Powered By Blogger

Rabu, 17 Oktober 2012

Freezing The Scene Part 5


8.    Standar Metodologi  Komputer Forensik
Kebutuhan akan ahli komputer forensik menjadi penting pada departemen penegakan hukum, pemerintahan, dan perusahaan dunia. Dewasa ini tidak ada suatu metodologi tunggal untuk melakukan analisis dan penyelidikan forensik, karena terdapat terlalu banyak variabel. Misalkan sistem operasi, program aplikasi, algoritma kriptografi, dan platform hardware. Di luar itu adalah aspek hukum, batas-batas internasional, dan publisitas. Karena manusia tidak luput dari kesalahan maka harus ada metode yang pasti untuk melakukan penyelidikan dan standar yang dikembangkan. David Morrow menyatakan ”Seperti halnya anda tidak memulai perjalanan jauh ke daerah asing tanpa peta jalan, jangan memulai penyelidikan tanpa memperhatikan rencana”.
Sains adalah metode, serta tindakan yang direncanakan untuk memperoleh dan menganalisa barang bukti, sedangkan teknologi (dalam kasus komputer)  adalah program yang memenuhi kebutuhan tertentu untuk memperoleh dan menganalisa barang bukti. Mengikuti metode standar merupakan hal yang penting demi kesuksesan dan keefektifan komputer forensik, seperti halnya programmer mempergunakan metode pemrograman standar. Perancangan dan implementasi software merupakan hal yang mirip satu sama lain. Konsep ini dapat diterapkan pula pada komputer forensik. Bukti komputer bisa muncul dalam bermacam bentuk dan versi. Penyelidik yang memiliki pengetahuan mengenai banyak teknik dan metode penyimpanan bisa dengan cepat mengidentifikasikan tempat untuk mencari tanda-tanda barang bukti. Suatu metode standar akan memungkinkan perlindungan barang bukti.

Ada beberapa panduan keprofesian yang diterima secara luas:
· Pengujian forensik harus dilakukan secara menyeluruh. Pekerjaan ini menganalisa media dan melaporkan temuan tanpa adanya prasangka atau asumsi awal.
·    Media yang dipergunakan pada pengujian forensik harus disterilisasi sebelum setiap penggunaan.
·    Image bit dari media asli harus dibuat dan dipergunakan untuk analisa. 
·    Integritas dari media asli harus dipelihara selama keseluruhan penyelidikan.

Dalam kaitan ini terdapat akronim PPAD pada komputer forensik:
1.   Preserve the data to ensure the data is not changed (Pelihara data  untuk menjamin data tidak berubah)
2.  Protect the evidence to ensure no one else has access to the evidence (Lindungi data untuk menjamin tidak ada yang mengakses barang bukti)
3.  Analyze the data using forensically sound techniques (Lakukan analisis data mempergunakan teknik forensik)
4.    Document everything (Dokumentasikan semuanya)

Di sini integritas proses merupakan hal yang sepenting integritas data. Karena itu, tahapan khusus diperlukan untuk melindungi barang bukti.  Sedikit organisasi yang memiliki tool atau ahli forensik sendiri untuk menangani insiden yang serius. Ahli keamanan sendiri jarang dilatih komputer forensik sehingga kurang memiliki pengetahuan prosedur tertentu yang diperlukan untuk persidangan. The International Association of Computer Investigative Specialists (IACIS) memberikan tiga syarat untuk pengujian forensik:
1.    Penggunaan media forensik yang steril.
2.    Pengujian harus mempertahankan integritas media asli.
3.    Printout dan copy data hasil pengujian harus ditandai, dikenali dan disertakan.

Semua peralatan dan keahlian yang ada tidak akan berguna jika tidak disinkronisasikan dengan penegak hukum. Mungkin diperlukan dokumentasi yang lebih baik dan rangkaian penanganan barang bukti. Perlu dipelajari apa yang diperlukan oleh aparat hukum dan menyesuaikan metodologi dengannya. Karena terdapat cukup banyak variabel pada kasus forensik, ada dua hal yang diperlukan:
1.    Definisikan metodologi, baik aturan dan  panduan.
2.    Kerjakan sesuai metodologi itu.

Pemikirannya di sini jika tidak bisa berargumen bagaimana anda bekerja dan mengapa melakukannya seperti itu, hal tersebut akan dipertanyakan, “Mengapa setiap kasus ditangani secara berbeda?” Panduan harus diikuti sebagai titik referensi setiap tahap penyelidikan. Meski tidak bisa persis karena tak ada dua kasus yang identik. Misalkan saja mobil Ferrari dan Honda memiliki mekanisme dasar yang sama tetapi anda mengendarainya secara berbeda.
Hal terpenting lainnya adalah dokumentasi rangkaian barang bukti. Misalkan saja forensik dilakukan oleh beberapa orang, yang harus saling mengetahui tahapan dan pekerjaan masing-masing. Perlu dicatat pula waktu dan nama yang terkait serta langkah yang diambil. Dengan dokumentasi yang lengkap bisa mematahkan argumen salah prosedur, jika kita mengikuti metodologi yang telah ditentukan. Dokumentasi juga bisa membantu ahli forensik bila kasus ditangani dalam waktu lama dan beban kerjanya tinggi.

Beberapa aspek yang bisa dipelajari untuk meningkatkan kemampuan penyelidikan:
1.    Lakukan pemeriksaan ulang dengan tool yang berbeda sehingga cukup memberikan keyakinan.
2.    Salah satu hal yang tersulit adalah berusaha tetap obyektif selama penyelidikan. Berhentilah sebentar dan periksalah kenyataan yang ada untuk meyakinkan anda cukup beralasan. Perlu diingat pekerjaan ini berkaitan dengan mengumpulkan semua bukti yang tersedia bukan hanya bukti yang mendukung penuntutan.
3.    Yakinkan langkah-langkah anda disetujui oleh pihak manajemen dan staf hukum.
4.    Kaitkan barang bukti dengan hardware tertentu.
5.  Buatlah log tertulis untuk menjamin penyelidikan mengikuti langkah-langkah yang logis dan mampu menulis laporan yang akurat nantinya.
6.    Gunakan capture full screen.
7.    Backup barang bukti.
8.    Kumpulkan juga barang bukti pada tempat terpisah.


9.    Analisis Unknown Program
Untuk mempelajari perilaku suatu program yang tidak kita ketahui sumber dan kegunaannya terdapat beberapa cara:
1.  Analisis statik: Mempelajari program tanpa benar-benar mengeksekusinya. Tool yang dipergunakan adalah dissasembler, decompiler, tool analisis kode sumber, dan tool dasar semacam grep. Dalam kenyataannya bisa memberikan suatu gambaran pendekatan mengenai program.
2.  Analisis dinamik: Mempelajari program saat dieksekusi. Tool yang dipergunakan adalah debugger, tracer, emulator mesin, analisis logika dan terkadang sniffer jaringan. Keuntungan dari analisis dinamik adalah cepat dan akurat. Kasus khusus dari analisis dinamik adalah analisis kotak hitam (black box), yaitu analisis dinamik tanpa mengakses internal program. Dalam kasus ini, pengamatan dilakukan pada input dan output eksternal, serta karakteristik pewaktuannya.
3. Analisis postmortem: Mempelajari perilaku perangkat lunak dengan mengamati dampak setelah eksekusi program. Bisa jadi ini merupakan satu-satunya alat yang tersedia setelah penyusupan sistem.

Analisis dinamik harus dilakukan sehingga tidak menimbulkan kerusakan yang berbahaya, sehingga eksekusi program bisa dijalankan pada:
1.    Mesin “percobaan” tanpa koneksi jaringan.
2.    Mesin dengan sandbox Virtual Machine.

Untuk memantau kemajuan (progress) suatu program, pengamatan bisa dilakukan dengan cara:
1.    Pengamatan pada level instruksi mesin.
2.    Pengamatan system call yang dipergunakan.

Suatu mesin yang mengalami compromise tidak akan bisa dipercaya, dan semua informasi yang berasal dari mesin tersebut perlu diragukan. Perubahan pada suatu program aplikasi dan file data  mudah dideteksi jika diketahui file mana yang mengalami perubahan. Perubahan pada proses yang berjalan lebih susah dideteksi, begitu pula dengan perubahan pada level kernel sistem operasi, atau bahkan perubahan pada tingkat di bawah level kernel.

Ada beberapa faktor yang mempengaruhi hasil dokumentasi dan laporan, seperti:
1.    Alternative Explanations (Penjelasan Alternatif)
Berbagai penjelasan yang akurat seharusnya dapat menjadi sebuah pertimbangan untuk diteruskan dalam proses reporting. Seorang analis seharusnya mampu menggunakan sebuah pendekatan berupa metode yang menyetujui atau menolak setiap penjelasan sebuah perkara yang diajukan.

2.    Audience Consideration (Pertimbangan Penilik)
Menghadirkan data atau informasi keseluruh audience sangat berguna. Kasus yang melibatkan sejumlah aturan sangat membutuhkan laporan secara spesifik berkenaan dengan informasi yang dikumpulkan. Selain itu, dibutuhkan­ pula copy dari setiap fakta (evidentiary data) yang diperoleh. Hal ini dapat menjadi sebuah pertimbangan yang sangat ber­alasan. Contohnya, jika seorang Administrator Sistem sebuah jaringan sangat memungkinkan untuk mendapatkan dan melihat­ lebih dalam sebuah network traffic dengan informasi yang lebih detail.

3.    Actionable Information
Proses dokumentasi dan laporan mencakup pula tentang identifikasi actionable information yang didapat dari kumpulan­ sejumlah data terdahulu. Dengan­ bantuan data-data tersebut, Anda juga bisa mendapatkan dan meng­ambil berbagai informasi terbaru.

Dunia teknologi informasi yang berkembang sedemikian cepat sungguh diluar dugaan, tetapi perkembangan ini diikuti pula dengan kejahatan teknologi informasi. Dan karena kejahatan ini pula menyebabkan banyak orang harus membayar mahal untuk mencegahnya dan menaati hukum yang ada.


Ahmad Zumena Part 1
Arwan Saputro Part 2
Faisal Akbar Purnama Putra Part 3
Iwan Setyawan Part 4

Tidak ada komentar:

Posting Komentar