagi setelah dilabeli

              Dokumentasikan apa yang terjadi
3. Transport
    Dengan asumsi ijin resmi sudah diperoleh, tindakan untuk transportasi adalah:

              Lakukan pengemasan dengan aman.
              Foto dan dokumentasikan penanganan barang bukti meninggalkan tempat transport sampai ke lab
               pengujian
4. Persiapan
     Berikut adalah persiapan untuk uji lab:
     1. Lakukan unpack sesuai metodologi.
     2. Lakukan uji visual dan catat setiap konfigurasi yang tidak semestinya.
     3. Buat image dari hard disk. Hal yang penting untuk diingat:
         o     Matikan software virus scanning
         o     Catat waktu CMOS (Complementary Metal Oxide Semiconductor). Hal ini perlu dilakukan khususnya
               saat zona waktu dibutuhkan.
         o     Anda bisa membuat image dengan banyak cara
         o     Catat bagaimana image dibuat
         o     Pastikan tool untuk image tidak mengakses sistem file dari media bukti.
1.   4. Merupakan hal yang baik untuk membuat image kedua.
      5. Setelah membuat image simpan barang bukti di tempat aman dan catatlah.
5. Pengujian
     Ini merupakan tahapan analisis barang bukti dari berbagai media (Floppy, hard drive, tape), dan sistem operasi
(Linux, Windows). Mesin yang digunakan untuk melakukan analisa seharusnya adalah stand alone dan tidak
terhubung dalam jaringan, sehingga memastikan tidak ada orang lain yang mengaksesnya [12].
     Analisis forensik dilakukan pada dua level [12]:
1.   Level fisik, di mana ingin dilihat cluster dan sektor tertentu untuk mencari informasi. Tabel master atau file
     allocation table biasanya disebut system area.
2.   Level lojik, misalkan gambar yang nampak sebagai rangkaian heksadesimal.
    Karena tidak bisa sepenuhnya mempercayai bukti apapun, maka harus diperhitungkan rangkaian kepercayaan
(chain of evidence) berikut [6]:
1.   Shell (termasuk variabel environment)
2.   Command
3.   Dynamic libraries
4.   Device driver
5.   Kernel
6.   Controller
7.   Hardware


11. Melacak Sumber Program Perusak
     Hal yang menarik bagi pelaku penyusupan kejahatan dan komputer adalah faktor anonimitas, artinya pembuat
virus, trojan, atau pelaku compromise tidak merasa khawatir akan dikenali [16]. Di sisi lain, insiden penyusupan
virus, worm, trojan dan cracker kadang meninggalkan potongan program. Bisakah dengan peninggalan tersebut
diidentifikasi sumbernya? Peninggalan dari serangan tersebut bisa berupa source program, kode object, shell script,
perubahan pada program yang ada, atau file teks yang dibuat oleh penyusup. Hal tersebut bisa dipergunakan untuk
mengidentifikasi sumber dari serangan, serupa dengan analisis tulisan tangan yang dilakukan oleh aparat hukum
untuk mengenali penulis suatu dokumen. Hal ini biasa disebut forensik perangkat lunak. Forensik perangkat lunak
bisa dilakukan pada [16]:
1. Kode executable. Biasanya dilakukan pada virus atau worm. Sayangnya banyak feature yang bisa berguna dalam
   analisis telah terhapus, misalkan komentar, identasi dan identifier. Optimisasi juga dilakukan sehingga program
   telah berbeda dengan program semula. Beberapa feature yang masih bisa dipertimbangkan di antaranya:

            Algoritma dan struktur data: Pilihan algoritma dan struktur data bisa menunjukkan background dari
             pembuat

            Kompilator: Dalam kasus virus bisa ditentukan bahasa pemrogramannya dan dari vendor mana, karena
             rutin-rutin dan library yang dipergunakan

            Pengetahuan pemrograman: Bisa dilihat tingkat kemampuan pemrogram dari penggunaan fungsi dan
             error checking semacam exception handling

            Pilihan system call

            Kesalahan: Beberapa programmer membuat kesalahan serupa pada program-programnya
2. Kode Sumber. Ini mampu memberikan informasi yang lebih banyak. Beberapa feature yang bisa dianalisis:

            Bahasa: Menunjukkan pengetahuan dan ketersediaan pada pemrogram

            Format: Biasanya konsisten, misal identasi dan deklarasi

            Komentar

            Nama variabel

            Ejaan: Ada pemrogram yang melakukan kesalahan eja secara tetap

            Feature bahasa: Beberapa pemrogram lebih suka menggunakan pilihan tertentu, misal antara
             perulangan for dengan repeat until atau while

            Scope: pemilihan variabel lokal dan global

            Jalur eksekusi: adanya kode yang tidak pernah dieksekusi

            Bug: Kesalahan serupa yang dibuat dalam program-programnya


12. Analisis Unknown Program
    Materi pada bagian ini diambil dari sumber [17]. Untuk mempelajari perilaku suatu program yang tidak kita
ketahui sumber dan kegunaannya terdapat beberapa cara:
1.   Analisis statik: Mempelajari program tanpa benar-benar mengeksekusinya. Tool yang dipergunakan adalah
     dissasembler, decompiler, tool analisis kode sumber, dan tool dasar semacam grep. Dalam kenyataannya bisa
     memberikan suatu gambaran pendekatan mengenai program.
2.   Analisis dinamik: Mempelajari program saat dieksekusi. Tool yang dipergunakan adalah debugger, tracer,
     emulator mesin, analisis logika dan terkadang sniffer jaringan. Keuntungan dari analisis dinamik adalah cepat
     dan akurat. Kasus khusus dari analisis dinamik adalah analisis kotak hitam (black box), yaitu analisis dinamik
     tanpa mengakses internal program. Dalam kasus ini, pengamatan dilakukan pada input dan output eksternal,
     serta karakteristik pewaktuannya.
3.   Analisis postmortem: Mempelajari perilaku perangkat lunak dengan mengamati dampak setelah eksekusi
     program. Bisa jadi ini merupakan satu-satunya alat yang tersedia setelah penyusupan sistem.
    Analisis dinamik harus dilakukan sehingga tidak menimbulkan kerusakan yang berbahaya, sehingga eksekusi
program bisa dijalankan pada:
1.   Mesin “percobaan” tanpa koneksi jaringan
2.   Mesin dengan sandbox Virtual Machine
     Untuk memantau kemajuan (progress) suatu program, pengamatan bisa dilakukan dengan cara:

        Pengamatan pada level instruksi mesin

        Pengamatan system call yang dipergunakan
     Suatu mesin yang mengalami compromise tidak akan bisa dipercaya, dan semua informasi yang berasal dari
mesin tersebut perlu diragukan. Perubahan pada suatu program aplikasi dan file data mudah dideteksi jika diketahui
file mana yang mengalami perubahan. Perubahan pada proses yang berjalan lebih susah dideteksi, begitu pula
dengan perubahan pada level kernel sistem operasi, atau bahkan perubahan pada tingkat di bawah level kernel.




13. Tool Forensik
    Tool yang dipergunakan oleh ahli forensik harus bekerja baik dan tidak mengubah data [1]. Di samping itu,
komunitas komputer forensik harus menerima tool dan hasilnya. Tool yang sama kadang dipergunakan untuk
melakukan pemantauan dan audit pada jaringan.
    Tool kit untuk pengujian forensik memungkinkan untuk mengumpulkan dan analisis data, seperti tcpdump,
Argus, NFR, tcpwrapper, sniffer, nstat, tripwire, diskcopy (/v pada DOS), DD pada Unix. Karena ahli hukum
percaya bit lebih mudah dipalsukan daripada kertas, maka aturan utamanya adalah “preserve then examine” [1].
Beberapa tool untuk komputer forensik [10] [19]:
     The Coroner Toolkit - Dan Farmer & Wietse Venema , www.fish.com
     Byte Back – oleh TechAssist, http://www.toolsthatwork.com/
     DriveSpy – http://www.digitalintel.com/
     EnCase – oleh Guidance Software, http://www.encase.com/
     Forensic ToolKit – http://www.accessdata.com/
     Maresware Suite – http://www.dmares.com/
     Drive Image Pro - PowerQuest
     Linux "dd" - Red Hat
     Norton Ghost 2000 - Symantec
     SafeBack - New Technologies
     SnapBack DatArrest oleh Columbia Data Products
     SC Magazine merekomendasikan DriveSpy dan EnCAse. DriveSpy beroperasi pada lingkungan DOS dan
memberikan semua tool yang diperlukan untuk melakukan eksplorasi suatu media dan menemukan data yang
relevan. EnCASE memiliki GUI yang menarik dan beroperasi pada image ketimbang bukti asli. EnCase juga
mengikutsertakan fungsi pembangkitan laporan dan suatu feature yang sangat berguna yang mendukung bahasa
pemrograman bernama Escript. EnCase, dari Guidance Software bisa mengelola dan melihat semua bukti. Terdapat
feature untuk mencatat siapa yang bekerja dan kapan dengan data. SafeBack dari New Technologies, Inc untuk
memelihara barang bukti dipakai secara khusus oleh pihak penegak hukum AS [11].
    Terdapat bermacam vendor perangkat lunak forensik. Paket dari The New Technologies Corporate Evidence
Processing Suite menyertakan [10]:
    CRCND5: CRC (checksum) yang memvalidasi isi file.
    DISKSIG: CRC program yang memvalidasi image backup.
    FILELIST: Tool katalog disk untuk evaluasi komputer berdasarkan waktu
    FILTER I: Filter berkecerdasan dengan fuzzy logic.
    GETFREE: Tool pengumpulan unallocated data.
    GETSLACK: Tool pengumpulan untuk file slack.
    GETTIME: Program untuk dokumentasi waktu dan tanggal sistem sebagai barang bukti
    NTI-DOC: Program dokumentasi untuk merekam atribut, tanggal dan waktu file.
    SEIZED: Program untuk mengunci dan mengamankan komputer
    SHOWFL: Program untuk analisa keluaran daftar file
    Text Search Plus: Utility pencarian teks untuk menentukan letak kata kunci dari teks dan grafik
    Key Computer Service menawarkan paket [10] [11]:
    Program password cracker
    WIPER/WIPEDRV - Menghapus keseluruhan informasi secara lojik atau fisik dengan menulis setiap byte
    karakter.
    LISTDRV – utility yang menguji file FAT12, FAT16, dan FAT32 yang dibatasi koma dan tanda petik untuk
    disiapkan diimport ke database atau spreadsheet.
    CHKSUM – utility yang mengkalkulasi 64-bit checksum untuk drive fisik atau lojik
    DISKIMAG – membuat copy image floppy untuk analisis
    FREESECS – Untuk mencari drive lojik spesifik tertentu untuk free space dan menyimpan informasi yang
    termuat di unnalocated space ke file..
    DISKDUPE– utility berbahasa assembly yang membuat copy forensik dari floppy disk
    DATASNIFFER- utility yang memotong file data dari file atau unused space (saat recovery dengan utility
    seperti FREESECS).
    Meski terdapat program khusus forensik yang tersedia, program seperti MS-DOS bisa merupakan tool forensik
yang berguna. Misal perintah DISKCOPY, DEBUG, UNDELETE, dan UNFORMAT.


14. Kesimpulan
     Komputer forensik menjadi topik yang hangat dalam dunia keamanan informasi. Memiliki perencanaan
penanganan insiden dan melindungi barang bukti dalam suatu komputer adalah krusial. Terdapat peningkatan
kepedulian pada keamanan, privacy dan masalah-masalah penyelidikan, tetapi begitu juga tindak kejahatan yang
terjadi. Teknologi-teknologi yang baru seperti komunikasi wireless akan terus berkembang, yang mana akan
memunculkan ancaman baru pada industri keamanan, termasuk komputer forensik dan penanganan insiden.
                                                   Referensi

1.   James J. Dougherty, “Computer Forensics”, SANS Institute, 2001
2.   John R. Dysart , “Learning from what Intruders Leave Behind”, SANS Institute, 2000
3.   Dan Farmer, “Bring out your dead”, Doctor Dobb’s Journal, 2001.
4.   Dan Farmer, “Help when broken into”, www.fish.com, 2001.
5.   Dan Farmer, “Help recovering file”, www.fish.com, 2001.
6.   Dan Farmer & Wietse Venema, “Computer Forensic Analysis Class Handouts”, IBM. TJ. Watson Research
     Centre, 1999.

				
DOCUMENT INFO
Shared By:
Categories:
Tags:
Stats:
views:3
posted:10/27/2011
language:Indonesian
pages:19