Menurut Ruby Alamsyah (salah seorang ahli forensik IT Indonesia), digital forensik atau terkadang disebut
komputer forensik adalah ilmu yang menganalisa barang bukti digital
sehingga dapat dipertanggungjawabkan di pengadilan. Barang bukti digital
tersebut termasuk handphone, notebook, server, alat teknologi apapun
yang mempunyai media penyimpanan dan bisa dianalisa. Berikut ini
merupakan contoh dari kasus IT Forensik. Polri membuka isi laptop Noordin M. Top
tanggal 29 September 2009 dalam penggerebekan di kota Solo. Di dalamnya
terdapat video rekaman dua ’pengantin’ dalam ledakan bom di Mega
Kuningan yaitu Dani Dwi Permana dan Nana Ichwan Maulana. Pada video
tersebut terekam aktifitas keduanya yang didampingi oleh Syaifuddin
Zuhri telah melakukan dua kali ’field tracking’ atau survei pada target
sasaran pemboman yaitu Hotel JW Marriot dan Ritz Carlton. Hal ini
dikatakan oleh Kadiv Humas Polri Irjen Nanan Sukarna melalui ’digital
evidence’ yang ditemukan.
Survei pertama dilakukan pada tanggal 21
Juni 2009 sekitar pukul 07.33, mereka bertiga memantau lokasi peledakan.
Mereka berada di lapangan sekitar lokasi kedua hotel tersebut. Pada
tanggal 28 Juni 2009 survei kedua dilakukan sekitar pukul 17.40. survei
tersebut merupakan kunjungan terakhir sebelum pemboman dilakukan.
Syaifuddin Zuhri mengatakan Amerika, Australia, dan Indonesia hancur
sebagai tujuan utama peledakan bom.
Dalam laptop milik Noordin M. Top
terdapat tulisan dari Saefudin Jaelani yang berisi pembagian tugas
seperti Ketua, Bendahara, Pencari Senjata, dll serta keterangan terkait
dengan dijadikannya Amerika dan Australia sebagai target peledakan. Hal
ini dikemukakan oleh Kombes Petrus Golose. Petrus menambahkan bahwa
Saefudin merupakan orang penting dalam jaringan Noordin yakni sebagai
pemimpin strategis Al-Qaeda kawasan Asia Tenggara sejak tahun 2005. Pada
pemboman yang terjadi tanggal 17 Juli 2009 tersebut, Saefudin berperan
sebagai pemimpin lapangan sekaligus perekrut pelaku bom.
TOOLS-TOOLS YANG DIGUNAKAN DALAM IT FORENSIK
Secara garis besar tools untuk kepentingan IT forensik dapat dibedakan secara hardware dan software.
Hardware
- Harddisk IDE & SCSI kapasitas sangat besar (min.250 GB), CD-R, DVR Drives.
- Memory yang besar (1-2GB RAM).
- Hub, Switch, keperluan LAN.
- Legacy Hardware (8088s, Amiga).
- Laptop forensic workstation.
- Write blocker
Software
- Encase
- Helix
- Viewers
- Erase/un-Erase tools
- Hash utility
- Forensic Toolkit – Disk editors (Winhex,…)
- Forensic acquisition tools (DriveSpy, Safeback, SnapCopy,…)
- Write-blocking tools
- Spy Anytime PC Spy
- TCT The Coroners Toolkit/ForensiX (LINUX)
E n c a s e
Merupakan salah satu tool komersil yang
banyak digunakan untuk melakukan penyidikan. Salah satu tool yang
termasuk hebat di lingkungan IT Forensic ini adalah keluaran Guidance
Software. Tidak hanya dapat membaca data-data yang sudah terhapus,
encase juga dapat memberitahukan sistem-sistem yang belum di patch,
menerima masukkan dari intrusion detection system untuk menyelidiki
keanehan jaringan yang terjadi, merespon sebuah insiden keamanan,
memonitoring pengaksesan sebuah file penting, dan banyak lagi.
Encase merupakan standar de facto untuk
computer forensics. Ini dikarenakan sudah berhasilnya bukti-bukti yang
dianalisa oleh Encase diterima oleh Pengadilan Amerika Serikat. EnCase
merupakan salah satu bagian dari rantai-rantai penting yang ada dalam
computer forensics. Encase merupakan sebuah program (aplikasi). Seperti
juga DriveSpy, EnCase bukanlah program gratis.
EnCase merupakan software yang digunakan
oleh banyak pelaksana hukum untuk mendapatkan keterangan atau kesaksian
atau bukti kejahatan (yang dilakukan oleh seseorang yang dicurigai
melakukan tindakan kejahatan dengan menggunakan komputer sebagai
fasilitasnya) dengan melakukan scan terhadap hard drive
(harddisk) komputer. Sekilas terlihat seperti program Recovery yang
dapat membangkitkan file/data yang terhapus dari harddisk. Tetapi tetap
ada perbedaannya, dan perbedaan tersebut akan anda ketahui setelah
mencobanya. Setelah anda mendapatkan Ensetup.exe maka instalasi sudah dapat dilakukan dengan melakukan klik ganda pada ensetup.exe.
Nantinya anda akan menemukan window instalasi. Untuk melanjutkan
instalasi, klik tombol yang bertulisan Install Now, maka akan akan
melihat proses instalasi yang berjalan. Tidak membutuhkan waktu yang
sangat panjang dalam instalasi.
Encase terdiri dari versi DOS dan versi Windows.Versi
DOS pada full version dapat digunakan untuk akuisisi data seperti
halnya Norton Ghost, tetapi pada demo version fasilitas ini dihilangkan
dan hanya dapat digunakan untuk melihat volume dari hard disk yang ada
dalam sistem. Tidak banyak kegunaan versi DOS demo version ini. Versi
Windows dari demo version ini mempunyai dua fungsi yang diaktifkan,
yaitu Preview dan Create Evidence File. Preview berguna untuk analisa
yang tidak mensyaratkan prosedur forensik, sedangkan yang memang dapat
digunakan untuk keperluan forensic adalah Create Evidence File.
Pada Encase demo version, Preview hanya
dapat dilakukan terhadap volume hard disk yang aktif (dalam hal ini
drive C:), sedangkan volume dan drive lain tidak dikenali. Create
Evidence File dapat mengenali volume maupun drive lain. Karena hanya
digunakan pada drive aktif, maka hanya opsi No Lock yang dapat
diterapkan pada Preview, sedangkan pada Create Evidence File, terhadap
volume yang dibuatkan evidence filenya dapat diterapkan Write Lock
ataupun Exclusive Lock yang secara software mencegah volume hard disk
itu tertulis sewaktu proses pembentukan evidence file berlangsung.
Anda harus menyiapkan space pada hard
disk yang cukup besar untuk menampung evidence file. Pada contoh ini
drive D: dengan ukuran 10 Gbyte dibuatkan evidence file yang totalnya
sebesar 13,8 Gbyte dan disimpan dalam drive C: Pembengkakan 30% ini
masih terjadi walaupun sudah menggunakan opsi Good pada kompresi yang
memakan waktu lebih dari 2 jam. Memang bisa memilih opsi Best untuk
kompresi, tetapi waktu yang dibutuhkan untuk membuat evidence file akan
lebih lama lagi.
Tidak ada komentar:
Posting Komentar