Digital Forensik pada Kasus Penyusupan dalam Networking (Internet)

Ditulis sebagai Tugas Mata Kuliah Teknologi Informasi Lanjut - Program Pasca Sarjana MMSI (SIB 36) - Univ. Gunadarma

Dosen : TB. Maulana, Dr.,

Anggota Kelompok :

1. Bayoe Gaoetama Poetra ( 92209003 )
2. Nurul Adhayanti ( 92209018 )
3. Indra Setyawan ( 92209009 )
4. Dede A. Muhajirin (92209005)

---

Digital Forensik pada Kasus Penyusupan dalam Networking (Internet)

Digital Forensik mulai dikenal dengan hadirnya UU Cybercrime yang kita kenal dengan UU ITE No. 11 Tahun 2008. Digitial Forensik jika dilihat keterkaitannya dari UU ITE merupakan satu-satu nya cara untuk melakukan pembuktian akan pelanggaran UU ITE tersebut.

Sedangkan definisi dasar dari Digital Forensik adalah satu cabang ilmu forensik yang berkaitan dengan bukti ilegal yang ditemukan pada media penyimpanan data digital, seperti hardisk, flashdisk, floppy disk, disc dan lain-lain. Tujuan dari ilmu digital forensik ini adalah untuk menjabarkan analisa dari suatu artefak digital.

Forensic

Proses forensik setidaknya akan melibatkan 3 komponen yang harus di kelola dengan baik sehingga membentuk hasil akhir yang layak untuk di pertanggung jawabkan kebenarannya. Ketiga komponen tersebut adalah :

1. Manusia (People), diperlukan kualifikasi¬ untuk mencapai manusia yang berkua-litas. Memang mudah untuk belajar komputer forensik, tetapi untuk menjadi¬ ahlinya, dibutuhkan lebih dari sekadar pengetahuan dan pengalaman.
2. Peralatan (Equipment), diperlukan sejumlah perangkat atau alat yang tepat untuk mendapatkan sejumlah bukti (evidence) yang dapat dipercaya dan bukan¬ sekadar bukti palsu.
3. Aturan (Protocol), diperlukan dalam menggali, mendapatkan, menganalisis, dan akhirnya menyajikan dalam bentuk laporan yang akurat. Dalam komponen aturan, diperlukan pemahaman yang baik dalam segi hukum dan etika, kalau perlu dalam menyelesaikan sebuah kasus perlu melibatkan peran konsultasi yang mencakup pengetahuan akan teknologi informasi dan ilmu hukum.

Dalam proses investigasi komputer yang diyakini telah disusupi, biasanya akan memerlukan waktu lebih lama daripada proses penyusupan itu sendiri. Sebagai ilustrasi, jika sebuah usaha hacking untuk mengambil alih sebuah system membutuhkan waktu sekitar 2 jam, maka proses investigasi insiden yang terjadi dapat membutuhkan waktu 40 jam (mungkin juga lebih) untuk mendapatkan ‘false-positive report’ dan pengumpulan catatan segala aktifitas dari sistem tersebut. Waktu yang dialokasikan tersebut belum termasuk aktivitas memperbaiki dan mengembalikan (restoring) data yang kemungkinan besar ikut hilang pada proses intrusi.

Proses Pengumpulan Data

Dalam bidang digital forensik, untuk melakukan proses investigasi, seorang investigator yang bertanggung jawab atas masalah bidang penyusupan sistem prosedur-nya akan melakukan langkah-langkah yang serupa dengan aparat kepolisian yang sedang menginvestigasi kasus pembunuhan, yaitu mengumpulkan semua bukti dan petunjuk yang berhubungan dengan kasus tersebut.
Informasi sebuah penyusupan umumnya terdapat pada “hard disk” dari sistem. Pengumpulan bukti dilakukan dengan membuat digital image (salah satu cara adalah melakukan penggandaan seluruh isi hardisk hardisk lain) dari sistem yang disusupi untuk menjaga keaslian informasi selama proses investigasi. Secara ideal, investigator akan membuat sistem tersebut offline dan menyimpan disk asli sebagai bukti dan melakukan analisis pada salinan disk berupa image.

Tool kit atau peralatan yang membantu untuk pengujian digital forensik memungkinkan untuk mengumpulkan dan analisis data, seperti TCPdump, Ethereal, Argus, NFR, tcpwrapper, sniffer, nstat, tripwire, diskcopy (/v pada DOS), DD pada Unix. Karena ahli hukum percaya bit lebih mudah dipalsukan daripada kertas, maka aturan utamanya adalah “preserve then examine” . Melalui kakas ini beberapa data yang dapat dijadikan bukti adalah : ip address, nomor port, protokol, nama file, waktu akses dan sebagainya.

Berikut ini contoh hasil penangkapan log file bahwa ada sebuah aktifitas penetrasi ke komputer korban oleh penyusup (ip 192.168.0.6) dengan aplikasi analisa jaringan yaitu tcpdump versi linux :

root@slacker:~# tcpdump -n -ttcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
IP 192.168.0.6 > 192.168.0.16: ICMP echo request, id 64527, seq 1, length 64
IP 192.168.0.16 > 192.168.0.6: ICMP echo reply, id 64527, seq 1, length 64
arp who-has 192.168.0.6 tell 192.168.0.16
arp reply 192.168.0.6 is-at 00:1e:ec:c4:86:67
IP 192.168.0.6.57615 > 192.168.0.16.22: S 373530827:373530827(0) win 5840 192.168.0.6.57615: R 0:0(0) ack 373530828 win 0arp who-has 192.168.0.16 tell 192.168.0.6
arp reply 192.168.0.16 is-at 00:d0:09:be:8b:81
IP 192.168.0.6.38962 > 192.168.0.16.23: S 691220934:691220934(0) win 5840 192.168.0.6.38962: S 410286478:410286478(0) ack 691220935 win 5792 192.168.0.16.23: . ack 1 win 92IP 192.168.0.6.38962 > 192.168.0.16.23: P 1:28(27) ack 1 win 92
IP 192.168.0.16.23 > 192.168.0.6.38962: . ack 28 win 362 192.168.0.6.38962: P 1:13(12) ack 28 win 362 192.168.0.16.23: . ack 13 win 92 192.168.0.6.38962: P 13:52(39) ack 28 win 362
Banyak admin panik langsung mematikan sistem dan menghapus kesalahan sehingga sistem bisa up (dihidupkan) kembali. Tetapi sebaiknya lakukan langkah yang tepat untuk menyimpan bukti dengan cara menyimpan kondisi memori, kondisi file temporar, kondisi soket terbuka dan lain sebagainya. Pada dunia komputer forensik ini yang dikenal membuat “snapshot” dari sistem yang sedang berjalan. Setelah itu baru memeriksa sistem yang ada. Teknik mesin virtual saat ini memungkinkan kita menjalankan “image” sistem dengan snapshoot berjalan seperti kondisi tersebut.
Sejumlah software, seperti EnCase, yang dikembangkan oleh Guidance Software Pasadena, Linux DD yang pernah digunakan oleh FBI (Federal Bureau Investigation)¬ dalam kasus Zacarias Moussaoui, dan Jaguar¬Forensics Toolkit, yaitu sebuah tool yang diperkaya dengan beberapa¬ feature menarik, seperti generator report untuk memenuhi kebutuhan komputer forensik

Gambar 1 ScreenShot JaguarForensics

Setelah image disimpan baru lakukan proses analisis forensik standard. Dalam melakukan proses forensik ada kaidah utama yang diterapkan yaitu “Chain of custody” artinya setiap langkah yang dilakukan, siapa, bagaimana dan hasilnya harus tercatat rapih. Data-data lain yang dapat dijadikan sumber analisa adalah sebagai berikut ;

Metadata

Pembuatan salinan disk berupa image harus dilakukan secepat mungkin untuk menjaga integritas dari bukti penyusupan karena setiap user yang memiliki akses dapat menghilangkan atau mengacaukan bukti kejahatan dengan melakukan proses overwrite pada file. Bahkan pada back-up system yang dilakukan secara reguler dapat memodifikasi waktu pada sistem seperti ‘last accessed’, ‘last modified’ dan ‘create’ sebuah file.
Beberapa aplikasi bahkan dapat memberikan ‘null point’ pada ‘time-accessed logs’. Contohnya sebuah file “rahasia.doc” mempunyai catatan kapan dibuat, kapan terakhir diakses, kapan terakhir dimodifikasi, jika seorang maling berhasil masuk ke dalam sistem dapat mengakses file “rahasia.doc” maka catatan-catatan yang tadi dijelaskan akan berubah, dan si maling lupa untuk menghapus jejak catatan yang ditingalkannya, lalu kemudian si maling tersadar terlebih dahulu sebelum kita melakukan pembuatan disk salinan berupa image, maka si maling dapat mengacaukan bukti kejahatannya. Informasi tentang waktu pembuatan, terakhir diakses, atau terakhir dimodifikasi disebut dengan metadata.

Log Files

Selanjutnya yang harus dilakukan dalam proses digital forensik adalah mengumpulkan sebuah bukti terjadinya penyusupan pada sistem. Lalu menetapkan rantai penyidikan (chain-of-custody). Beberapa dokumen harus disiapkan untuk menyimpan bukti penyidikan yang akan digunakan di pengadilan.


References :

• en.wikipedia.org/wiki/Computer_forensics
• www.tandf.co.uk/15567281
• ComputerForensics Part 1. Information Security and Forensics Society (ISFS), April 2004, http://www.isfs.org.hk
• logsmylife.wordpress.com