Rangkuman Bab 5 dan Bab 6 Buku Digital Forensik

Dibawah ini adalah rangkuman Bab 5 dan Bab 6 Buku Digital Forensik ditulis oleh kelompok 6 yang beranggotakan : Aby Arya Fakhri, Ananda Prasetya, Fajar Guna Masum, Saddam Hussein, Yahya.


SKILL INVESTIGASI

Yang diperlukan seorang ahli komputer forensik tidak cukup sekedar pengetahuan tentang teknologi informasi, diperlukan pemahaman akan proses forensik yang dimampukan oleh manusia, perangkat forensik dan aturan.

Berikut pembahasan tentang penanganan data untuk keperluan investigasi komputer forensik.

DATA FILE

Data dalam komputer dikemas dalam file, maka dari itu disebut sebagai data file. Ada banyak sekali jenis dan ragam file.

Sebelum digunakan, media penyimpanan harus melalui proses format dan partisi untuk membagi media secara logika. Terdapat istilah logical volume, yang memaksudkan kumpulan partisi dipandang sebagai satu entitas dan telah diformat atas dasar file system.

Berikut pemahaman mengenai file system:

1.       Menggunakan struktur data untuk mengacu pada lokasi file di media penyimpanan.

2.       Mempengaruhi bagaimana data disimpan.

3.       File allocation unit merupakan kumpulan sektor-sektor, yang merupakan unit terkecil pada media penyimpanan.

File system memiliki macam sebagai berikut:

1.       FAT12

2.       FAT16

3.       FAT32

4.       NTFS

5.       High-Performance File System (HPFS)

6.       Second Extended File System (ext2fs)

7.       Third Extended File System (ext3fs)

8.       Hierarchical File System (HFS)

9.       HFS Plus

10.   UNIX File System (UFS)

11.   Compact Disk File System (CDFS)

12.   International Organization of Standarization (ISO) 9660

Data-data yang ada pada media penyimpanan yang dihapus tidak sepenuhnya hilang dari media penyimpanan. Saat proses penghapusan selesai, file hanya terhapus secara logika bukan secara fisik. Salah satu aplikasi yang mampu mengontruksi file yang sudah terhapus adalah iCare, sebuah software data recovery terhadap ragam format data, mencakup image, dokumen, file audio, file arsip, folder atau direktori bahkan media penyimpanan yang rusak.

SLACK SPACE dan FREE SPACE

Slack space pada media penyimpanan merupakan lokasi yang tidak terpakai dan dikelola mengacu pada File System yang digunakan.

Sedangkan free space merupakan lokasi penyimpanan yang dapat digunkaan kemudian, tetapi tidak kosong, mungkin ada data di dalamnya karena proses delete.

Ada dua teknik yang digunakan untuk copy file dari media penyimpanan, yaitu:

1.       Logical Backup (hanya copy file dan direktori yang secara logika tersimpan pada media penyimpanan).

2.       Bit stream imaging (proses copy mencakup free space dan slack space).

Informasi penting yang perlu diidentifikasi untuk menjelaskan aktivitas user dalam menggunakan data, yaitu:

1.       Informasi waktu modifikasi.

2.       Informasi waktu pengaksesan.

3.       Informasi waktu pembuatan suatu file.

MENGEKSTRAK DATA

Dalam proses ekstraksi data, Anda harus tahu file apa saja yang ada di dalamnya. Untuk mengetahuinya bisa melihat pada extention file tersebut. Dan cara paling jitu untuk mengetahui file tersebut dengan melihat file header information file tersebut.

Jika menggunakan software forensik, terdapat beberapa fungsi fitur sehubungan penanganan data file, yakni:

1.       File viewer (menampilkan konten sebuah file).

2.       File non-kompresi (uncompressing files).

3.       Menampilkan struktur direktori dalam interface grafis.

4.       Mengidentifikasi file yang tidak dikenal.

5.       Melakukan pencarian terhadap string atau pola tertentu.

6.       Mengakses metadata.

ANALISIS

Berbagai tool forensik dapat digunakan untuk proses analisis. Pada proses ini kita dapat mengetahui kapan kejadian terjadi, kapan waktu file dibuat atau dimodifikasi, serta kapan e-mail dikirimkan.

Data Sistem Operasi dan Data Software Aplikasi

Dalam memandang data dalam sistem operasi, umumnya digolongkan menjadi dua bagian, yaitu data volatile dan non-volatile.

Yang tergolong data volatile yaitu:

1.       File konfigurasi

Menyimpan informasi yang berkenaan setting sistem operasi dan program aplikasi. Juga berupa Akun User dan grup, File password dan schedule task.

2.       Log file

Berisi aktivitas dari sistem operasi dan aktivitas spesifik dari program aplikasi. Log yang disimpan dapat berua System event, Audit record, Application events, Command history dan Recently accessed file.

3.       Application file

Program aplikasi terdiri dari banyak file yang terintegrasi.

4.       Data file

Yang digunakan untuk menyimpan informasi dari program aplikasi.

5.       Swap file

File ini digunakan untuk memperluas kemampuan memori komputer.

6.       Dump file

File yang menyimpan isi dari memori komputer.

7.       Hibernation files

File ini diciptakan untuk menjelaskan sistem saat ini dan akan di-restore saat sistem kembali dinyalakan kembali).

8.       Temporary file

File ini diciptakan saat proses instalasi sistem operasi, instalasi program aplikasi, proses update. Umumnya akan dihapus setelah software aplikasi ditutup.

Data Volatile

            Yang termasuk data volatile yaitu :

1.                  Slack replace

2.                  Free space

3.                  Network configuration

4.                  Network connection

5.                  Running process

6.                  Open file

7.                  Login session

8.                  Operating system time (waktu pada system operasi)

            Dari karakteristik data sistem operasi tentunya dibedakan dalam mengumpulkan data volatile dan non-volatile.

            Jenis data volatile OS :

1.                  Content of memory (data yang ada pada memori komputer atau RAM)

2.                  Network configuration

3.                  Network connection

4.                  Running process

5.                  Open file

6.                  Login session

7.                  Operating system time

            Prioritas dalam mengumpulkan data harus diamati dengan baik. Data yang lebih berpeluang hilang harus mendapatkan penanganan segera. Dalam prosesnya, analisis terhadap sistem operasi mungkin melibatkan perangkat spesifik lainnya. Tips dan masalah yang muncul dalam mengumpulkan data antara lain :

1.                  OS access

2.                  Log modification

3.                  Hard Drives dengan flash memory

4.                  Key remmaping

            Kompleksitas penilaian data akan bertambah sewaktu melibatkan data aplikasi, data jaringan komputer dan berbagai sumber lainnya dengan banyak lapisan dengan interface perangkat keras dan aplikasi.

5.2  Pemahaman dengan Skill

            Berikut ini poin penting menyangkut tindakan komputer forensik dan pola piker ahli komputer forensik :

1.                  Bukan efisiensi, tetapi efektivitas yang menjadi prioritas.

2.                  Organisasi harus memperhatikan kompleksitas teknis yang logis dan analisis forensik.

3.                  Organisasi harus mampu menangani bukan hanya komputer forensik saja, tetapi mencakup network forensik.

4.                  Oragnisasi harus mampu menentukan petugas yang harus menangani pekerjaan penyidikan termasuk aspek forensik.

5.                  Examiner harus memiliki pengetahuan teknis yang memadai.

6.                  Tim forensik harus memiliki kemampuan forensik yang kuat.

7.                  Anggota tim harus berpartisipasi dalam proses forensik.

8.                  Pertimbangan forensik harus melibatkan pula berbagai kebijakan.

9.                  Organisasi harus membuat dan mengelola presedur untuk aktivitas forensik.

10.              Examiner harus memiliki forentic toolkit yang digunakan untuk pengumpulan data, pemeriksaan dan analisis.

11.              Organisasi harus menyediakan sarana dan prasarana penyimpanan.

12.              Organisasi harus mampu menangani kasus forensik secara konsisten.

13.              Organisasi secara proaktif mengumpulkan data-data yang berguna.

14.              Examiner harus memerhatikan bermacam sumber data dan memperlihatkan dengan seksama ragam file format.

15.               Examiner harus mempertimbangkan semua data yang melibatkan aplikasi yang digunakan.

16.              Pengumpulan data hendaknya megikuti proses yang sudah distandarisasi oleh organisasi.

17.              Examiner harus menangani data volatile sistem operasi.

18.              Examiner menggunakan forentic toolkit yang tepat untuk mengumpulkan data volatile dari sistem operasi.

19.              Examiner harus menjalankan metode untuk mematikan sistem dengan tepat.

20.              Lakukanlah verifikasi integritas data.

21.              Permeriksaan dilakukan hanya pada data hasil duplikasi.

22.              Examiner harus memerhatikan ketelitian dan keakuratan nilai dari data.

23.              Dalam analisis data, examiner mengandalkan pengenal berupa file header information yang dapat dimanipulasi.

24.              Fokus terhadap karakteristik dan berbagai perlakuan yang akan memengaruhi hasil forensik.

25.              Gunakan metodologi dalam mempelajari data.

26.              Organisasi harus memahami bahwa hal teknis dan kompleksitas dapat muncul seiring dengan proses analisis.

27.              Examiner mampu menyajikan data dari berbagai sumber.

28.              Examiner harus meninjau ulang proses dan pengerjaan yang sudh dilakukan.

29.              Examiner harus mampu mengumpulkan data aplikasi dari macam sumber.

5.3 Konsep Investigasi

            Tindak kriminal dengan segala macam aktivitas yang dilakukan tidak sebegitu mudahnya dipecahkan hanya berdasarkan pengalaman menggunakan komputer dengan baik. Pengalaman dalam menangani kasus membuar seorang examiner makin matang. Di samping itu, examiner harus berurusan dengan bukti yang tergolong rentan hilang dan rusak. Pembiasan atau hilangnya data sangat dimungkinkan terjadi karena beberapa faktor, yaitu :

1.                  Pemakain melakukan perubahan terhadap bukti.

2.                  Bukti sangat mudah dirusak atau dimodifikasi.

3.                  Kesalahan dalam menangani data dan media penyimpanan akan sangat berpengaruh terhadap data yang menjadi bukti.

            Penanganan yang saksama dibutuhkan. Banyak pertimbangan lain yang terlibat sewaktu kasus melibatkan lingkungan yang lebih luas, yaitu pada internet. Waktu, tanggal dan wilayah waktu akan menjadi sangat diperhitungkan.

            Aksi kkriminal pun semakin rapi dan terorganisasi, mungkin sudah direncanakan dengan baik. Examiner harus teliti mengalamati aktivitas dan perilaku, misalnya saja yang dilakukan (dalam ruang lingkup internet, sebaran data melebar dan melibatkan pula kebutuhan informasi yang tersimpan pada ISP) sebab berikut :

1.                  Berbagai informasi dan bertransaksi

2.                  Memalsukan identitas

3.                  Menggunakan identiitas lain.

4.                  Sewaktu mendistribusikan informasi atau mendistribusikan informasi yang sah.

5.                  Alokasi data pada workstation, server atau organisasi lain.

6.                  Bagaimana seandainya tindak kriminal melibatkan pula jalinan komunikasi.

7.                  Catatan pada Internet Service Provider.

BEDAH KOMPUTER FORENSIK

Banyak hal yang dapat diketahui dengan mengakses komputer seseorang seperti jejak – jejak yang dilakukan oleh pengguna, website yang dikunjungi, e-mail yang tersimpan di temporary internet file.

Semua hal yang dilakukan tercatat pada log file modem yang terletak pada control panel, dan data tersebut dapat dilihat dan diakses. Pada webrowser website apa saja yang dikunjungi akan tercatat pada history. Ketika menghapus history dan file tentu saja semua tidak selalu terhapus, terkadang masih tersempan dan dapat dikembalikan. Ketika anda mendownload apapun dari internet URL-nya tercatat pada software yang anda gunakan untuk download. File apa yang terakhir anda aksespun tercatat pada utilitas windows.

Windows registry juga dapat mencatat apa saja tentang software dan hardware yang tercatat pada komputer, penting untuk memahami struktur dari windows registry agar dapat memahaminya. Registry terpisah menjadi 3 database yaitu user, sistem, pengaturan kebijakan. Microsoft menyatakan registry digunakan sebagai hub untuk menyimpan data, disini ilmu forensic dapat digunakan untuk menggali data lebih dalam. Untuk mengakses registry dapat menggunakan command run mengetikan “regedit”.

Registry terdapat tujuh key yang terdiri dari:

1.                  HKEY_USERS: berisi tentang informasi user, konfigurasi aplikasi dan setting visual.

2.                  HKEY_LOCAL_MACHINE: informasi spesifik komputer yang berhubungan langsung dengan sistem informasi .

3.                  HKEY_CLASSES_ROOT: informasinya tergolong sama dengan reg.dat.

4.                  HKEY_CURRENT_USERS;  key ini berhubungan langsung dengan user yang saat ini login atau user yang digunakan pada saat ini.

5.                  HKEY_CURRENT_CONFIG: key ini digunakan untuk menyimpan konfigurasi pada saat ini.

6.                  HKEY_DYN_DATA: berisi status pada device pulg-and-play

7.                  HKEY_PERFORMANCE_DATA: key ini menyediakan dukungan sistem monitoring

Untuk yang tidak biasa mengakses registry akan sulit melihatnya beberapa aplikasi untuk memberikan kemudahan kepada pengguna.

Contohnya pass view, berikut beberapa contoh yang dapat digunakan:

1.                  Outlook password

2.                  Password autocomplete pada internet explorer

3.                  Password protected pada IE

4.                  Password pada MSN

Untuk melihat aplikasi yang dijalankan sewaktu sistem operasi dijalankan setelah perangkat dihidupkan dapat melalui:

1.    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

2.    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer

3.    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows

4.    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run

5.    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunOnce

6.    %AppData%\Start Menu\Programs\Startup\

dapat diperhatikan bahwa ada beberapa aplikasi yang akan bekerja ketika perangkat dihidupkan (start up). Dalam contoh diatas aplikasi Discord, Skype, dan Steam akan dengan sendirinya. Informasi-informasi seperti serupa dapat dilihat melalui windows registry. Ada hal-hal lain yang dapat dilakukan melalui windows registry seperti menganalisa berbagai media penyimpan yang pernah diintegrasikan dengan sistem komputer seperti USB flashdisk, printer, scanner dan lainnya. Command pada Run Command Windows untuk mengakses executable application akan tercatat pada windows registry, registry tersebut dapat dilihat melalui HKEY_CURRENT_USER.

Segala aktivitas yang dilakukan dengan komputer beserta informasi yang terelasi lainnya didokumentasi oleh komputer dengan sendirinya. Beberapa aplikasi dapat mengakses informasi yang terdokumentasi salah satunya Total Recall. Total Recall mampu merekonstruksi aktivitas yang terjadi pada Microsoft Internet Explorer, beserta aktivitas pengguna komputer. Investigasi yang dapat dilakukan program ini berupa aktivitas user, history, cookie, dan favorites pada Internet Explorer. Aplikasi ini juga dapat menginvestigasi aktivitas pemakai seperti file temporer dan yang baru diakses. Informasi tersebut dapat diekspor dalam bentuk .XML dan .TXT.

Buku ini juga menjelaskan satu contoh kasus dan proses forensik untuk mengungkap fakta sehubungan pronografi anak. Awalnya pemeriksaan dilakukan dengan melengkapi :

-                      Tujuan

-                      Jenis komputer

-                      Pelanggaran

-                      Petugas

-                      Chain of custody

-                      Peralatan yang digunakan.

Lalu dilakukan pemrosesan dengan urutan :

-                      Penilaian

-                      Akuisisi

-                      Pemeriksaan

-                      Dokumentasi dan pelaporan

-                      Langkah selanjutnya.