DIGITAL FORENSIK DAN PENANGANAN PASCA INSIDEN OLEH

Download Vol. 4 No.1 Juni 2011. ISSN : 1979 - 5408. Jurnal Ilmiah Abdi Ilmu. 460. Komputer Forensik. Defenisi komputer forensik menurut Vincent Liu ...

0 downloads 553 Views 901KB Size
DIGITAL FORENSIK DAN PENANGANAN PASCA INSIDEN Oleh: Zuhri Ramadhan Staf Pengajar Program Studi Teknik Komputer Fakultas Teknik UNPAB Medan ABSTRAK Digital Forensik merupakan bidang ilmu baru dalam dunia komputer yang berkembang pesat akhir-akhir ini dengan ditunjukannya berita-berita yang mengulas tentang kejahatan di bidang komputer serta semakin banyaknya buku-buku yang mengupas mengenai digital forensik, sehingga semakin menambah refrensi pengetahuan bagi peneliti-peneliti muda. Dengan lahirnya Undang-undang Informasi Transaksi Elektronik nomor 11 Tahun 2008, maka semakin membuat bidang ilmu ini menjadi perangkat wajib untuk membongkar kejahatan yang melibatkan dunia komputer, karena pada umumnya kejahatan komputer ini meninggalkan jejak digital, maka perlu adanya seorang ahli komputer forensik yang akan mengamankan barang bukti digital atau biasa disebut digital evidence. Komputer Forensik tentu memerlukan suatu standart operational procedure dalam mengambil bukti-bukti digital agar tidak terkontaminasi pada saat data di ambil dari digital evidence sehingga sangat memudahkan para ahli komputer forensik untuk melakukan pemulihan sistem pasca kerusakan. Kata Kunci: Digital Forensik, Digital evidence, Forensik Disk. Pendahuluan Dalam kamus Bahasa Inggris, forensik memiliki arti berhubungan dengan kehakiman atau peradilan, sementara dalam Kamus Besar Bahasa Indonesia, forensik merupakan cabang ilmu kedokteran yang berhubungan dengan penerapan fakta-fakta medis pada masalah-masalah hukum. Namun demikian istilah forensik adalah suatu proses ilmiah dalam mengumpulkan, menganalisa dan menghadirkan berbagai bukti dalam sidang pengadilan terkait adanya suatu kasus hukum. Bidang forensik sudah berkembang lama dan ini diawali oleh seorang tabib yang bernama Hi Duan Yu, yang dapat mengkategorikan bagaimana seseorang didapati meninggal. Metode forensik pun berkembang sampai pada akhirnya menggunakan DNA, tidak hanya sebatas subjek nya saja, akan tetapi bidang forensik meluas melibatkan teknologi, seiring maraknya kejahatan dibidang komputer dan kasus-kasus video asusila yang perlu dibuktikan keaslian video tersebut, untuk membongkar kasus-kasus kejahatan yang melibatkan dunia komputer, maka lahirlah istilah Komputer Forensik.

Vol. 4 No.1 Juni 2011

ISSN : 1979 - 5408

Komputer Forensik Defenisi komputer forensik menurut Vincent Liu dan Francis Brown, 2006, dalam makalah : K2 Bleeding Edge Anti Forensic, yang penulis sadur dari buku Anti Forensik, yakni Computer Forensics : Application of the scientific method to digital media in order to establish factual information for judicial review. Istilah lain komputer forensik adalah pengumpulan dan analisis data dari berbagai sumber daya komputer yang mencakup sistem komputer, jaringan komputer, jalur komu nikasi, dan berbagai media penyimpanan yang layak untuk diajukan dalam sidang pengadilan. Keberadaan ilmu komputer forensik ini sangat dibutuhkan saat sekarang apalagi dimasa mendatang, karena banyaknya kejahatan-kejahatan berbasis komputer/digital yang tidak dapat dibuktikan secara nyata, sehingga terkadang tidak diakui sebagai alat bukti di pengadilan untuk kasus-kasus seperti ini. Maka tidak heran di institusi seperti kepolisian memiliki departemen khusus untuk komputer forensik ini. Berbagai prilaku digital dan digitalisasi yang sudah merambah dalam setiap aktivitas manusia menjadi prilaku yang harus diamati dengan baik. Komputer forensik atau digital forensik banyak ditempatkan dalam berbagai keperluan, bukan hanya kasus-kasus kriminal yang melibatkan hukum. Secara umum kebutuhan komputer forensik dapat digolongkan sebagai berikut :  Keperluan investigasi tindak kriminal dan perkara pelanggaran hukum.  Rekonstruksi duduk perkara insiden keamanan komputer.  Upaya-upaya pemulihan akan kerusakan sistem.  Troubleshooting yang melibatkan hardware maupun software.  Keperluan untuk memahami sistem ataupun berbagai perangkat digital dengan lebih baik.

Konsentrasi Komputer Forensik Semakin kompleksnya tindak kejahatan dalam bidang komputer membuat bidang ilmu komputer forensik melebarkan kajian ilmu forensik dari berbagai aspek. Maka dari itu perlu adanya pembagian konsentrasi ilmu dalam bidang komputer forensik tersebut, ini ditujukankan agar dalam melakukan investigasi untuk mengungkap kejahatan bahkan memulihkan sistem pasca kerusakan dapat dengan mudah dilakukan, karena sudah dibagi kedalam beberapa konsentrasi yakni :  Forensik Disk  Forensik Sistem  Forensik Jaringan  Forensik Internet 460

Jurnal Ilmiah Abdi Ilmu

Vol. 4 No.1 Juni 2011

ISSN : 1979 - 5408

Forensik Disk, untuk konsentrasi ilmu yang satu ini sudah mulai berkembang, dimana forensik disk melibatkan berbagai media penyimpanan. Ilmu forensik yang satu ini sudah terdokumentasi dengan baik di berbagai literatur, bahkan profesional IT pun bisa menangani permasalahan forensik disk ini. Misalkan, mendapatkan file-file yang sudah terhapus, mengubah partisi harddisk, mencari jejak bad sector, memulihkan registry windows yang termodifikasi atau ter-hidden oleh virus dan lain sebagainya. Akan tetapi masih banyak profesional IT yang belum mengetahui bahwasanya prilaku tersebut di atas merupakan salah satu tindakan komputer forensik. Forensik Sistem, metode ini tentunya dekat dengan sistem operasi, dan yang pastinya konsentrasi ilmu ini masih sulit untuk dikaji lebih dalam, ini dikarenakan banyaknya sistem operasi yang berkembang saat ini, dimana sistem operasi memiliki karakteristik dan prilaku yang berbeda,misalnya saja berbagai file sistem, maka dari itu metode forensik yang ada sekarang ini masih sulit untuk disama-ratakan. Kendalanya yakni software pendukung yang ada sekarang dimana sebagai tool untuk membedah sistem operasi masih ber-flatform windows. Inilah yang menyebabkan masih perlunya pengembangan ilmu tersebut. Forensik Jaringan, adalah suatu metode menangkap, menyimpan dan menganalisa data pengguna jaringan untuk menemukan sumber dari pelanggaran keamanan sistem atau masalah keamanan sistem informasi. Jika kita berbicara tentang bagian yang satu ini, pastinya ini melibatkan OSI (Open System Interconnection) layer, yang menjelaskan bagaimana komputer dapat berkomunikasi. Hal ini tidak hanya melibatkan suatu sistem jaringan LAN akan tetapi dapat mencakup ke dalam sebuah sistem jaringan yang lebih besar. Forensik Internet, bidang ini lebih rumit lagi dari yang lainnya dikarenakan ada banyak komputer yang terhubung satu dengan yang lain dan penggunaannya dapat bersamaan tanpa memperhitungkan jarak sehingga dalam menelisik bagian ini membutuhkan teknik-teknik yang kompleks. Melalui forensik internet ini kita dapat melacak siapa yang mengirim e-mail, kapan dikirim dan sedang berada di mana si pengirim, hal ini dapat dilakukan mengingat semakin banyaknya e-mail palsu yang meng-atasnamakan perusahaan tertentu dengan modus undian berhadiah yang akan merugikan si penerima e-mail, atau juga banyak e-mail yang bernada ancaman. Maka dari itu forensik internet menjadi suatu ilmu yang sangat menjanjikan dalam mengungkap fakta-fakta dan mengumpulkan bukti. Digital Evidence Evidence yang dimaksud dalam kasus forensik pada umumnya tidak lain adalah informasi dan data. Cara pandangnya sama saja, tetapi dalam kasus komputer forensik, kita mengenal subjek tersebut sebagai Digital Evidence. Semakin kompleksnya konteks digital evidence dikarenakan faktor media yang melekatkan data. Format pun akan mempengaruhi cara pandang kita Jurnal Ilmiah Abdi Ilmu

461

Vol. 4 No.1 Juni 2011

ISSN : 1979 - 5408

terhadap digital evidence, misalnya digital evidence berupa dokumen, yang umumnya dikategorikan ke dalam tiga bagian, antara lain :  Arsip ( Archieval Files )  File Aktif ( Active Files )  Residual Data ( Disebut pula sebagian data sisa, data sampingan atau data temporer ) File yang tergolong arsip dikarena kebutuhan file tersebut dalam fungsi pengarsipan, mencakup penanganan dokumen untuk disimpan dalam format yang ditentukan, proses mendapatkannya kembali dan pendistribusian untuk kebutuhan yang lainnya, misalnya beberapa dokumen yang didigitalisasi untuk disimpan dalam format TIFF untuk menjaga kualitas dokumen. File aktif adalah file yang memang digunakan untuk berbagai kepentingan yang berkaitan erat dengan kegiatan yang sedang dilakukan, misalnya file-file gambar, dokumen teks, dan lain-lain. Sedangkan file yang tergolong residual mencakup file-file yang diproduksi seiring proses komputer dan aktivitas pengguna, misalkan catatan penggunan dalam menggunakan internet, database log, berbagai temporary file, dan lain sebagainya. Digital evidence tersebar dalam berbagai media dan konteksnya, untuk itu diperlukan kejelian yang lebih daripada sekedar mengklasifikasikan data untuk tujuan forensik. Perlu diingat pula, semakin banyak peripheral atau device yang diintegrasikandalam sistem komputer, tentu akan semakin kompleks dan melibatkan banyak pertimbangan untuk mengangkat digital evidence. Itu merupaka salah satu kendala dalam pengaksesan file-file yang akan dijadikan bukti-bukti. Berikut adalah kendala lain yang mungkin terjadi di lapangan pada saat investigasi untuk mengambil data :  File terkompresi  Salah menamakan file secara disengaja atau tidak  Salah dalam memberikan file format, secara disengaja atau tidak  File yang diproteksi password  Hidden Files  File terenkripsi  Steganography Pemodelan Komputer Forensik Model di dalam ilmu forensik pada umumnya dapat diterapkan di berbagai bidang, dan model ini melibatkan tiga komponen yang dirangkai, diberdayakan dan dikelola sedemikian rupa menjadi tujuan akhir dengan segala kelayakan dan kualitas. Tiga komponen ini mencakup : 462

Jurnal Ilmiah Abdi Ilmu

Vol. 4 No.1 Juni 2011

ISSN : 1979 - 5408

 Manusia ( people )  Peralatan ( equipment )  Aturan ( protocol )

Gambar 1. Komponen Jaminan Kualitas Manusia yang diperlukan dalam komputer forensik merupakan pelaku yang tentunya diperlukan kulaifikasi tertentu untuk mencapai kualitas yang diinginkan. Memang mudah untuk belajar komputer forensik, tetapi untuk menjadi seorang expert lain ceritanya, dibutuhkan lebih dari sekedar pengetahuan melainkan experience yang membuatnya dikatakan sebagai seorang ahli. Ada tiga kelompok sebagai pelaku komputer forensik, Collection Specialist, Examiner dan Investigator. Collection Specialist bertugas untuk mengumpulkan barang bukti berupa digital evidence. Untuk tingkatan examiner hanya memiliki kemampuan sebagai pengujian terhadap media dan mengekstrak data. Sedangkan investigator sudah kedalam tingkatan ahli atau sebagai penyidik. Peralatan pun harus digunakan sedemikiann rupa untuk mendapatkan bukti-bukti (evidence) yang berkualitas. Ada banyak yang dibutuhkan melibatkan perangkat lunak yang spesifik dan berbagai perangkat keras juga berbagai media penyimpanan dalam menangani data-data nantinya. Aturan merupakan komponen yang paling penting dalam pemodelan komputer forensik, aturan dalam menggali, mendapatkan, menganalisa dan akhirnya menyajikan dalam laporan - laporan. Aturan dalam komputer forensik yang harus dijalankan oleh seorang ahli mencakup ke dalam empat fase, antara lain :  Pengumpulan  Pengujian  Analisa  Laporan

Jurnal Ilmiah Abdi Ilmu

463

Vol. 4 No.1 Juni 2011

ISSN : 1979 - 5408

Gambar 2. Fase Komputer Forensik Pengumpulan adalah langkah pertama dalam proses forensik untuk mengidentifikasi sumber-sumber potensial dan bagaimana kemudian data dikumpulkan. Pengumpulan ini melibatkan proses dan metode yang semakin kompleks karena perkembangan teknologi yang demikian pesat, ada banyak komputer, ada banyak ragam media penyimpanan dan ada banyak jaringan komputer dengan segala teknologi yang dilekatkan terhadapnya. Tentunya kerumitan ini memerlukan penanganan yang berbeda-beda. Setelah melakukan proses pengumpulan data, langkah lebih lanjut adalah melakukan pengujian, mencakup dalam menilai dan mengekstrak informasi yang relevan dari data-data yang dikumpulkan. Begitu informasi diekstrak, examiner melakukan analisa untuk merumuskan kesimpulan dalam menggambarkan data. Analisa yang dimaksud tentunya mengambil pendekatan metodis dalam menghasilkan kesimpulan yang berkualitas didasarkan pada ketersediaan data. Dokumentasi dan laporan adalah tahap akhir dari komputer forensik, dalam tahap ini kita me-representasikan informasi yang merupakan hasil dari proses analisis. Bedah Komputer Forensik Dalam melakukan bedah komputer, perlu kita ketahui bagian apa yang harus kita bedah dalam mengumpulkan informasi, di bab sebelumnya sudah dibahas prihal empat konsentrasi dalam komputer forensik dan pada bagian ini, yang di bedah adalah Forensik Disk. Windows Registry Ketika kita mengakses registry windows, dalam proses forensik ini disebut juga dengan pembedahan komputer, karena registry merupakan konfigurasi sistem yang substansial dab merupakan single logical dan store. Pada dasarnya registry 464

Jurnal Ilmiah Abdi Ilmu

Vol. 4 No.1 Juni 2011

ISSN : 1979 - 5408

dibagi ke dalam tiga basisdata yang terpisah dan dialokasikan untuk menangani user, sistem dan pengaturan jaringan, dimana bagian-bagian ini menyimpan informasi yang sangat penting. Untuk melakukan pembongkaran registry sebaiknya harus diketahui terlebih dahulu struktur daripada registry windows. Registry terdiri dari tujuh root key yakni :  HKEY_CLASSES_ROOT  HKEY_CURRENT_USER  HKEY_LOCAL_MACHINE  HKEY_USERS  HKEY_CURRENT_CONFIG  HKEY_DYN_DATA  HKEY_PERFORMANCE_DATA Pada registry ini akan dilihat apa-apa saja informasi yang tersimpan di dalam nya, misalkan melihat aktivitas internet dapat mengakses registry key sebagai berikut : HKEY_CURRENT_USER\Software\Microsoft\ InternetExplorer\TypedUrl

Gambar 3. HKCU\Software\Microsoft\InternetExplorer\TypedUrl Untuk melihat beberapa device yang terintegrasi pada komputer dapat mengakses registry key sebagai berikut : HKEY_CURRENT_USER\ Software\Microsoft\WindowsNT\CurrentVersion\Device

Gambar 4. HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Device Hal lain yang dapat dianalisa dari registry windows, misalnya mengetikkan command pada run command windows tercatat pada registry. Untuk Jurnal Ilmiah Abdi Ilmu

465

Vol. 4 No.1 Juni 2011

ISSN : 1979 - 5408

dapat mengaksesnya melalui registry key sebagai berikut : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explor er\RunMRU

Gambar 5. KCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU Penanganan Pasca Kerusakan Dalam memperbaiki sebuah sistem yang mengalami kerusakan perlu adanya peralatan berupa software untuk memulihkan sistem yang rusak. Kerusakan sistem yang terjadi bisa diakibatkan faktor kecerobohan manusia maupun virus yang menginfeksi komputer tersebut dan perlu diketahui juga bagian-bagian dari komputer yang harus dipulihkan. Pada bagian ini akan diberikan contoh sederhana kerusakan pada registry yang telah dimodifikasi, bisa dikarenakan virus dan bisa juga disengaja dimodifikasi. Dan untuk penanganan kerusakannya dapat menggunakan software anti virus Smadav versi 8.3.4. Kasus yang terjadi adalah icon recycle bin pada desktop berubah nama menjadi “Gudang Virus”

Gambar 6. Contoh kasus Jika kejadiannya seperti ini, seorang investigator biasanya sudah dapat menganalisis penyebab dan cara pemulihannya. Ada dua faktor penyebab, yakni bisa karena virus dan bisa karena disengaja oleh user. Dan yang perlu diketahui adalah jika ini disebabkan karena virus biasanya tujuan utama seorang pembuat virus adalah registry windows, karena dengan bagian ini virus dapat 466

Jurnal Ilmiah Abdi Ilmu

Vol. 4 No.1 Juni 2011

ISSN : 1979 - 5408

melumpuhkan sistem komputer dengan merusak, memodifikasi atau meng-hidden registry tersebut. Untuk penanganan kasus ini, dapat di gunakan anti virus Smadav 8.3.4. maka lakukan scanning terhadap komputer yang terinfeksi.

Gambar 7. Hasil scanning Smadav Dari hasil scanning di atas dapat dibuktikan bahwa ada dua registry yang terinfeksi, bisa juga dikatakan termodifikasi. Untuk lebih membuktikan registry mana yang terinfeksi dapat dilihat pada gambar berikut.

Gambar 8. Registry yang terinfeksi Pada gambar di atas terlihat registry yang terinfeksi adalah file default dan LocalizedString pada key HKCR\CLSID\HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F0800AA002F954E}. Kemudian klik Repair All untuk memulihkan registry yang terinfeksi tersebut. Maka setelah di refresh, icon recycle bin akan kembali seperti semula. Jurnal Ilmiah Abdi Ilmu

467

Vol. 4 No.1 Juni 2011

ISSN : 1979 - 5408

Kesimpulan Masih banyak lagi bidang ilmu Komputer Forensik yang harus digali pengetahuannya lebih dalam, karena bidang ini sudah menjadi bagian yang sangat penting dalam mengungkap kejahatan-kejahatan komputer. Ini tidak terlepas akan hal tersebut, dikarenakan ilmu pengetahuan yang semakin maju pesat ditambah dengan akhlak manusia yang semakin merosot dan jauh dari nilai-nilai Agama. Kiranya perlu adanya monitoring dari setiap aktivitas manusia yang menyangkut kepentingan masyarakat, apalagi dengan adanya akses internet yang mudah, bahkan dari telepon selular, orang dapat mengakses apa saja yang ada di dunia ini. Komputer Forensik yang dibahas dalam makalah ini adalah hal yang sangat minor dari keseluruhan aspek yang ada. Maka dari itu perlu adanya penelitian yang lebih lanjut demi perkembangan ilmu pengetahuan dan teknologi masa yang akan datang. Dengan adanya UU ITE No. 11 Tahun 2008 menjadikan landasan masyarakat untuk melakukan segala aktivitas yang menyangkut informasi transaksi elektronik, agar semua berjalan sesuai koridor dan payung hukum yang sudah ditetapkan. Satu hal lagi yang sangat penting adalah dengan adanya UU ITE tersebut tidak serta merta membuat setiap orang menjadikan dirinya sebagai pelaku dalam Komputer Forensik, sudah ada aturan-aturan yang ditetapkan untuk menjadi pelaku Komputer Forensik, hanya aparat yang berwenang dalam hal ini pihak Kepolisian, Kejaksaan dan KPK lah yang berhak dalam melakukan investigasi untuk menganmbil bukti-bukti digital evidence dari orang lain, terkecuali telah ditunjuk oleh pihak yang berwenang tersebut. Maka dari itu disarankan untuk tidak sembarangan melakukan tindakantindakan pada bab-bab sebelumnya di atas untuk kepentingan pribadi terkecuali demi pembelajaran guna pengembangan ilmu pengetahuan dan teknologi.

Daftar Pustaka Aryawan, Eko, Smitdev Community., Anti Forensik., Elex Media Komputindo., Jakarta., 2010. Arryawan, Eko, Smitdev Community., Metadata Undercover., Elex Media Komputindo., Jakarta., 2010. Hakim.S,Rachmad., Rahasia Jebol Password., Elex Media Komputindo., Jakarta., 2010. Ramadhan, Zuhri., Modul Optimalisasi Registry Chapter 9th., Universitas Pembangunan Panca Budi., Medan., 2010 Sanusi, Muzamil., Teknik Membobol Data dan Password., Elex Media Komputindo., Jakarta., 2008. Sulianta, Feri., Komputer Forensik., Elex Media Komputindo., Jakarta., 2008. 468

Jurnal Ilmiah Abdi Ilmu