Menurut Ruby Alamsyah (salah seorang
ahli forensik IT Indonesia), digital forensik atau terkadang disebut komputer
forensik adalah ilmu yang menganalisa barang bukti digital sehingga dapat
dipertanggungjawabkan di pengadilan. Barang bukti digital tersebut termasuk
handphone, notebook, server, alat teknologi apapun yang mempunyai media
penyimpanan dan bisa dianalisa.
Berikut
ini merupakan contoh dari kasus IT Forensik.
Polri
membuka isi laptop Noordin M. Top tanggal 29 September 2009 dalam penggerebekan
di kota Solo. Di dalamnya terdapat video rekaman dua ’pengantin’ dalam ledakan
bom di Mega Kuningan yaitu Dani Dwi Permana dan Nana Ichwan Maulana. Pada video
tersebut terekam aktifitas keduanya yang didampingi oleh Syaifuddin Zuhri telah
melakukan dua kali ’field tracking’ atau survei pada target sasaran pemboman
yaitu Hotel JW Marriot dan Ritz Carlton. Hal ini dikatakan oleh Kadiv Humas
Polri Irjen Nanan Sukarna melalui ’digital evidence’ yang ditemukan.
Survei
pertama dilakukan pada tanggal 21 Juni 2009 sekitar pukul 07.33, mereka bertiga
memantau lokasi peledakan. Mereka berada di lapangan sekitar lokasi kedua hotel
tersebut. Pada tanggal 28 Juni 2009 survei kedua dilakukan sekitar pukul 17.40.
survei tersebut merupakan kunjungan terakhir sebelum pemboman dilakukan.
Syaifuddin Zuhri mengatakan Amerika, Australia, dan Indonesia hancur sebagai
tujuan utama peledakan bom.
Dalam
laptop milik Noordin M. Top terdapat tulisan dari Saefudin Jaelani yang berisi
pembagian tugas seperti Ketua, Bendahara, Pencari Senjata, dll serta keterangan
terkait dengan dijadikannya Amerika dan Australia sebagai target peledakan. Hal
ini dikemukakan oleh Kombes Petrus Golose. Petrus menambahkan bahwa Saefudin
merupakan orang penting dalam jaringan Noordin yakni sebagai pemimpin strategis
Al-Qaeda kawasan Asia Tenggara sejak tahun 2005. Pada pemboman yang terjadi
tanggal 17 Juli 2009 tersebut, Saefudin berperan sebagai pemimpin lapangan
sekaligus perekrut pelaku bom.
TOOLS-TOOLS YANG DIGUNAKAN DALAM IT FORENSIK
Secara
garis besar tools untuk kepentingan IT forensik dapat dibedakan secara hardware
dan software.
Hardware
- Harddisk IDE & SCSI kapasitas sangat besar (min.250 GB), CD-R, DVR Drives.
- Memory yang besar (1-2GB RAM).
- Hub, Switch, keperluan LAN.
- Legacy Hardware (8088s, Amiga).
- Laptop forensic workstation.
- Write blocker
Software
- Encase
- Helix
- Viewers
- Erase/un-Erase tools
- Hash utility
- Forensic Toolkit – Disk editors (Winhex,…)
- Forensic acquisition tools (DriveSpy, Safeback, SnapCopy,…)
- Write-blocking tools
- Spy Anytime PC Spy
- TCT The Coroners Toolkit/ForensiX (LINUX)
E n c a s e
Merupakan
salah satu tool komersil yang banyak digunakan untuk melakukan penyidikan.
Salah satu tool yang termasuk hebat di lingkungan IT Forensic ini adalah
keluaran Guidance Software. Tidak hanya dapat membaca data-data yang sudah
terhapus, encase juga dapat memberitahukan sistem-sistem yang belum di patch,
menerima masukkan dari intrusion detection system untuk menyelidiki keanehan
jaringan yang terjadi, merespon sebuah insiden keamanan, memonitoring
pengaksesan sebuah file penting, dan banyak lagi.
Encase
merupakan standar de facto untuk computer forensics. Ini dikarenakan
sudah berhasilnya bukti-bukti yang dianalisa oleh Encase diterima oleh
Pengadilan Amerika Serikat. EnCase merupakan salah satu bagian dari
rantai-rantai penting yang ada dalam computer forensics. Encase merupakan
sebuah program (aplikasi). Seperti juga DriveSpy, EnCase bukanlah program
gratis, tetapi anda yang ingin mencobanya silakan gunakan versi demo-nya yang
dapat di-download di http://www.worldnetnews.com/ensetup.exe atau
dapatkan di dalam CD NeoTek kali ini.
EnCase
merupakan software yang digunakan oleh banyak pelaksana hukum untuk mendapatkan
keterangan atau kesaksian atau bukti kejahatan (yang dilakukan oleh seseorang
yang dicurigai melakukan tindakan kejahatan dengan menggunakan komputer sebagai
fasilitasnya) dengan melakukan scan terhadap hard drive (harddisk)
komputer. Sekilas terlihat seperti program Recovery yang dapat membangkitkan
file/data yang terhapus dari harddisk. Tetapi tetap ada perbedaannya, dan
perbedaan tersebut akan anda ketahui setelah mencobanya. Setelah anda
mendapatkan Ensetup.exe maka instalasi sudah dapat dilakukan dengan melakukan
klik ganda pada ensetup.exe. Nantinya anda akan menemukan window
instalasi. Untuk melanjutkan instalasi, klik tombol yang bertulisan Install
Now, maka akan akan melihat proses instalasi yang berjalan. Tidak membutuhkan
waktu yang sangat panjang dalam instalasi.
Encase
terdiri dari versi DOS dan versi Windows.Versi DOS pada full version dapat
digunakan untuk akuisisi data seperti halnya Norton Ghost, tetapi pada demo
version fasilitas ini dihilangkan dan hanya dapat digunakan untuk melihat
volume dari hard disk yang ada dalam sistem. Tidak banyak kegunaan versi DOS
demo version ini. Versi Windows dari demo version ini mempunyai dua fungsi yang
diaktifkan, yaitu Preview dan Create Evidence File. Preview berguna untuk
analisa yang tidak mensyaratkan prosedur forensik, sedangkan yang memang dapat
digunakan untuk keperluan forensic adalah Create Evidence File.
Pada
Encase demo version, Preview hanya dapat dilakukan terhadap volume hard disk
yang aktif (dalam hal ini drive C:), sedangkan volume dan drive lain tidak
dikenali. Create Evidence File dapat mengenali volume maupun drive lain. Karena
hanya digunakan pada drive aktif, maka hanya opsi No Lock yang dapat diterapkan
pada Preview, sedangkan pada Create Evidence File, terhadap volume yang
dibuatkan evidence filenya dapat diterapkan Write Lock ataupun Exclusive Lock
yang secara software mencegah volume hard disk itu tertulis sewaktu proses
pembentukan evidence file berlangsung.
Anda
harus menyiapkan space pada hard disk yang cukup besar untuk menampung evidence
file. Pada contoh ini drive D: dengan ukuran 10 Gbyte dibuatkan evidence file
yang totalnya sebesar 13,8 Gbyte dan disimpan dalam drive C: Pembengkakan 30%
ini masih terjadi walaupun sudah menggunakan opsi Good pada kompresi yang memakan
waktu lebih dari 2 jam. Memang bisa memilih opsi Best untuk kompresi, tetapi
waktu yang dibutuhkan untuk membuat evidence file akan lebih lama lagi.
Tutorial
mempelajari Digital Forensik
- mempelajari mengambil sertifikat computer forensik seperti CISSP, CISM, CISA, or CCSP. ada banyak ebook dan video training yang bisa di download gratis diinternet.
- membaca paper dan panduan di http://www.e-evidence.info/thiefs_page.html
- jika anda tidak punya waktu mengambil training, ada tutorial video dengan instruktur profesional sehingga anda dapat belajar dengan menonton nya di rumah, contoh nya: Career Academy Advanced Digital Forensic Techniques
sumber :
http://kingrio.wordpress.com/2010/06/07/pengenalan-it-forensik/