Nist SP 800-86 Id

Machine Translated by Google
Publikasi Khusus 800-86
Panduan untuk Mengintegrasikan Forensik

Teknik menjadi Insiden
Tanggapan
Rekomendasi dari Institut Nasional

Standar dan Teknologi
Karen Kento
Suzanne Chevalier
Tim Grace
Hung Dang
Publikasi Khusus NIST 800-86 Panduan untuk Mengintegrasikan Teknik Forensik

ke dalam Respons Insiden
Rekomendasi Nasional
Institut Standar dan Teknologi
Karen Kent, Suzanne Chevalier,

Tim Grace, Hung Dang
KEAMANAN KOMPUTER
Divisi Keamanan Komputer

Laboratorium Teknologi Informasi
Institut Standar dan Teknologi Nasional
Gaithersburg, MD 20899-8930
Agustus 2006
Departemen Perdagangan AS
Carlos M. Gutierrez, Sekretaris
Administrasi Teknologi
Robert C. Cresanti, Wakil Sekretaris

Perdagangan untuk Teknologi
Institut Standar dan Teknologi Nasional
William A. Jeffrey, Sutradara

PANDUAN UNTUK MENGINTEGRASI TEKNIK FORENSIK KE DALAM RESPON INSIDEN
Laporan Teknologi Sistem Komputer
Laboratorium Teknologi Informasi (ITL) di Institut Nasional Standar dan Teknologi

(NIST) mempromosikan ekonomi AS dan kesejahteraan masyarakat dengan memberikan kepemimpinan teknis untuk
pengukuran dan standar infrastruktur bangsa. ITL mengembangkan tes, metode pengujian, data referensi, bukti
implementasi konsep, dan analisis teknis untuk memajukan pengembangan dan penggunaan yang produktif dari
teknologi Informasi. Tanggung jawab ITL meliputi pengembangan teknis, fisik,
standar dan pedoman administratif, dan manajemen untuk keamanan dan privasi yang hemat biaya
informasi sensitif yang tidak terklasifikasi dalam sistem komputer Federal. Publikasi Khusus 800-seri ini
laporan penelitian, bimbingan, dan upaya penjangkauan ITL dalam keamanan komputer dan kolaborasinya
kegiatan dengan industri, pemerintah, dan organisasi akademik.
Institut Nasional Standar dan Teknologi Publikasi Khusus 800-86 Natl. Inst.
Berdiri. teknologi. Spesifikasi Publikasi 800-86, 121 halaman (Agustus 2006)
Entitas, peralatan, atau bahan komersial tertentu dapat diidentifikasi dalam hal ini:
dokumen untuk menggambarkan prosedur atau konsep eksperimental secara memadai.
Identifikasi tersebut tidak dimaksudkan untuk menyiratkan rekomendasi atau dukungan oleh
Institut Standar dan Teknologi Nasional, juga tidak dimaksudkan untuk menyiratkan bahwa
entitas, bahan, atau peralatan selalu yang terbaik yang tersedia untuk tujuan tersebut.
ii
Ucapan Terima Kasih
Para penulis, Karen Kent dan Tim Grance dari Institut Nasional Standar dan Teknologi, dan Suzanne Chevalier dan Hung Dang dari Booz Allen Hamilton,
ingin mengucapkan terima kasih kepada rekan-rekan mereka yang meninjau draf dokumen ini dan berkontribusi pada konten teknisnya. Penulis secara khusus
ingin mengucapkan terima kasih kepada Rick Ayers, Wayne Jansen, Peter Mell, dan Murugiah Souppaya dari NIST, dan Adam Feldman, Mike Noblett, dan
Joseph Nusbaum dari Booz Allen Hamilton, atas bantuan mereka yang tajam dan berwawasan luas selama pengembangan dokumen. Penulis juga ingin
mengucapkan terima kasih kepada pakar keamanan Susan Ballou (Kantor Standar Penegakan Hukum), Brian Carrier (Purdue University), Eoghan Casey (Stroz
Friedberg, LLC), Duane Crider (Microsoft), Kurt Dillard (Microsoft), Dean Farrington (Wells Fargo Bank), Jessica Reust (Stroz Friedberg, LLC), Marc Rogers
(Purdue University), dan Miles Tracy (Sistem Cadangan Federal AS), serta perwakilan dari Departemen Luar Negeri, atas komentar dan saran mereka yang
sangat berharga. saran.
Merek Dagang
Semua nama produk adalah merek dagang terdaftar atau merek dagang dari masing-masing perusahaan.
aku aku aku

Daftar isi
Ringkasan bisnis plan................................................ ................................................................... ..........ES-1
1. Perkenalan ............................................... ................................................................... .................. 1-1
1.1 Kewenangan............................................................ ................................................................... ............... 1-1

1.2 Tujuan dan Ruang Lingkup............................. ................................................................... ................ 1-1 1.3
Audiens .................................. ................................................................... ................................ 1-1 1.4 Struktur
Publikasi ............ ................................................................... ................................... 1-2
2. Membangun dan Mengorganisir Kemampuan Forensik............................................ ........ 2-1

2.1 Kebutuhan Forensik.................................................. ............................................ 2-1 2.2 Kepegawaian
Forensik ................................................................... ................................................... 2 -3 2.3 Interaksi dengan Tim
Lain.................................................. .................................... 2-4 2.4
Kebijakan......... ................................................................... ................................................................... ..... 2-5 2.4.1
Mendefinisikan Peran dan Tanggung Jawab ........................................ ........................ 2-5 2.4.2 Memberikan
Pedoman Penggunaan Alat Forensik .............. ................................... 2-6 2.4.3 Forensik Pendukung dalam
Siklus Hidup Sistem Informasi. ......................... 2-6 2.5 Pedoman dan
Prosedur .............. ................................................................... .............. 2-7 2.6
Rekomendasi ........................ ................................................... ........................... 2-8
3. Melakukan Proses Forensik ............................................ .................................... 3-1

3.1 Pengumpulan Data............................................................ ................................................................... ..... 3-2
3.1.1 Mengidentifikasi Kemungkinan Sumber Data.............................. ........................ 3-2 3.1.2 Memperoleh
Data.............. ................................................................... ................... 3-3 3.1.3 Pertimbangan Respons
Insiden............................ ........................................ 3-5 3.2
Pemeriksaan ...... ................................................................... ................................................................... 3-6 3.3
Analisis............................................................ ................................................................... .................. 3-6 3.4
Pelaporan.............................. ................................................................... .................................. 3-6 3.5
Rekomendasi .............. ................................................................... ................................... 3-7
4. Menggunakan Data dari File Data.................................................. ................................................... 4- 1

4.1 Dasar-dasar Berkas............................................................... ................................................................... ............
4-1 4.1.1 Media Penyimpanan File.............................. ................................................................... ...... 4-1
4.1.2 Sistem File................................................ ................................................................... ......... 4-3 4.1.3
Data Lain di Media.............................. ................................................................... .4-4 4.2 Mengumpulkan
Berkas.................................................. ................................................................... ......... 4-5 4.2.1 Menyalin File dari
Media........................................ ........................................ 4-6 4.2.2 Integritas File
Data............................................................ ........................................ 4-7 4.2.3 Modifikasi File, Akses , dan
Waktu Pembuatan ................................................... 4-9 4.2.4 Masalah
Teknis .................................................. ..... ...................................... 4-9 4.3 Memeriksa File
Data..... ................................................................... .................................... 4-10 4.3.1 Menemukan
File..... ................................................................... .................................. 4-11 4.3.2 Mengekstrak
Data.............. ................................................................... ........................ 4-11 4.3.3 Menggunakan Toolkit
Forensik.............. ................................................................... ....... 4-13 4.4
Analisis...................................... ................................................................... ....................... 4-14 4.5
Rekomendasi ........................ ................................................................... ........................ 4-15
5. Menggunakan Data dari Sistem Operasi ......................................... ................................ 5-1

5.1 Dasar-dasar OS ............................................................... ................................................................... ............ 5-1
iv
5.1.1 Data Non-Volatile.................................................. ............................................ 5-1 5.1.2

Data Volatil................................................................ ................................................... 5-3 5.2
Mengumpulkan Data OS.................................................................. ...................................................................
5-4 5.2.1 Mengumpulkan Data Volatile OS ........................................ ................................ 5-5
5.2.2 Mengumpulkan Data OS Non-Volatile ...... ................................................................... ........
5-8 5.2.3 Masalah Teknis Pengumpulan Data ............................... ....................... 5-10 5.3
Meneliti dan Menganalisis Data OS.............. ................................................................... .. 5-11 5.4
Rekomendasi ......................................... ................................................................... 5-12
6. Menggunakan Data Dari Lalu Lintas Jaringan.................................................. ........................................ 6-1

6.1 Dasar-Dasar TCP/IP .............................................. ................................................................... ........
6-1 6.1.1 Lapisan Aplikasi.................................. ................................................................... ....
6-2 6.1.2 Lapisan Transport...................................... ................................................................... ..
6-2 6.1.3 Lapisan IP ........................................ ................................................................... ...........
6-3 6.1.4 Lapisan Perangkat Keras.............................. ................................................................... .........
6-4 6.1.5 Signifikansi Lapisan dalam Forensik Jaringan .............................. ................... 6-4 6.2
Sumber Data Lalu Lintas Jaringan.............................. ................................................................... .......
6-5 6.2.1 Firewall dan Router.............................. ................................................... 6-5 6.2.2
Packet Sniffer dan Protocol Analyzer.............................. ........................ 6-5 6.2.3 Sistem Deteksi
Intrusi.............. ................................................................... .... 6-6 6.2.4 Akses Jarak
Jauh...................................... ................................................................... .. 6-7 6.2.5 Perangkat
Lunak Manajemen Peristiwa Keamanan ...................................... ................. 6-7 6.2.6 Alat
Analisis Forensik Jaringan ......................... ........................................ 6-8 6.2.7 Sumber
Lain.. ................................................................... ........................................ 6-8 6.3 Mengumpulkan
Data Lalu Lintas Jaringan .. ................................................................... ......................... 6-9 6.3.1
Pertimbangan Hukum .............. ................................................................... ............... 6-9 6.3.2
Masalah Teknis ............................ ................................................................... ........ 6-10 6.4
Meneliti dan Menganalisis Data Lalu Lintas Jaringan .............................. ..................... 6-11 6.4.1
Mengidentifikasi Peristiwa yang Diinginkan.............. ................................................................... ..
6-12 6.4.2 Meneliti Sumber Data................................................. ...................................... 6-12
6.4.3 Menarik Kesimpulan .... ................................................................... ............................. 6-16
6.4.4 Identifikasi Penyerang............ ................................................................... .................. 6-17
6.5 Rekomendasi ........................ ................................................................... ................ 6-18
7. Menggunakan Data dari Aplikasi ............................................ .......................................... 7-1

7.1 Komponen Aplikasi................................................................... ........................................ 7-1 7.1.1
Pengaturan Konfigurasi. ................................................................... ............................. 7-1 7.1.2
Otentikasi .............. ................................................................... ............................ 7-2 7.1.3
Log.............. ................................................................... .......................................... 7-2 7.1.4
Data . ................................................................... ................................................................... ......
7-3 7.1.5 File Pendukung .................................... ................................................................... ...
7-3 7.1.6 Arsitektur Aplikasi.................................................. ........................................ 7-4 7.2
Jenis Aplikasi .... ................................................................... ...................................... 7-5 7.2.1
Email... ................................................... ................................................................... ...............
7-5 7.2.2 Penggunaan Web .............................. ................................................................... ...................
7-6 7.2.3 Komunikasi Interaktif .............. ................................................... 7- 7 7.2.4 Berbagi
Berkas............................................ ................................................................... .. 7-7 7.2.5
Penggunaan Dokumen ........................................ ............................................... 7-8 7.2.6 Aplikasi
Keamanan............................................................ ..................................... 7-8 7.2.7 Alat
Penyembunyian Data.... ................................................................... ...................... 7-8 7.3
Mengumpulkan Data Aplikasi............................ ................................................................... ............. 7-9
v
7.4 Meneliti dan Menganalisis Data Aplikasi............................................ ................ 7-9 7.5

Rekomendasi ......................... ................................................................... ............... 7-10
8. Menggunakan Data dari Berbagai Sumber .................................................. .................................... 8-1
8.1 Dugaan Infeksi Worm Layanan Jaringan.................................................. ............... 8-1 8.2 Email
Mengancam............................ ................................................................... .................. 8-3 8.3
Rekomendasi ......................... ................................................................... ................... 8-5
Daftar Lampiran
Lampiran Aó Rekomendasi............................................................... .........................................A-1
A.1 Mengorganisir Kemampuan Forensik .................................................. ..................................A-1 A.1.1

Peserta Forensik............ ................................................................... ....................A-1 A.1.2 Kebijakan,
Pedoman, dan Prosedur Forensik.............. ..........................A-1 A.1.3 Persiapan
Teknis ............ ................................................................... ...............A-2 A.2 Melakukan Proses
Forensik............................ ...................................................A-2 A.2.1 Pengumpulan
Data............................................................ ..................................................A-3 A .2.2 Pemeriksaan dan
Analisis ................................................... ..................A-4 A.2.3
Pelaporan .............. ................................................................... ...................................A-4
Apendiks Bó Skenario............................................................ ................................................................... ......B-1

B.1 Pertanyaan Skenario .................................................. ................................................................... B-1 B.2
Skenario .................................................. ................................................................... .................B-1
Lampiran Có Glosarium ................................................... ................................................................... .......C-1
Apendiks Dó Akronim ............................................................ ................................................................... .....H-1
Lampiran Eó Sumber Daya Cetak.................................................. ............................................... E-1
Lampiran Fó Alat dan Sumber Daya Online ............................................ ............................ F-1
Lampiran Gó Indeks............................................................... ................................................................... .............G-1
Daftar Gambar
Gambar 3-1. Proses Forensik ................................................... ................................................... 3 -1
Gambar 4-1. Informasi Header File............................................................. ........................................ 4-12 Gambar
6-1. Lapisan TCP/IP ............................................................ ................................................................... ...... 6-1
Gambar 6-2. Enkapsulasi TCP/IP .................................................. ............................................ 6-2
Daftar tabel
Tabel 4-1. Jenis Media yang Umum Digunakan .................................................. ................................ 4-2
vi
Ringkasan bisnis plan
Ilmu forensik secara umum didefinisikan sebagai penerapan ilmu hukum. Forensik digital, juga dikenal sebagai forensik
komputer dan jaringan, memiliki banyak definisi. Secara umum, ini dianggap sebagai penerapan ilmu untuk identifikasi,
pengumpulan, pemeriksaan, dan analisis data sambil menjaga integritas informasi dan mempertahankan rantai pengawasan
yang ketat untuk data. Data mengacu pada bagian berbeda dari informasi digital yang telah diformat dengan cara tertentu.
Organisasi memiliki jumlah data yang terus meningkat dari berbagai sumber. Misalnya, data dapat disimpan atau ditransfer oleh
sistem komputer standar, peralatan jaringan, periferal komputasi, personal digital assistant (PDA), perangkat elektronik konsumen,
dan berbagai jenis media, di antara sumber lainnya.
Karena berbagai sumber data, teknik forensik digital dapat digunakan untuk berbagai tujuan, seperti menyelidiki kejahatan dan
pelanggaran kebijakan internal, merekonstruksi insiden keamanan komputer, memecahkan masalah operasional, dan memulihkan
dari kerusakan sistem yang tidak disengaja. Praktis setiap organisasi perlu memiliki kemampuan untuk melakukan forensik digital
(disebut sebagai forensik di seluruh sisa panduan ini). Tanpa kemampuan seperti itu, organisasi akan mengalami kesulitan
menentukan peristiwa apa yang telah terjadi dalam sistem dan jaringannya, seperti paparan data sensitif yang dilindungi.
Panduan ini memberikan informasi rinci tentang membangun kemampuan forensik, termasuk pengembangan kebijakan dan
prosedur. Fokusnya terutama pada penggunaan teknik forensik untuk membantu respons insiden keamanan komputer, tetapi
sebagian besar materi juga berlaku untuk situasi lain.
Karena organisasi yang berbeda tunduk pada undang-undang dan peraturan yang berbeda, publikasi ini tidak
boleh digunakan sebagai panduan untuk melaksanakan investigasi forensik digital, ditafsirkan sebagai nasihat hukum,
1
Sebaliknya,
atau digunakan sebagai dasar investigasi aktivitas kriminal. panduan sebagai organisasi
titik awal harus menggunakan ini
untuk mengembangkan
kemampuan forensik dalam hubungannya dengan panduan ekstensif yang diberikan oleh penasihat hukum, aparat
penegak hukum, dan manajemen.
Proses untuk melakukan forensik digital terdiri dari fase dasar berikut:
! Pengumpulan: mengidentifikasi, memberi label, merekam, dan memperoleh data dari kemungkinan sumber data
yang relevan, sambil mengikuti prosedur yang menjaga integritas data.
! Pemeriksaan: memproses data yang dikumpulkan secara forensik menggunakan kombinasi otomatis dan
metode manual, dan menilai dan mengekstraksi data yang menarik, sambil menjaga integritas data.
! Analisis: menganalisis hasil pemeriksaan, menggunakan metode yang dapat dipertanggungjawabkan secara hukum dan
teknik, untuk memperoleh informasi yang berguna yang menjawab pertanyaan-pertanyaan yang merupakan
dorongan untuk melakukan pengumpulan dan pemeriksaan.
! Pelaporan: melaporkan hasil analisis, yang mungkin termasuk menggambarkan tindakan yang digunakan, menjelaskan
bagaimana alat dan prosedur dipilih, menentukan tindakan lain apa yang perlu dilakukan (misalnya, pemeriksaan
forensik sumber data tambahan, mengamankan kerentanan yang teridentifikasi, meningkatkan keamanan yang ada
kontrol), dan memberikan rekomendasi untuk perbaikan kebijakan, prosedur, alat, dan aspek lain dari proses forensik.
Panduan ini memberikan rekomendasi umum untuk melakukan proses forensik. Ini juga memberikan informasi rinci
tentang penggunaan proses analisis dengan empat kategori utama sumber data: file,
1
Untuk informasi lebih lanjut mengenai persyaratan forensik komputer dan jaringan untuk penegakan hukum, lihat Electronic
Crime Scene Investigation: A Guide for First Responders and Forensic Examination of Digital Evidence: A Guide for Law
Enforcement, yang keduanya tersedia di http://www.ncjrs. gov/ dengan mencari pada setiap judul dokumen.
ES-1
sistem operasi, lalu lintas jaringan, dan aplikasi. Panduan ini berfokus pada menjelaskan dasar
komponen dan karakteristik sumber data dalam setiap kategori, serta teknik untuk
pengumpulan, pemeriksaan, dan analisis data dari setiap kategori. Panduan ini juga menyediakan
rekomendasi tentang bagaimana beberapa sumber data dapat digunakan bersama untuk mendapatkan pemahaman yang lebih baik tentang suatu
peristiwa.
Menerapkan rekomendasi berikut harus memfasilitasi forensik digital yang efisien dan efektif:
kegiatan untuk departemen dan lembaga Federal.
Organisasi harus memastikan bahwa kebijakan mereka berisi pernyataan yang jelas menangani semua pertimbangan
forensik utama, seperti menghubungi penegak hukum, melakukan pemantauan, dan melakukan tinjauan rutin
kebijakan dan prosedur forensik.
Pada tingkat tinggi, kebijakan harus memungkinkan personel yang berwenang untuk memantau sistem dan jaringan dan melakukan
penyelidikan untuk alasan yang sah dalam keadaan yang sesuai. Organisasi mungkin juga memiliki
kebijakan forensik terpisah untuk penangan insiden dan lainnya dengan peran forensik; kebijakan ini akan memberikan
aturan yang lebih rinci tentang perilaku yang sesuai. Kebijakan forensik harus secara jelas mendefinisikan peran dan tanggung
jawab semua orang dan organisasi eksternal yang melakukan atau membantu organisasi
kegiatan forensik. Kebijakan tersebut harus dengan jelas menunjukkan siapa yang harus menghubungi tim internal dan
organisasi eksternal mana dalam situasi yang berbeda.
Organisasi harus membuat dan memelihara prosedur dan pedoman untuk melakukan tugas forensik,
berdasarkan kebijakan organisasi dan semua hukum dan peraturan yang berlaku.
Pedoman harus fokus pada metodologi umum untuk menyelidiki insiden menggunakan teknik forensik,
karena tidak layak untuk mengembangkan prosedur komprehensif yang disesuaikan dengan setiap situasi yang memungkinkan.
Namun, organisasi harus mempertimbangkan untuk mengembangkan prosedur langkah demi langkah untuk melakukan tugas rutin.
Pedoman dan prosedur harus memfasilitasi tindakan yang konsisten, efektif, dan akurat, yaitu:
sangat penting untuk insiden yang dapat menyebabkan penuntutan atau tindakan disipliner internal; penanganan
bukti dengan cara forensik yang baik menempatkan pengambil keputusan pada posisi di mana mereka dapat dengan percaya diri
mengambil tindakan yang diperlukan. Pedoman dan prosedur harus mendukung diterimanya bukti
ke dalam proses hukum, termasuk informasi tentang pengumpulan dan penanganan bukti dengan benar, melestarikan
integritas alat dan perlengkapan, memelihara lacak balak, dan menyimpan bukti dengan tepat.
Karena log elektronik dan catatan lain dapat diubah atau dimanipulasi, organisasi harus
dipersiapkan, melalui kebijakan, pedoman, dan prosedur mereka, untuk menunjukkan integritas
catatan. Pedoman dan prosedur harus ditinjau secara berkala, serta bila signifikan
perubahan dilakukan pada kebijakan dan prosedur tim.
Organisasi harus memastikan bahwa kebijakan dan prosedur mereka mendukung penggunaan alat forensik yang
wajar dan tepat.
Kebijakan dan prosedur organisasi harus dengan jelas menjelaskan tindakan forensik apa yang harus dan tidak boleh
dilakukan dalam berbagai keadaan, serta menjelaskan perlindungan yang diperlukan untuk
informasi yang mungkin direkam oleh alat forensik, seperti kata sandi, data pribadi (mis
Nomor keamanan), dan isi email. Penasihat hukum harus hati-hati meninjau semua kebijakan forensik dan prosedur tingkat tinggi.
Organisasi harus memastikan bahwa profesional TI mereka siap untuk berpartisipasi dalam forensik
kegiatan.
ES-2
Profesional TI di seluruh organisasi, terutama penangan insiden dan responden pertama lainnya terhadap insiden,
harus memahami peran dan tanggung jawab mereka untuk forensik, menerima pelatihan dan pendidikan tentang
kebijakan dan prosedur terkait forensik, dan bersiap untuk bekerja sama dengan dan membantu orang lain ketika
teknologi yang mereka gunakan. bertanggung jawab atas adalah bagian dari suatu insiden atau peristiwa lain.
Profesional TI juga harus berkonsultasi secara dekat dengan penasihat hukum baik dalam persiapan umum untuk
kegiatan forensik, seperti menentukan tindakan mana yang harus dan tidak boleh dilakukan oleh profesional TI, dan
juga berdasarkan kebutuhan untuk membahas situasi forensik tertentu. Selain itu, manajemen harus bertanggung
jawab untuk mendukung kemampuan forensik, meninjau dan menyetujui kebijakan forensik, dan menyetujui tindakan
forensik tertentu, seperti mengambil sistem mission-critical off-line.
ES-3
Halaman ini sengaja dikosongkan.
ES-4
1. Perkenalan
1.1 Otoritas
Institut Nasional Standar dan Teknologi (NIST) mengembangkan dokumen ini sebagai kelanjutan dari
tanggung jawab hukum di bawah Undang-Undang Manajemen Keamanan Informasi Federal (FISMA) tahun 2002,
Hukum Publik 107-347.
NIST bertanggung jawab untuk mengembangkan standar dan pedoman, termasuk persyaratan minimum, untuk:
menyediakan keamanan informasi yang memadai untuk semua operasi dan aset lembaga; tetapi standar dan
pedoman tersebut tidak berlaku untuk sistem keamanan nasional. Pedoman ini konsisten dengan persyaratan dari Office
of Management and Budget (OMB) Edaran A-130, Bagian 8b(3), Badan Pengamanan
Sistem Informasi,î sebagaimana dianalisis dalam A-130, Lampiran IV: Analisis Bagian-Bagian Utama. Tambahan
informasi disediakan dalam A-130, Lampiran III.
Pedoman ini telah disiapkan untuk digunakan oleh badan-badan Federal. Ini dapat digunakan oleh non-pemerintah
organisasi secara sukarela dan tidak tunduk pada hak cipta, meskipun atribusi diinginkan.
Tidak ada dalam dokumen ini yang harus dianggap bertentangan dengan standar dan pedoman yang dibuat wajib dan
mengikat badan-badan Federal oleh Sekretaris Perdagangan di bawah otoritas hukum, juga tidak boleh
pedoman ditafsirkan sebagai mengubah atau menggantikan otoritas Sekretaris Perdagangan yang ada,
Direktur OMB, atau pejabat Federal lainnya.
Pedoman ini tidak boleh dianggap mengikat personel penegak hukum relatif terhadap
penyidikan tindak pidana.
1.2 Tujuan dan Ruang Lingkup
Publikasi ini dimaksudkan untuk membantu organisasi dalam menyelidiki insiden keamanan komputer dan
pemecahan masalah beberapa masalah operasional teknologi informasi (TI) dengan memberikan panduan praktis
dalam melakukan forensik komputer dan jaringan. Panduan ini menyajikan forensik dari pandangan TI, bukan
pandangan penegakan hukum.2 Secara khusus, publikasi ini menjelaskan proses untuk melakukan yang efektif
kegiatan forensik dan memberikan saran mengenai sumber data yang berbeda, termasuk file, operasi
sistem (OS), lalu lintas jaringan, dan aplikasi.
Publikasi tidak untuk digunakan sebagai panduan langkah demi langkah yang mencakup semua untuk melaksanakan forensik digital
penyelidikan atau ditafsirkan sebagai nasihat hukum. Tujuannya adalah untuk memberi tahu pembaca tentang berbagai teknologi
dan cara potensial untuk menggunakannya dalam melakukan respons insiden atau aktivitas pemecahan masalah. Pembaca adalah
disarankan untuk menerapkan praktik yang direkomendasikan hanya setelah berkonsultasi dengan manajemen dan penasihat hukum untuk
kepatuhan tentang hukum dan peraturan (yaitu, lokal, negara bagian, Federal, dan internasional) yang berkaitan dengan
situasi mereka.
1.3 Pemirsa
Publikasi ini dibuat untuk tim respons insiden; analis forensik; sistem, jaringan, dan administrator keamanan; dan
manajer program keamanan komputer yang bertanggung jawab untuk melakukan
forensik untuk tujuan investigasi, respons insiden, atau pemecahan masalah. Praktik yang direkomendasikan
2
Untuk informasi lebih lanjut mengenai persyaratan forensik komputer dan jaringan untuk penegakan hukum, lihat Kejahatan Elektronik
Investigasi TKP: Panduan untuk Responden Pertama dan Pemeriksaan Forensik Bukti Digital: Panduan Hukum
Enforcement, yang keduanya tersedia di http://www.ncjrs.gov/ dengan mencari di setiap judul dokumen.
1-1
dalam panduan ini dirancang untuk menyoroti prinsip-prinsip utama yang terkait dengan penanganan dan pemeriksaan:
bukti elektronik. Karena sifat perangkat elektronik dan perangkat lunak yang terus berubah, dan
prosedur dan alat forensik, pembaca diharapkan untuk merujuk ke sumber daya lain, termasuk yang tercantum dalam panduan
ini, untuk informasi yang lebih terkini dan terperinci daripada yang disajikan dalam panduan ini.
1.4 Struktur Publikasi
Sisa dari publikasi ini dibagi menjadi tujuh bagian utama:
! Bagian 2 membahas kebutuhan forensik komputer dan jaringan dan memberikan panduan tentang:
membangun dan mengatur kemampuan forensik untuk sebuah organisasi.
! Bagian 3 menjelaskan langkah-langkah dasar yang terlibat dalam melakukan forensik komputer dan jaringan: data
pengumpulan, pemeriksaan, analisis, dan pelaporan.
! Bagian 4 sampai 7 memberikan rincian tentang pengumpulan, pemeriksaan, dan analisis data dari berbagai
sumber data, berdasarkan kerangka kerja yang dijelaskan di Bagian 3. Kategori sumber data
dibahas dalam Bagian 4 sampai 7 adalah file data, OS, lalu lintas jaringan, dan aplikasi,
masing-masing.
! Bagian 8 menyajikan studi kasus yang menggambarkan bagaimana analisis dapat mengkorelasikan peristiwa di antara beberapa
sumber data.
Publikasi ini juga memuat beberapa lampiran dengan materi pendukung:
! Lampiran A menyajikan rekomendasi utama yang dibuat dalam publikasi.
! Lampiran B menyajikan skenario di mana teknik forensik mungkin berguna dan meminta pembaca
serangkaian pertanyaan tentang setiap skenario.
! Lampiran C dan D masing-masing berisi daftar istilah dan daftar akronim.
! Lampiran E mencantumkan sumber daya cetak, dan Lampiran F mengidentifikasi alat dan sumber daya online, yang mungkin:
berguna untuk membangun kemampuan forensik atau memahami alat dan teknik forensik.
! Lampiran G berisi indeks untuk publikasi.
1-2
2. Membangun dan Mengatur Kemampuan Forensik
Istilah data mengacu pada bagian berbeda dari informasi digital yang telah diformat dengan cara tertentu.
3
Ekspansi komputer untuk penggunaan profesional dan pribadi dan meluasnya jaringan memiliki
memicu kebutuhan akan alat yang dapat merekam dan menganalisis jumlah data yang terus meningkat dari banyak
sumber. Misalnya, data dapat disimpan atau ditransfer oleh sistem komputer standar (misalnya, desktop,
laptop, server), peralatan jaringan (misalnya, firewall, router), periferal komputasi (misalnya, printer),
asisten digital pribadi (PDA), CD, DVD, hard drive yang dapat dilepas, kaset cadangan, memori flash,
thumb drive, dan jump drive. Banyak perangkat elektronik konsumen (misalnya, ponsel, video game
konsol, pemutar audio digital, perekam video digital) juga dapat digunakan untuk menyimpan data. Ini meningkat
berbagai sumber data telah membantu memacu pengembangan dan penyempurnaan alat dan teknik forensik.
Ini juga disebabkan oleh kesadaran bahwa alat dan teknik tersebut dapat digunakan untuk banyak orang
tujuan, seperti menyelidiki kejahatan, merekonstruksi insiden keamanan komputer, pemecahan masalah
masalah operasional, dan pemulihan dari kerusakan sistem yang tidak disengaja.
Bagian ini membahas beberapa aspek pengorganisasian kemampuan forensik untuk suatu organisasi. Ini berawal
dengan menunjukkan berbagai kegunaan potensial untuk forensik, dan kemudian menyajikan gambaran umum tingkat tinggi dari
proses forensik. Bagian selanjutnya dari bagian ini membahas bagaimana layanan forensik biasanya disediakan
dan memberikan panduan untuk membangun dan memelihara keterampilan yang diperlukan untuk melakukan tugas forensik. Itu
Bagian ini juga menjelaskan perlunya mengikutsertakan berbagai tim dari seluruh organisasi, seperti tim hukum
penasihat dan staf keamanan fisik, dalam beberapa kegiatan forensik. Bagian ini diakhiri dengan membahas bagaimana
kebijakan, pedoman, dan prosedur harus membahas forensik (misalnya, mendefinisikan peran dan tanggung jawab,
memberikan panduan tentang penggunaan alat dan teknik yang tepat, menggabungkan forensik ke dalam
siklus hidup sistem informasi).
Teknik dan proses yang disajikan dalam panduan ini didasarkan pada prinsip-prinsip forensik digital.
Ilmu forensik secara umum didefinisikan sebagai penerapan ilmu hukum. Forensik digital, juga
yang dikenal sebagai forensik komputer dan jaringan, memiliki banyak definisi. Umumnya, itu dianggap sebagai
penerapan ilmu pengetahuan untuk mengidentifikasi, mengumpulkan, memeriksa, dan menganalisis data sambil melestarikan
integritas informasi dan memelihara rantai pengawasan yang ketat untuk data. Karena organisasi yang berbeda tunduk pada
undang-undang dan peraturan yang berbeda, publikasi ini tidak boleh digunakan sebagai panduan untuk melaksanakan
penyelidikan forensik digital, ditafsirkan sebagai nasihat hukum, atau digunakan sebagai dasar
untuk penyidikan tindak pidana. Sebaliknya, organisasi harus menggunakan panduan ini sebagai permulaan
titik untuk mengembangkan kemampuan forensik dalam hubungannya dengan bimbingan ekstensif yang diberikan oleh
penasihat hukum, aparat penegak hukum, dan manajemen.
2.1 Kebutuhan Forensik
Selama dekade terakhir, jumlah kejahatan yang melibatkan komputer telah berkembang, memacu peningkatan perusahaan
dan produk yang bertujuan untuk membantu penegakan hukum dalam menggunakan bukti berbasis komputer untuk
menentukan siapa, apa, di mana, kapan, dan bagaimana untuk kejahatan. Akibatnya, forensik komputer dan jaringan
telah berkembang untuk memastikan penyajian yang tepat dari data bukti kejahatan komputer ke pengadilan. Alat forensik
dan teknik paling sering dipikirkan dalam konteks investigasi kriminal dan keamanan komputer
penanganan insidenódigunakan untuk menanggapi suatu peristiwa dengan menyelidiki sistem yang dicurigai, mengumpulkan dan
melestarikan bukti, merekonstruksi peristiwa, dan menilai keadaan saat ini dari suatu peristiwa. Namun, forensik
alat dan teknik juga berguna untuk banyak jenis tugas lainnya, seperti berikut ini:
! Pemecahan Masalah Operasional. Banyak alat dan teknik forensik dapat diterapkan untuk:
pemecahan masalah operasional, seperti menemukan lokasi virtual dan fisik host dengan
3
Dalam publikasi ini, istilah komputer digunakan untuk merujuk pada semua perangkat komputasi, penyimpanan, dan periferal.
2-1
konfigurasi jaringan yang salah, menyelesaikan masalah fungsional dengan aplikasi, dan merekam serta meninjau
pengaturan konfigurasi aplikasi dan OS saat ini untuk sebuah host.
! Pemantauan Log. Berbagai alat dan teknik dapat membantu dalam pemantauan log, seperti menganalisis entri log dan
menghubungkan entri log di beberapa sistem. Ini dapat membantu dalam penanganan insiden, mengidentifikasi
pelanggaran kebijakan, audit, dan upaya lainnya.
! Pemulihan data. Ada lusinan alat yang dapat memulihkan data yang hilang dari sistem, termasuk data yang secara tidak
sengaja atau sengaja dihapus atau dimodifikasi. Jumlah data yang dapat dipulihkan bervariasi berdasarkan kasus per
kasus.
! Akuisisi Data. Beberapa organisasi menggunakan alat forensik untuk memperoleh data dari host yang:
dipekerjakan kembali atau pensiun. Misalnya, ketika pengguna meninggalkan organisasi, data dari stasiun kerja
pengguna dapat diperoleh dan disimpan jika diperlukan di masa mendatang. Media workstation kemudian dapat disanitasi
untuk menghapus semua data pengguna asli.
! Uji Tuntas/Kepatuhan terhadap Peraturan. Peraturan yang ada dan yang muncul membutuhkan banyak
organisasi untuk melindungi informasi sensitif dan memelihara catatan tertentu untuk tujuan audit.
Juga, ketika informasi yang dilindungi terekspos ke pihak lain, organisasi mungkin diminta untuk memberi tahu
lembaga lain atau individu yang terkena dampak. Forensik dapat membantu organisasi melakukan uji tuntas dan
mematuhi persyaratan tersebut.
4
Terlepas dari situasinya, proses forensik terdiri dari fase-fase dasar berikut:
! Koleksi. Tahap pertama dalam proses ini adalah mengidentifikasi, memberi label, merekam, dan memperoleh data dari
sumber data yang relevan, sambil mengikuti pedoman dan prosedur yang menjaga integritas data. Pengumpulan
biasanya dilakukan pada waktu yang tepat karena kemungkinan kehilangan data dinamis seperti koneksi jaringan saat
ini, serta kehilangan data dari perangkat bertenaga baterai (misalnya, ponsel, PDA).
! Penyelidikan. Pemeriksaan melibatkan pemrosesan forensik dalam jumlah besar data yang dikumpulkan menggunakan
kombinasi metode otomatis dan manual untuk menilai dan mengekstrak data yang menarik, sambil menjaga
integritas data.
! Analisis. Tahap selanjutnya dari proses ini adalah menganalisis hasil pemeriksaan, dengan menggunakan metode dan
teknik yang dapat dibenarkan secara hukum, untuk memperoleh informasi yang berguna yang menjawab pertanyaan-
pertanyaan yang menjadi pendorong untuk melakukan pengumpulan dan pemeriksaan.
! Pelaporan. Fase terakhir adalah melaporkan hasil analisis, yang mungkin termasuk menggambarkan tindakan yang
digunakan, menjelaskan bagaimana alat dan prosedur dipilih, menentukan tindakan lain apa yang perlu dilakukan
(misalnya, pemeriksaan forensik sumber data tambahan, mengamankan kerentanan yang diidentifikasi, meningkatkan
kontrol keamanan yang ada), dan memberikan rekomendasi untuk perbaikan kebijakan, pedoman, prosedur, alat, dan
aspek lain dari proses forensik. Formalitas langkah pelaporan sangat bervariasi tergantung pada situasinya.
Diskusi yang lebih mendalam tentang proses forensik disajikan dalam Bagian 3. Bagian 4 hingga 7 memberikan informasi
tambahan tentang pengumpulan, pemeriksaan, dan analisis berbagai jenis data forensik.
4
Ada banyak model untuk proses forensik. Meskipun fase yang tepat dari model agak bervariasi, model mencerminkan prinsip dasar
yang sama dan metodologi keseluruhan yang sama. Model berbeda terutama dalam bagaimana granular setiap fase proses dan
dalam istilah yang digunakan untuk fase tertentu. Model yang disajikan dalam panduan ini menawarkan cara sederhana untuk
melihat fase. Organisasi harus memilih model forensik spesifik yang paling sesuai dengan kebutuhan mereka.
2-2
2.2 Kepegawaian Forensik
Praktis setiap organisasi perlu memiliki beberapa kemampuan untuk melakukan forensik komputer dan jaringan.
Tanpa kemampuan seperti itu, organisasi akan mengalami kesulitan menentukan peristiwa apa yang telah terjadi dalam
sistem dan jaringannya, seperti paparan data sensitif yang dilindungi. Meskipun tingkat kebutuhan ini bervariasi,
pengguna utama alat dan teknik forensik dalam suatu organisasi biasanya dapat dibagi menjadi tiga kelompok berikut:
! Penyidik. Penyelidik dalam suatu organisasi paling sering berasal dari Kantor Inspektur Jenderal (OIG), dan
mereka bertanggung jawab untuk menyelidiki tuduhan pelanggaran. Untuk beberapa organisasi, OIG segera
mengambil alih penyelidikan atas setiap peristiwa yang diduga melibatkan kegiatan kriminal. OIG biasanya
menggunakan banyak teknik dan alat forensik. Penyelidik lain dalam suatu organisasi mungkin termasuk
penasihat hukum dan anggota departemen sumber daya manusia. Aparat penegak hukum dan pihak lain di luar
organisasi yang mungkin melakukan investigasi kriminal tidak dianggap sebagai bagian dari kelompok penyelidik
internal organisasi.
! Profesional TI. Grup ini mencakup staf dukungan teknis dan administrator sistem, jaringan, dan keamanan. Mereka
menggunakan sejumlah kecil teknik dan alat forensik khusus untuk bidang keahlian mereka selama pekerjaan
rutin mereka (misalnya, pemantauan, pemecahan masalah, pemulihan data).
! Penangan Insiden. Grup ini menanggapi berbagai insiden keamanan komputer, seperti akses data yang tidak
sah, penggunaan sistem yang tidak sesuai, infeksi kode berbahaya, dan serangan penolakan layanan.
Penangan insiden biasanya menggunakan berbagai macam teknik dan alat forensik selama penyelidikan
mereka.
Banyak organisasi mengandalkan kombinasi staf mereka sendiri dan pihak eksternal untuk melakukan tugas forensik.
Misalnya, beberapa organisasi melakukan tugas standar sendiri dan menggunakan pihak luar hanya ketika bantuan
khusus diperlukan. Bahkan organisasi yang ingin melakukan semua tugas forensik sendiri biasanya melakukan
outsourcing yang paling menuntut, seperti mengirim media yang rusak secara fisik ke perusahaan pemulihan data untuk
rekonstruksi, atau meminta personel atau konsultan penegak hukum yang terlatih khusus mengumpulkan data dari
sumber yang tidak biasa (mis. telepon). Tugas tersebut biasanya memerlukan penggunaan perangkat lunak khusus,
peralatan, fasilitas, dan keahlian teknis yang sebagian besar organisasi tidak dapat membenarkan tingginya biaya untuk
memperoleh dan memelihara. Seperti dijelaskan dalam Bagian 3.1.2, organisasi harus menentukan terlebih dahulu
tindakan mana yang harus dilakukan oleh petugas penegak hukum. Juga, ketika kesaksian ahli diperlukan untuk proses
hukum, organisasi mungkin mencari bantuan eksternal.
Ketika memutuskan pihak internal atau eksternal mana yang harus menangani setiap aspek forensik, organisasi harus
mengingat faktor-faktor berikut:
! Biaya. Ada banyak biaya potensial. Perangkat lunak, perangkat keras, dan peralatan yang digunakan untuk
mengumpulkan dan memeriksa data dapat menimbulkan biaya yang signifikan (misalnya, harga pembelian,
pembaruan dan peningkatan perangkat lunak, pemeliharaan), dan mungkin juga memerlukan langkah-langkah
keamanan fisik tambahan untuk melindunginya dari gangguan. Pengeluaran signifikan lainnya melibatkan pelatihan
staf dan biaya tenaga kerja, yang sangat signifikan bagi spesialis forensik yang berdedikasi. Secara umum,
tindakan forensik yang jarang diperlukan mungkin lebih hemat biaya dilakukan oleh pihak eksternal, sedangkan
tindakan yang sering diperlukan mungkin lebih hemat biaya dilakukan secara internal.
5
Seseorang yang melakukan aktivitas forensik perlu memahami prinsip dan praktik forensik, dan mengikuti prosedur yang
benar untuk setiap aktivitas, terlepas dari kelompok mana dia menjadi anggota.
2-3
! Waktu merespon. Personil yang ditempatkan di lokasi mungkin dapat memulai aktivitas forensik komputer
lebih cepat daripada personel di luar lokasi. Untuk organisasi dengan lokasi fisik yang tersebar secara
geografis, agen outsourcing di luar lokasi yang terletak di dekat fasilitas yang jauh mungkin dapat merespons
lebih cepat daripada personel yang berada di kantor pusat organisasi.
! Sensitivitas Data. Karena sensitivitas data dan masalah privasi, beberapa organisasi mungkin enggan
mengizinkan pihak eksternal untuk mencitrakan hard drive dan melakukan tindakan lain yang menyediakan
akses ke data. Misalnya, sistem yang berisi jejak insiden mungkin juga berisi informasi perawatan kesehatan,
catatan keuangan, atau data sensitif lainnya; sebuah organisasi mungkin lebih memilih untuk menjaga sistem
itu di bawah kendalinya sendiri untuk menjaga privasi data. Di sisi lain, jika ada masalah privasi di dalam tim—
misalnya, jika sebuah insiden diduga melibatkan anggota tim penanganan insiden—penggunaan pihak ketiga
yang independen untuk melakukan tindakan forensik akan lebih disukai.
Penangan insiden yang melakukan tugas forensik harus memiliki pengetahuan yang cukup komprehensif tentang
prinsip, pedoman, prosedur, alat, dan teknik forensik, serta alat dan teknik anti-forensik yang dapat menyembunyikan
atau menghancurkan data. Juga bermanfaat bagi penangan insiden untuk memiliki keahlian dalam keamanan informasi
dan subjek teknis tertentu, seperti OS, sistem file, aplikasi, dan protokol jaringan yang paling umum digunakan dalam
organisasi. Memiliki jenis pengetahuan ini memfasilitasi tanggapan yang lebih cepat dan lebih efektif terhadap insiden.
Penangan insiden juga memerlukan pemahaman umum yang luas tentang sistem dan jaringan sehingga mereka dapat
menentukan dengan cepat tim dan individu mana yang cocok untuk menyediakan keahlian teknis untuk upaya forensik
tertentu, seperti memeriksa dan menganalisis data untuk aplikasi yang tidak umum.
Individu yang melakukan forensik mungkin perlu melakukan jenis tugas lain juga. Misalnya, jika hasil investigasi
digunakan di pengadilan, penangan insiden dapat dipanggil untuk memberikan kesaksian dan menguatkan temuan
mereka. Penangan insiden mungkin memberikan kursus pelatihan forensik kepada staf dukungan teknis, administrator
sistem dan jaringan, dan profesional TI lainnya. Topik pelatihan yang memungkinkan mencakup tinjauan umum alat dan
teknik forensik, saran tentang penggunaan alat tertentu, dan tanda-tanda jenis serangan baru. Penangan insiden
mungkin juga ingin mengadakan sesi interaktif dengan kelompok profesional TI untuk mendengar pemikiran mereka
tentang alat forensik dan mengidentifikasi potensi kekurangan dalam kemampuan forensik yang ada.
Pada tim penanganan insiden, lebih dari satu anggota tim harus dapat melakukan setiap aktivitas forensik tipikal
sehingga tidak adanya anggota tim tunggal tidak akan berdampak buruk pada kemampuan tim. Penangan insiden
dapat melatih satu sama lain dalam penggunaan alat forensik dan topik teknis dan prosedural lainnya. Latihan
langsung dan kursus pelatihan TI dan forensik eksternal juga dapat membantu dalam membangun dan memelihara
keterampilan. Selain itu, mungkin bermanfaat jika anggota tim melihat demonstrasi alat dan teknologi baru atau mencoba
alat forensik dan anti-forensik di laboratorium. Ini bisa sangat berguna dalam membiasakan penangan insiden dengan
pengumpulan, pemeriksaan, dan analisis data dari perangkat seperti ponsel dan PDA. Penangan insiden harus tetap
mengikuti perkembangan teknologi, teknik, dan prosedur forensik baru.
2.3 Interaksi dengan Tim Lain
Tidaklah mungkin bagi satu orang untuk menguasai setiap teknologi (termasuk semua perangkat lunak) yang
digunakan dalam suatu organisasi; oleh karena itu, individu yang melakukan tindakan forensik harus dapat menjangkau
tim dan individu lain dalam organisasi mereka jika diperlukan untuk bantuan tambahan. Misalnya, sebuah insiden yang
melibatkan server database tertentu mungkin ditangani lebih efisien jika administrator database tersedia untuk memberikan
informasi latar belakang, menjawab pertanyaan teknis, dan menyediakan dokumentasi database dan bahan referensi
lainnya. Organisasi harus memastikan bahwa profesional TI di seluruh organisasi, terutama penangan insiden dan
responden pertama lainnya terhadap insiden,
2-4
memahami peran dan tanggung jawab mereka untuk forensik, menerima pelatihan dan pendidikan berkelanjutan
tentang kebijakan, pedoman, dan prosedur terkait forensik, dan siap untuk bekerja sama dengan dan membantu orang lain
ketika teknologi yang menjadi tanggung jawab mereka adalah bagian dari insiden atau peristiwa lain.
Selain profesional TI dan penangan insiden, orang lain dalam suatu organisasi mungkin juga perlu berpartisipasi
dalam kegiatan forensik dalam kapasitas yang kurang teknis. Contohnya termasuk manajemen, penasihat hukum,
personel sumber daya manusia, auditor, dan staf keamanan fisik. Manajemen bertanggung jawab untuk mendukung
kemampuan forensik, meninjau dan menyetujui kebijakan forensik, dan menyetujui tindakan forensik tertentu (misalnya,
mematikan sistem mission-critical selama 6 jam untuk mengumpulkan data dari hard drive-nya).
Penasihat hukum harus hati-hati meninjau semua kebijakan forensik dan pedoman dan prosedur tingkat tinggi, dan
mereka dapat memberikan panduan tambahan bila diperlukan untuk memastikan bahwa tindakan forensik dilakukan secara sah.
Departemen sumber daya manusia dapat memberikan bantuan dalam menangani hubungan karyawan dan
penanganan insiden internal. Auditor dapat membantu menentukan dampak ekonomi dari suatu insiden, termasuk biaya
aktivitas forensik. Staf keamanan fisik dapat membantu mendapatkan akses dan mengamankan bukti secara fisik. Meskipun
tim ini sering tidak memainkan peran penting dalam proses forensik, layanan yang diberikan tim ini dapat bermanfaat.
Untuk memfasilitasi komunikasi antar tim, setiap tim harus menunjuk satu atau lebih titik kontak.
Orang-orang ini bertanggung jawab untuk mengetahui keahlian masing-masing anggota tim dan mengarahkan pertanyaan
untuk bantuan kepada orang yang tepat. Organisasi harus memelihara daftar kontak yang dapat dirujuk oleh tim yang
tepat sesuai kebutuhan. Daftar tersebut harus mencakup metode kontak standar (misalnya, telepon kantor) dan darurat
(misalnya, telepon seluler).
2.4 Kebijakan
Organisasi harus memastikan bahwa kebijakan mereka berisi pernyataan yang jelas yang membahas semua
pertimbangan forensik utama, seperti menghubungi penegak hukum, melakukan pemantauan, dan melakukan tinjauan
rutin terhadap kebijakan, pedoman, dan prosedur forensik. Pada tingkat tinggi, kebijakan harus memungkinkan personel
yang berwenang untuk memantau sistem dan jaringan dan melakukan investigasi untuk alasan yang sah dalam keadaan
yang sesuai. Organisasi mungkin juga memiliki kebijakan terpisah untuk penanganan insiden dan lainnya dengan peran
forensik; kebijakan ini akan memberikan aturan yang lebih rinci untuk perilaku yang sesuai. Personil tersebut harus
mengetahui dan memahami kebijakan tersebut. Kebijakan mungkin perlu sering diperbarui, terutama untuk organisasi yang
menjangkau banyak yurisdiksi, karena perubahan undang-undang dan peraturan, serta putusan pengadilan baru. Selain
itu, kebijakan forensik organisasi harus konsisten dengan kebijakan organisasi lainnya, termasuk kebijakan yang terkait
dengan ekspektasi privasi yang wajar. Bagian 2.4.1 sampai 2.4.3 membahas topik terkait kebijakan secara lebih rinci.
2.4.1 Mendefinisikan Peran dan Tanggung Jawab
Kebijakan forensik harus dengan jelas mendefinisikan peran dan tanggung jawab semua orang yang melakukan atau
membantu kegiatan forensik organisasi. Ini harus mencakup tindakan yang dilakukan selama penanganan insiden dan
aktivitas kerja rutin (misalnya, administrasi sistem, pemecahan masalah jaringan). Kebijakan tersebut harus mencakup
semua tim internal yang dapat berpartisipasi dalam upaya forensik, seperti yang tercantum dalam Bagian 2.3, dan
organisasi eksternal seperti lembaga penegak hukum, agen outsourcing, dan organisasi respons insiden. Kebijakan
tersebut harus dengan jelas menunjukkan siapa yang harus menghubungi tim internal dan organisasi eksternal mana
dalam situasi yang berbeda. Kebijakan tersebut juga harus membahas konflik yurisdiksi—kejahatan yang melibatkan
banyak yurisdiksi, yang dapat diselidiki oleh beberapa lembaga penegak hukum—dan menjelaskan cara menyelesaikannya.
Sebagaimana disebutkan dalam Bagian 2.2, beberapa organisasi memiliki Kantor Inspektur Jenderal (OIG) yang
bertanggung jawab untuk menyelidiki tuduhan pelanggaran; OIG mungkin juga cocok untuk menyelesaikan konflik yurisdiksi.
Di beberapa organisasi, jika kejahatan mungkin telah dilakukan, OIG segera mengambil alih penyelidikan.
2-5
2.4.2 Memberikan Panduan Penggunaan Alat Forensik
Penangan insiden; Profesional TI, seperti administrator sistem dan jaringan; dan orang lain dalam suatu organisasi menggunakan
alat dan teknik forensik untuk berbagai alasan. Meskipun teknologi memiliki banyak manfaat, mereka juga dapat disalahgunakan
secara tidak sengaja atau sengaja untuk memberikan akses tidak sah ke informasi, atau untuk mengubah atau menghancurkan
informasi, termasuk bukti insiden. Selain itu, penggunaan alat forensik tertentu mungkin tidak dibenarkan dalam beberapa situasi
(misalnya, insiden kecil mungkin tidak memerlukan upaya pengumpulan dan pemeriksaan data selama ratusan jam).
Untuk memastikan bahwa alat digunakan secara wajar dan tepat, kebijakan, pedoman, dan prosedur organisasi harus dengan
jelas menjelaskan tindakan forensik apa yang harus dan tidak boleh dilakukan dalam berbagai keadaan. Sebagai contoh, seorang
administrator jaringan harus dapat memantau komunikasi jaringan secara teratur untuk memecahkan masalah operasional, tetapi
tidak boleh membaca email pengguna kecuali secara khusus diberi wewenang untuk melakukannya. Agen help desk mungkin diizinkan
untuk memantau komunikasi jaringan untuk workstation pengguna tertentu untuk memecahkan masalah aplikasi tetapi tidak diizinkan
untuk melakukan pemantauan jaringan lainnya. Pengguna individu mungkin dilarang melakukan pemantauan jaringan apa pun dalam
keadaan apa pun. Kebijakan, pedoman, dan prosedur harus dengan jelas mendefinisikan tindakan spesifik yang diizinkan dan dilarang
untuk setiap peran yang berlaku dalam keadaan normal (misalnya, tugas khusus) dan keadaan khusus (misalnya, penanganan insiden).
Kebijakan, pedoman, dan prosedur juga harus membahas penggunaan alat dan teknik anti-forensik.
Dijelaskan di Bagian 4 sampai 7, perangkat lunak anti-forensik dirancang untuk menyembunyikan atau menghancurkan data
sehingga orang lain tidak dapat mengaksesnya. Ada banyak kegunaan positif untuk perangkat lunak anti-forensik, seperti
menghapus data dari komputer yang akan disumbangkan untuk amal dan menghapus data yang di-cache oleh browser Web untuk
menjaga privasi pengguna. Namun, seperti alat forensik, alat anti-forensik juga dapat digunakan untuk alasan jahat.
Oleh karena itu, organisasi harus menentukan siapa yang diizinkan untuk menggunakan alat tersebut dan dalam keadaan apa.
Karena alat forensik dapat merekam informasi sensitif, kebijakan, pedoman, dan prosedur juga harus menjelaskan perlindungan yang
diperlukan untuk informasi tersebut. Harus juga ada persyaratan untuk menangani paparan informasi sensitif yang tidak disengaja,
seperti penanganan insiden yang melihat kata sandi atau informasi medis pasien.
2.4.3 Mendukung Forensik dalam Siklus Hidup Sistem Informasi
Banyak insiden dapat ditangani dengan lebih efisien dan efektif jika pertimbangan forensik telah dimasukkan ke dalam siklus
hidup sistem informasi. Contoh pertimbangan tersebut adalah sebagai berikut:
! Melakukan pencadangan sistem secara teratur dan memelihara pencadangan sebelumnya untuk jangka waktu tertentu
waktu
! Mengaktifkan audit pada workstation, server, dan perangkat jaringan
! Meneruskan catatan audit untuk mengamankan server log terpusat
! Mengonfigurasi aplikasi mission-critical untuk melakukan audit, termasuk merekam semua upaya otentikasi
! Memelihara database hash file untuk file OS umum dan penerapan aplikasi,
dan menggunakan perangkat lunak pemeriksaan integritas file pada aset yang sangat penting
! Memelihara catatan (misalnya, garis dasar) konfigurasi jaringan dan sistem
2-6
! Menetapkan kebijakan penyimpanan data yang mendukung pelaksanaan tinjauan historis sistem dan
aktivitas jaringan, memenuhi permintaan atau persyaratan untuk menyimpan data yang berkaitan dengan litigasi dan
investigasi yang sedang berlangsung, dan menghancurkan data yang tidak lagi diperlukan.
Sebagian besar pertimbangan ini adalah perluasan dari ketentuan yang ada dalam kebijakan dan prosedur organisasi,
sehingga mereka biasanya ditentukan dalam dokumen individu yang relevan, bukan kebijakan forensik terpusat.
2.5 Pedoman dan Prosedur
Seperti disebutkan dalam Bagian 2.4, sebuah organisasi harus membuat dan memelihara pedoman dan prosedur untuk
melakukan tugas forensik, berdasarkan kebijakan organisasi, model staf respon insiden, dan tim lain yang diidentifikasi sebagai
peserta dalam kegiatan forensik. Bahkan jika aktivitas tersebut dilakukan oleh pihak eksternal, staf internal organisasi akan
tetap berinteraksi dengan mereka dan berpartisipasi sampai batas tertentu dalam aktivitas tersebut, seperti memberi tahu pihak
eksternal tentang perlunya bantuan, memberikan akses fisik atau logis ke sistem, dan mengamankan tempat kejadian sampai
penyelidik tiba. Staf internal harus bekerja sama dengan pihak eksternal untuk memastikan bahwa kebijakan, pedoman, dan
prosedur organisasi dipahami dan diikuti.
Pedoman forensik organisasi harus mencakup metodologi umum untuk menyelidiki insiden menggunakan teknik forensik, karena
tidak layak untuk mengembangkan prosedur komprehensif yang disesuaikan dengan setiap situasi yang mungkin. Namun,
organisasi juga harus mempertimbangkan untuk mengembangkan prosedur langkah demi langkah untuk melakukan tugas rutin,
seperti pencitraan hard disk, menangkap dan merekam informasi yang mudah menguap dari sistem, atau mengamankan bukti
fisik (misalnya, media yang dapat dipindahkan). Tujuan dari pedoman dan prosedur adalah untuk memfasilitasi tindakan forensik
yang konsisten, efektif, dan akurat, yang sangat penting untuk insiden yang dapat menyebabkan penuntutan atau tindakan
disipliner internal. Karena catatan elektronik dan catatan lain dapat diubah atau dimanipulasi, organisasi harus siap, melalui
kebijakan, pedoman, dan prosedur mereka, untuk menunjukkan integritas catatan tersebut.6
Informasi dengan cepat bermigrasi ke bentuk di mana semua aset informasi ada dalam bentuk elektronik. Baik di sektor publik
maupun swasta, semakin penting untuk menunjukkan secara meyakinkan keaslian, kredibilitas, dan keandalan arsip elektronik,
seperti kinerja tindakan atau keputusan tertentu, atau keberadaan item informasi tertentu. Catatan bisnis biasanya diperlakukan
sama dengan aslinya. Semakin, beberapa di komunitas hukum dan forensik prihatin dengan kemudahan yang catatan elektronik
dapat dibuat, diubah, atau dimanipulasi. Selain itu, berbagai inisiatif kepatuhan di sektor publik dan swasta semakin penting untuk
menunjukkan integritas arsip elektronik. Dengan peringatan eksplisit bahwa masalah tersebut adalah masalah untuk didiskusikan
dengan penasihat hukum dan pejabat senior TI dan jauh di luar cakupan publikasi ini, penggunaan teknik forensik yang baik,
terdokumentasi, dan dapat dijelaskan secara wajar ditambah dengan metode lain (seperti retensi dan analisis log ) adalah sumber
daya penting bagi pengambil keputusan serta untuk penanganan insiden.
Pedoman dan prosedur forensik harus konsisten dengan kebijakan organisasi dan semua hukum yang berlaku.
Organisasi harus menyertakan ahli teknis dan penasihat hukum dalam pengembangan pedoman dan prosedur sebagai ukuran
jaminan kualitas. Manajemen juga harus terlibat dalam pengembangan pedoman dan prosedur, terutama dalam memastikan
bahwa semua poin pengambilan keputusan utama didokumentasikan dan bahwa tindakan yang tepat ditentukan sehingga
keputusan dibuat secara konsisten.
6
Untuk informasi lebih lanjut tentang menjaga integritas log keamanan komputer, lihat NIST SP 800-92 (DRAFT), Panduan
untuk Manajemen Log Keamanan Komputer, yang tersedia di http://csrc.nist.gov/publications/nistpubs/.
2-7
Pedoman dan prosedur harus mendukung diterimanya bukti ke dalam proses hukum,
termasuk informasi tentang pengumpulan dan penanganan bukti dengan benar, menjaga integritas alat dan perlengkapan,
7
memelihara lacak balak, dan menyimpan bukti dengan aman. Meskipun mungkin tidak
layak untuk merekam setiap peristiwa atau tindakan yang diambil dalam menanggapi suatu insiden, memiliki catatan utama
peristiwa dan tindakan yang diambil membantu memastikan bahwa tidak ada yang terlewatkan, dan membantu menjelaskan kepada orang lain caranya
kejadian itu ditangani. Dokumentasi ini dapat berguna untuk manajemen kasus, penulisan laporan, dan kesaksian. Mencatat
tanggal dan waktu orang-orang mengerjakan suatu insiden, termasuk waktu
diperlukan untuk memulihkan sistem, juga dapat membantu menghitung biaya kerusakan. Juga, menangani bukti di a
cara yang baik secara forensik menempatkan pengambil keputusan pada posisi di mana mereka dapat mengambil keputusan dengan percaya diri
tindakan yang diperlukan.
Penting juga untuk menjaga pedoman dan prosedur setelah dibuat agar tetap ada
tepat. Manajemen harus menentukan seberapa sering pedoman dan prosedur harus
ditinjau (umumnya, setidaknya setiap tahun). Review juga harus dilakukan setiap kali kebijakan tim,
pedoman, dan prosedur mengalami perubahan yang signifikan. Ketika pedoman atau prosedur diperbarui,
versi sebelumnya harus diarsipkan untuk kemungkinan penggunaan di masa mendatang dalam proses hukum. Pedoman dan prosedur
ulasan harus menyertakan tim yang sama yang berpartisipasi dalam pembuatannya. Selain tampil
tinjauan, organisasi mungkin memilih untuk melakukan latihan yang membantu untuk memvalidasi akurasi tertentu
pedoman dan prosedur.
2.6 Rekomendasi
Rekomendasi utama untuk membangun dan mengatur kemampuan forensik adalah sebagai berikut:
! Organisasi harus memiliki kemampuan untuk melakukan forensik komputer dan jaringan.
Forensik diperlukan untuk berbagai tugas dalam suatu organisasi, termasuk menyelidiki kejahatan dan
perilaku yang tidak pantas, merekonstruksi insiden keamanan komputer, pemecahan masalah operasional
masalah, mendukung uji tuntas untuk pemeliharaan catatan audit, dan pemulihan dari kecelakaan
kerusakan sistem. Tanpa kemampuan seperti itu, suatu organisasi akan kesulitan menentukan apa yang
peristiwa telah terjadi dalam sistem dan jaringannya, seperti eksposur yang dilindungi, sensitif
data. Selain itu, menangani bukti dengan cara yang baik secara forensik menempatkan pengambil keputusan pada posisi di mana
mereka dapat dengan percaya diri mengambil tindakan yang diperlukan.
! Organisasi harus menentukan pihak mana yang harus menangani setiap aspek forensik. Sebagian besar organisasi
mengandalkan kombinasi staf mereka sendiri dan pihak eksternal untuk melakukan forensik
tugas. Organisasi harus memutuskan pihak mana yang harus menangani tugas mana yang didasarkan pada keterampilan
dan kemampuan, biaya, waktu respons, dan sensitivitas data.
! Tim penanganan insiden harus memiliki kemampuan forensik yang kuat. Lebih dari satu tim
anggota harus dapat melakukan setiap aktivitas forensik yang khas. Latihan langsung dan kursus pelatihan TI dan forensik
dapat membantu dalam membangun dan memelihara keterampilan, seperti halnya demonstrasi
dari alat dan teknologi baru.
! Banyak tim dalam suatu organisasi harus berpartisipasi dalam forensik. Performa individu
tindakan forensik harus dapat menjangkau tim dan individu lain dalam suatu organisasi,
sesuai kebutuhan, untuk bantuan tambahan. Contoh tim yang dapat memberikan bantuan dalam hal ini
upaya termasuk profesional TI, manajemen, penasihat hukum, personel sumber daya manusia,
auditor, dan staf keamanan fisik. Anggota tim ini harus memahami peran mereka dan
7
Dokumen ini tidak menjelaskan persyaratan forensik komputer dan jaringan yang ditempatkan pada penegakan hukum. Untuk selanjutnya
informasi mengenai persyaratan forensik komputer dan jaringan untuk penegakan hukum, lihat Electronic Crime Scene Investigation:
A Guide for First Responders and Forensic Examination of Digital Evidence: A Guide for Law Enforcement, yang keduanya tersedia di http://
www.ncjrs.gov/ app/topics/topic.aspx?topicid=158.
2-8
tanggung jawab dalam forensik, menerima pelatihan dan pendidikan tentang kebijakan, pedoman, dan prosedur
yang berhubungan dengan forensik, dan bersiap untuk bekerja sama dengan dan membantu orang lain dalam
tindakan forensik.
! Pertimbangan forensik harus ditangani dengan jelas dalam kebijakan. Pada tingkat tinggi, kebijakan
harus mengizinkan personel yang berwenang untuk memantau sistem dan jaringan dan melakukan penyelidikan untuk
alasan yang sah dalam keadaan yang sesuai. Organisasi mungkin juga memiliki kebijakan forensik terpisah untuk penangan
insiden dan lainnya dengan peran forensik yang menyediakan aturan yang lebih rinci untuk perilaku yang sesuai. Setiap
orang yang mungkin dipanggil untuk membantu upaya forensik harus mengetahui dan memahami kebijakan forensik.
Pertimbangan kebijakan tambahan adalah sebagai berikut:
Kebijakan forensik harus secara jelas mendefinisikan peran dan tanggung jawab semua orang yang melakukan atau membantu
kegiatan forensik organisasi. Kebijakan tersebut harus mencakup semua pihak internal dan eksternal yang mungkin
terlibat dan harus dengan jelas menunjukkan siapa yang harus menghubungi pihak mana dalam keadaan yang berbeda.
Kebijakan , pedoman, dan prosedur organisasi harus dengan jelas menjelaskan tindakan forensik apa yang harus dan tidak
boleh dilakukan dalam keadaan normal dan khusus dan harus membahas penggunaan alat dan teknik anti-forensik.
Kebijakan, pedoman, dan prosedur juga harus menangani penanganan paparan informasi sensitif yang tidak disengaja.
Memasukkan pertimbangan forensik ke dalam siklus hidup sistem informasi dapat menghasilkan penanganan banyak insiden
yang lebih efisien dan efektif. Contohnya termasuk melakukan audit pada host dan menetapkan kebijakan penyimpanan
data yang mendukung pelaksanaan tinjauan historis aktivitas sistem dan jaringan.
! Organisasi harus membuat dan memelihara pedoman dan prosedur untuk melakukan tugas forensik. Pedoman
harus mencakup metodologi umum untuk menyelidiki insiden menggunakan teknik forensik, dan prosedur langkah
demi langkah harus menjelaskan bagaimana melakukan tugas rutin. Pedoman dan prosedur harus mendukung diterimanya
bukti ke dalam proses hukum. Karena catatan elektronik dan catatan lain dapat diubah atau dimanipulasi, organisasi harus
siap, melalui kebijakan, pedoman, dan prosedur mereka, untuk menunjukkan keandalan dan integritas catatan tersebut.
Pedoman dan prosedur juga harus ditinjau secara teratur dan dipelihara agar akurat.
2-9
2-10
3. Melakukan Proses Forensik

Tujuan paling umum dari melakukan forensik adalah untuk mendapatkan pemahaman yang lebih baik tentang suatu peristiwa yang menarik dengan:
menemukan dan menganalisis fakta-fakta yang berkaitan dengan peristiwa itu. Seperti yang dijelaskan dalam Bagian 2.1, forensik mungkin
diperlukan dalam banyak situasi yang berbeda, seperti pengumpulan bukti untuk proses hukum dan internal
tindakan disipliner, dan penanganan insiden malware dan masalah operasional yang tidak biasa. Terlepas dari
kebutuhan, forensik harus dilakukan dengan menggunakan proses empat fase yang ditunjukkan pada Gambar 3-1. Rincian
yang tepat dari langkah-langkah ini dapat bervariasi berdasarkan kebutuhan khusus untuk forensik; kebijakan organisasi,
pedoman, dan prosedur harus menunjukkan setiap variasi dari prosedur standar.
Bagian ini menjelaskan fase dasar dari proses forensik: pengumpulan, pemeriksaan, analisis, dan pelaporan.
8
Selama pengumpulan, data yang terkait dengan peristiwa tertentu diidentifikasi, diberi label, direkam, dan
dikumpulkan, dan integritasnya dipertahankan. Pada tahap kedua, pemeriksaan, alat dan teknik forensik
sesuai dengan jenis data yang dikumpulkan dijalankan untuk mengidentifikasi dan mengekstrak yang relevan
informasi dari data yang dikumpulkan sambil melindungi integritasnya. Pemeriksaan dapat menggunakan kombinasi dari
alat otomatis dan proses manual. Tahap selanjutnya, analisis, melibatkan analisis hasil dari
pemeriksaan untuk memperoleh informasi yang berguna yang menjawab pertanyaan-pertanyaan yang merupakan dorongan untuk
melakukan pengumpulan dan pemeriksaan. Tahap terakhir melibatkan pelaporan hasil analisis,
yang mungkin termasuk menggambarkan tindakan yang dilakukan, menentukan tindakan lain apa yang perlu dilakukan
dilakukan, dan merekomendasikan perbaikan kebijakan, pedoman, prosedur, alat, dan aspek lain dari proses forensik.
Gambar 3-1. Proses Forensik
Seperti yang ditunjukkan di bagian bawah Gambar 3-1, proses forensik mengubah media menjadi bukti, baik
9
bukti diperlukan untuk penegakan hukum atau untuk penggunaan internal organisasi. Secara khusus, yang pertama
transformasi terjadi ketika data yang dikumpulkan diperiksa, yang mengekstrak data dari media dan mengubahnya
ke dalam format yang dapat diproses oleh alat forensik.10 Kedua, data diubah menjadi informasi
8
Seperti yang dijelaskan dalam Bagian 2.1, model proses forensik yang disajikan dalam dokumen ini menawarkan cara sederhana untuk melihat:
tahapan proses forensik. Ada banyak model proses forensik lain yang mencerminkan prinsip dasar dan metodologi keseluruhan yang sama.
Model forensik berbeda terutama dalam bagaimana granular setiap fase proses dan dalam istilah yang digunakan
untuk fase-fase tertentu. Organisasi harus memilih model forensik spesifik yang paling sesuai dengan kebutuhan mereka.
9
Dari perspektif hukum, istilah bukti secara teknis hanya mengacu pada barang-barang yang dimasukkan ke dalam kasus pengadilan oleh a
hakim. Namun, istilah bukti digunakan secara luas dalam arti yang lebih luas, dan publikasi ini menggunakan istilah yang tidak terlalu restriktif
definisi barang bukti.
10
Dalam konteks ini, kata media mengacu pada sistem dan jaringan.
3-1
melalui analisis. Akhirnya, transformasi informasi menjadi bukti analog dengan mentransfer pengetahuan ke dalam
tindakan-menggunakan informasi yang dihasilkan oleh analisis dalam satu atau lebih cara selama fase pelaporan. Misalnya,
dapat digunakan sebagai bukti untuk membantu menuntut individu tertentu, informasi yang dapat ditindaklanjuti untuk
membantu menghentikan atau mengurangi beberapa aktivitas, atau pengetahuan dalam menghasilkan petunjuk baru untuk
sebuah kasus.
3.1 Pengumpulan Data
Langkah pertama dalam proses forensik adalah mengidentifikasi sumber data potensial dan memperoleh data darinya.
Bagian 3.1.1 menjelaskan berbagai sumber data yang tersedia dan membahas tindakan yang dapat diambil organisasi
untuk mendukung pengumpulan data yang sedang berlangsung untuk tujuan forensik. Bagian 3.1.2 menjelaskan langkah-
langkah yang direkomendasikan untuk mengumpulkan data, termasuk tindakan tambahan yang diperlukan untuk mendukung
proses hukum atau disiplin internal. Bagian 3.1.3 membahas pertimbangan tanggapan insiden, menekankan kebutuhan untuk
menimbang nilai data yang dikumpulkan terhadap biaya dan dampak organisasi dari proses pengumpulan.
3.1.1 Mengidentifikasi Kemungkinan Sumber Data
Semakin meluasnya penggunaan teknologi digital baik untuk keperluan profesional maupun pribadi telah menyebabkan
melimpahnya sumber data. Sumber data yang paling jelas dan umum adalah komputer desktop, server, perangkat
penyimpanan jaringan, dan laptop. Sistem ini biasanya memiliki drive internal yang menerima media, seperti CD dan DVD,
dan juga memiliki beberapa jenis port (misalnya, Universal Serial Bus [USB], Firewire, Personal Computer Memory Card
International Association [PCMCIA]) tempat penyimpanan data eksternal media dan perangkat dapat dilampirkan. Contoh
bentuk penyimpanan eksternal yang mungkin menjadi sumber data adalah thumb drive, kartu memori dan flash, cakram optik,
dan cakram magnetik. Sistem komputer standar juga berisi data volatil yang tersedia sementara (yaitu, sampai sistem
dimatikan atau di-boot ulang). Selain perangkat yang berhubungan dengan komputer, banyak jenis perangkat digital portabel
(misalnya, PDA, ponsel, kamera digital, perekam digital, pemutar audio) juga dapat berisi data. Analis harus dapat mensurvei
area fisik, seperti kantor, dan mengenali kemungkinan sumber data.
11
Analis juga harus memikirkan kemungkinan sumber data yang terletak di tempat lain. Misalnya, seperti yang dijelaskan
dalam Bagian 6 dan 7, biasanya ada banyak sumber informasi dalam suatu organisasi mengenai aktivitas jaringan dan
penggunaan aplikasi. Informasi juga dapat direkam oleh organisasi lain, seperti log aktivitas jaringan untuk penyedia layanan
Internet (ISP). Analis harus memperhatikan pemilik setiap sumber data dan pengaruhnya terhadap pengumpulan data.
Misalnya, mendapatkan salinan catatan ISP biasanya memerlukan perintah pengadilan. Analis juga harus mengetahui
kebijakan organisasi, serta pertimbangan hukum, mengenai properti milik eksternal di fasilitas organisasi (misalnya, laptop
pribadi karyawan atau laptop kontraktor). Situasi dapat menjadi lebih rumit jika lokasi di luar kendali organisasi terlibat, seperti
insiden yang melibatkan komputer di kantor pusat telekomunikasi. Terkadang pengumpulan data dari sumber data primer
tidak mungkin dilakukan; oleh karena itu, analis harus menyadari sumber data alternatif yang mungkin berisi beberapa atau
semua data yang sama, dan harus menggunakan sumber tersebut alih-alih sumber yang tidak dapat dicapai.
Organisasi dapat mengambil tindakan proaktif berkelanjutan untuk mengumpulkan data yang mungkin berguna
untuk tujuan forensik. Misalnya, seperti yang dijelaskan dalam Bagian 5.1.1, sebagian besar OS dapat dikonfigurasi untuk
mengaudit dan merekam jenis kejadian tertentu, seperti upaya otentikasi dan perubahan kebijakan keamanan, sebagai
bagian dari operasi normal. Catatan audit dapat memberikan informasi berharga, termasuk waktu terjadinya suatu peristiwa dan
11
Karena tindakan forensik dapat dilakukan oleh orang-orang dalam berbagai peran dalam suatu organisasi, dokumen ini biasanya
menggunakan kata 'analis' sebagai istilah umum untuk individu yang melakukan tindakan forensik.
3-2
asal usul peristiwa.12 Tindakan lain yang bermanfaat adalah menerapkan pencatatan terpusat, yang berarti bahwa sistem
dan aplikasi tertentu meneruskan salinan log mereka ke server log pusat yang aman. Logging terpusat mencegah pengguna
yang tidak sah merusak log dan menggunakan teknik anti-forensik untuk menghambat analisis.
13
Melakukan pencadangan sistem secara teratur memungkinkan analis untuk melihat isi sistem
sebagaimana adanya pada waktu tertentu. Selain itu, seperti yang dijelaskan dalam Bagian 6 dan 7, kontrol pemantauan
keamanan seperti perangkat lunak pendeteksi penyusupan, perangkat lunak antivirus, dan utilitas deteksi dan penghapusan
spyware dapat menghasilkan log yang menunjukkan kapan dan bagaimana serangan atau penyusupan terjadi.
Pengukuran pengumpulan data proaktif lainnya adalah pemantauan perilaku pengguna, seperti pemantauan
penekanan tombol, yang mencatat penggunaan keyboard dari sistem tertentu. Meskipun tindakan ini dapat memberikan catatan
aktivitas yang berharga, tindakan ini juga dapat menjadi pelanggaran privasi kecuali pengguna diberi tahu melalui kebijakan
organisasi dan spanduk masuk bahwa pemantauan tersebut dapat dilakukan. Sebagian besar organisasi tidak menggunakan
teknik seperti pemantauan keystroke kecuali saat mengumpulkan informasi tambahan tentang insiden yang dicurigai.
Kewenangan untuk melakukan pemantauan tersebut harus didiskusikan dengan penasihat hukum dan didokumentasikan
dengan jelas dalam kebijakan organisasi.
3.1.2 Memperoleh Data
Setelah mengidentifikasi sumber data potensial, analis perlu memperoleh data dari sumber tersebut. Akuisisi data harus
dilakukan dengan menggunakan proses tiga langkah: mengembangkan rencana untuk memperoleh data, memperoleh
data, dan memverifikasi integritas data yang diperoleh. Meskipun item berikut memberikan gambaran umum tentang ketiga
langkah ini, detail spesifik di balik langkah 2 dan 3 bervariasi berdasarkan jenis data yang diperoleh. Bagian 4.2, 5.2, 6.3, dan
7.3 memberikan penjelasan lebih rinci tentang memperoleh dan memverifikasi integritas file data, data OS, data lalu lintas
jaringan, dan data aplikasi, masing-masing.
1. Mengembangkan rencana untuk memperoleh data. Mengembangkan rencana adalah langkah pertama yang penting dalam banyak kasus
karena ada beberapa sumber data potensial. Analis harus membuat rencana yang memprioritaskan sumber,
menetapkan urutan di mana data harus diperoleh. Faktor penting untuk diprioritaskan adalah sebagai berikut:
! Kemungkinan Nilai. Berdasarkan pemahaman analis tentang situasi dan pengalaman sebelumnya dalam situasi
serupa, analis harus dapat memperkirakan nilai kemungkinan relatif dari setiap sumber data potensial.
! Keriangan. Data volatil mengacu pada data pada sistem langsung yang hilang setelah komputer
dimatikan atau karena berlalunya waktu. Data yang mudah menguap juga dapat hilang sebagai akibat dari
tindakan lain yang dilakukan pada sistem. Dalam banyak kasus, memperoleh data yang mudah menguap
harus diprioritaskan daripada data yang tidak mudah menguap. Namun, data non-volatil mungkin juga
bersifat dinamis (misalnya, file log yang ditimpa saat peristiwa baru terjadi).
! Jumlah Upaya yang Diperlukan. Jumlah upaya yang diperlukan untuk memperoleh sumber data yang berbeda
dapat sangat bervariasi. Upaya tersebut tidak hanya melibatkan waktu yang dihabiskan oleh analis dan pihak lain
dalam organisasi (termasuk penasihat hukum) tetapi juga biaya peralatan dan layanan (misalnya, tenaga ahli dari
luar). Misalnya, memperoleh data dari router jaringan mungkin membutuhkan lebih sedikit usaha daripada
memperoleh data dari ISP.
12
Jika audit tidak diaktifkan pada sistem ketika suatu peristiwa terjadi, penangan insiden mungkin mengaktifkan audit setelah peristiwa
tersebut ditemukan dalam upaya untuk merekam bukti aktivitas yang sedang berlangsung. Karena hal ini dapat mengubah bukti insiden
dan memperingatkan penyerang akan kehadiran penangan insiden, dampak pengaktifan audit harus dipertimbangkan, dan penangan
insiden harus mendokumentasikan tindakan mereka.
13
Untuk informasi lebih lanjut tentang logging terpusat, lihat NIST SP 800-92 (DRAFT), Panduan untuk Manajemen Log
Keamanan Komputer, yang tersedia di http://csrc.nist.gov/publications/nistpubs/.
3-3
Dengan mempertimbangkan ketiga faktor ini untuk setiap sumber data potensial, analis dapat membuat keputusan
berdasarkan informasi mengenai prioritas perolehan sumber data, serta menentukan sumber data mana yang akan
diperoleh. Dalam beberapa kasus, ada begitu banyak kemungkinan sumber data sehingga tidak praktis untuk
memperoleh semuanya. Organisasi harus hati-hati mempertimbangkan kompleksitas memprioritaskan akuisisi
sumber data dan mengembangkan rencana tertulis, pedoman, dan prosedur yang dapat membantu analis melakukan
prioritas secara efektif.
2. Dapatkan datanya. Jika data belum diperoleh dengan alat keamanan, alat analisis, atau cara lain, proses umum untuk
memperoleh data melibatkan penggunaan alat forensik untuk mengumpulkan data yang mudah menguap, menduplikasi
sumber data yang tidak mudah menguap untuk mengumpulkan datanya, dan mengamankan sumber data non-volatil
asli. -Sumber data yang mudah menguap. Akuisisi data dapat dilakukan baik secara lokal atau melalui jaringan.
Meskipun umumnya lebih disukai untuk memperoleh data secara lokal karena ada kontrol yang lebih besar atas sistem
dan data, pengumpulan data lokal tidak selalu layak (misalnya, sistem di ruang terkunci, sistem di lokasi lain). Saat
memperoleh data melalui jaringan, keputusan harus dibuat mengenai jenis data yang akan dikumpulkan dan jumlah
upaya untuk digunakan. Misalnya, mungkin perlu untuk memperoleh data dari beberapa sistem melalui koneksi jaringan
yang berbeda, atau mungkin cukup untuk menyalin volume logis hanya dari satu sistem.
3. Verifikasi integritas data. Setelah data diperoleh, integritasnya harus:

diverifikasi. Sangat penting bagi seorang analis untuk membuktikan bahwa data tersebut tidak dirusak jika mungkin
diperlukan untuk alasan hukum. Verifikasi integritas data biasanya terdiri dari penggunaan alat untuk menghitung intisari
pesan dari data asli dan yang disalin, kemudian membandingkan intisari untuk memastikan bahwa keduanya sama.
Sebelum analis mulai mengumpulkan data apa pun, keputusan harus dibuat oleh analis atau manajemen
(sesuai dengan kebijakan organisasi dan penasihat hukum) tentang perlunya mengumpulkan dan menyimpan bukti
dengan cara yang mendukung penggunaannya di masa depan hukum atau internal proses disiplin. Dalam situasi
seperti itu, rantai pengawasan yang jelas harus diikuti untuk menghindari tuduhan kesalahan penanganan atau
perusakan bukti. Ini melibatkan pencatatan setiap orang yang memiliki penyimpanan fisik bukti, mendokumentasikan
tindakan yang mereka lakukan pada bukti dan pada jam berapa, menyimpan bukti di lokasi yang aman saat tidak
digunakan, membuat salinan bukti dan melakukan pemeriksaan dan analisis hanya dengan menggunakan bukti salinan,
dan memverifikasi integritas bukti asli dan salinan. Jika tidak jelas apakah bukti perlu disimpan atau tidak, secara
default biasanya harus disimpan.
Selain itu, beberapa langkah lain harus diambil. Sepanjang proses, log rinci harus disimpan dari setiap langkah yang diambil untuk
mengumpulkan data, termasuk informasi tentang setiap alat yang digunakan dalam proses.
Dokumentasi memungkinkan analis lain untuk mengulangi proses nanti jika diperlukan. Selain itu, bukti harus difoto untuk
memberikan pengingat visual tentang pengaturan komputer dan perangkat periferal. Selain itu, sebelum benar-benar
menyentuh sistem, analis harus membuat catatan atau foto dari setiap gambar, dokumen, program yang sedang berjalan, dan
informasi relevan lainnya yang ditampilkan di monitor. Jika screen saver aktif, itu harus didokumentasikan juga karena mungkin
dilindungi kata sandi. Jika memungkinkan, satu orang di tempat kejadian harus ditunjuk sebagai penjaga barang bukti, dan diberi
tanggung jawab penuh untuk memotret, mendokumentasikan, dan memberi label pada setiap barang yang dikumpulkan, dan
mencatat setiap tindakan yang dilakukan beserta siapa yang melakukan tindakan tersebut, di mana tindakan tersebut dilakukan.
dilakukan, dan pada jam berapa. Karena bukti mungkin tidak diperlukan untuk proses hukum untuk waktu yang lama, dokumentasi
yang tepat memungkinkan seorang analis untuk mengingat dengan tepat apa yang telah dilakukan untuk mengumpulkan data dan
dapat digunakan untuk membantah klaim kesalahan penanganan.
Untuk membantu analis dengan pengumpulan bukti, sumber daya yang diperlukan, seperti workstation forensik, perangkat
cadangan, media kosong, dan persediaan penanganan bukti (misalnya, notebook hard-bound, formulir lacak balak, tas dan
tag penyimpanan bukti, pita bukti, digital kamera) harus disiapkan
3-4
sebelumnya. Dalam beberapa kasus, mungkin perlu untuk memastikan bahwa tempat kejadian secara fisik
diamankan untuk mencegah akses yang tidak sah dan perubahan bukti. Ini mungkin sesederhana meminta anggota
staf keamanan fisik menjaga sebuah ruangan. Mungkin juga ada situasi di mana perwakilan penegak hukum harus
menangani pengumpulan data karena alasan hukum. Ini termasuk, namun tidak terbatas pada, memperoleh catatan
ISP dan mengumpulkan data dari sistem komputer eksternal serta perangkat dan media yang tidak biasa. Berdasarkan
panduan dari penasihat hukum, organisasi harus menentukan terlebih dahulu jenis data apa yang paling baik
dikumpulkan oleh aparat penegak hukum.
Analis harus memperhitungkan apa yang akan dilakukan dengan data yang dikumpulkan dan merencanakan
konsekuensi potensial. Dalam beberapa kasus, data dapat diserahkan ke lembaga penegak hukum atau pihak
eksternal lainnya untuk pemeriksaan dan analisis. Hal ini dapat mengakibatkan perangkat keras yang dikumpulkan
tidak tersedia untuk waktu yang lama. Jika media asli perlu diamankan untuk proses hukum, itu bisa tidak tersedia
selama bertahun-tahun. Kekhawatiran lain adalah bahwa informasi sensitif yang tidak terkait dengan penyelidikan
(misalnya, catatan medis, informasi keuangan) mungkin secara tidak sengaja ditangkap bersama dengan data yang
diinginkan.
3.1.3 Pertimbangan Respon Insiden
Saat melakukan forensik selama respons insiden, pertimbangan penting adalah bagaimana dan kapan insiden
tersebut harus ditangani. Mengisolasi sistem terkait dari pengaruh eksternal mungkin diperlukan untuk mencegah
kerusakan lebih lanjut pada sistem dan datanya atau untuk melestarikan bukti. Dalam banyak kasus, analis harus
bekerja dengan tim respons insiden untuk membuat keputusan penahanan (misalnya, memutuskan kabel jaringan,
mencabut daya, meningkatkan langkah-langkah keamanan fisik, mematikan host dengan anggun). Keputusan ini harus
didasarkan pada kebijakan dan prosedur yang ada mengenai penahanan insiden, serta penilaian tim terhadap risiko
yang ditimbulkan oleh insiden tersebut, sehingga strategi penahanan atau kombinasi strategi yang dipilih cukup
mengurangi risiko sambil mempertahankan integritas bukti potensial bila memungkinkan. .
Organisasi juga harus mempertimbangkan terlebih dahulu dampak berbagai strategi penahanan terhadap kemampuan
organisasi untuk beroperasi secara efektif. Misalnya, mengambil sistem kritis offline selama beberapa jam untuk
memperoleh gambar disk dan data lainnya dapat mempengaruhi kemampuan organisasi untuk melakukan operasi
yang diperlukan. Waktu henti yang signifikan dapat mengakibatkan kerugian moneter yang substansial bagi organisasi.
Oleh karena itu, perhatian harus diberikan untuk meminimalkan gangguan pada operasi organisasi.
Satu langkah yang sering diambil untuk menahan insiden adalah mengamankan perimeter di sekitar komputer dan
membatasi akses ke personel yang berwenang selama proses pengumpulan untuk memastikan bahwa bukti tidak
diubah. Juga, daftar semua pengguna yang memiliki akses ke komputer harus didokumentasikan, karena orang-orang
ini mungkin dapat memberikan kata sandi atau informasi tentang lokasi data tertentu. Jika komputer terhubung ke
jaringan, melepaskan kabel jaringan yang terpasang ke komputer dapat mencegah pengguna jarak jauh memodifikasi
data komputer. Jika komputer menggunakan koneksi jaringan nirkabel, adaptor jaringan eksternal mungkin dicabut dari
komputer atau adaptor jaringan internal mungkin dinonaktifkan untuk memutuskan koneksi jaringan. Jika tidak ada opsi
yang memungkinkan, maka mematikan titik akses jaringan nirkabel yang digunakan komputer akan mendapatkan hasil
yang sama; namun, hal itu dapat mencegah pengguna di luar lingkup penyelidikan melakukan rutinitas harian mereka.
Selain itu, mungkin ada lebih dari satu titik akses dalam jangkauan komputer. Beberapa adapter jaringan nirkabel
secara otomatis mencoba menyambung ke titik akses lain saat titik akses utama tidak tersedia, sehingga mengatasi
insiden dengan cara ini dapat melibatkan pemutusan beberapa titik akses.
3-5
3.2 Ujian
Setelah data terkumpul, tahap selanjutnya adalah menguji data, yang meliputi penilaian dan
mengekstrak informasi yang relevan dari data yang dikumpulkan. Fase ini mungkin juga melibatkan
melewati atau mengurangi fitur OS atau aplikasi yang mengaburkan data dan kode, seperti kompresi data,
enkripsi, dan mekanisme kontrol akses. Hard drive yang diperoleh mungkin berisi ratusan ribu
dari file data; mengidentifikasi file data yang berisi informasi yang menarik, termasuk informasi
disembunyikan melalui kompresi file dan kontrol akses, bisa menjadi tugas yang menakutkan. Selain itu, file data dari
bunga mungkin berisi informasi asing yang harus disaring. Misalnya, log firewall kemarin mungkin menyimpan jutaan catatan, tetapi
hanya lima catatan yang mungkin terkait dengan peristiwa yang diinginkan.
Untungnya, berbagai alat dan teknik dapat digunakan untuk mengurangi jumlah data yang harus diayak
melalui. Pencarian teks dan pola dapat digunakan untuk mengidentifikasi data terkait, seperti menemukan dokumen yang
menyebutkan subjek atau orang tertentu, atau mengidentifikasi entri log email untuk alamat email tertentu.
Teknik lain yang bermanfaat adalah dengan menggunakan alat yang dapat menentukan jenis konten dari setiap file data, seperti:
teks, grafik, musik, atau arsip file terkompresi. Pengetahuan tentang tipe file data dapat digunakan untuk mengidentifikasi
file yang perlu dipelajari lebih lanjut, serta untuk mengecualikan file yang tidak menarik untuk pemeriksaan. Di sana
juga database yang berisi informasi tentang file yang diketahui, yang juga dapat digunakan untuk menyertakan atau mengecualikan
file dari pertimbangan lebih lanjut. Informasi khusus tentang alat dan teknik pemeriksaan adalah
disajikan dalam Bagian 4.3, 5.3, 6.4, dan 7.4.
3.3 Analisis
Setelah informasi yang relevan telah diekstraksi, analis harus mempelajari dan menganalisis data untuk menarik
14
kesimpulan darinya. Fondasi forensik menggunakan pendekatan metodis untuk mencapai
kesimpulan berdasarkan data yang tersedia atau menentukan bahwa belum ada kesimpulan yang dapat ditarik. Analisis
harus mencakup mengidentifikasi orang, tempat, barang, dan peristiwa, dan menentukan bagaimana elemen-elemen ini
berhubungan sehingga dapat ditarik suatu kesimpulan. Seringkali, upaya ini akan mencakup data yang menghubungkan antara
beberapa sumber. Misalnya, log sistem deteksi intrusi jaringan (IDS) dapat menautkan suatu peristiwa ke a
host, log audit host dapat menautkan acara ke akun pengguna tertentu, dan log IDS host dapat menunjukkan
tindakan apa yang dilakukan pengguna. Alat seperti logging terpusat dan manajemen acara keamanan
perangkat lunak dapat memfasilitasi proses ini dengan mengumpulkan dan menghubungkan data secara otomatis. Perbandingan
karakteristik sistem ke baseline yang diketahui dapat mengidentifikasi berbagai jenis perubahan yang dilakukan pada sistem.
Bagian 8 menjelaskan proses analisis ini secara lebih rinci.
Seperti yang dijelaskan dalam Bagian 3.1.2, jika bukti mungkin diperlukan untuk tindakan disipliner hukum atau internal,
analis harus hati-hati mendokumentasikan temuan dan semua langkah yang diambil.
3.4 Pelaporan
Tahap terakhir adalah pelaporan, yaitu proses penyusunan dan penyajian informasi yang dihasilkan dari tahap analisis. Banyak
faktor yang mempengaruhi pelaporan, termasuk yang berikut ini:
! Penjelasan Alternatif. Ketika informasi mengenai suatu peristiwa tidak lengkap, mungkin tidak mungkin untuk sampai
pada penjelasan yang pasti tentang apa yang terjadi. Ketika suatu peristiwa memiliki dua atau
penjelasan yang lebih masuk akal, masing-masing harus dipertimbangkan dalam proses pelaporan.
Analis harus menggunakan pendekatan metodis untuk mencoba membuktikan atau menyangkal setiap kemungkinan
penjelasan yang diajukan.
14
Beberapa metodologi proses forensik memiliki fase analisis terpisah setelah fase pemeriksaan. Demi kesederhanaan,
publikasi ini menyajikan analisis sebagai bagian dari tahap pemeriksaan. Biasanya, seorang analis memeriksa data dan melakukan
analisis data tersebut, kemudian melakukan pemeriksaan dan analisis tambahan berdasarkan hasil analisis awal.
3-6
! Pertimbangan Audiens. Mengetahui audiens yang data atau informasi akan ditampilkan adalah penting. Sebuah insiden
yang membutuhkan keterlibatan penegak hukum memerlukan laporan yang sangat rinci dari semua informasi yang
dikumpulkan, dan mungkin juga memerlukan salinan dari semua data bukti yang diperoleh. Administrator sistem mungkin
ingin melihat lalu lintas jaringan dan statistik terkait dengan sangat rinci.
Manajemen senior mungkin hanya menginginkan gambaran tingkat tinggi tentang apa yang terjadi, seperti
representasi visual yang disederhanakan tentang bagaimana serangan itu terjadi, dan apa yang harus dilakukan untuk
mencegah insiden serupa.
! Informasi yang Dapat Ditindaklanjuti. Pelaporan juga mencakup mengidentifikasi informasi yang dapat ditindaklanjuti yang diperoleh
dari data yang memungkinkan seorang analis mengumpulkan sumber informasi baru. Misalnya, daftar kontak dapat
dikembangkan dari data yang mungkin mengarah pada informasi tambahan tentang suatu insiden atau kejahatan. Juga,
informasi dapat diperoleh yang dapat mencegah kejadian di masa depan, seperti pintu belakang pada sistem yang dapat
digunakan untuk serangan di masa mendatang, kejahatan yang sedang direncanakan, worm yang dijadwalkan untuk
mulai menyebar pada waktu tertentu, atau kerentanan yang dapat dieksploitasi.
Sebagai bagian dari proses pelaporan, analis harus mengidentifikasi masalah yang mungkin perlu diperbaiki, seperti
kekurangan kebijakan atau kesalahan prosedur. Banyak tim forensik dan respons insiden mengadakan tinjauan formal setelah
setiap peristiwa besar. Tinjauan semacam itu cenderung mencakup pertimbangan serius tentang kemungkinan perbaikan pedoman
dan prosedur, dan biasanya setidaknya beberapa perubahan kecil disetujui dan diterapkan setelah setiap tinjauan. Sebagai contoh,
satu masalah umum adalah bahwa banyak organisasi merasa membutuhkan sumber daya yang intensif untuk mempertahankan
daftar personel yang harus dihubungi terkait setiap jenis insiden berbeda yang mungkin terjadi. Masalah umum lainnya adalah apa
yang harus dilakukan dengan gigabyte atau terabyte data yang dikumpulkan selama penyelidikan, dan bagaimana kontrol keamanan
(misalnya, audit, logging, deteksi intrusi) dapat diubah untuk merekam data tambahan yang akan berguna untuk penyelidikan di
masa mendatang. Tinjauan formal dapat membantu mengidentifikasi cara untuk meningkatkan proses ini. Setelah perubahan
pedoman dan prosedur diterapkan, semua anggota tim harus diberitahu tentang perubahan dan sering diingatkan tentang prosedur
yang tepat untuk diikuti. Tim biasanya memiliki mekanisme formal untuk melacak perubahan dan mengidentifikasi versi terkini dari
setiap proses dan dokumen prosedur. Selain itu, banyak tim memasang poster atau dokumen lain yang sangat mudah terlihat di
dinding atau pintu yang mengingatkan tim tentang langkah-langkah penting yang harus diambil, sehingga setiap orang selalu
diingatkan tentang bagaimana sesuatu seharusnya dilakukan.
Selain mengatasi masalah yang teridentifikasi, analis harus mengambil langkah lain untuk mempertahankan dan mengembangkan
keterampilan mereka. Untuk mempertahankan sertifikasi atau akreditasi mereka, beberapa pemeriksa forensik harus secara rutin
menyegarkan diri dengan alat dan teknik terbaru yang membahas teknologi terbaru yang berkaitan dengan media penyimpanan
komputer, jenis dan format data, dan masalah terkait lainnya. Baik diperlukan atau tidak, penyegaran keterampilan secara berkala
melalui kursus, pengalaman di tempat kerja, dan sumber akademis membantu memastikan bahwa orang yang melakukan tindakan
forensik mengikuti perkembangan teknologi dan tanggung jawab pekerjaan yang berubah dengan cepat. Beberapa organisasi
mengharuskan semua anggota tim forensik mereka untuk lulus ujian kecakapan tahunan. Tinjauan berkala atas kebijakan,
pedoman, dan prosedur juga membantu memastikan bahwa organisasi tetap mengikuti tren teknologi dan perubahan hukum.
3.5 Rekomendasi
Rekomendasi utama yang disajikan dalam bagian ini untuk proses forensik adalah sebagai berikut:
! Organisasi harus melakukan forensik menggunakan proses yang konsisten. Panduan ini menyajikan proses
forensik empat fase, dengan fase pengumpulan, pemeriksaan, analisis, dan pelaporan. Rincian yang tepat dari setiap
fase dapat bervariasi berdasarkan kebutuhan forensik.
! Analis harus menyadari berbagai kemungkinan sumber data. Analis harus dapat mensurvei area fisik dan mengenali
kemungkinan sumber data. Analis juga harus memikirkan kemungkinan sumber data yang terletak di tempat lain di
dalam organisasi dan di luar organisasi.
3-7
Analis harus siap untuk menggunakan sumber data alternatif jika tidak layak untuk mengumpulkan data dari sumber
utama.
! Organisasi harus proaktif dalam mengumpulkan data yang berguna. Mengonfigurasi audit pada OS, menerapkan
pencatatan terpusat, melakukan pencadangan sistem secara teratur, dan menggunakan kontrol pemantauan
keamanan, semuanya dapat menghasilkan sumber data untuk upaya forensik di masa mendatang.
! Analis harus melakukan pengumpulan data menggunakan proses standar. Langkah-langkah yang disarankan
dalam proses ini adalah mengidentifikasi sumber data, mengembangkan rencana untuk memperoleh data, memperoleh
data, dan memverifikasi integritas data. Rencana tersebut harus memprioritaskan sumber data, menetapkan urutan di
mana data harus diperoleh berdasarkan kemungkinan nilai data, volatilitas data, dan jumlah upaya yang diperlukan.
Sebelum pengumpulan data dimulai, keputusan harus dibuat oleh analis atau manajemen mengenai kebutuhan untuk
mengumpulkan dan melestarikan bukti dengan cara yang mendukung penggunaannya dalam proses hukum atau
disiplin internal di masa mendatang. Dalam situasi seperti itu, rantai pengawasan yang jelas harus diikuti untuk
menghindari tuduhan kesalahan penanganan atau perusakan bukti. Jika tidak jelas apakah bukti perlu disimpan atau
tidak, secara default biasanya harus disimpan.
! Analis harus menggunakan pendekatan metodis untuk mempelajari data. Landasan forensik adalah menggunakan
pendekatan metodis dalam menganalisis data yang tersedia sehingga analis dapat menarik kesimpulan yang tepat
berdasarkan data yang tersedia atau menentukan bahwa belum ada kesimpulan yang dapat ditarik. Jika bukti mungkin
diperlukan untuk tindakan disipliner hukum atau internal, analis harus dengan hati-hati mendokumentasikan temuan
dan semua langkah yang diambil.
! Analis harus meninjau proses dan praktik mereka. Tinjauan tindakan forensik saat ini dan baru-baru ini dapat
membantu mengidentifikasi kekurangan kebijakan, kesalahan prosedural, dan masalah lain yang mungkin perlu
diperbaiki, serta memastikan bahwa organisasi tetap mengikuti tren teknologi dan perubahan hukum.
3-8
4. Menggunakan Data dari File Data
File data (juga disebut file) adalah kumpulan informasi yang dikelompokkan secara logis ke dalam satu entitas dan
direferensikan dengan nama yang unik, seperti nama file. File dapat terdiri dari banyak tipe data, termasuk dokumen, gambar,
video, atau aplikasi. Pemrosesan forensik yang berhasil dari media komputer tergantung pada kemampuan untuk mengumpulkan,
memeriksa, dan menganalisis file yang berada di media.
Bagian ini memberikan gambaran umum tentang jenis media dan sistem file yang paling umum—metode untuk memberi
nama, menyimpan, mengatur, dan mengakses file. Kemudian membahas bagaimana file harus dikumpulkan dan bagaimana
integritas file harus dipertahankan. Bagian ini juga membahas berbagai masalah teknis yang terkait dengan pemulihan file, seperti
memulihkan data dari file yang dihapus. Bagian terakhir dari bagian ini menjelaskan pemeriksaan dan analisis file, memberikan
15
panduan tentang alat dan teknik yang dapat membantu analis.
4.1 Dasar-dasar Berkas
Sebelum mencoba mengumpulkan atau memeriksa file, analis harus memiliki pemahaman yang cukup komprehensif
tentang file dan sistem file. Pertama, analis harus menyadari berbagai media yang mungkin berisi file; Bagian 4.1.1 memberikan
beberapa contoh media yang digunakan dalam komputer pribadi dan jenis perangkat digital lainnya. Bagian 4.1.2 kemudian
menjelaskan bagaimana sistem file digunakan untuk mengatur file dan memberikan gambaran umum tentang beberapa sistem
file umum. Bagian 4.1.3 membahas bagaimana data dari file yang dihapus masih bisa ada di dalam sistem file.
4.1.1 Media Penyimpanan File
Meluasnya penggunaan komputer dan perangkat digital lainnya telah menghasilkan peningkatan yang signifikan dalam
jumlah berbagai jenis media yang digunakan untuk menyimpan file. Selain jenis media tradisional seperti hard drive dan floppy
disk, file sering disimpan pada perangkat konsumen seperti PDA dan ponsel, serta pada jenis media yang lebih baru, seperti
kartu memori flash, yang dipopulerkan oleh kamera digital.
Tabel 4-1 mencantumkan jenis media yang umum digunakan pada komputer dan perangkat digital. Daftar ini tidak mencakup
semua jenis media yang tersedia; melainkan, ini dimaksudkan untuk menunjukkan berbagai jenis media yang mungkin ditemui
oleh seorang analis.
15
Untuk informasi tambahan mengenai pemeriksaan dan analisis, lihat Pemeriksaan Bukti Digital: Panduan
Penegakan Hukum, yang dapat ditemukan di http://www.ncjrs.gov/pdffiles1/nij/199408.pdf.
4-1
Tabel 4-1. Jenis Media yang Umum Digunakan
Tipe media Pembaca Kapasitas Khas16 Komentar
Terutama Digunakan di Komputer Pribadi
Disket Floppy disk drive 1,44 megabyte (MB) disk 3,5 inci; popularitasnya menurun
CD ROM Alat pembaca CD 650 MBñ800 MB Termasuk tulis sekali (CD-R) dan dapat ditulis ulang (CD
RW) disk; media yang paling sering digunakan
DVD-ROM Drive DVD-ROM 1,67 gigabyte Termasuk menulis sekali (DVD±R) dan dapat ditulis ulang
(GB)ñ15,9 GB (DVD±RW) disk lapisan tunggal dan ganda
Perangkat keras T/A 20 GBñ400 GB Drive berkapasitas lebih tinggi yang digunakan di banyak server file
Disket zip Zip drive 100 MBñ750 MB Lebih besar dari floppy disk
Disk jazz Jaz drive 1 GBñ2 GB Mirip dengan disk Zip; tidak diproduksi lagi
Pita cadangan Pita yang kompatibel 80 MBñ320 GB Banyak yang menyerupai kaset audio; cukup
menyetir rentan terhadap korupsi dari lingkungan
kondisi
Dinamo kecil Drive MO yang kompatibel 600 MBñ9,1 GB Disk 5,25 inci; kurang rentan terhadap
optik (MO) kondisi lingkungan daripada kaset cadangan
piringan
Canggih slot PCMCIA 8 MBñ2 GB kartu memori flash PCMCIA; berukuran 85,6 x 54
Teknologi x 5 mm
Lampiran
(ATA) berkedip
kartu
Digunakan oleh Banyak Jenis Perangkat Digital
Flash / Lompat Antarmuka USB 16 MBñ2 GB Juga dikenal sebagai thumb drive karena mereka
menyetir ukuran
CompactFlash Adaptor PCMCIA atau 16 MBñ6 GB Kartu Tipe I berukuran 43 x 36 x 3,3 mm; Tipe II
kartu pembaca kartu memori kartu berukuran 43 x 36 x 5 mm
Microdrive Adaptor PCMCIA atau 340 MBñ4 GB Antarmuka dan faktor bentuk yang sama dengan CompactFlash
pembaca kartu memori Kartu Tipe II
Kartu Multimedia Adaptor PCMCIA atau 16 MBñ512 MB Ukuran 24 x 32 x 1,4 mm
(MMC) pembaca kartu memori
Keamanan Digital Adaptor PCMCIA atau 32 MBñ1 GB Sesuai dengan Inisiatif Musik Digital Aman
(Kartu SD pembaca kartu memori (SDMI) persyaratan; menyediakan data bawaan
enkripsi isi file; serupa dalam faktor bentuk
ke MMC
Adaptor Memory Stick PCMCIA atau 16 MBñ2 GB Termasuk Memory Stick (50 x 21,5 x 2,8 mm),
pembaca kartu memori Memory Stick Duo (31 x 20 x 1,6 mm), Memori
Tongkat PRO, Memory Stick PRO Duo; beberapa adalah
sesuai dengan persyaratan SDMI dan menyediakan
enkripsi bawaan dari konten file
SmartMedia Adaptor PCMCIA atau 8 MBñ128 MB Ukuran 37 x 45 x 0,76 mm
Kartu pembaca kartu memori
xD-Gambar Adaptor PCMCIA atau 16 MBñ512 MB Saat ini hanya digunakan di Fujifilm dan Olympus
Kartu Kartu gambar xD kamera digital; ukuran 20 x 25 x 1,7 mm
pembaca
16
Kapasitas maksimum dari banyak jenis media meningkat dari waktu ke waktu karena kemajuan teknologi dan pengurangan biaya.
4-2
4.1.2 Sistem File
Sebelum media dapat digunakan untuk menyimpan file, media biasanya harus dipartisi dan diformat menjadi logika
volume. Partisi adalah tindakan membagi secara logis media menjadi bagian-bagian yang berfungsi secara fisik
unit terpisah. Volume logis adalah partisi atau kumpulan partisi yang bertindak sebagai satu kesatuan yang memiliki:
telah diformat dengan sistem file. Beberapa jenis media, seperti floppy disk, dapat berisi paling banyak satu
partisi (dan akibatnya, satu volume logis). Format volume logis ditentukan oleh:
sistem file yang dipilih.
Sistem file mendefinisikan cara file diberi nama, disimpan, diatur, dan diakses pada volume logis.
Ada banyak sistem file yang berbeda, masing-masing menyediakan fitur dan struktur data yang unik. Namun, semua
sistem file memiliki beberapa ciri umum. Pertama, mereka menggunakan konsep direktori dan file untuk mengatur dan
menyimpan data. Direktori adalah struktur organisasi yang digunakan untuk mengelompokkan file bersama-sama. Sebagai tambahannya
file, direktori mungkin berisi direktori lain yang disebut subdirektori. Kedua, sistem file menggunakan beberapa data
struktur untuk menunjuk ke lokasi file pada media. Selain itu, mereka menyimpan setiap file data yang ditulis ke media
dalam satu atau lebih unit alokasi file. Ini disebut sebagai cluster oleh beberapa sistem file (misalnya, File
Tabel Alokasi [FAT], Sistem File NT [NTFS]) dan sebagai blok oleh sistem file lain (misalnya, UNIX dan
Linux). Unit alokasi file hanyalah sekelompok sektor, yang merupakan unit terkecil yang dapat
diakses di media.
Beberapa filesystem yang umum digunakan adalah sebagai berikut:
17 ! FAT12. FAT12 hanya digunakan pada floppy disk dan volume FAT yang lebih kecil dari 16 MB. FAT12
menggunakan entri tabel alokasi file 12-bit untuk menangani entri dalam sistem file.
! FAT16. MS-DOS, Windows 95/98/NT/2000/XP, Windows Server 2003, dan beberapa OS UNIX mendukung FAT16
secara asli. FAT16 juga biasa digunakan untuk perangkat multimedia seperti digital
kamera dan pemutar audio. FAT16 menggunakan entri tabel alokasi file 16-bit untuk menangani entri di
sistem file. Volume FAT16 dibatasi hingga ukuran maksimum 2 GB di MS-DOS dan
Jendela 95/98. Windows NT dan OS yang lebih baru meningkatkan ukuran volume maksimum untuk FAT16 ke
4GB.
18 ! FAT32. Windows 95 Original Equipment Manufacturer (OEM) Rilis Layanan 2 (OSR2),

Windows 98/2000/XP, dan Windows Server 2003 mendukung FAT32 secara asli, seperti halnya beberapa
perangkat multimedia. FAT32 menggunakan entri tabel alokasi file 32-bit untuk menangani entri di
berkas sistem. Ukuran volume FAT32 maksimum adalah 2 terabyte (TB).
! NTFS. Windows NT/2000/XP dan Windows Server 2003 mendukung NTFS secara asli. NTFS adalah
sistem file yang dapat dipulihkan, yang berarti dapat secara otomatis mengembalikan konsistensi file
sistem file ketika terjadi kesalahan. Selain itu, NTFS mendukung kompresi dan enkripsi data, dan
memungkinkan izin akses tingkat pengguna dan grup ditentukan untuk file dan direktori data.19
ukuran volume NTFS maksimum adalah 2 TB.
! Sistem File Berkinerja Tinggi (HPFS). HPFS didukung secara native oleh OS/2 dan dapat dibaca
oleh Windows NT 3.1, 3.5, dan 3.51. HPFS dibangun di atas organisasi direktori FAT dengan
menyediakan penyortiran otomatis direktori. Selain itu, HPFS mengurangi jumlah disk yang hilang
ruang dengan memanfaatkan unit alokasi yang lebih kecil. Ukuran volume maksimum HPFS adalah 64 GB.
17
Informasi lebih lanjut tentang FAT12 dan FAT16 tersedia di
http://www.microsoft.com/technet/prodtechnol/winxppro/reskit/c13621675.mspx.
18
Spesifikasi sistem file FAT32, yang memberikan detail teknis tinggi tentang FAT32, tersedia untuk diunduh dari
http://www.microsoft.com/whdc/system/platform/firmware/fatgen.mspx.
19
Fitur NTFS tambahan dijelaskan di http://www.microsoft.com/technet/prodtechnol/winxppro/reskit/c13621675.mspx.
4-3
20
! Sistem File Diperpanjang Kedua (ext2fs). ext2fs didukung secara native oleh Linux. Ini mendukung
jenis file UNIX standar dan pemeriksaan sistem file untuk memastikan konsistensi sistem file. Maksimal
ukuran volume ext2fs adalah 4 TB.
! Sistem File Diperpanjang Ketiga (ext3fs). ext3fs didukung secara native oleh Linux. Hal ini didasarkan pada
sistem file ext2fs dan menyediakan kemampuan penjurnalan yang memungkinkan pemeriksaan konsistensi dari
filesystem untuk dilakukan dengan cepat pada sejumlah besar data. Ukuran volume ext3fs maksimum
adalah 4TB.
! ReiserFS. 21
ReiserFS didukung oleh Linux dan merupakan sistem file default untuk beberapa sistem umum
versi Linux. Ini menawarkan kemampuan penjurnalan dan secara signifikan lebih cepat daripada sistem file ext2fs dan
ext3fs. Ukuran volume maksimum adalah 16 TB.
22
! Sistem File Hirarki (HFS). HFS didukung secara native oleh Mac OS. HFS terutama digunakan
di versi Mac OS yang lebih lama tetapi masih didukung di versi yang lebih baru. Volume HFS maksimum
ukuran di bawah Mac OS 6 dan 7 adalah 2 GB. Ukuran volume HFS maksimum di Mac OS 7.5 adalah 4 GB.
Mac OS 7.5.2 dan Mac OS yang lebih baru meningkatkan ukuran volume HFS maksimum menjadi 2 TB.
! HFS Plus. 23
HFS Plus didukung secara asli oleh Mac OS 8.1 dan yang lebih baru dan merupakan penjurnalan
filesystem di bawah Mac OS X. Ini adalah penerus HFS dan menyediakan banyak peningkatan,
seperti dukungan nama file yang panjang dan dukungan nama file Unicode untuk nama file internasional. Itu
ukuran volume maksimum HFS Plus adalah 2 TB.
24
! Sistem Berkas UNIX (UFS). UFS didukung secara native oleh beberapa jenis OS UNIX, termasuk
Solaris, FreeBSD, OpenBSD, dan Mac OS X. Namun, sebagian besar OS telah menambahkan hak milik
fitur, sehingga detail UFS berbeda di antara implementasi.
! Sistem File Compact Disk (CDFS). Seperti namanya, sistem file CDFS digunakan untuk
CD.
! Organisasi Internasional untuk Standardisasi (ISO) 9660 dan Joliet. ISO 9660
filesystem umumnya digunakan pada CD-ROM. Sistem file CD-ROM populer lainnya, Joliet, adalah
varian ISO 9660. ISO 9660 mendukung panjang nama file hingga 32 karakter, sedangkan Joliet mendukung hingga 64
karakter. Joliet juga mendukung karakter Unicode dalam nama file.
! Format Disk Universal (UDF). UDF adalah sistem file yang digunakan untuk DVD dan juga digunakan untuk beberapa
CD.
4.1.3 Data Lain di Media
Seperti dijelaskan dalam Bagian 4.1.2, sistem file dirancang untuk menyimpan file pada media. Namun, sistem file mungkin
juga menyimpan data dari file yang dihapus atau versi sebelumnya dari file yang ada. Data ini dapat memberikan informasi
penting. (Bagian 4.2 membahas teknik untuk mengumpulkan jenis data ini.) Hal-hal berikut menjelaskan bagaimana data ini
dapat tetap ada di berbagai media:
! File yang Dihapus. Ketika file dihapus, biasanya tidak terhapus dari media; sebagai gantinya,
informasi dalam struktur data direktori yang menunjuk ke lokasi file ditandai sebagai
dihapus. Artinya file tersebut masih tersimpan di media tetapi tidak lagi dicacah oleh
20
Informasi lebih lanjut tentang ext2fs tersedia di http://e2fsprogs.sourceforge.net/ext2.html.
21
Informasi lebih lanjut tentang ReiserFS dan penerusnya, Reiser4, tersedia di http://www.namesys.com/.
22
Ikhtisar HFS tersedia di http://developer.apple.com/documentation/mac/Files/Files-17.html.
23
Ikhtisar HFS Plus dan detail teknis tentang implementasinya tersedia di
http://developer.apple.com/technotes/tn/tn1150.html.
24
Ikhtisar UFS tersedia di http://en.wikipedia.org/wiki/Unix_File_System.
4-4
OS. Sistem operasi menganggap ini sebagai ruang kosong dan dapat menimpa bagian mana pun dari atau
seluruh file yang dihapus setiap saat.
! Ruang Kendur. Seperti disebutkan sebelumnya, sistem file menggunakan unit alokasi file untuk menyimpan file. Bahkan jika
file membutuhkan lebih sedikit ruang daripada ukuran unit alokasi file, seluruh unit alokasi file masih
disediakan untuk file. Misalnya, jika ukuran unit alokasi file adalah 32 kilobyte (KB) dan file adalah
hanya 7 KB, seluruh 32 KB masih dialokasikan untuk file, tetapi hanya 7 KB yang digunakan, menghasilkan 25 KB
dari ruang yang tidak terpakai. Ruang yang tidak digunakan ini disebut sebagai ruang file slack, dan mungkin menyimpan sisa
data seperti bagian dari file yang dihapus.
! Ruang bebas. Ruang kosong adalah area pada media yang tidak dialokasikan untuk partisi apa pun; itu termasuk
cluster atau blok yang tidak terisi. Ini sering mencakup ruang pada media tempat file (dan bahkan
seluruh volume) mungkin telah berada di satu titik tetapi sejak itu telah dihapus. Ruang kosong mungkin masih berisi potongan
data.
Cara lain untuk menyembunyikan data adalah melalui Alternate Data Streams (ADS) dalam NTFS
volume. NTFS telah lama mendukung beberapa aliran data untuk file dan direktori. Setiap file dalam NTFS
volume terdiri dari aliran tanpa nama yang digunakan untuk menyimpan data utama file, dan secara opsional satu atau
lebih banyak aliran bernama (yaitu, file.txt:Stream1, file.txt:Stream2) yang dapat digunakan untuk menyimpan tambahan
25
informasi, seperti properti file dan data gambar mini. Misalnya, jika pengguna mengklik kanan file di
Windows Explorer, melihat properti file, lalu memodifikasi informasi yang ditampilkan di
tab ringkasan, OS menyimpan informasi ringkasan untuk file dalam aliran bernama.
Semua aliran data dalam file berbagi atribut file (misalnya, cap waktu, atribut keamanan). Meskipun
aliran bernama memang memengaruhi kuota penyimpanan file, mereka sebagian besar disembunyikan dari pengguna karena
utilitas file Windows standar, seperti Explorer, hanya melaporkan ukuran aliran file yang tidak disebutkan namanya. Akibatnya, pengguna
tidak dapat dengan mudah menentukan apakah file berisi ADS menggunakan file Windows standar
keperluan. Hal ini memungkinkan data tersembunyi untuk dimasukkan ke dalam sistem file NTFS apa pun. Memindahkan file dengan ADS ke
sistem file non-NTFS secara efektif menghapus ADS dari file, sehingga ADS dapat hilang jika analis tidak mengetahui keberadaannya.
Perangkat lunak dan proses tersedia untuk mengidentifikasi ADS.26
4.2 Mengumpulkan File
Selama pengumpulan data, analis harus membuat banyak salinan dari file atau sistem file yang relevanó
27
biasanya salinan master dan copy pekerjaan. Analis kemudian dapat menggunakan copy pekerjaan tanpa
mempengaruhi file asli atau salinan master. Bagian 4.2.1 menjelaskan teknik dan alat utama untuk menyalin file dan data file sisa dari
media. Bagian 4.2.2 membahas pentingnya memelihara
integritas file dan memberikan panduan tentang perangkat keras dan perangkat lunak yang dapat membantu menjaga dan memverifikasi
integritas file. Seringkali penting untuk mengumpulkan tidak hanya file, tetapi juga stempel waktu yang signifikan untuk file, seperti kapan file
terakhir diubah atau diakses. Bagian 4.2.3 menjelaskan
stempel waktu dan menjelaskan bagaimana mereka dapat dipertahankan. Masalah teknis lainnya yang terkait dengan pengumpulan file, seperti:
seperti menemukan file tersembunyi dan menyalin file dari redundant array of cheap disks (RAID)
implementasi, dibahas dalam Bagian 4.2.4.
25
Direktori tidak memiliki aliran tanpa nama tetapi mungkin berisi aliran bernama.
26
Informasi tambahan tentang ADS tersedia di
http://www.microsoft.com/technet/prodtechnol/winxppro/reskit/c13621675.mspx, http://
www.infosecwriters.com/texts.php?op=display&id=53, dan dalam http://www.heysoft.de/Frames/f_faq_ads_en.htm.
27
Tujuan dari master copy adalah untuk menghasilkan copy pekerjaan tambahan jika copy pekerjaan pertama tidak dapat digunakan lagi
karena perubahan atau alasan lain.
4-5
4.2.1 Menyalin File dari Media
File dapat disalin dari media menggunakan dua teknik berbeda:
! Cadangan Logis. Cadangan logis menyalin direktori dan file dengan volume logis. memang
tidak menangkap data lain yang mungkin ada di media, seperti file yang dihapus atau data sisa
disimpan di ruang kosong.
! Pencitraan Aliran Bit. Juga dikenal sebagai disk imaging, bit stream imaging menghasilkan bit-for-bit
salinan media asli, termasuk ruang kosong dan ruang kosong. Gambar aliran bit membutuhkan lebih banyak
ruang penyimpanan dan membutuhkan waktu lebih lama untuk melakukan dari backup logis.
Jika bukti mungkin diperlukan untuk penuntutan atau tindakan disipliner, analis harus mendapatkan sedikit aliran
gambar media asli, beri label media asli, dan simpan dengan aman sebagai barang bukti. Semua selanjutnya
analisis harus dilakukan dengan menggunakan media yang disalin untuk memastikan bahwa media asli tidak dimodifikasi dan bahwa
salinan media asli selalu dapat dibuat ulang jika perlu. Semua langkah yang diambil untuk membuat
salinan gambar harus didokumentasikan. Melakukannya akan memungkinkan analis mana pun untuk menghasilkan duplikat yang tepat
dari media asli menggunakan prosedur yang sama. Selain itu, dokumentasi yang tepat dapat digunakan untuk
menunjukkan bahwa bukti tidak salah penanganan selama proses pengumpulan. Selain langkah-langkah yang
diambil untuk merekam gambar, analis harus mendokumentasikan informasi tambahan seperti hard drive
model dan nomor seri, kapasitas penyimpanan media, dan informasi tentang perangkat lunak pencitraan atau
perangkat keras yang digunakan (misalnya, nama, nomor versi, informasi lisensi). Semua tindakan ini mendukung
pemeliharaan rantai penjagaan.
Ketika bit stream image dijalankan, baik disk-to-disk atau disk-to-file copy dapat dilakukan. SEBUAH
disk-to-disk copy, seperti namanya, menyalin isi media secara langsung ke media lain. SEBUAH
salinan disk-ke-file menyalin isi media ke satu file data logis. Salinan dari disk ke disk adalah
berguna karena media yang disalin dapat dihubungkan langsung ke komputer dan isinya dapat dilihat dengan mudah.
28
Namun, salinan disk-ke-disk memerlukan media kedua yang mirip dengan media aslinya. Salinan dari disk ke file
memungkinkan gambar file data dipindahkan dan dicadangkan dengan mudah. Namun, untuk melihat isi logis dari sebuah
file gambar, analis harus mengembalikan gambar ke media atau membuka atau membacanya dari aplikasi yang mampu
menampilkan konten logis dari gambar aliran bit. Detailnya bergantung pada OS dan alat forensik. Bagian 4.3 membahas
proses ini secara lebih rinci.
Banyak perangkat keras dan perangkat lunak dapat melakukan pencitraan aliran bit dan pencadangan logis. Perangkat keras
alat umumnya portabel, menyediakan gambar sedikit demi sedikit, terhubung langsung ke drive atau komputer untuk menjadi
29
dicitrakan, dan memiliki fungsi hash bawaan. Alat perangkat keras dapat memperoleh data dari drive yang menggunakan
jenis pengontrol, seperti Integrated Drive Electronics (IDE) dan Antarmuka Sistem Komputer Kecil
(SCSI). Solusi perangkat lunak umumnya terdiri dari disket pengaktifan, CD, atau program terinstal yang berjalan pada a
30
workstation tempat media yang akan dicitrakan dilampirkan. Beberapa solusi perangkat lunak membuat salinan logis
28
Media tujuan harus bersih secara forensik sebelum penyalinan terjadi, sehingga data apa pun yang ada pada media tersebut
dihilangkan. Media tujuan harus memiliki kapasitas penyimpanan yang lebih besar daripada data yang akan disalin.
29
Contoh alat pencitraan disk berbasis perangkat keras adalah Image MASSter's SOLO Forensics (http://www.ics-iq.com/) dan
Solitaire Logicube (http://www.logicube.com/). Produk tambahan dirujuk di situs Web yang tercantum dalam Lampiran F,
termasuk The Ultimate Collection of Forensics Software (TUCOFS)
(http://www.tucofs.com/tucofs/tucofs.asp?mode=filelist&catid=10&oskey=12). Aplikasi yang dirujuk di seluruh
publikasi ini sama sekali bukan daftar lengkap aplikasi yang digunakan untuk tujuan forensik, publikasi ini juga tidak menyiratkan
dukungan terhadap produk tertentu.
30
Contoh alat pencitraan disk berbasis perangkat lunak adalah Linux dd, SafeBack (http://www.forensics-intl.com/safeback.html),
EnCase (http://www.encase.com/), Norton Ghost (http://
www.symantec.com/home_homeoffice/products/overview.jsp?pcid=br&pvid=ghost10), dan ILook (http://www.ilook-
forensics.org/). Produk tambahan dirujuk di situs Web yang tercantum dalam Lampiran F.
4-6
file atau partisi dan mungkin mengabaikan ruang drive yang kosong atau tidak terisi, sedangkan yang lain membuat sedikit demi sedikit
salinan gambar media.
Selain fungsi utamanya, beberapa alat pencitraan disk juga dapat melakukan pencatatan forensik,
seperti jejak audit otomatis dan lacak balak. Penggunaan alat tersebut dapat mendukung konsistensi dalam
proses pemeriksaan dan akurasi dan reproduktifitas hasil. Peningkatan jumlah disk
alat pencitraan menjadi tersedia. Menanggapi proliferasi ini dan kurangnya standar untuk mengujinya, proyek Computer Forensics
Tool Testing (CFTT) NIST telah mengembangkan prosedur pengujian yang ketat untuk memvalidasi hasil alat. Saat ini, hanya beberapa
alat pencitraan disk yang telah mengalami
31
pengujian CFTT.
Umumnya, alat yang melakukan pencitraan aliran bit tidak boleh digunakan untuk memperoleh salinan bit demi bit dari suatu
seluruh perangkat fisik dari sistem langsungósistem yang sedang digunakanókarena file dan memori aktif
sistem seperti itu berubah terus-menerus dan oleh karena itu tidak dapat divalidasi.32 Namun, salinan sedikit demi sedikit dari
area logis dari sistem langsung dapat diselesaikan dan divalidasi. Saat pencadangan logis sedang dilakukan
dilakukan, masih lebih baik untuk tidak menyalin file dari sistem langsung; perubahan mungkin dilakukan pada file selama
cadangan, dan file yang dibuka oleh suatu proses mungkin tidak mudah untuk disalin. Oleh karena itu, analis harus memutuskan
apakah penyalinan file dari sistem langsung dapat dilakukan berdasarkan file mana yang perlu
33 Untuk
diperoleh, seberapa akurat dan lengkap penyalinan yang diperlukan, dan seberapa penting sistem live itu.
misalnya, tidak perlu menghapus server penting yang digunakan oleh ratusan orang hanya untuk mengumpulkan file dari direktori home
pengguna tunggal. Untuk pencadangan logis dari sistem langsung, analis dapat menggunakan standar
perangkat lunak cadangan sistem. Namun, melakukan pencadangan dapat memengaruhi kinerja sistem dan
mengkonsumsi sejumlah besar bandwidth jaringan, tergantung pada apakah pencadangan dilakukan
lokal atau jarak jauh.
Organisasi harus memiliki kebijakan, pedoman, dan prosedur yang menunjukkan keadaan di mana:
gambar aliran bit dan pencadangan logis (termasuk yang berasal dari sistem langsung) dapat dilakukan untuk forensik
34
tujuan dan personel mana yang dapat melakukannya. Biasanya paling efektif untuk menetapkan kebijakan,
pedoman, dan prosedur berdasarkan kategori sistem (yaitu, dampak rendah, sedang, atau tinggi) dan
sifat peristiwa yang menarik; beberapa organisasi juga memilih untuk membuat pernyataan kebijakan terpisah,
pedoman, dan prosedur untuk sistem yang sangat penting. Kebijakan, pedoman, atau prosedur
harus mengidentifikasi individu atau kelompok yang memiliki wewenang untuk membuat keputusan terkait pencadangan dan gambar;
orang-orang ini harus mampu menimbang risiko dan membuat keputusan yang tepat. Kebijakan, pedoman,
atau prosedur juga harus mengidentifikasi individu atau kelompok mana yang memiliki wewenang untuk melakukan pencadangan
atau pencitraan untuk setiap jenis sistem. Akses ke beberapa sistem mungkin dibatasi karena sensitivitasnya
operasi atau data dalam sistem.
4.2.2 Integritas File Data
Selama pencadangan dan pencitraan, integritas media asli harus dipertahankan. Untuk memastikan bahwa
proses pencadangan atau pencitraan tidak mengubah data pada media asli, analis dapat menggunakan pemblokir tulis
saat mencadangkan atau mencitrakan media. Write - blocker adalah alat berbasis perangkat keras atau perangkat lunak yang
mencegah komputer menulis ke media penyimpanan komputer yang terhubung dengannya. Pemblokir tulis perangkat keras
terhubung secara fisik ke komputer dan media penyimpanan sedang diproses untuk mencegah penulisan apa pun ke
31
Hasil tes dapat ditemukan di http://www.cftt.nist.gov/disk_imaging.htm.
32
Misalnya, layanan atau proses yang berjalan pada sistem mungkin menulis ke hard drive sistem, meskipun tidak ada orang yang
saat ini menggunakan komputer.
33
Analis juga harus mempertimbangkan kemungkinan kebutuhan untuk mengumpulkan data yang mudah menguap dari sistem. Jika sistem aktif,
data yang mudah menguap cenderung berubah lebih cepat dan lebih sulit untuk dipertahankan.
34
Rekomendasi ini tidak dimaksudkan untuk membatasi pengguna melakukan pencadangan data mereka sendiri dan stasiun kerja lokal, tetapi
untuk mencegah orang mengumpulkan cadangan sistem dan data orang lain tanpa alasan yang tepat untuk melakukannya.
4-7
media tersebut.35 Software write-blocker diinstal pada sistem forensik analis dan saat ini
hanya tersedia untuk sistem MS-DOS dan Windows. (Beberapa OS [misalnya, Mac OS X, Linux] mungkin tidak memerlukan
perangkat lunak write-blocker karena mereka dapat diatur untuk boot dengan perangkat sekunder tidak terpasang. Namun,
memasang perangkat pemblokir tulis perangkat keras akan memastikan integritas dipertahankan.) Berbasis MS-DOS
perangkat lunak write-blocker bekerja dengan menjebak Interrupt 13 dan memperpanjang penulisan disk Interrupt 13. Pemblokir penulisan perangkat
lunak berbasis Windows menggunakan filter untuk mengurutkan interupsi yang dikirim ke perangkat untuk mencegah penulisan apa pun ke penyimpanan
36 media.
Secara umum, saat menggunakan pemblokir tulis perangkat keras, media atau perangkat yang digunakan untuk membaca media harus:
terhubung langsung ke write-blocker, dan write-blocker harus terhubung ke komputer atau
perangkat yang digunakan untuk melakukan pencadangan atau pencitraan. Saat menggunakan pemblokir penulisan perangkat lunak, perangkat lunak harus:
dimuat ke komputer sebelum media atau perangkat yang digunakan untuk membaca media terhubung ke
komputer. Write-blocker juga memungkinkan write-blocking untuk diaktifkan atau dinonaktifkan untuk perangkat tertentu.
Ketika pemblokiran tulis digunakan, penting untuk mengaktifkannya untuk semua perangkat yang terhubung.37 Pemblokir tulis juga
harus diuji secara rutin untuk memastikan bahwa mereka mendukung perangkat yang lebih baru. Misalnya, baru
perangkat mungkin menggunakan fungsi atau placeholder yang dicadangkan atau sebelumnya tidak digunakan untuk mengimplementasikan
fungsi khusus perangkat yang pada akhirnya dapat menulis ke perangkat dan mengubah isinya.
Setelah pencadangan atau pencitraan dilakukan, penting untuk memverifikasi bahwa data yang disalin adalah duplikat yang tepat
38
dari data aslinya. Menghitung intisari pesan dari data yang disalin dapat digunakan untuk memverifikasi dan memastikan
39
integritas data. Intisari pesan adalah hash yang secara unik mengidentifikasi data dan memiliki properti yang
mengubah satu bit dalam data akan menyebabkan intisari pesan yang sama sekali berbeda dihasilkan. Di sana
ada banyak algoritma untuk menghitung intisari pesan data, tetapi dua yang paling umum digunakan adalah
MD5 dan Secure Hash Algorithm 1 (SHA-1). Algoritme ini mengambil data input dengan panjang sewenang-wenang dan
menghasilkan sebagai output intisari pesan 128-bit. Karena SHA-1 adalah Pemrosesan Informasi Federal
Standar (FIPS) algoritme yang disetujui dan MD5 tidak, lembaga Federal harus menggunakan SHA-1 sebagai ganti
MD5 untuk intisari pesan.40
Ketika gambar aliran bit dilakukan, intisari pesan dari media asli harus dihitung dan
direkam sebelum gambar dilakukan. Setelah pencitraan, intisari pesan dari media yang disalin
harus dihitung dan dibandingkan dengan intisari pesan asli untuk memverifikasi bahwa integritas data telah
diawetkan. Intisari pesan dari media asli kemudian harus dihitung lagi untuk memverifikasi bahwa
proses pencitraan tidak mengubah media asli, dan semua hasil harus didokumentasikan. Proses harus digunakan untuk pencadangan
logis, kecuali bahwa intisari pesan harus dihitung dan dibandingkan untuk
35
Contoh pemblokir tulis perangkat keras adalah FastBloc (http://www.guidancesoftware.com/lawenforcement/ef_index.asp),
NoWrite (http://www.mykeytech.com/nowrite.html), dan SCSIBlock (http://
www.digitalintelligence.com/products/scsiblock/). Alat tambahan direferensikan di situs Web yang tercantum di
Lampiran F.
36
Contoh dari perangkat lunak write-blocker adalah PDBlock (http://www.digitalintelligence.com/software/disoftware/pdblock/).
Alat tambahan direferensikan di situs Web yang tercantum dalam Lampiran F.
37
Ini hanya panduan umum untuk menggunakan write-blocker. Analis harus mengacu pada prosedur operasi untuk
produk write-blocker untuk petunjuk penggunaan yang benar.
38
Jika pencadangan dilakukan pada sistem langsung, kemungkinan beberapa file akan berubah antara waktu pencadangan dimulai
dan waktu selesai dan diverifikasi.
39
Intisari pesan harus digunakan untuk memastikan integritas semua data yang diperoleh selama aktivitas forensik, termasuk file log
dan backup logis.
40
Agen federal harus menggunakan algoritme enkripsi yang disetujui FIPS yang terkandung dalam modul kriptografi yang divalidasi. Itu
Program Validasi Modul Kriptografi (CMVP) di NIST mengoordinasikan pengujian FIPS; situs Web CMVP terletak di
http://csrc.nist.gov/cryptval/. FIPS 180-2, Standar Hash Aman, tersedia di
http://csrc.nist.gov/publications/fips/fips180-2/fips180-2withchangenotice.pdf. NIST telah mengumumkan bahwa lembaga Federal
harus merencanakan transisi dari SHA-1 ke bentuk SHA yang lebih kuat (misalnya, SHA-224, SHA-256) pada tahun 2010. Untuk informasi lebih lanjut,
lihat komentar NIST dari Agustus 2004 yang diposting di http://csrc.nist.gov/hash_standards_comments.pdf, serta
http://www.nsrl.nist.gov/collision.html.
4-8
setiap berkas data. Untuk gambar aliran bit dan cadangan logis, intisari pesan dibuat untuk memastikan data
integritas harus disimpan pada media baca-saja atau tulis-sekali atau dicetak, dan kemudian diamankan di tempat yang tepat
lokasi.
4.2.3 Modifikasi File, Akses, dan Waktu Pembuatan
Seringkali penting untuk mengetahui kapan file dibuat, digunakan, atau dimanipulasi, dan sebagian besar OS melacak
stempel waktu tertentu yang terkait dengan file. Stempel waktu yang paling umum digunakan adalah modifikasi, akses,
dan waktu pembuatan (MAC), sebagai berikut:
! Waktu Modifikasi. Ini adalah terakhir kalinya sebuah file diubah dengan cara apa pun, termasuk ketika file tersebut
ditulis ke dan ketika diubah oleh program lain.
! Waktu akses. Ini adalah terakhir kali akses dilakukan pada file (misalnya, dilihat, dibuka,
dicetak).
! Waktu penciptaan. Ini umumnya waktu dan tanggal file dibuat; namun, ketika sebuah file adalah
disalin ke sistem, waktu pembuatan akan menjadi waktu file disalin ke sistem baru.
Waktu modifikasi akan tetap utuh.
Berbagai jenis sistem file dapat menyimpan berbagai jenis waktu. Misalnya, sistem Windows mempertahankan
waktu modifikasi terakhir, waktu akses terakhir, dan waktu pembuatan file.41 Sistem UNIX mempertahankan modifikasi terakhir,
perubahan inode42 terakhir, dan waktu akses terakhir; namun, beberapa sistem UNIX (termasuk
versi BSD dan SunOS) tidak memperbarui waktu akses terakhir dari file yang dapat dieksekusi saat dijalankan.
Beberapa sistem UNIX mencatat waktu ketika metadata untuk file terakhir diubah. Metadata adalah
data tentang data; untuk sistem file, metadata adalah data yang menyediakan informasi tentang konten file.
Jika seorang analis perlu menetapkan garis waktu peristiwa yang akurat, maka waktu file harus dipertahankan.
Oleh karena itu, analis harus menyadari bahwa tidak semua metode untuk mengumpulkan file data dapat menyimpan file
waktu. Gambar aliran bit dapat menghemat waktu file karena salinan bit-untuk-bit dihasilkan; melakukan a
pencadangan logis menggunakan beberapa alat dapat menyebabkan waktu pembuatan file diubah saat file data disalin.
Untuk alasan ini, kapan pun waktu file sangat penting, pencitraan aliran bit harus digunakan untuk mengumpulkan data.
Analis juga harus menyadari bahwa waktu file mungkin tidak selalu akurat. Di antara alasan seperti itu
ketidakakuratan adalah sebagai berikut:
! Jam komputer tidak memiliki waktu yang tepat. Misalnya, jam mungkin belum
disinkronkan secara teratur dengan sumber waktu yang berwenang.
! Waktu mungkin tidak direkam dengan tingkat detail yang diharapkan, seperti menghilangkan detik atau
menit.
! Penyerang mungkin telah mengubah waktu file yang direkam.
4.2.4 Masalah teknis
Beberapa masalah teknis mungkin timbul dalam pengumpulan file data. Seperti disebutkan dalam Bagian 4.2.1, masalah utamanya adalah
kumpulan file yang dihapus dan sisa file yang ada di ruang kosong dan slack di media. Individu dapat menggunakan berbagai
teknik untuk menghalangi pengumpulan data tersebut. Misalnya, ada banyak utilitas yang tersedia untuk melakukan penghapusan
—penimpaan media (atau bagian media, seperti file tertentu)
dengan nilai acak atau konstan (misalnya, semua 0). Utilitas tersebut bervariasi dalam layanan dan keandalan, tetapi sebagian besar adalah
41
Sistem Windows yang menggunakan sistem file NTFS juga mencatat waktu modifikasi entri.
42
Inode adalah kumpulan data mengenai karakteristik tertentu dari file, seperti hak istimewa yang ditetapkan untuk file dan pemilik file.
4-9
efektif dalam mencegah pengumpulan file dengan mudah, terutama jika dilakukan beberapa kali wipe. Individu bisa
juga menggunakan cara fisik untuk mencegah pengumpulan data, seperti mendemagnetisasi hard drive (juga dikenal sebagai
degaussing) atau merusak atau menghancurkan media secara fisik. Baik teknik fisik maupun berbasis perangkat lunak
dapat membuatnya sangat sulit, atau bahkan tidak mungkin, untuk memulihkan semua data menggunakan perangkat lunak. Pemulihan
upaya dalam kasus ini memerlukan penggunaan ahli forensik yang sangat khusus dengan fasilitas canggih,
perangkat keras, dan teknik, tetapi biaya dan upaya yang diperlukan untuk menggunakan sarana tersebut sangat mahal
43
untuk penggunaan umum. Dalam beberapa kasus, data tidak dapat dipulihkan.
Masalah umum lainnya adalah pengumpulan data tersembunyi. Banyak OS mengizinkan pengguna untuk menandai file tertentu,
direktori, atau bahkan partisi sebagai tersembunyi, yang berarti bahwa secara default mereka tidak ditampilkan dalam direktori
44
daftar. Beberapa aplikasi dan OS menyembunyikan file konfigurasi untuk mengurangi kemungkinan pengguna akan
sengaja mengubah atau menghapusnya. Juga, pada beberapa OS, direktori yang telah dihapus mungkin
ditandai sebagai tersembunyi. Data tersembunyi mungkin berisi banyak informasi; misalnya, partisi tersembunyi dapat berisi OS
45
terpisah dan banyak file data. Pengguna dapat membuat partisi tersembunyi dengan mengubah
tabel partisi untuk mengganggu manajemen disk dan mencegah aplikasi melihat bahwa ada area data.
Data tersembunyi juga dapat ditemukan di dalam ADS pada volume NTFS, di ruang slack akhir file dan bebas
ruang pada media, dan di Host Protected Area (HPA) pada beberapa hard drive, yang merupakan wilayah drive yang dimaksudkan
untuk digunakan oleh vendor saja. Banyak alat pengumpulan dapat mengenali beberapa atau semua ini
metode menyembunyikan data dan memulihkan data terkait.
Masalah lain yang mungkin muncul adalah pengumpulan data dari larik RAID yang menggunakan striping (misalnya, RAID-0, RAID-5).46
Dalam konfigurasi ini, volume bergaris terdiri dari partisi berukuran sama yang berada di
disk drive terpisah. Ketika data ditulis ke volume, itu didistribusikan secara merata di seluruh partisi untuk
meningkatkan kinerja disk. Ini dapat menyebabkan masalah karena semua partisi volume bergaris harus
hadir untuk pemeriksaan isinya, tetapi dalam hal ini partisi berada pada disk fisik yang terpisah
drive. Untuk memeriksa volume bergaris, setiap drive disk dalam larik RAID perlu dicitrakan dan:
47
Konfigurasi RAID harus dibuat ulang pada sistem pemeriksaan. Sistem pemeriksaan perlu
di-boot menggunakan disk boot forensik yang dapat mengenali dan menggunakan larik RAID dan yang mencegah penulisan ke
array. Beberapa alat pencitraan dapat memperoleh volume bergaris dan mempertahankan area data volume yang tidak digunakan,
48
seperti ruang kosong dan ruang kendur.
4.3 Memeriksa File Data
Setelah pencadangan logis atau pencitraan aliran bit dilakukan, pencadangan atau gambar mungkin harus:
dikembalikan ke media lain sebelum data dapat diperiksa. Ini tergantung pada alat forensik yang
akan digunakan untuk melakukan analisis. Beberapa alat dapat menganalisis data langsung dari file gambar, sedangkan
49
yang lain mengharuskan cadangan atau gambar dikembalikan ke media terlebih dahulu. Terlepas dari apakah sebuah gambar
file atau gambar yang dipulihkan digunakan dalam pemeriksaan, data harus diakses hanya sebagai baca-saja untuk memastikan
43
Perusahaan yang mengkhususkan diri dalam upaya pemulihan tersebut termasuk Layanan Pemulihan Data, DriveSavers, dan Data Ontrack
Pemulihan.
44
Pada sistem UNIX, file atau folder yang diawali dengan .í dianggap tersembunyi dan tidak ditampilkan saat mendaftar file kecuali
bendera a digunakan.
45
Contoh alat yang tersedia secara bebas yang dapat digunakan untuk menemukan partisi tersembunyi adalah utilitas FDISK yang ada di dalam DOS.
Informasi tentang alat tambahan tersedia dari situs Web yang tercantum dalam Lampiran F.
46 Ikhtisar RAID tersedia di
http://www.adaptec.com/worldwide/product/markeditor.html?prodkey=quick_explanation_of_raid.
47
Karena RAID-5 menyimpan informasi paritas pada satu disk, dimungkinkan untuk memeriksa volume RAID-5 dengan mencitrakan semua
disk tapi satu.
48
Untuk informasi lebih lanjut mengenai RAID, kunjungi http://www.anandtech.com/storage/showdoc.html?i=1491.
49
Pada suatu waktu, ketika alat memiliki kemampuan yang lebih terbatas, sering disarankan agar file data dikembalikan ke sistem
menggunakan OS yang sama atau yang terkait. Alat saat ini lebih canggih dan dirancang untuk digunakan dengan banyak jenis data
file, terlepas dari OS yang mendasarinya, sehingga tidak lagi diperlukan dalam banyak kasus untuk memulihkan file data ke OS tertentu.
4-10
bahwa data yang diperiksa tidak dimodifikasi dan akan memberikan hasil yang konsisten pada proses yang berurutan.
Seperti disebutkan dalam Bagian 4.2.2, write-blocker dapat digunakan selama proses ini untuk mencegah terjadinya
penulisan pada gambar yang dipulihkan. Setelah memulihkan cadangan (jika diperlukan), analis mulai memeriksa data
yang dikumpulkan dan melakukan penilaian terhadap file dan data yang relevan dengan menempatkan semua file,
termasuk file yang dihapus, sisa file di ruang kosong dan kosong, dan file tersembunyi. Selanjutnya, analis mungkin perlu
mengekstrak data dari beberapa atau semua file, yang mungkin diperumit dengan tindakan seperti enkripsi dan proteksi
kata sandi. Bagian ini menjelaskan proses yang terlibat dalam memeriksa file dan data, serta teknik yang dapat
mempercepat pemeriksaan.
4.3.1 Menemukan File
Langkah pertama dalam pemeriksaan adalah mencari file. Gambar disk dapat menangkap banyak gigabyte ruang
kosong dan ruang kosong, yang dapat berisi ribuan file dan fragmen file. Mengekstrak data secara manual dari ruang
yang tidak terpakai dapat menjadi proses yang memakan waktu dan sulit, karena memerlukan pengetahuan tentang
format sistem file yang mendasarinya. Untungnya, tersedia beberapa alat yang dapat mengotomatiskan proses
mengekstrak data dari ruang yang tidak terpakai dan menyimpannya ke file data, serta memulihkan file dan file yang
terhapus di dalam tempat sampah daur ulang. Analis juga dapat menampilkan konten ruang slack dengan editor hex
atau alat pemulihan slack khusus.
4.3.2 Mengekstrak Data
Sisa dari proses pemeriksaan melibatkan penggalian data dari beberapa atau semua file. Untuk memahami isi suatu
file, seorang analis perlu mengetahui jenis data apa yang terdapat dalam file tersebut. Tujuan ekstensi file yang
dimaksudkan adalah untuk menunjukkan sifat isi file; misalnya, ekstensi jpg menunjukkan file grafik, dan ekstensi mp3
menunjukkan file musik. Namun, pengguna dapat menetapkan ekstensi file apa pun ke semua jenis file, seperti memberi
nama file teks mysong.mp3 atau menghilangkan ekstensi file. Selain itu, beberapa ekstensi file mungkin tersembunyi
atau tidak didukung di OS lain. Oleh karena itu, analis tidak boleh berasumsi bahwa ekstensi file akurat.
Analis dapat lebih akurat mengidentifikasi jenis data yang disimpan dalam banyak file dengan melihat header file mereka.
Header file berisi informasi pengidentifikasi tentang file dan mungkin metadata yang menyediakan informasi
tentang konten file. Seperti ditunjukkan pada Gambar 4-1, file header berisi file signature yang mengidentifikasi jenis data
50
yang berisi file tertentu. Contoh pada Gambar 4-1 memiliki file header FF D8,
yang menunjukkan bahwa ini adalah file JPEG. Header file dapat ditempatkan di file yang terpisah dari data file
sebenarnya. Teknik lain yang efektif untuk mengidentifikasi tipe data dalam file adalah histogram sederhana yang
menunjukkan distribusi nilai ASCII sebagai persentase dari total karakter dalam file. Misalnya, lonjakan pada baris spasií,
aí, dan eí umumnya menunjukkan file teks, sedangkan konsistensi di seluruh histogram menunjukkan file terkompresi.
Pola lain menunjukkan file yang dienkripsi atau yang dimodifikasi melalui steganografi.
50
Header file juga dapat menunjukkan apakah file dienkripsi. Penyerang dapat mengubah header file menggunakan hex editor untuk menyembunyikan jenis file yang
sebenarnya, dan kemudian mengubah kembali file header untuk menggunakan file tersebut. Dalam beberapa kasus, sebuah file dapat digunakan bahkan ketika header-
nya diubah.
4-11
Gambar 4-1. Informasi Header File
Enkripsi sering menghadirkan tantangan bagi analis. Pengguna mungkin mengenkripsi file individual, folder, volume,
51 Itu
atau partisi sehingga orang lain tidak dapat mengakses isinya tanpa kunci dekripsi atau frasa sandi.
enkripsi mungkin dilakukan oleh OS atau program pihak ketiga. Meskipun relatif mudah untuk
mengidentifikasi file terenkripsi, biasanya tidak mudah untuk mendekripsinya. Analis mungkin dapat mengidentifikasi
metode enkripsi dengan memeriksa file header, mengidentifikasi program enkripsi yang diinstal pada sistem,
atau menemukan kunci enkripsi (yang sering disimpan di media lain). Setelah metode enkripsi adalah
diketahui, analis dapat lebih menentukan kelayakan mendekripsi file. Dalam banyak kasus, tidak
mungkin untuk mendekripsi file karena metode enkripsi yang kuat dan otentikasi (misalnya, frasa sandi)
digunakan untuk melakukan dekripsi tidak tersedia.
Meskipun seorang analis dapat mendeteksi keberadaan data terenkripsi dengan lebih mudah, penggunaan steganografi adalah
lebih sulit untuk dideteksi. Steganografi, juga dikenal sebagai steg, adalah penyisipan data dalam data lain.
Tanda air digital dan penyembunyian kata-kata dan informasi dalam gambar adalah contoh dari
steganografi. Beberapa teknik yang dapat digunakan seorang analis untuk menemukan data stegged termasuk mencari beberapa
versi gambar yang sama, mengidentifikasi keberadaan gambar skala abu-abu, mencari metadata dan
registry, menggunakan histogram, dan menggunakan hash set untuk mencari software steganografi yang dikenal. Satu kali
yakin bahwa data stegged ada, analis mungkin dapat mengekstrak data yang disematkan dengan menentukan apa yang
perangkat lunak membuat data dan kemudian menemukan kunci stego, atau dengan menggunakan serangan brute force dan kriptografi
52
untuk menentukan kata sandi. Namun, upaya seperti itu seringkali tidak berhasil dan bisa sangat memakan waktu
memakan, terutama jika analis tidak menemukan keberadaan perangkat lunak steganografi yang dikenal di
media yang sedang ditinjau. Selain itu, beberapa program perangkat lunak dapat menganalisis file dan memperkirakan
kemungkinan bahwa file diubah dengan steganografi.
Analis mungkin juga perlu mengakses file non-stegged yang dilindungi oleh kata sandi. Kata sandi sering disimpan di sistem yang
sama dengan file yang dilindunginya, tetapi dalam format yang disandikan atau dienkripsi. Berbagai
53
tersedia utilitas yang dapat memecahkan kata sandi yang ditempatkan pada file individual, serta kata sandi OS.
Sebagian besar utilitas cracking dapat mencoba menebak kata sandi, serta melakukan upaya brute force yang mencoba
setiap kata sandi yang mungkin. Waktu yang dibutuhkan untuk serangan brute force pada kata sandi yang disandikan atau dienkripsi
dapat sangat bervariasi, tergantung pada jenis enkripsi yang digunakan dan kecanggihan kata sandi itu sendiri.
Pendekatan lain adalah dengan mem-bypass kata sandi. Misalnya, seorang analis dapat mem-boot sistem dan menonaktifkannya
sandi screensaver, atau melewati sandi Basic Input/Output System (BIOS) dengan menarik BIOS
51
Meskipun volume dan partisi dapat dienkripsi pada beberapa sistem operasi, ini tidak umum karena korupsi dan
masalah fungsional lainnya yang dapat mengakibatkan hilangnya data sepenuhnya jika hanya sebagian data yang rusak. Enkripsi dari
file dan folder individual jauh lebih umum, dan didukung oleh banyak sistem operasi yang lebih baru.
52
Diskusi lebih lanjut mengenai steganografi berada di luar cakupan dokumen ini. Untuk informasi lebih lanjut, lihat artikel An
Tinjauan Steganografi untuk Pemeriksa Forensik Komputer oleh Gary Kessler, tersedia di
http://www.fbi.gov/hq/lab/fsc/backissu/july2004/research/2004_03_research01.htm.
53
Contoh utilitas cracking kata sandi open source adalah John the Ripper, yang mendukung beberapa OS dan jenis file.
Utilitas cracking kata sandi tambahan terdaftar di beberapa situs Web yang terdaftar di Lampiran F, termasuk Forensik Komputer
Alat (http://www.forensix.org/tools/) dan The Ultimate Collection of Forensic Software (TUCOFS)
(http://www.tucofs.com/tucofs.htm).
4-12
jumper dari motherboard sistem atau menggunakan kata sandi pintu belakang pabrikan.54 Tentu saja, melewati
kata sandi mungkin berarti me-reboot sistem, yang mungkin tidak diinginkan. Kemungkinan lain adalah mencoba untuk
menangkap sandi melalui jaringan atau kontrol berbasis host (misalnya, packet sniffer, keystroke logger), dengan
manajemen yang tepat dan persetujuan hukum. Jika kata sandi boot-up telah ditetapkan pada hard drive, Anda dapat
menebaknya (yaitu, kata sandi default dari vendor) atau untuk menghindarinya dengan perangkat keras dan perangkat
lunak khusus.
4.3.3 Menggunakan Toolkit Forensik
Analis harus memiliki akses ke berbagai alat yang memungkinkan mereka untuk melakukan pemeriksaan dan analisis
data, serta beberapa kegiatan pengumpulan. Banyak produk forensik memungkinkan analis untuk melakukan berbagai
proses untuk menganalisis file dan aplikasi, serta mengumpulkan file, membaca gambar disk, dan mengekstrak data
dari file. Sebagian besar produk analisis juga menawarkan kemampuan untuk menghasilkan laporan dan mencatat
semua kesalahan yang terjadi selama analisis. Meskipun produk ini sangat berharga dalam melakukan analisis, sangat
penting untuk memahami proses mana yang harus dijalankan untuk menjawab pertanyaan tertentu tentang data. Seorang
analis mungkin perlu memberikan tanggapan cepat atau hanya menjawab pertanyaan sederhana tentang data yang dikumpulkan.
Dalam kasus ini, evaluasi forensik lengkap mungkin tidak diperlukan atau bahkan tidak layak. Toolkit forensik harus berisi
aplikasi yang dapat menyelesaikan pemeriksaan dan analisis data dalam banyak cara dan dapat dijalankan dengan cepat
dan efisien dari floppy disk, CD, atau workstation forensik. Proses berikut adalah di antara proses yang harus dapat
dilakukan oleh seorang analis dengan berbagai alat:
! Menggunakan Penampil File. Menggunakan pemirsa alih-alih aplikasi sumber asli untuk menampilkan
konten jenis file tertentu merupakan teknik penting untuk memindai atau melihat pratinjau data, dan lebih efisien
karena analis tidak memerlukan aplikasi asli untuk melihat setiap jenis file.
Berbagai alat tersedia untuk melihat jenis file umum, dan ada juga alat khusus hanya untuk melihat grafik. Jika
penampil file yang tersedia tidak mendukung format file tertentu, aplikasi sumber asli harus digunakan; jika ini
tidak tersedia, maka mungkin perlu untuk
55
meneliti format file dan mengekstrak data dari file secara manual.
! File yang tidak terkompresi. File terkompresi mungkin berisi file dengan informasi yang berguna, serta
file terkompresi lainnya. Oleh karena itu, penting bagi analis untuk mencari dan mengekstrak file terkompresi.
File yang tidak dikompresi harus dilakukan di awal proses forensik untuk memastikan bahwa isi file terkompresi
disertakan dalam pencarian dan tindakan lainnya. Namun, analis harus ingat bahwa file terkompresi mungkin
berisi konten berbahaya, seperti bom kompresi, yang merupakan file yang telah dikompresi berulang kali,
biasanya puluhan atau ratusan kali. Bom kompresi dapat menyebabkan alat pemeriksaan gagal atau
menghabiskan banyak sumber daya; mereka mungkin juga berisi malware dan muatan berbahaya lainnya.
Meskipun tidak ada cara pasti untuk mendeteksi bom kompresi sebelum membuka kompresi file, ada cara untuk
meminimalkan dampaknya. Misalnya, sistem pemeriksaan harus menggunakan perangkat lunak antivirus
terbaru dan harus berdiri sendiri untuk membatasi efek hanya pada sistem itu. Selain itu, citra sistem pemeriksaan
harus dibuat sehingga, jika diperlukan, sistem dapat dipulihkan.
! Struktur Direktori Menampilkan Grafis. Latihan ini membuatnya lebih mudah dan lebih cepat untuk
analis untuk mengumpulkan informasi umum tentang isi media, seperti jenis perangkat lunak yang diinstal dan
kemungkinan kemampuan teknis pengguna yang membuat data. Sebagian besar produk dapat menampilkan
struktur direktori Windows, Linux, dan UNIX, sedangkan produk lain khusus untuk struktur direktori Macintosh.
54
Lihat artikel Cara Bypass BIOS Passwords (tersedia di http://labmice.techtarget.com/articles/BIOS_hack.htm) untuk
informasi lebih lanjut dan contoh kata sandi pintu belakang BIOS yang diketahui.
55
Situs web seperti Format Wotsit (http://www.wotsit.org/) berisi informasi format file untuk ratusan jenis file.
4-13
! Mengidentifikasi File yang Diketahui. Manfaat menemukan file yang menarik jelas, tetapi juga sering
bermanfaat untuk menghilangkan file yang tidak penting, seperti file OS dan aplikasi yang dikenal baik, dari
pertimbangan. Analis harus menggunakan set hash yang divalidasi, seperti yang dibuat oleh NIST's National
56 57 yang telah
Proyek Perpustakaan Referensi Perangkat Lunak (NSRL) atau hash set yang dibuat secara pribadi
divalidasi, sebagai dasar untuk mengidentifikasi file jinak dan berbahaya yang diketahui. Himpunan hash biasanya menggunakan
Algoritma SHA-1 dan MD5 untuk menetapkan nilai intisari pesan untuk setiap file yang diketahui.
! Melakukan Pencarian String dan Pencocokan Pola. Pencarian string membantu dalam membaca dengan teliti
sejumlah data untuk menemukan kata kunci atau string. Berbagai alat pencarian tersedia yang dapat digunakan
Boolean, logika fuzzy, sinonim dan konsep, stemming, dan metode pencarian lainnya. Contoh dari
pencarian umum termasuk mencari beberapa kata dalam satu file dan mencari
versi salah eja dari kata-kata tertentu. Mengembangkan kumpulan istilah pencarian yang ringkas untuk situasi umum
dapat membantu analis mengurangi volume informasi untuk ditinjau. Beberapa pertimbangan
atau kemungkinan kesulitan dalam melakukan pencarian string adalah sebagai berikut:
Beberapa format file berpemilik tidak dapat dicari dengan string tanpa alat tambahan. Sebagai tambahan,
file terkompresi, terenkripsi, dan dilindungi kata sandi memerlukan pra-pemrosesan tambahan sebelum
pencarian string.
Penggunaan kumpulan data multi-karakter yang menyertakan karakter asing atau Unicode dapat menyebabkan
masalah dengan pencarian string; beberapa alat pencarian mencoba untuk mengatasi hal ini dengan menyediakan
fungsi terjemahan bahasa.
Masalah lain yang mungkin adalah keterbatasan yang melekat pada alat pencarian atau algoritma. Untuk
contoh, kecocokan mungkin tidak ditemukan untuk string pencarian jika bagian dari string berada di satu
cluster dan sisa string berada di cluster yang tidak berdekatan. Demikian pula, beberapa alat pencarian mungkin melaporkan
kecocokan yang salah jika bagian dari string pencarian berada di satu cluster dan sisanya dari
string berada di cluster lain yang bukan bagian dari file yang sama yang berisi cluster pertama.
! Mengakses Metadata File. Metadata file memberikan detail tentang file apa pun yang diberikan. Sebagai contoh,
mengumpulkan metadata pada file grafik dapat memberikan tanggal pembuatan grafik, informasi hak cipta, dan deskripsi,
58
dan identitas pencipta. Metadata untuk grafik yang dihasilkan oleh a
kamera digital mungkin termasuk merek dan model kamera digital yang digunakan untuk mengambil gambar, seperti:
serta pengaturan F-stop, flash, dan aperture. Untuk file pengolah kata, metadata dapat menentukan
penulis, organisasi yang melisensikan perangkat lunak, kapan dan oleh siapa pengeditan terakhir dilakukan,
dan komentar yang ditentukan pengguna. Utilitas khusus dapat mengekstrak metadata dari file.
4.4 Analisis
Setelah pemeriksaan selesai dilakukan, langkah selanjutnya adalah melakukan analisis terhadap data yang telah diekstraksi. Sebagai
disebutkan di Bagian 4.3.3, ada banyak alat yang tersedia yang dapat membantu dalam analisis berbagai jenis data. Saat menggunakan alat
ini atau melakukan tinjauan data secara manual, analis harus menyadari:
nilai menggunakan waktu sistem dan waktu file. Mengetahui saat insiden terjadi, file dibuat atau
dimodifikasi, atau email yang dikirim dapat menjadi penting untuk analisis forensik. Misalnya, informasi tersebut dapat berupa
digunakan untuk merekonstruksi jadwal kegiatan. Meskipun ini mungkin tampak seperti tugas yang sederhana, seringkali
56
Halaman beranda NSRL terletak di http://www.nsrl.nist.gov/.
57
Analis juga dapat membuat hash file sistem secara berkala; set hash ini kemudian tersedia ketika suatu peristiwa terjadi sehingga
analis dapat dengan cepat menghilangkan file jinak yang diketahui dari pemeriksaan. Analis harus mengandalkan set hash standar seperti:
yang berasal dari proyek NSRL bila memungkinkan, dan buat kumpulan hash khusus terutama untuk file khusus organisasi.
58
Hanya jenis file grafik tertentu yang menyertakan metadata; misalnya, grafik format JPEG mungkin memiliki metadata, tetapi grafik format
bitmap tidak bisa.
4-14
rumit oleh perbedaan yang tidak disengaja atau disengaja dalam pengaturan waktu antara sistem. Mengetahui
pengaturan waktu, tanggal, dan zona waktu untuk komputer yang datanya akan dianalisis dapat sangat membantu dan
analis; Bagian 5 menjelaskan hal ini secara lebih rinci.
Biasanya bermanfaat bagi analis jika organisasi memelihara sistemnya dengan stempel waktu yang akurat.
Network Time Protocol (NTP) menyinkronkan waktu di komputer dengan jam atomik yang dijalankan oleh
NIST atau organisasi lain. Sinkronisasi membantu memastikan bahwa setiap sistem mempertahankan pengukuran waktu
yang cukup akurat.
Jika beberapa alat digunakan untuk menyelesaikan pemeriksaan dan analisis, analis harus memahami caranya:
setiap alat mengekstrak, memodifikasi, dan menampilkan waktu modifikasi, akses, dan pembuatan file (MAC). Untuk
misalnya, beberapa alat memodifikasi waktu akses terakhir dari file atau direktori jika sistem file telah di-mount
dengan izin menulis oleh OS. Write-blocker dapat digunakan untuk mencegah alat ini memodifikasi
waktu MAC; namun, meskipun write-blocker dapat mencegah perubahan waktu ini di media,
mereka tidak dapat mencegah OS dari caching perubahan dalam memori (yaitu, menyimpan perubahan secara acak
mengakses memori [RAM]). OS kemudian mungkin melaporkan waktu MAC yang di-cache daripada waktu sebenarnya,
sehingga mengembalikan hasil yang tidak akurat. Analis harus menyadari bahwa waktu akses terakhir untuk file dan direktori
data mungkin berubah di antara kueri, bergantung pada alat yang digunakan untuk melakukan kueri. Karena
masalah ini, analis harus berhati-hati dalam memilih metode tampilan MAC dan mencatat detail dari:
metode itu.
Analis dapat menggunakan alat khusus yang dapat menghasilkan garis waktu forensik berdasarkan data peristiwa.
Alat tersebut biasanya memberikan analis antarmuka grafis untuk melihat dan menganalisis urutan peristiwa. Fitur umum dari
alat ini adalah mengizinkan analis untuk mengelompokkan peristiwa terkait ke dalam peristiwa meta. Ini membantu analis untuk
mendapatkan gambaran besarî tampilan acara.
Dalam banyak kasus, analisis forensik tidak hanya melibatkan data dari file, tetapi juga data dari sumber lain, seperti:
sebagai status OS, lalu lintas jaringan, atau aplikasi. Bagian 8 memberikan contoh bagaimana data dari file dan data dari
sumber lain dapat dikorelasikan melalui analisis.
4.5 Rekomendasi
Rekomendasi utama yang disajikan di bagian ini untuk menggunakan data dari file data adalah sebagai berikut.
! Analis harus memeriksa salinan file, bukan file asli. Selama fase pengumpulan,
analis harus membuat banyak salinan dari file atau sistem file yang diinginkan, biasanya salinan master
dan copy pekerjaan. Analis kemudian dapat bekerja dengan copy pekerjaan file tanpa mempengaruhi file asli
atau master copy. Gambar aliran bit harus dilakukan jika
bukti mungkin diperlukan untuk penuntutan atau tindakan disipliner, atau jika menjaga waktu arsip adalah
penting.
! Analis harus menjaga dan memverifikasi integritas file. Menggunakan pemblokir tulis selama pencadangan dan
pencitraan mencegah komputer menulis ke media penyimpanannya. Integritas data yang disalin
harus diverifikasi dengan menghitung dan membandingkan intisari pesan dari file. Cadangan dan gambar
harus diakses sebagai hanya-baca bila memungkinkan; write-blocker juga dapat digunakan untuk
mencegah penulisan ke file cadangan atau gambar atau cadangan atau gambar yang dipulihkan.
! Analis harus mengandalkan header file, bukan ekstensi file, untuk mengidentifikasi tipe konten file.
Karena pengguna dapat menetapkan ekstensi file apa pun ke file, analis tidak boleh menganggap file itu
ekstensi akurat. Analis dapat mengidentifikasi jenis data yang disimpan dalam banyak file dengan melihat:
header file mereka. Meskipun orang dapat mengubah header file untuk menyembunyikan jenis file yang sebenarnya, ini banyak
kurang umum daripada mengubah ekstensi file.
4-15
! Analis harus memiliki perangkat forensik untuk pemeriksaan dan analisis data. Toolkit ini harus berisi
berbagai alat yang memberikan kemampuan untuk melakukan tinjauan cepat terhadap data serta analisis
mendalam. Toolkit harus memungkinkan aplikasinya dijalankan dengan cepat dan efisien dari media yang
dapat dipindahkan (misalnya, floppy disk, CD) atau workstation forensik.
4-16
5. Menggunakan Data dari Sistem Operasi
Sistem operasi (OS) adalah program yang berjalan di komputer dan menyediakan platform perangkat lunak di
yang dapat dijalankan oleh program lain. Selain itu, OS bertanggung jawab untuk memproses perintah input dari a
pengguna, mengirim output ke tampilan, berinteraksi dengan perangkat penyimpanan untuk menyimpan dan
mengambil data, dan mengontrol perangkat periferal seperti printer dan modem. Beberapa OS umum untuk workstation atau
server mencakup berbagai versi Windows, Linux, UNIX, dan Mac OS. Beberapa perangkat jaringan, seperti
sebagai router, memiliki OS milik mereka sendiri (misalnya, Cisco Internetwork Operating System [IOS]). PDA
59
sering menjalankan OS khusus, termasuk PalmOS dan Windows CE. Banyak sistem tertanam, seperti
60
telepon seluler, kamera digital, dan pemutar audio, juga menggunakan OS. Bagian ini membahas tentang
komponen OS yang mungkin relevan dengan forensik dan memberikan panduan dalam mengumpulkan, memeriksa,
61
dan menganalisis data dari stasiun kerja umum dan OS server.
5.1 Dasar-dasar OS
Data OS ada dalam keadaan non-volatile dan volatile. Data non-volatile mengacu pada data yang bertahan bahkan
setelah komputer dimatikan, seperti sistem file yang disimpan di hard drive. Data yang mudah menguap mengacu pada data
pada sistem langsung yang hilang setelah komputer dimatikan, seperti koneksi jaringan saat ini ke
dan dari sistem. Banyak jenis data non-volatile dan volatile mungkin menarik dari perspektif forensik. Bagian ini membahas
kedua jenis data OS ini.
5.1.1 Data Non-Volatile
62
Sumber utama data non-volatil dalam OS adalah sistem file. Sistem file juga biasanya
sumber data terbesar dan terkaya dalam OS, yang berisi sebagian besar informasi yang dipulihkan selama
63
peristiwa forensik yang khas. Sistem file menyediakan penyimpanan untuk OS pada satu atau lebih media. SEBUAH
sistem file biasanya berisi banyak jenis file, yang masing-masing mungkin bernilai bagi analis di berbagai
situasi. Selain itu, seperti disebutkan dalam Bagian 4.1.2, data sisa yang penting dapat dipulihkan dari yang tidak digunakan
ruang sistem file. Beberapa jenis data yang biasa ditemukan dalam sistem file OS adalah sebagai berikut:
64
! File Konfigurasi. OS dapat menggunakan file konfigurasi untuk menyimpan OS dan pengaturan aplikasi.
Misalnya, file konfigurasi dapat mencantumkan layanan yang akan dimulai secara otomatis setelah sistem
boot, dan tentukan lokasi file log dan file sementara. Pengguna mungkin juga memiliki individu
File konfigurasi OS dan aplikasi yang berisi informasi dan preferensi khusus pengguna,
seperti pengaturan terkait perangkat keras (misalnya, resolusi layar, pengaturan printer) dan asosiasi file.
File konfigurasi yang menarik adalah sebagai berikut:
59
Untuk informasi lebih lanjut tentang forensik PDA, lihat NIST SP 800-72, Pedoman Forensik PDA, tersedia di:
http://csrc.nist.gov/publications/nistpubs/index.html.
60
Diskusi tentang jenis informasi yang dapat ditemukan pada jenis perangkat ini dan metode pengumpulan,
memeriksa, dan menganalisis informasi berada di luar cakupan dokumen ini. Karena berbagai macam perangkat dan pengetahuan dan peralatan yang dibutuhkan
dalam banyak kasus untuk memproses data yang dikandungnya secara forensik, sebagian besar organisasi akan
menemukan cara terbaik untuk mengamankan perangkat tersebut dan mentransfernya ke pihak yang tepat yang berpengalaman dalam mengumpulkan,
memeriksa, dan menganalisis data dari perangkat tersebut (misalnya, lembaga penegak hukum).
61
Panduan khusus untuk data dari sistem operasi berpemilik dan khusus berada di luar cakupan dokumen ini;
namun, banyak dari konsep yang dijelaskan di bagian ini juga harus berlaku untuk mereka.
62
Ini mungkin tidak berlaku untuk beberapa perangkat, seperti elektronik konsumen yang tidak menggunakan sistem file standar.
63
Dalam beberapa kasus, sistem file mungkin 'disimpan' dalam memori dinamis. Istilah sistem file memori mengacu pada sistem file yang
hanya berada dalam memori sistem. Sistem file seperti itu dianggap sebagai data yang mudah menguap. Sistem file, termasuk seluruh yang dapat di-boot
Implementasi OS, mungkin juga berada pada media yang dapat dipindahkan seperti flash drive.
64
Pada sistem Windows, banyak pengaturan konfigurasi berada dalam satu set file khusus yang dikenal sebagai registri. Untuk lebih
informasi tentang registri, lihat artikel Basis Pengetahuan Microsoft 256986, Deskripsi Registri Microsoft Windows, tersedia di http://support.microsoft.com/?
id=256986.
5-1
Pengguna dan Grup. OS menyimpan catatan akun dan grup penggunanya. Informasi akun dapat
mencakup keanggotaan grup, nama dan deskripsi akun, izin akun, status akun (mis., aktif,
dinonaktifkan), dan jalur ke direktori home akun.
File Kata Sandi. OS dapat menyimpan hash kata sandi dalam file data. Berbagai kata sandi
utilitas cracking dapat digunakan untuk mengonversi hash kata sandi menjadi teks yang setara untuk
OS tertentu.
Pekerjaan Terjadwal . OS menyimpan daftar tugas terjadwal yang harus dilakukan

otomatis pada waktu tertentu (misalnya, melakukan scan virus setiap minggu). Informasi yang dapat
diperoleh dari ini termasuk nama tugas, program yang digunakan untuk melakukan tugas, switch baris
perintah dan argumen, dan hari dan waktu ketika tugas harus dilakukan.
! Log. File log OS berisi informasi tentang berbagai acara OS, dan juga dapat menyimpan informasi acara khusus
aplikasi. Tergantung pada OS, log dapat disimpan dalam file teks, file biner format berpemilik, atau database.
Beberapa OS menulis entri log ke dua atau lebih file terpisah. Jenis informasi yang biasanya ditemukan di log
OS adalah sebagai berikut:
Acara Sistem. Peristiwa sistem adalah tindakan operasional yang dilakukan oleh komponen OS, seperti
mematikan sistem atau memulai layanan. Biasanya, peristiwa yang gagal dan peristiwa sukses yang
paling signifikan dicatat, tetapi banyak OS mengizinkan administrator sistem untuk menentukan jenis
peristiwa yang akan dicatat. Detail yang dicatat untuk setiap acara juga sangat bervariasi. Setiap acara
biasanya diberi stempel waktu; informasi pendukung lainnya dapat mencakup kode acara, kode status, dan
nama pengguna.
Catatan Audit. Catatan audit berisi informasi peristiwa keamanan seperti upaya otentikasi yang berhasil
dan gagal serta perubahan kebijakan keamanan. OS biasanya mengizinkan administrator sistem untuk
menentukan jenis peristiwa mana yang harus diaudit. Administrator juga dapat mengonfigurasi beberapa
OS untuk mencatat keberhasilan, kegagalan, atau semua upaya untuk melakukan tindakan tertentu.
Acara Aplikasi. Peristiwa aplikasi adalah tindakan operasional signifikan yang dilakukan oleh aplikasi,
seperti startup dan shutdown aplikasi, kegagalan aplikasi, dan perubahan konfigurasi aplikasi utama.
Bagian 7 berisi informasi lebih lanjut tentang pencatatan peristiwa aplikasi.
Sejarah Perintah. Beberapa OS memiliki file log terpisah (biasanya untuk setiap pengguna) yang berisi a
riwayat perintah OS yang dilakukan oleh setiap pengguna.
File yang Baru Diakses. OS mungkin mencatat akses file terbaru atau penggunaan lainnya,
membuat daftar file yang terakhir diakses.
! File Aplikasi. Aplikasi dapat terdiri dari banyak jenis file, termasuk file yang dapat dieksekusi, skrip, dokumentasi,
file konfigurasi, file log, file riwayat, grafik, suara, dan ikon.
Bagian 7 memberikan diskusi mendalam tentang file aplikasi.
! File Data. File data menyimpan informasi untuk aplikasi. Contoh file data umum adalah file teks, dokumen pengolah
kata, spreadsheet, database, file audio, dan file grafik. Selain itu, saat data dicetak, sebagian besar OS membuat
satu atau beberapa file cetak sementara yang berisi versi data siap cetak. Bagian 4 dan 7 membahas file data
aplikasi secara lebih mendalam.
! Tukar File. Sebagian besar OS menggunakan file swap bersama dengan RAM untuk menyediakan penyimpanan sementara
untuk data yang sering digunakan oleh aplikasi. Tukar file pada dasarnya memperpanjang jumlah memori yang tersedia untuk
5-2
sebuah program dengan mengizinkan halaman (atau segmen) data untuk ditukar masuk dan keluar dari RAM.
File swap dapat berisi berbagai OS dan informasi aplikasi, seperti nama pengguna, hash kata sandi, dan
informasi kontak. Bagian 5.1.2 membahas isi memori secara lebih rinci.
! Membuang File. Beberapa OS memiliki kemampuan untuk menyimpan isi memori secara otomatis selama
kondisi kesalahan untuk membantu dalam pemecahan masalah berikutnya. File yang menyimpan memori yang tersimpan
isinya dikenal sebagai file dump.
! File Hibernasi. File hibernasi dibuat untuk mempertahankan status sistem saat ini
(biasanya laptop) dengan merekam memori dan membuka file sebelum mematikan sistem. Ketika
sistem selanjutnya dihidupkan, status sistem dipulihkan.
! Berkas sementara. Selama instalasi OS, aplikasi, atau OS atau pembaruan dan peningkatan aplikasi, file-file
sementara sering dibuat. Meskipun file seperti itu biasanya dihapus di akhir
proses instalasi, ini tidak selalu terjadi. Selain itu, file sementara dibuat ketika
banyak aplikasi yang dijalankan; lagi, file seperti itu biasanya dihapus ketika aplikasi
dihentikan, tetapi ini tidak selalu terjadi. File sementara dapat berisi salinan file lain
pada sistem, data aplikasi, atau informasi lainnya.
Meskipun sistem file adalah sumber utama data non-volatil, sumber lain yang menarik adalah BIOS.
BIOS berisi banyak jenis informasi terkait perangkat keras, seperti perangkat yang terpasang (misalnya, drive CD
ROM, hard drive), jenis koneksi dan penetapan jalur permintaan interupsi (IRQ) (misalnya,
serial, USB, kartu jaringan), komponen motherboard (misalnya, jenis dan kecepatan prosesor, ukuran cache, memori
informasi), pengaturan keamanan sistem, dan tombol pintas. BIOS juga berkomunikasi dengan driver RAID dan
menampilkan informasi yang disediakan oleh driver. Misalnya, BIOS memandang RAID perangkat keras sebagai:
satu drive dan RAID perangkat lunak sebagai beberapa drive. BIOS biasanya mengizinkan pengguna untuk
mengatur kata sandi, yang membatasi akses ke pengaturan BIOS dan dapat mencegah sistem melakukan booting jika
kata sandi tidak diberikan. BIOS juga menyimpan tanggal dan waktu sistem.
5.1.2 Data Volatil
OS dijalankan dalam RAM suatu sistem. Saat OS berfungsi, isi RAM adalah
terus berubah. Pada waktu tertentu, RAM mungkin berisi banyak jenis data dan informasi yang
bisa menarik. Misalnya, RAM sering berisi data yang sering dan baru saja diakses, seperti:
file data, hash kata sandi, dan perintah terbaru. Selain itu, seperti sistem file, RAM dapat berisi data sisa di ruang
kosong dan kosong, sebagai berikut:
! Ruang Kendur. Ruang slack memori jauh lebih sedikit deterministik daripada ruang slack file. Sebagai contoh,
OS umumnya mengelola memori dalam unit yang dikenal sebagai halaman atau blok, dan mengalokasikannya ke
meminta aplikasi. Terkadang, meskipun aplikasi mungkin tidak meminta seluruh unit, itu adalah
diberikan satu pula. Oleh karena itu, data sisa dapat berada di unit memori yang dialokasikan untuk
aplikasi, meskipun mungkin tidak dapat dialamatkan oleh aplikasi. Untuk kinerja dan efisiensi, beberapa
OS memvariasikan ukuran unit yang mereka alokasikan, yang cenderung menghasilkan lebih kecil
ruang kendur memori.
! Ruang bebas. Halaman memori dialokasikan dan tidak dialokasikan seperti cluster file. Ketika mereka
tidak dialokasikan, halaman memori sering dikumpulkan ke dalam kumpulan halaman yang tersediaóa
proses yang sering disebut sebagai pengumpulan sampah. Tidak jarang data sisa berada di
halaman memori yang dapat digunakan kembali ini, yang analog dengan kumpulan file yang tidak terisi.
Beberapa jenis data volatil penting lainnya yang mungkin ada dalam OS adalah sebagai berikut:
5-3
! Konfigurasi jaringan. Meskipun banyak elemen jaringan, seperti antarmuka jaringan

driver kartu (NIC) dan pengaturan konfigurasi, biasanya disimpan dalam sistem file, jaringan adalah
sifatnya dinamis. Sebagai contoh, banyak host yang diberi alamat Internet Protocol (IP) secara dinamis oleh host
lain, yang berarti bahwa alamat IP mereka bukan bagian dari alamat IP yang disimpan.
konfigurasi. Banyak host juga memiliki beberapa antarmuka jaringan yang ditentukan, seperti kabel, nirkabel,
jaringan pribadi virtual (VPN), dan modem; konfigurasi jaringan saat ini menunjukkan yang
antarmuka yang sedang digunakan. Pengguna juga dapat mengubah konfigurasi antarmuka jaringan
dari default, seperti mengubah alamat IP secara manual. Oleh karena itu, analis harus menggunakan
konfigurasi jaringan saat ini, bukan konfigurasi yang disimpan, bila memungkinkan.
! Koneksi jaringan. OS memfasilitasi koneksi antara sistem dan sistem lainnya.

Sebagian besar OS dapat menyediakan daftar koneksi jaringan masuk dan keluar saat ini, dan beberapa
OS dapat membuat daftar koneksi terbaru juga. Untuk koneksi masuk, OS biasanya menunjukkan sumber daya mana
yang digunakan, seperti berbagi file dan printer. Sebagian besar OS juga dapat menyediakan daftar port dan alamat IP
tempat sistem mendengarkan koneksi. Bagian 6 menyediakan
pemeriksaan mendalam tentang pentingnya koneksi jaringan.
! Menjalankan Proses. Proses adalah program yang sedang dijalankan di komputer.

Proses termasuk layanan yang ditawarkan oleh OS dan aplikasi yang dijalankan oleh administrator dan pengguna.
Sebagian besar OS menawarkan cara untuk melihat daftar proses yang sedang berjalan. Daftar ini dapat dipelajari untuk
menentukan layanan yang aktif pada sistem, seperti server Web, dan program yang
pengguna individu sedang berjalan (misalnya, utilitas enkripsi, pengolah kata, klien email). Daftar proses
juga dapat menunjukkan opsi perintah mana yang digunakan, seperti yang dijelaskan dalam Bagian 7. Mengidentifikasi
proses yang berjalan juga membantu untuk mengidentifikasi program yang harus dijalankan tetapi telah
dinonaktifkan atau dihapus, seperti perangkat lunak antivirus dan firewall.
! Buka File. OS dapat menyimpan daftar file yang terbuka, yang biasanya menyertakan pengguna atau proses yang
membuka setiap file.
! Sesi Masuk. OS biasanya menyimpan informasi tentang pengguna yang saat ini masuk (dan
waktu mulai dan durasi setiap sesi), login yang berhasil dan gagal sebelumnya, penggunaan hak istimewa,
65
dan peniruan identitas. Namun, informasi sesi login mungkin hanya tersedia jika komputer
telah dikonfigurasi untuk mengaudit upaya logon. Catatan logon dapat membantu menentukan pengguna
kebiasaan penggunaan komputer dan konfirmasi apakah akun pengguna aktif saat peristiwa tertentu terjadi.
! Waktu Sistem Operasi. OS mempertahankan waktu saat ini dan menyimpan waktu musim panas
dan informasi zona waktu. Informasi ini dapat berguna saat membuat garis waktu peristiwa atau
mengkorelasikan peristiwa di antara sistem yang berbeda. Analis harus menyadari bahwa waktu yang disajikan oleh
OS mungkin berbeda dari yang disajikan oleh BIOS karena pengaturan khusus OS, seperti:
zona waktu.
5.2 Mengumpulkan Data OS
Seperti yang dijelaskan dalam Bagian 5.1, data OS ada dalam keadaan non-volatil dan volatil. Data OS yang tidak mudah menguap
seperti data sistem file dapat dikumpulkan menggunakan pendekatan yang dibahas dalam Bagian 4 untuk melakukan
pencadangan logis dan pencitraan aliran bit. Data OS yang mudah menguap harus dikumpulkan sebelum komputer
dimatikan. Bagian 5.2.1 dan 5.2.2 memberikan rekomendasi untuk mengumpulkan volatil dan non-volatil
data OS, masing-masing. Bagian 5.2.3 membahas masalah teknis yang dapat menghambat pengumpulan data.
65
Peniruan identitas dapat memungkinkan pengguna sistem biasa untuk memiliki hak sistem yang lebih tinggi untuk menyelesaikan tugas-tugas tertentu. Misalnya,
program tertentu mungkin memerlukan akses administrator untuk dijalankan. Melalui peniruan identitas, pengguna biasa dapat diberikan itu
izin untuk menjalankan aplikasi dan kemudian dikembalikan ke hak istimewa biasa.
5-4
5.2.1 Mengumpulkan Data OS Volatile
Data OS yang mudah menguap yang melibatkan suatu peristiwa hanya dapat dikumpulkan dari sistem langsung yang belum di-
boot ulang atau dimatikan sejak peristiwa itu terjadi. Setiap tindakan yang dilakukan pada sistem, baik yang diprakarsai oleh
seseorang atau oleh OS itu sendiri, hampir pasti akan mengubah data OS yang mudah menguap dalam beberapa cara. Oleh
karena itu, analis harus memutuskan secepat mungkin apakah data OS yang mudah menguap harus dipertahankan. Idealnya,
kriteria pengambilan keputusan ini harus didokumentasikan terlebih dahulu sehingga analis dapat segera mengambil keputusan
terbaik. Pentingnya keputusan ini tidak dapat cukup ditekankan, karena mematikan sistem atau bahkan memutuskannya dari
jaringan dapat menghilangkan kesempatan untuk mengumpulkan informasi yang berpotensi penting. Misalnya, jika pengguna baru
saja menjalankan alat enkripsi untuk mengamankan data, RAM komputer mungkin berisi hash kata sandi, yang dapat digunakan
untuk menentukan kata sandi.
Di sisi lain, mengumpulkan data OS yang mudah menguap dari komputer yang sedang berjalan memiliki risiko yang melekat.
Misalnya, kemungkinan selalu ada bahwa file di komputer mungkin berubah dan data OS yang mudah menguap lainnya mungkin
diubah. Selain itu, pihak jahat mungkin telah menginstal rootkit yang dirancang untuk mengembalikan informasi palsu, menghapus
file, atau melakukan tindakan jahat lainnya. Dalam memutuskan apakah akan mengumpulkan data yang mudah menguap, risiko
yang terkait dengan pengumpulan tersebut harus dipertimbangkan terhadap potensi untuk memulihkan informasi penting.
Sebagaimana dicatat dalam Bagian 3.2, jika bukti mungkin diperlukan, analis harus sepenuhnya mendokumentasikan apa yang
terlihat di layar sebelum menyentuh sistem. Jika sistem hidup dalam mode tidur atau memiliki perlindungan kata sandi yang terlihat,
analis juga harus memutuskan apakah akan mengubah keadaan sistem dengan membangunkannya dari mode tidur atau mencoba
untuk memecahkan atau melewati perlindungan kata sandi sehingga analis dapat mencoba mengumpulkan data yang mudah
menguap. . Jika upaya yang diperlukan untuk mengumpulkan data volatil tidak sesuai, analis mungkin memutuskan untuk melakukan
shutdown, seperti yang dijelaskan dalam Bagian 5.2.2.
Bagian 5.2.1.1 menjelaskan bagaimana alat forensik harus dikompilasi dalam persiapan untuk mengumpulkan data OS yang
mudah menguap. Selanjutnya, Bagian 5.2.1.2 membahas beberapa jenis data dan menyebutkan kategori alat atau alat OS tertentu
yang efektif dalam mengumpulkan setiap jenis data. Terakhir, Bagian 5.2.1.3 menjelaskan kebutuhan untuk mengidentifikasi jenis
data OS volatil yang paling mungkin bernilai dalam situasi tertentu dan kemudian memprioritaskan pengumpulan data berdasarkan
kepentingan dan volatilitas relatif.
5.2.1.1 Persiapan Alat Forensik
Saat mengumpulkan data OS yang mudah menguap, semua alat forensik yang mungkin diperlukan harus ditempatkan pada
floppy disk, CD-ROM, atau USB flash drive, dari mana alat tersebut harus dijalankan. Melakukannya memungkinkan analis untuk
mengumpulkan data OS dengan gangguan sistem yang paling sedikit. Selain itu, hanya alat forensik yang boleh digunakan, karena
pengguna mungkin telah mengganti perintah sistem dengan program jahat, seperti untuk memformat hard disk atau mengembalikan
informasi palsu. Namun, penggunaan alat forensik tidak menjamin bahwa data yang diambil akan akurat. Jika sistem telah
sepenuhnya disusupi, ada kemungkinan bahwa rootkit dan utilitas berbahaya lainnya telah diinstal yang mengubah fungsionalitas
sistem di tingkat kernel. Ini dapat menyebabkan data palsu dikembalikan ke alat tingkat pengguna.
Saat membuat kumpulan alat forensik, file biner yang ditautkan secara statis harus digunakan. File yang dapat dieksekusi
tersebut berisi semua fungsi dan fungsi pustaka yang dirujuknya, sehingga pustaka tautan dinamis (DLL) yang terpisah dan file
pendukung lainnya tidak diperlukan. Ini menghilangkan kebutuhan untuk menempatkan versi DLL yang sesuai pada media alat
dan meningkatkan keandalan alat. Analis harus mengetahui bagaimana setiap alat mempengaruhi atau mengubah sistem
sebelum mengumpulkan data yang mudah menguap. Intisari pesan dari setiap alat harus dihitung dan disimpan dengan aman
untuk memverifikasi integritas file. Perizinan dan informasi versi juga harus didokumentasikan untuk setiap alat forensik. Selain
itu, perintah yang tepat yang digunakan untuk menjalankan setiap alat forensik harus didokumentasikan (yaitu, argumen baris
perintah dan sakelar). Mungkin berguna untuk menempatkan skrip pada media alat yang dapat dijalankan untuk menangkap perintah
mana yang dijalankan, pada waktu apa, dan dengan output apa.
5-5
Media yang berisi alat harus melindungi mereka dari perubahan. Floppy disk harus dilindungi dari penulisan untuk
memastikan bahwa tidak ada perubahan yang dilakukan pada alat. CD-ROM harus CD-sekali tulis (yaitu, CD R), bukan CD yang
dapat ditulis ulang, karena isi dari CD yang dapat ditulis ulang dapat diubah oleh utilitas pembakar CD pada
komputer pengguna. Setelah alat telah dibakar ke CD tulis sekali, disk harus diselesaikan ke
memastikan bahwa tidak ada data tambahan yang dapat ditulis ke dalamnya. 66
Karena media yang berisi pahat harus dilindungi dari penulisan, hasil yang dihasilkan oleh pahat tidak dapat ditempatkan ke media
pahat. Analis sering mengarahkan output alat ke floppy disk, tetapi prevalensi
floppy disk drive pada perangkat komputasi menurun. Akibatnya, metode pengumpulan alternatif
keluaran telah dikembangkan. CD dan flash drive USB yang disiapkan secara khusus yang berisi Windows atau
Lingkungan berbasis Linux dapat digunakan untuk mengumpulkan output tanpa mengubah status sistem dan biasanya
mengarahkan output ke flash drive USB lain, hard drive eksternal, atau media lain yang dapat ditulis, atau ke
sistem jarak jauh.
5.2.1.2 Jenis Data OS Volatil
Daftar berikut menunjukkan beberapa jenis data OS yang mudah menguap dan menjelaskan bagaimana alat forensik dapat digunakan dalam:
67
mengumpulkan setiap jenis data:
! Isi Memori. Ada beberapa utilitas yang dapat menyalin isi RAM ke file data
dan membantu dalam analisis data selanjutnya. Pada kebanyakan sistem, tidak mungkin untuk menghindari
perubahan RAM saat menjalankan utilitas yang mencoba membuat salinan RAM. Sebaliknya, tujuannya
adalah melakukan penyalinan dengan jejak sekecil mungkin untuk meminimalkan gangguan
RAM.
! Konfigurasi jaringan. Sebagian besar OS menyertakan utilitas yang menampilkan konfigurasi jaringan saat
ini, seperti ifconfig pada sistem UNIX dan ipconfig pada sistem Windows.
Informasi yang dapat diberikan melalui utilitas konfigurasi jaringan termasuk nama host,
antarmuka jaringan fisik dan logis, dan informasi konfigurasi untuk setiap antarmuka (misalnya,
Alamat IP, alamat Kontrol Akses Media [MAC], status saat ini).
! Koneksi jaringan. OS biasanya menyediakan metode untuk menampilkan daftar arus

koneksi jaringan. Baik sistem berbasis Windows dan UNIX biasanya menyertakan netstat
program, yang mencantumkan koneksi jaringan berdasarkan alamat dan port IP sumber dan tujuan, dan
68
juga mencantumkan port mana yang terbuka pada setiap antarmuka. Utilitas pihak ketiga tersedia yang dapat menampilkan
penetapan port untuk setiap program. Sebagian besar OS juga dapat menampilkan daftar yang dipasang dari jarak jauh
sistem file, yang memberikan informasi lebih rinci daripada daftar koneksi jaringan. Bagian
69
6.2.7 memberikan informasi tambahan tentang pengumpulan informasi koneksi jaringan.
66
Menyelesaikan CD adalah fitur khas dari utilitas pembakar CD. Beberapa utilitas pembakar CD juga memungkinkan sesi saat ini menjadi
tertutup. Namun, menutup sesi hanya menunjukkan kepada utilitas pembakar CD bahwa tidak ada data tambahan yang akan ditulis ke
disk di sesi saat ini; itu tidak mencegah data tambahan dari yang ditulis ke disk dalam sesi yang berbeda (sering
disebut sebagai disk multisesi). Oleh karena itu, analis harus menyelesaikan disk, bukan menutup sesi, saat membuat toolkit
CD.
67
Banyak sumber daya yang tersedia yang mencantumkan ratusan alat yang tersedia untuk analis. Lampiran F mencantumkan beberapa situs Web yang
berisi lebih banyak informasi tentang alat forensik komputer. Untuk alat yang disertakan dengan OS, analis harus menggunakan salinan dari:
alat yang ada di media hanya-baca, bukan alat di OS dari sistem yang diinginkan.
68
Cara lain untuk mengidentifikasi port yang terbuka adalah dengan menjalankan perangkat lunak pemindaian port dari sistem lain. Pemindaian port
perangkat lunak mengirimkan lalu lintas jaringan ke berbagai port dan menganalisis respons, serta respons yang hilang, untuk menentukan port mana yang
terbuka. Namun, pemindaian port mungkin menghasilkan hasil yang tidak akurat karena kontrol keamanan, seperti berbasis host
firewall yang memblokir pemindaian; juga, pemindaian dapat mengubah status sistem. Oleh karena itu, pemindaian port paling cocok
untuk akuisisi data informal dan untuk pengumpulan informasi ketika akses ke OS tidak tersedia.
69
Informasi lebih lanjut tentang fport tersedia di
http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/proddesc/fport.htm.
5-6
! Menjalankan Proses. Semua sistem berbasis UNIX menawarkan perintah ps untuk ditampilkan saat ini
proses yang berjalan. Meskipun Windows menawarkan utilitas daftar proses berbasis antarmuka pengguna grafis (GUI), Task
Manager, biasanya lebih disukai untuk memiliki daftar berbasis teks. Utilitas pihak ketiga dapat digunakan untuk membuat
daftar teks proses yang berjalan untuk sistem Windows.
! Buka File. Semua sistem berbasis UNIX menawarkan perintah lsof untuk menampilkan daftar file yang terbuka.
Utilitas pihak ketiga dapat digunakan untuk menghasilkan daftar teks dari file yang terbuka untuk sistem Windows.
! Sesi Masuk. Beberapa OS memiliki perintah bawaan untuk mendaftar pengguna yang saat ini masuk,
seperti perintah w untuk sistem UNIX, yang juga mencantumkan alamat sumber setiap pengguna dan
ketika pengguna masuk ke sistem. Utilitas pihak ketiga tersedia yang dapat dicantumkan saat ini
pengguna yang terhubung pada sistem Windows.
! Waktu Sistem Operasi. Ada beberapa utilitas yang tersedia untuk mengambil sistem saat ini
waktu, informasi zona waktu, dan pengaturan waktu musim panas. Pada sistem UNIX, tanggal
perintah dapat digunakan untuk mengambil informasi ini. Pada sistem Windows, perintah tanggal, waktu, dan nlsinfo
dapat digunakan secara kolektif untuk mengambil informasi ini.
Selain alat-alat dalam daftar sebelumnya, sering kali berguna untuk menyertakan beberapa alat tujuan umum dalam:
toolkit forensik, seperti berikut ini:
! Prompt Perintah OS. Utilitas ini menyediakan prompt perintah OS di mana yang lain
alat-alat dalam toolkit dapat dijalankan, seperti cmd pada sistem Windows.
! Ceksum SHA-1. Utilitas yang dapat menghitung intisari pesan SHA-1 dari file data sangat membantu
dalam verifikasi berkas. Mungkin juga berguna untuk menyertakan dalam toolkit daftar intisari pesan SHA-1 untuk file data
sistem yang terkait dengan OS target untuk membantu dalam verifikasi file. Utilitas adalah
70
tersedia untuk berbagai OS untuk tujuan ini.
! Daftar Direktori. Utilitas untuk membuat daftar isi direktori harus disertakan untuk menavigasi sistem file dan melihat isinya.
Hampir semua OS menyertakan utilitas seperti itu; misalnya ls
perintah digunakan pada sistem UNIX, sedangkan pada sistem Windows, perintah dir digunakan.
! Pencarian Tali. Utilitas untuk melakukan pencarian string teks dapat berguna dalam mengidentifikasi file data
bunga. Sistem UNIX menawarkan perintah grep untuk melakukan pencarian string teks, dan a
utilitas grep pihak ketiga juga tersedia di sistem Windows.71
! Editor Teks. Editor teks sederhana dapat berguna untuk melihat file teks atau menulis catatan.
Banyak editor teks yang tersedia, seperti Notepad pada sistem Windows dan vi pada UNIX
sistem.
5.2.1.3 Memprioritaskan Pengumpulan Data
Jenis data volatil yang harus dikumpulkan dengan toolkit tergantung pada kebutuhan spesifik. Untuk
misalnya, jika ada penyusupan jaringan, mungkin berguna untuk mengumpulkan konfigurasi jaringan
informasi, koneksi jaringan, sesi login, dan proses yang berjalan untuk menentukan bagaimana seseorang
memperoleh akses ke suatu sistem. Jika penyelidikan menyangkut pencurian identitas, maka isi RAM, daftar proses yang berjalan,
daftar file yang terbuka, informasi konfigurasi jaringan, dan koneksi jaringan
mungkin mengungkapkan jaminan sosial dan nomor kartu kredit, program yang digunakan untuk mendapatkan atau mengenkripsi
data, hash kata sandi, dan metode yang mungkin telah digunakan untuk memperoleh informasi melalui jaringan. Saat ragu,
biasanya merupakan ide yang baik untuk mengumpulkan sebanyak mungkin data yang mudah menguap karena semua peluang untuk dikumpulkan
70
Lihat http://lists.thedatalist.com/pages/Checksum_Tools.htm untuk informasi lebih lanjut tentang utilitas checksum.
71
Satu grep versi Windows tersedia di http://unxutils.sourceforge.net/.
5-7
data tersebut akan hilang setelah komputer dimatikan. Kemudian, keputusan dapat dibuat untuk
yang mengumpulkan data volatil harus diperiksa. Skrip otomatis pada CD toolkit dapat digunakan untuk
konsistensi dalam mengumpulkan data yang mudah menguap. Skrip dapat mencakup cara untuk mentransfer informasi yang dikumpulkan
ke media penyimpanan lokal, seperti thumb drive, dan ke lokasi drive jaringan.
Karena data volatil memiliki kecenderungan untuk berubah seiring waktu, urutan dan ketepatan waktu yang volatil
data yang dikumpulkan adalah penting. Dalam kebanyakan kasus, analis pertama-tama harus mengumpulkan informasi tentang jaringan
koneksi dan sesi login, karena koneksi jaringan mungkin habis atau terputus dan daftarnya
pengguna yang terhubung ke sistem pada satu waktu dapat bervariasi. Data volatil yang cenderung tidak berubah,
seperti informasi konfigurasi jaringan, harus dikumpulkan nanti. Urutan yang direkomendasikan di mana data volatil
umumnya harus dikumpulkan, dari pertama hingga terakhir, adalah sebagai berikut:
1. Koneksi jaringan
2. Sesi masuk
3. Isi memori
4. Menjalankan proses
5. Buka file
6. Konfigurasi jaringan
7. Waktu sistem operasi.
5.2.2 Mengumpulkan Data OS Non-Volatile
Setelah mendapatkan data OS yang mudah menguap, analis sering kali harus mengumpulkan data OS yang tidak mudah menguap.
Untuk melakukannya, analis pertama-tama harus memutuskan apakah sistem harus dimatikan. Mematikan sistem tidak hanya
memengaruhi kemampuan untuk melakukan pencitraan aliran bit dan banyak pencadangan logis, tetapi juga dapat mengubah data OS mana yang
diawetkan. Sebagian besar sistem dapat dimatikan melalui dua metode:
! Lakukan Shutdown OS yang Anggun. Hampir setiap OS menawarkan opsi shutdown.72 Hal ini menyebabkan
OS untuk melakukan aktivitas pembersihan, seperti menutup file yang terbuka, menghapus file sementara, dan
mungkin membersihkan file swap, sebelum mematikan sistem. Shutdown yang anggun juga bisa
memicu penghapusan materi berbahaya; misalnya, rootkit memori-residen mungkin hilang, dan kuda Troya dapat
menghapus bukti aktivitas jahat mereka. OS biasanya dimatikan
dari akun administrator atau pengguna sistem saat ini (jika pengguna saat ini memiliki hak yang memadai).
! Hapus Daya dari Sistem. Melepaskan kabel daya dari bagian belakang komputer
(dan melepas baterai pada laptop atau perangkat portabel lainnya) dapat menyimpan file swap,
file data sementara, dan informasi lain yang mungkin diubah atau dihapus selama masa tenggang
mematikan. 73 Sayangnya, hilangnya daya secara tiba-tiba dapat menyebabkan beberapa OS merusak data, seperti
72
Misalnya, pada sistem Windows, analis dapat menggunakan fitur Shut Down pada menu Start.
73
Melepaskan kabel daya dari stopkontak listrik tidak disarankan karena kabel daya komputer mungkin dicolokkan ke unit
catu daya tak terputus (UPS).
5-8
membuka file. Selain itu, untuk beberapa perangkat konsumen, seperti PDA dan ponsel, menghapus
74
daya baterai dapat menyebabkan hilangnya data.
Beberapa alat dapat melakukan tindakan pengumpulan pada sistem yang berjalan tanpa masalah, sementara yang lain
alat paling baik dijalankan pada sistem yang telah dimatikan. Dalam kasus terakhir, analis harus menyadari
karakteristik masing-masing OS dan pilih metode shutdown berdasarkan perilaku khas OS dan
75
jenis data yang perlu dipertahankan. Misalnya, sistem DOS dan Windows 95/98 umumnya
tidak merusak data saat daya dimatikan secara tiba-tiba, jadi melepas daya harus menghemat data. OS lainnya
mungkin merusak data, seperti file yang terbuka atau file yang sedang diakses pada saat itu, jika ada kehilangan
kekuasaan. Dalam kasus ini, shutdown yang anggun umumnya adalah yang terbaik kecuali jika file swap atau file data sementara adalah
kepentingan tertentu atau sistem mungkin berisi rootkit, Trojan horse, atau program jahat lainnya yang
mungkin dipicu oleh shutdown yang anggun. Setelah melakukan shutdown (jika diperlukan), analis harus
memperoleh data sistem file dari media penyimpanan sistem menggunakan metode yang dibahas di Bagian 4.
Setelah komputer dimatikan, semua komponen, perangkat penyimpanan, media, dan perangkat periferal yang terhubung ke komputer
harus diinventarisasi dan diberi label jika diperlukan sebagai bukti. Kapan pun
mungkin, inventaris harus menyertakan nomor model, nomor seri, dan deskripsi item. Di
Selain itu, informasi tentang bagaimana setiap item terhubung ke bagian luar atau dalam komputer (misalnya,
sambungan kabel, setelan jumper) harus didokumentasikan dan difoto. Ini akan membantu analis untuk membuat ulang pengaturan
komputer pengguna. Dengan asumsi bahwa bukti dapat disita secara sah, setiap barang harus
ditangani menggunakan gelang antistatis, dilindungi dari pelepasan muatan listrik statis yang dapat merusak item,
disegel dengan benar (yaitu, kotak yang ditutup dengan selotip), dan dikemas dengan aman untuk transportasi. Penangan harus
memakai gelang antistatis saat menangani media sensitif dan melindungi media dengan kantong antistatis dan bahan kemasan khusus
lainnya.
Setelah data sistem file dikumpulkan, alat dapat digunakan untuk memperoleh jenis data tertentu dari
berkas sistem. Memperoleh file biasa, seperti data, aplikasi, dan file konfigurasi, relatif mudah
langsung dan dijelaskan secara lebih rinci di Bagian 4. Daftar berikut menjelaskan beberapa lainnya
jenis data OS non-volatil dan menjelaskan bagaimana alat dapat berguna dalam memperoleh setiap jenis dari
76
berkas sistem:
! Pengguna dan Grup. Sistem operasi memelihara daftar pengguna dan grup yang memiliki akses ke
sistem. Pada sistem UNIX, pengguna dan grup masing-masing terdaftar di /etc/passwd dan /etc/groups . Selain
itu, perintah grup dan pengguna dapat digunakan untuk mengidentifikasi pengguna yang
telah masuk ke sistem dan grup tempat mereka berasal. Pada sistem Windows, jaringan
perintah pengguna dan grup bersih dapat digunakan untuk menghitung pengguna dan grup pada suatu sistem.
! Kata sandi. Kebanyakan OS memelihara hash kata sandi untuk kata sandi pengguna di disk. Pada sistem Windows, utilitas
pihak ketiga dapat digunakan untuk membuang hash kata sandi dari Akun Keamanan
Database Manajer (SAM). Pada sistem UNIX, hash kata sandi biasanya di /etc/passwd atau
/etc/ file bayangan. Seperti yang dijelaskan di Bagian 4.3.2, program peretas kata sandi dapat digunakan untuk
ekstrak kata sandi dari hash mereka.
74
Daya untuk perangkat semacam itu seringkali harus dipertahankan secara berkelanjutan. Jika perangkat tidak memiliki daya biasa, biasanya
memori akan ditopang oleh daya baterai hanya untuk jangka pendek (paling lama berminggu-minggu, paling buruk beberapa menit), bahkan jika perangkatnya
dimatikan. Untuk penyimpanan jangka panjang perangkat konsumen yang berisi data penting, daya harus dijaga agar
melestarikan memori perangkat.
75
Dalam kebanyakan kasus, analis dapat menentukan jenis OS yang digunakan dengan melihat layar. Misalnya, sistem Windows
gunakan bilah tugas dan elemen grafis lainnya yang tidak muncul di OS lain.
76
Beberapa alat yang dijelaskan di bagian ini juga dapat digunakan untuk mengumpulkan data dari sistem langsung.
5-9
! Berbagi Jaringan. Sebuah sistem dapat memungkinkan sumber daya lokal untuk dibagikan di seluruh jaringan. Pada
77
Sistem Windows, utilitas SrvCheck dapat digunakan untuk membuat daftar pembagian jaringan. Utilitas pihak ketiga
dapat memberikan informasi serupa untuk OS lain.
! Log. Log yang tidak disimpan dalam file teks mungkin memerlukan penggunaan utilitas ekstraksi log. Untuk
contoh, utilitas khusus dapat mengambil informasi tentang logon yang berhasil dan gagal baru-baru ini
upaya pada sistem Windows, yang disimpan dalam log format biner. Sebagian besar entri log di Unix
sistem disimpan dalam file teks oleh syslog atau di direktori /var/log , jadi utilitas khusus tidak
78
diperlukan untuk memperoleh informasi dari log. Mencari nama file yang diakhiri dengan .log harus
mengidentifikasi sebagian besar file log.
Terkadang, analis mungkin perlu mengumpulkan data dari BIOS, seperti tanggal dan waktu sistem atau prosesor
79
jenis dan kecepatan. Karena BIOS terutama berisi informasi yang berkaitan dengan perangkat keras sistem
konfigurasi, pengumpulan data BIOS kemungkinan besar diperlukan saat administrator sistem
mengatasi masalah operasional. Biasanya, analis yang membutuhkan data BIOS terlebih dahulu mengumpulkan data yang diperlukan
data volatil dan sistem file, lalu reboot sistem dan tekan tombol fungsi yang sesuai (umumnya
ditentukan di layar awal saat boot) untuk menampilkan pengaturan BIOS. Jika kata sandi BIOS diatur,
analis mungkin tidak dapat memperoleh akses ke pengaturan BIOS dengan mudah dan mungkin harus mencoba menebak kata sandi default
atau menghindari perlindungan kata sandi. Berbagai metode dapat digunakan untuk melewati kata sandi BIOS, termasuk menemukan kata
sandi pintu belakang pabrikan yang sesuai, menggunakan kata sandi
cracker, pindahkan jumper yang sesuai pada motherboard, atau lepaskan Complementary Metal
Baterai Oxide Semiconductor (CMOS) (jika memungkinkan). Sistem bervariasi, jadi analis pertama-tama harus meneliti
karakteristik khusus dari sistem yang mereka analisis, seperti yang dijelaskan dalam dokumentasi motherboard, untuk
80
menghindari kerusakan sistem yang tidak perlu.
5.2.3 Masalah Teknis dengan Pengumpulan Data
Masalah teknis juga dapat menghambat pengumpulan data OS. Bagian 4 menjelaskan beberapa filesystem-terkait
masalah; bagian ini berfokus pada masalah pengumpulan tambahan dan memberikan panduan tentang apa, jika ada, yang dapat dilakukan untuk
menguranginya. Maksud dari bagian ini bukan untuk memberikan diskusi yang lengkap tentang semua
kemungkinan masalah, tetapi untuk memberikan beberapa informasi dasar tentang masalah umum.
! Akses OS. Mengumpulkan data yang mudah menguap bisa jadi sulit karena analis mungkin tidak dapat
mudah mendapatkan akses ke OS. Misalnya, pengguna mungkin menjalankan screen saver yang dilindungi kata sandi
atau sistem terkunci. Dalam kasus ini, analis perlu menghindari perlindungan ini atau
81
temukan cara lain untuk mendapatkan akses ke data OS yang mudah menguap. Jika screen saver yang dilindungi kata sandi adalah
aktif, memulai ulang sistem mungkin memungkinkan analis untuk melewati screen saver, tetapi juga akan
menyebabkan semua data OS yang mudah menguap hilang. Jika host menggunakan otentikasi berbasis biometrik, seperti:
pembaca sidik jari, atau layanan autentikasi tambahan lainnya, hal ini dapat menyebabkan masalah serupa di
mengakses data OS yang mudah menguap. Ada utilitas pihak ketiga untuk beberapa OS yang mengklaim layar retak
77 SrvCheck tersedia dari Windows Server 2003 Resource Kit.

78
Informasi lebih lanjut tentang protokol syslog tersedia di RFC 3164, Protokol Syslog BSD, tersedia di
http://www.ietf.org/rfc/rfc3164.txt.
79
Informasi hard drive yang ditampilkan di BIOS mungkin tidak akurat untuk hard drive yang lebih besar. Banyak drive sekarang
menggunakan Logical Block Addressing, yang menyebabkan BIOS menampilkan informasi geometri drive yang salah. Analis harus mampu
memperoleh informasi yang benar dengan memeriksa label fisik pada hard drive itu sendiri.
80
Informasi lebih lanjut tentang melewati kata sandi BIOS tersedia di http://www.freelabs.com/~whitis/security/backdoor.html
dan http://labmice.techtarget.com/articles/BIOS_hack.htm.
81
Beberapa situs Web menunjukkan cara untuk menghindari screen saver tertentu, seperti memanfaatkan kerentanan OS yang diketahui.
Namun, metode bypass screen saver tidak banyak berguna jika OS tidak diketahui atau pengguna telah menghilangkan
kerentanan. Informasi umum mengenai kata sandi tersedia dari artikel Basis Pengetahuan Microsoft
Informasi Tentang Membuka Kunci Workstationî (http://support.microsoft.com/kb/q281250/) dan artikel berjudul Password
Informasi di Windows XPî (http://www.kellys-korner-xp.com/win_xp_passwords.htm).
5-10
saver password tanpa me-reboot sistem. Utilitas ini umumnya bergantung pada fitur autorun drive CD; utilitas
secara otomatis berjalan di latar belakang, kemudian menemukan kata sandi terenkripsi dan mencoba
mendekripsinya.
! Modifikasi Log. Pengguna mungkin mencoba mengurangi kegunaan log dengan menonaktifkan fitur log, mengubah
pengaturan log sehingga hanya ada sedikit penyimpanan yang tersedia untuk log, atau menulis banyak kejadian
palsu ke log. Salah satu cara untuk mengurangi dampak perubahan logging adalah dengan mengonfigurasi sistem
untuk mengarsipkan entri log mereka di server terpusat.
! Hard Drive dengan Memori Flash. Kadang-kadang, seorang analis mungkin menemukan hard drive yang juga berisi
memori flash. Memori flash ini dapat berisi kata sandi yang diperlukan untuk mengakses drive, bahkan ketika drive
telah dihapus dari komputer. Biasanya, analis kemudian harus menemukan, menebak, atau memecahkan kata
sandi untuk mendapatkan akses ke drive.
! Pemetaan Ulang Kunci. Pada beberapa komputer, tombol individual atau kombinasi penekanan tombol dapat:
dipetakan ulang untuk melakukan fungsi yang berbeda dari tujuan awalnya. Misalnya, seseorang dapat memetakan
tombol Ctrl, Alt, dan Del sehingga mereka menghapus hard drive komputer alih-alih tindakan yang diharapkan, me-
reboot sistem. Seorang analis yang menggunakan keyboard komputer yang diinginkan dapat memasukkan
penekanan tombol yang menyebabkan tindakan yang tidak diharapkan dilakukan. Cara terbaik untuk menghindari
masalah pemetaan ulang kunci adalah dengan mengumpulkan data dari komputer tanpa menggunakan
keyboardnya. Misalnya, analis dapat melampirkan workstation forensik ke komputer yang diinginkan menggunakan
kabel jaringan crossover dan menjalankan skrip dari workstation forensik.
5.3 Memeriksa dan Menganalisis Data OS
Berbagai alat dan teknik dapat digunakan untuk mendukung proses pemeriksaan. Banyak alat dan teknik yang dibahas
dalam Bagian 4.3 untuk memeriksa file data yang dikumpulkan juga dapat digunakan dengan data OS yang dikumpulkan.
Selain itu, seperti yang dijelaskan dalam Bagian 7, aplikasi keamanan, seperti pemeriksa integritas file dan IDS host, dapat
sangat membantu dalam mengidentifikasi aktivitas berbahaya terhadap OS. Misalnya, pemeriksa integritas file dapat
digunakan untuk menghitung intisari pesan dari file OS dan membandingkannya dengan basis data intisari pesan yang
diketahui untuk menentukan apakah ada file yang telah disusupi. Jika perangkat lunak deteksi intrusi diinstal pada komputer,
mungkin berisi log yang menunjukkan tindakan yang dilakukan terhadap OS.
Masalah lain yang dihadapi analis adalah pemeriksaan file swap dan dump RAM, yang merupakan file data biner besar yang
berisi data tidak terstruktur. Editor Hex dapat digunakan untuk membuka file-file ini dan memeriksa isinya; namun, pada file
besar, mencoba mencari data yang dapat dipahami secara manual menggunakan hex editor dapat menjadi proses yang
memakan waktu. Alat penyaringan mengotomatiskan proses pemeriksaan file swap dan dump RAM dengan mengidentifikasi
pola teks dan nilai numerik yang mungkin mewakili nomor telepon, nama orang, alamat email, alamat Web, dan jenis
informasi penting lainnya.
Analis sering ingin mengumpulkan informasi tambahan tentang program tertentu yang berjalan pada sistem, seperti tujuan
proses dan pabrikan. Setelah mendapatkan daftar proses yang sedang berjalan pada sistem, analis dapat mencari nama
proses untuk mendapatkan informasi tambahan tersebut. Namun, pengguna mungkin mengubah nama program untuk
menyembunyikan fungsinya, seperti penamaan program Trojan Calculator.exe. Oleh karena itu, pencarian nama proses
harus dilakukan hanya setelah memverifikasi identitas file proses dengan menghitung dan membandingkan intisari pesan
mereka. Pencarian serupa dapat dilakukan pada file perpustakaan, seperti DLL pada sistem Windows, untuk menentukan
perpustakaan mana yang dimuat dan apa tujuan umumnya.
Seperti yang dijelaskan dalam Bagian 5.2, analis dapat mengumpulkan berbagai jenis data OS, termasuk beberapa
sistem file. Mencoba menyaring setiap jenis data untuk menemukan informasi yang relevan dapat menghabiskan banyak waktu
5-11
proses. Analis umumnya merasa berguna untuk mengidentifikasi beberapa sumber data untuk ditinjau pada awalnya,
kemudian menemukan sumber informasi penting lainnya yang mungkin berdasarkan tinjauan tersebut. Selain itu, dalam
banyak kasus, analisis dapat melibatkan data dari jenis sumber lain, seperti lalu lintas jaringan atau aplikasi. Bagian 8
memberikan contoh bagaimana data dari OS dan sumber lain dapat dikorelasikan melalui analisis.
5.4 Rekomendasi
Rekomendasi utama yang disajikan di bagian ini untuk menggunakan data dari OS adalah sebagai berikut.
! Analis harus bertindak dengan tepat untuk melestarikan data OS yang mudah menguap. Kriteria untuk menentukan
apakah data OS yang mudah menguap harus disimpan harus didokumentasikan terlebih dahulu sehingga analis
dapat membuat keputusan yang tepat secepat mungkin. Untuk menentukan apakah upaya yang diperlukan untuk
mengumpulkan data OS volatil diperlukan, risiko yang terkait dengan pengumpulan tersebut harus dipertimbangkan
terhadap potensi pemulihan informasi penting.
! Analis harus menggunakan toolkit forensik untuk mengumpulkan data OS yang mudah menguap. Penggunaan
perangkat forensik memungkinkan pengumpulan data OS yang akurat sambil meminimalkan gangguan pada
sistem dan melindungi alat dari perubahan. Analis harus mengetahui bagaimana setiap alat akan mempengaruhi
atau mengubah sistem selama pengumpulan data.
! Analis harus memilih metode shutdown yang sesuai untuk setiap sistem. Setiap metode mematikan OS
tertentu dapat menyebabkan berbagai jenis data dipertahankan atau rusak; analis harus menyadari perilaku
shutdown khas setiap OS.
5-12
6. Menggunakan Data Dari Lalu Lintas Jaringan
Analis dapat menggunakan data dari lalu lintas jaringan untuk merekonstruksi dan menganalisis serangan
berbasis jaringan dan penggunaan jaringan yang tidak tepat, serta untuk memecahkan berbagai jenis masalah
operasional. Konten komunikasi yang dibawa melalui jaringan, seperti pesan email atau audio, mungkin juga
dikumpulkan untuk mendukung penyelidikan. Istilah lalu lintas jaringan mengacu pada komunikasi jaringan komputer
yang dibawa melalui jaringan kabel atau nirkabel antar host. 82
Bagian ini memberikan
pengenalan lalu lintas jaringan, termasuk deskripsi sumber utama data lalu lintas jaringan (misalnya, perangkat lunak
pendeteksi penyusupan, firewall). Selain itu, bab ini membahas teknik pengumpulan data dari sumber-sumber ini dan
menunjukkan potensi masalah hukum dan teknis dalam pengumpulan data tersebut. Sisa dari bagian ini berfokus pada
teknik dan alat untuk memeriksa dan menganalisis data dari lalu lintas jaringan.
Bagian ini dimulai dengan gambaran umum tentang Transmission Control Protocol/Internet Protocol (TCP/IP)—
pengetahuan dasar tentang TCP/IP diperlukan untuk memahami data, alat, dan metodologi yang disajikan di bagian ini.
6.1 Dasar-Dasar TCP/IP
TCP/IP banyak digunakan di seluruh dunia untuk menyediakan komunikasi jaringan. Komunikasi TCP/IP
terdiri dari empat lapisan yang bekerja sama. Ketika pengguna ingin mentransfer data melalui jaringan, data
dilewatkan dari lapisan tertinggi melalui lapisan menengah ke lapisan terendah, dengan setiap lapisan menambahkan
informasi tambahan. Lapisan terendah mengirimkan akumulasi data melalui jaringan fisik; data kemudian diteruskan
melalui lapisan ke tujuannya. Pada dasarnya, data yang dihasilkan oleh lapisan dienkapsulasi dalam wadah yang lebih
besar oleh lapisan di bawahnya. Empat lapisan TCP/IP, dari yang tertinggi hingga yang terendah, ditunjukkan pada
Gambar 6-1.
Lapisan Aplikasi. Lapisan ini mengirim dan menerima data untuk aplikasi tertentu,
seperti Domain Name System (DNS), Hypertext Transfer Protocol (HTTP), dan Simple
Mail Transfer Protocol (SMTP).
Lapisan Transportasi. Lapisan ini menyediakan layanan berorientasi koneksi atau tanpa
koneksi untuk mengangkut layanan lapisan aplikasi antar jaringan. Lapisan transport secara
opsional dapat memastikan keandalan komunikasi.
Transmission Control Protocol (TCP) dan User Datagram Protocol (UDP) adalah protokol
lapisan transport yang umum digunakan.
Lapisan Protokol Internet (juga dikenal sebagai Lapisan Jaringan). Lapisan ini merutekan
paket melalui jaringan. IP adalah protokol lapisan jaringan dasar untuk TCP/IP. Protokol lain
yang umum digunakan pada lapisan jaringan adalah Internet Control Message Protocol (ICMP)
dan Internet Group Management Protocol (IGMP).
Lapisan Perangkat Keras (juga dikenal sebagai Lapisan Tautan Data). Lapisan ini
menangani komunikasi pada komponen jaringan fisik. Protokol lapisan data link yang paling
terkenal adalah Ethernet.
Gambar 6-1. Lapisan TCP/IP
Empat lapisan TCP/IP bekerja sama untuk mentransfer data antar host. Seperti yang ditunjukkan pada Gambar 6-2, setiap
lapisan merangkum lapisan sebelumnya. Bagian 6.1.1 hingga 6.1.4 menjelaskan lapisan-lapisan ini secara lebih rinci dan
82
Karena hampir semua lalu lintas jaringan yang menarik bagi organisasi menggunakan rangkaian protokol TCP/IP, bagian ini hanya
membahas komunikasi berbasis TCP/IP. Namun, sebagian besar prinsip yang dibahas dalam bagian ini juga dapat diterapkan pada
jenis lalu lintas jaringan lainnya.
6-1
menunjukkan karakteristik yang paling relevan dengan forensik jaringan. Bagian 6.1.5 menjelaskan bagaimana lapisan
berhubungan satu sama lain.
Gambar 6-2. Enkapsulasi TCP/IP
6.1.1 Lapisan Aplikasi
Lapisan aplikasi memungkinkan aplikasi untuk mentransfer data antara server aplikasi dan klien. Contoh protokol
lapisan aplikasi adalah Hypertext Transfer Protocol (HTTP), yang mentransfer data antara server Web dan browser
Web. Protokol lapisan aplikasi umum lainnya termasuk Domain Name System (DNS), File Transfer Protocol (FTP),
Simple Mail Transfer Protocol (SMTP), dan Simple Network Management Protocol (SNMP). Ada ratusan protokol
lapisan aplikasi unik yang umum digunakan, dan banyak lagi yang tidak begitu umum.
83
Terlepas dari protokol yang digunakan, data aplikasi
dihasilkan dan kemudian diteruskan ke lapisan transport untuk diproses lebih lanjut. Bagian 7 berfokus pada
pengumpulan, pemeriksaan, dan analisis data terkait aplikasi.
6.1.2 Lapisan Transportasi
Lapisan transport bertanggung jawab untuk mengemas data sehingga dapat ditransmisikan antar host. Setelah lapisan
transport telah merangkum data aplikasi, unit logis yang dihasilkan disebut sebagai paket. (Sebuah paket juga dapat
dibuat tanpa data aplikasi-misalnya, ketika koneksi pertama kali dinegosiasikan.)
Setiap paket berisi header, yang terdiri dari berbagai bidang yang menentukan karakteristik protokol transport yang
digunakan; opsional, paket juga dapat berisi payload, yang menyimpan data aplikasi.
Sebagian besar aplikasi yang berkomunikasi melalui jaringan mengandalkan lapisan transport untuk memastikan
pengiriman data yang andal. Umumnya, ini dilakukan dengan menggunakan protokol lapisan transport TCP, yang
membuat koneksi antara dua host dan kemudian melakukan upaya terbaik untuk memastikan transfer data yang andal
melalui koneksi itu. Setiap paket TCP mencakup port sumber dan port tujuan. Salah satu port dikaitkan dengan aplikasi
server pada satu sistem; port lain dikaitkan dengan aplikasi klien yang sesuai di sistem lain. Sistem klien biasanya memilih
nomor port yang tersedia untuk penggunaan aplikasi, sedangkan sistem server biasanya memiliki nomor port statis yang
didedikasikan untuk setiap aplikasi. Meskipun banyak port server biasanya digunakan oleh aplikasi tertentu (misalnya,
server FTP pada port 21, server HTTP
83
Untuk alasan ini, pembahasan rinci tentang protokol lapisan aplikasi individu berada di luar cakupan dokumen ini.
6-2
pada port 80), banyak aplikasi server dapat dijalankan dari nomor port apa pun, jadi tidak bijaksana untuk berasumsi bahwa
lalu lintas jaringan berisi data dari aplikasi tertentu hanya berdasarkan nomor port server.
Ketika kehilangan beberapa data aplikasi tidak menjadi masalah (mis., streaming audio, video), Datagram Pengguna
Protokol (UDP) biasanya digunakan. UDP melibatkan lebih sedikit overhead dan latensi daripada TCP karena UDP adalah
tanpa koneksi; satu host hanya mengirimkan data ke host lain tanpa negosiasi awal. UDP adalah
juga digunakan untuk aplikasi yang bersedia bertanggung jawab untuk memastikan pengiriman data yang andal, seperti:
sebagai DNS, dan aplikasi yang dimaksudkan untuk digunakan hanya pada jaringan area lokal, seperti Host Dinamis
Protokol Konfigurasi (DHCP) dan SNMP. Seperti halnya TCP, setiap paket UDP berisi sumber
pelabuhan dan pelabuhan tujuan. Meskipun port UDP dan TCP sangat mirip, mereka berbeda satu sama lain
lainnya dan tidak dapat dipertukarkan. Beberapa aplikasi (seperti DNS) dapat menggunakan port TCP dan UDP;
meskipun aplikasi tersebut biasanya menggunakan nomor yang sama untuk port TCP dan port UDP, ini tidak diperlukan.
6.1.3 Lapisan IP
Lapisan IP juga bisa disebut lapisan jaringan, karena bertanggung jawab untuk menangani pengalamatan
dan perutean data yang diterimanya dari lapisan transport. Header IP berisi bidang yang disebut IP
Version, yang menunjukkan versi IP mana yang digunakan. Biasanya ini diatur ke 4 untuk IPv4; tetapi penggunaan
84
IPv6 meningkat, jadi bidang ini mungkin disetel ke 6 sebagai gantinya. Bidang header IP penting lainnya adalah sebagai berikut:
! Alamat IP Sumber dan Tujuan. Ini adalah alamat 'dari' dan 'ke' yang dimaksudkan untuk menunjukkan titik akhir
85
komunikasi. Contoh alamat IP adalah 10.3.1.70
(IPv4) dan 1000:0:0:2F:8A:400:0427:9BD1 (IPv6).
86
! Nomor Protokol IP. Ini menunjukkan protokol lapisan transport mana yang berisi muatan IP.
Nomor IP yang umum digunakan termasuk 1 (Internet Control Message Protocol [ICMP]), 6 (TCP), 17 (UDP), dan 50
(Encapsulating Security Payload [ESP]).
Lapisan IP juga bertanggung jawab untuk menyediakan informasi kesalahan dan status yang melibatkan pengalamatan dan
perutean data; ia melakukan ini dengan ICMP. ICMP adalah protokol tanpa koneksi yang tidak berusaha untuk
menjamin bahwa pesan kesalahan dan statusnya terkirim. Karena dirancang untuk mentransfer terbatas
informasi, bukan data aplikasi, ICMP tidak memiliki port; sebagai gantinya, ia memiliki jenis pesan, yang menunjukkan
87
tujuan dari setiap pesan ICMP. Beberapa jenis pesan juga memiliki kode pesan, yang dapat berupa
dianggap sebagai subtipe. Misalnya, jenis pesan ICMP Destination Unreachable memiliki beberapa:
kemungkinan kode pesan yang menunjukkan apa yang tidak terjangkau (misalnya, jaringan, host, protokol). Kebanyakan ICMP
88
pesan tidak dimaksudkan untuk mendapatkan tanggapan.
Alamat IP sering digunakan melalui lapisan tipuan. Ketika orang perlu mengakses sumber daya di a
jaringan, seperti server Web atau server email, mereka biasanya memasukkan nama server, seperti:
www.nist.gov, bukan alamat IP server. Nama, juga dikenal sebagai nama domain, dipetakan
84
Ada kemungkinan nomor versi IP lainnya juga, meskipun tidak ada yang umum digunakan. Daftar resmi Versi IP yang valid
nilai bidang tersedia di http://www.iana.org/assignments/version-numbers. Dokumen ini mengasumsikan penggunaan IPv4, tetapi
teknik yang dijelaskan dapat dengan mudah diadaptasi untuk digunakan dengan IPv6 (dengan asumsi bahwa alat yang sebanding tersedia yang mendukung
IPv6).
85
Alamat IP seringkali tidak akurat atau menyesatkan untuk mengidentifikasi titik akhir komunikasi yang sebenarnya. Bagian 6.3 membahas
topik ini secara lebih rinci.
86
Daftar resmi nilai-nilai Nomor Protokol IP yang valid tersedia di http://www.iana.org/assignments/protocol-numbers.
87
Daftar jenis ICMP yang valid saat ini tersedia di http://www.iana.org/assignments/icmp-parameters.
88
ICMP dirancang untuk membatasi tanggapan, terutama untuk pesan kesalahan. Jika ICMP tidak dirancang dengan cara ini, pesan
loop dapat terjadi. Misalnya, jika Host A menerima pesan kesalahan ICMP dari Host B dan merespons dengan kesalahan
pesan, dan Host B menanggapi pesan kesalahan itu dengan pesan kesalahan, kedua host dapat terus mengirim kesalahan
pesan tentang pesan kesalahan.
6-3
ke alamat IP melalui protokol lapisan aplikasi DNS. Alasan utama memasukkan nama domain alih-alih alamat IP adalah
karena yang pertama umumnya lebih mudah diingat orang. Selain itu, jika nama domain cenderung tetap sama, alamat IP
host dapat berubah seiring waktu; dengan mereferensikan host berdasarkan nama domain, yang kemudian dipetakan ke
alamat IP host, pengguna dapat mencapai host terlepas dari alamat IP yang digunakan host saat ini.
6.1.4 Lapisan Perangkat Keras
Sesuai namanya, lapisan perangkat keras melibatkan komponen fisik jaringan, termasuk kabel, router, sakelar, dan
NIC. Lapisan perangkat keras juga mencakup berbagai protokol lapisan perangkat keras; Ethernet adalah yang paling
banyak digunakan dari protokol ini. Ethernet bergantung pada konsep alamat MAC, yang merupakan nilai unik 6-byte
(seperti 00-02-B4-DA-92-2C) yang ditetapkan secara permanen ke NIC tertentu.
89
Setiap frame berisi dua alamat MAC, yang menunjukkan alamat MAC dari NIC yang baru saja merutekan frame
dan alamat MAC dari NIC berikutnya yang menjadi tujuan pengiriman frame. Saat bingkai melewati peralatan jaringan
(seperti router dan firewall) dalam perjalanannya antara host sumber asli dan host tujuan akhir, alamat MAC diperbarui
untuk merujuk ke sumber dan tujuan lokal. Beberapa transmisi lapisan perangkat keras yang terpisah dapat dihubungkan
bersama dalam satu transmisi lapisan IP.
Selain alamat MAC, setiap frame juga berisi nilai EtherType, yang menunjukkan protokol yang berisi muatan frame
90 Ketika
(biasanya IP atau Address Resolution Protocol [ARP]).
IP digunakan, setiap alamat IP dipetakan ke alamat MAC tertentu. (Karena beberapa alamat IP dapat dipetakan ke satu
alamat MAC, alamat MAC tidak selalu mengidentifikasi alamat IP secara unik.)
6.1.5 Signifikansi Lapisan dalam Forensik Jaringan
Masing-masing dari empat lapisan suite protokol TCP/IP berisi informasi penting. Lapisan perangkat keras menyediakan
informasi tentang komponen fisik, sementara lapisan lain menggambarkan aspek logis. Untuk kejadian dalam jaringan,
seorang analis dapat memetakan alamat IP (pengidentifikasi logis pada lapisan IP) ke alamat MAC dari NIC tertentu
(pengidentifikasi fisik pada lapisan fisik), sehingga mengidentifikasi host yang diinginkan. Kombinasi nomor protokol IP
(bidang lapisan IP) dan nomor port (bidang lapisan transportasi) dapat memberi tahu analis aplikasi mana yang paling
mungkin digunakan atau ditargetkan. Ini dapat diverifikasi dengan memeriksa data lapisan aplikasi.
Analisis forensik jaringan bergantung pada semua lapisan. Ketika analis mulai memeriksa data, mereka biasanya memiliki
informasi terbatas-kemungkinan besar alamat IP yang diinginkan dan mungkin informasi protokol dan port. Namun demikian,
ini adalah informasi yang cukup untuk mendukung pencarian sumber data umum untuk informasi lebih lanjut. Dalam
kebanyakan kasus, lapisan aplikasi berisi aktivitas sebenarnya yang menarik—sebagian besar serangan terhadap
kerentanan dalam aplikasi (termasuk layanan), dan hampir semua penyalahgunaan melibatkan penyalahgunaan aplikasi.
Analis membutuhkan alamat IP sehingga mereka dapat mengidentifikasi host yang mungkin terlibat dalam aktivitas tersebut.
Tuan rumah juga dapat berisi data tambahan yang akan berguna dalam menganalisis aktivitas. Meskipun beberapa
peristiwa menarik mungkin tidak memiliki data tingkat aplikasi yang relevan (misalnya, serangan penolakan layanan
terdistribusi yang dirancang untuk menghabiskan semua bandwidth jaringan), sebagian besar memilikinya; forensik jaringan
memberikan dukungan penting untuk analisis aktivitas lapisan aplikasi.
89
3 byte pertama dari setiap alamat MAC menunjukkan vendor NIC; daftar pemetaan tersedia di http://standards.ieee.org/
regauth/oui/oui.txt. Namun, berbagai utilitas perangkat lunak tersedia untuk umum yang memungkinkan orang untuk mengkonfigurasi sistem
untuk menipu alamat MAC lainnya. Ada juga kasus di mana produsen secara tidak sengaja membuat NIC dengan alamat MAC duplikat.
90
Nilai EtherType 0x0800 adalah IP, sedangkan 0x0806 adalah ARP. Lihat http://www.iana.org/assignments/ethernet-numbers untuk
informasi lebih lanjut tentang nilai EtherType.
6-4
6.2 Sumber Data Lalu Lintas Jaringan
Organisasi biasanya memiliki beberapa jenis sumber informasi mengenai lalu lintas jaringan yang mungkin berguna untuk
forensik jaringan. Sumber-sumber ini secara kolektif menangkap data penting dari keempat TCP/IP
lapisan. Subbagian berikut menyoroti kategori utama sumber data lalu lintas jaringanó
firewall dan router, packet sniffer dan penganalisa protokol, IDS, akses jarak jauh, peristiwa keamanan
perangkat lunak manajemen, dan alat analisis forensik jaringan—serta beberapa jenis sumber data lainnya.
Subbagian menjelaskan tujuan dari setiap sumber yang dijelaskan dan jenis data yang biasanya
dikumpulkan dan berpotensi dapat dikumpulkan.
6.2.1 Firewall dan Router
Perangkat berbasis jaringan seperti firewall dan router, dan perangkat berbasis host seperti firewall pribadi,
memeriksa lalu lintas jaringan dan mengizinkan atau menolaknya berdasarkan seperangkat aturan. Firewall dan router biasanya
dikonfigurasi untuk mencatat informasi dasar untuk sebagian besar atau semua upaya koneksi yang ditolak dan paket
91
tanpa koneksi; beberapa log setiap paket. Informasi yang dicatat biasanya mencakup tanggal dan waktu paket diproses,
alamat IP sumber dan tujuan, protokol lapisan transport (misalnya, TCP, UDP, ICMP),
dan informasi protokol dasar (misalnya, nomor port TCP atau UDP, jenis dan kode ICMP). Isi dari
paket biasanya tidak direkam.
Firewall dan router berbasis jaringan yang melakukan terjemahan alamat jaringan (NAT) mungkin berisi data
berharga tambahan mengenai lalu lintas jaringan. NAT adalah proses pemetaan alamat pada satu
92
jaringan ke alamat di jaringan lain; ini paling sering dilakukan dengan memetakan alamat pribadi
dari jaringan internal ke satu atau lebih alamat publik di jaringan yang terhubung ke Internet.
NAT membedakan beberapa alamat internal yang dipetakan ke satu alamat eksternal dengan menetapkan nomor port sumber
yang berbeda ke alamat eksternal untuk setiap alamat internal. Perangkat NAT biasanya
mencatat setiap alamat NAT dan pemetaan port.
Beberapa firewall juga bertindak sebagai proxy. Proxy menerima permintaan dari klien, dan kemudian mengirimkan permintaan pada
nama klien ke tujuan yang diinginkan. Ketika proxy digunakan, setiap upaya koneksi yang berhasil sebenarnya menghasilkan
pembuatan dua koneksi terpisah: satu antara klien dan server proxy,
dan satu lagi antara server proxy dan tujuan sebenarnya. Server proxy dapat mencatat informasi dasar tentang setiap
koneksi. Banyak proxy khusus untuk aplikasi, dan beberapa benar-benar melakukan beberapa analisis
dan validasi protokol aplikasi, seperti HTTP. Proxy dapat menolak permintaan klien yang muncul
menjadi tidak valid dan mencatat informasi mengenai permintaan ini.93
Selain menyediakan NAT dan layanan proxy, firewall dan router dapat melakukan hal lain seperti
berfungsi sebagai deteksi intrusi dan VPN. Deteksi intrusi dan fungsi VPN dibahas di
lebih rinci di Bagian 6.2.3 dan 6.2.4, masing-masing.
6.2.2 Packet Sniffer dan Protocol Analyzer
Sniffer paket dirancang untuk memantau lalu lintas jaringan pada jaringan kabel atau nirkabel dan menangkap paket.
Biasanya, NIC hanya menerima paket masuk yang secara khusus ditujukan untuk itu. Tetapi ketika NIC
91
Meskipun mencatat semua paket mencatat lebih banyak informasi tentang aktivitas jaringan terkini daripada mencatat informasi untuk
koneksi dan upaya koneksi, keterbatasan ruang memungkinkan paket disimpan untuk waktu yang singkat saja. Selain itu, overhead
yang diperlukan untuk merekam semua paket dapat menyebabkan penurunan kinerja sistem.
92
Nama yang tepat untuk alamat pribadi adalah alamat RFC 1918. RFC 1918, Alokasi Alamat untuk Internet Pribadi, adalah
tersedia di http://www.ietf.org/rfc/rfc1918.txt.
93
Beberapa organisasi mengonfigurasi jaringan dan keamanan jaringan mereka sehingga semua lalu lintas jaringan melewati jaringan
perimeter untuk aplikasi umum diproksi, mencegah pengguna individu melewati proksi. Dalam keadaan seperti itu
lingkungan, log server proxy dapat sangat berharga untuk forensik jaringan.
6-5
ditempatkan dalam mode promiscuous, ia menerima semua paket masuk yang dilihatnya, terlepas dari tujuan yang dimaksudkan.
Sniffer paket umumnya bekerja dengan menempatkan NIC dalam mode promiscuous; pengguna kemudian
mengonfigurasi sniffer untuk menangkap semua paket atau hanya paket dengan karakteristik tertentu (mis
port, alamat IP sumber atau tujuan tertentu). Packet sniffer biasanya digunakan untuk menangkap
jenis lalu lintas tertentu untuk pemecahan masalah atau tujuan investigasi. Misalnya, jika peringatan IDS menunjukkan
aktivitas jaringan yang tidak biasa antara dua host, packet sniffer dapat merekam semua paket perjalanan antara host, berpotensi
memberikan informasi tambahan untuk analis.
Kebanyakan packet sniffer juga merupakan penganalisa protokol, yang berarti mereka dapat merakit kembali aliran dari
paket individu dan komunikasi decode yang menggunakan ratusan atau ribuan yang berbeda
94
protokol. Penganalisis protokol biasanya dapat memproses tidak hanya lalu lintas jaringan langsung tetapi juga paket yang
telah direkam sebelumnya dalam file capture oleh packet sniffer. Penganalisis protokol sangat berharga dalam menampilkan data
paket mentah dalam format yang dapat dimengerti. Penganalisis protokol dibahas dalam
lebih mendalam di Bagian 6.4 dan Bagian 7.
6.2.3 Sistem Deteksi Intrusi
Network IDS melakukan packet sniffing dan menganalisis lalu lintas jaringan untuk mengidentifikasi aktivitas yang mencurigakan dan
95 mencatat informasi yang relevan. Host IDS memantau karakteristik sistem dan peristiwa tertentu
96
terjadi dalam sistem, yang dapat mencakup lalu lintas jaringan. Tidak seperti sensor IDS jaringan, yang dapat
memantau semua lalu lintas jaringan pada segmen jaringan tertentu, perangkat lunak IDS host dimaksudkan untuk memantau
lalu lintas jaringan hanya untuk host yang menginstalnya.97 Untuk setiap kejadian yang mencurigakan, perangkat lunak IDS
biasanya merekam karakteristik peristiwa dasar yang sama yang dicatat oleh firewall dan router (misalnya, tanggal dan waktu,
alamat IP sumber dan tujuan, protokol, karakteristik protokol dasar), serta informasi spesifik aplikasi (misalnya, nama pengguna,
nama file, perintah, kode status). Perangkat lunak IDS juga merekam
informasi yang menunjukkan kemungkinan maksud dari aktivitas tersebut. Contohnya termasuk jenis serangan (misalnya,
buffer overflow), kerentanan yang ditargetkan, keberhasilan atau kegagalan serangan yang nyata, dan petunjuk ke
informasi lebih lanjut tentang serangan itu.98
Beberapa IDS dapat dikonfigurasi untuk menangkap paket yang terkait dengan aktivitas mencurigakan. Ini dapat berkisar dari
hanya merekam paket yang memicu IDS untuk melabeli aktivitas yang mencurigakan, untuk merekam sisanya
sesi. Beberapa IDS bahkan memiliki kemampuan untuk menyimpan semua sesi untuk waktu yang singkat sehingga jika:
sesuatu yang mencurigakan terdeteksi, aktivitas sebelumnya di sesi yang sama dapat dipertahankan. Paket-paket
94
Contoh perangkat lunak penganalisa paket dan penganalisa protokol sumber terbuka untuk jaringan kabel termasuk Ethereal
(http://www.ethereal.com/), TCPDump (http://www.tcpdump.org/), dan WinDump (http://www.winpcap.org/windump/).
Perangkat lunak open source juga tersedia untuk jaringan nirkabel, termasuk Ethereal dan Kismet
(http://www.kismetwireless.net/). Produk perangkat lunak penganalisa paket dan penganalisa protokol tambahan terdaftar di berbagai:
Situs web, termasuk Portal Sihir Keamanan Talisker (http://www.networkintrusion.co.uk/protanalyzers.htm),
Softpedia (http://www.softpedia.com/get/Network-Tools/Protocol-Analyzers-Sniffers/), Paket Badai
(http://packetstormsecurity.org/defense/sniff/), dan situs Web lain yang terdaftar di Lampiran F.
95
Beberapa IDS jaringan memungkinkan administrator untuk mengidentifikasi penyalahgunaan serta serangan. Misalnya, seorang administrator (dengan
persetujuan) dapat mengonfigurasi IDS dengan rangkaian karakter yang diinginkan, seperti akronim atau frasa yang terkait dengan proyek sensitif. IDS
kemudian dapat mencari lalu lintas jaringan untuk transfer file, email, dan bentuk komunikasi lain yang menggunakan salah satu string karakter tersebut.
96
Contoh produk IDS jaringan open source antara lain Bro (http://www.bro-ids.org/) dan Snort (http://www.snort.org/).
Untuk informasi lebih lanjut tentang jaringan dan produk IDS host, lihat Portal Sihir Keamanan Talisker
(http://www.networkintrusion.co.uk/ids.htm), Honeypots.net (http://www.honeypots.net/ids/products/), Umum
Situs Web Kerentanan dan Eksposur (http://www.cve.mitre.org/compatible/product.html), dan situs Web lain yang terdaftar di
Lampiran F.
97
Lihat NIST SP 800-31, Intrusion Detection Systems, untuk informasi lebih lanjut tentang jaringan dan host IDS. Ini tersedia di
98
Banyak vendor IDS menyediakan file bantuan yang berisi informasi rinci tentang setiap jenis aktivitas. Vendor IDS juga
biasanya memberikan petunjuk ke sumber informasi eksternal, seperti saran CERTÆ/CC, Kerentanan Umum, dan
Angka eksposur (CVE), dan pengumuman kerentanan vendor perangkat lunak.
6-6
ditangkap terutama sehingga analis deteksi intrusi dapat meninjaunya saat memvalidasi peringatan IDS dan menyelidiki aktivitas yang
mencurigakan. Beberapa IDS juga memiliki kemampuan pencegahan intrusi , yang berarti bahwa mereka secara aktif berusaha
menghentikan serangan yang sedang berlangsung. Setiap penggunaan fitur pencegahan intrusi harus
ditunjukkan dalam log IDS.
6.2.4 Akses Jarak Jauh
Server akses jarak jauh adalah perangkat seperti gateway VPN dan server modem yang memfasilitasi koneksi
antar jaringan. Ini sering melibatkan sistem eksternal yang terhubung ke sistem internal melalui:
server akses jarak jauh tetapi juga dapat mencakup sistem internal yang terhubung ke sistem eksternal atau internal.
Server akses jarak jauh biasanya merekam asal setiap koneksi dan mungkin juga menunjukkan pengguna mana
akun diautentikasi untuk setiap sesi. Jika server akses jarak jauh memberikan alamat IP ke
pengguna jarak jauh, ini juga kemungkinan akan dicatat. Beberapa server akses jarak jauh juga menyediakan penyaringan paket
fungsi, yang biasanya melakukan logging serupa dengan yang disediakan oleh firewall dan router, seperti yang dijelaskan
di Bagian 6.2.1. Server akses jarak jauh biasanya bekerja pada tingkat jaringan, mendukung penggunaan banyak
aplikasi yang berbeda. Karena server tidak memahami fungsi aplikasi, mereka
biasanya tidak merekam data khusus aplikasi apa pun.
Selain server akses jarak jauh, organisasi biasanya menggunakan beberapa aplikasi yang secara khusus
dirancang untuk menyediakan akses jarak jauh ke OS host tertentu. Contohnya termasuk secure shell (SSH), telnet,
server terminal, 99 dan perangkat lunak kendali jarak jauh. Aplikasi tersebut biasanya dapat dikonfigurasi untuk log
informasi dasar untuk setiap koneksi, termasuk alamat IP sumber dan akun pengguna. Organisasi juga
biasanya menggunakan banyak aplikasi yang diakses dari jarak jauh, seperti aplikasi client/server. Beberapa
aplikasi ini juga mencatat informasi dasar untuk koneksi.
Meskipun sebagian besar pencatatan terkait akses jarak jauh terjadi pada server akses jarak jauh atau server aplikasi, dalam
beberapa kasus klien juga mencatat informasi yang terkait dengan koneksi.
6.2.5 Perangkat Lunak Manajemen Acara Keamanan
Perangkat lunak manajemen peristiwa keamanan (SEM)100 mampu mengimpor informasi peristiwa keamanan dari
berbagai sumber data peristiwa keamanan yang terkait dengan lalu lintas jaringan (misalnya, log IDS, log firewall) dan peristiwa yang
menghubungkan di antara sumber-sumber tersebut.101 Biasanya bekerja dengan menerima salinan log dari berbagai sumber data
melalui saluran aman, menormalkan log ke dalam format standar, kemudian mengidentifikasi peristiwa terkait dengan
pencocokan alamat IP, cap waktu, dan karakteristik lainnya. Produk SEM biasanya tidak menghasilkan
data acara asli; sebagai gantinya, mereka menghasilkan peristiwa meta berdasarkan data peristiwa yang diimpor. Banyak
produk SEM tidak hanya dapat mengidentifikasi aktivitas berbahaya, seperti serangan dan infeksi virus, tetapi juga dapat mendeteksi
penyalahgunaan dan penggunaan sistem dan jaringan yang tidak tepat. Perangkat lunak SEM dapat membantu dalam membuat banyak
sumber informasi lalu lintas jaringan yang dapat diakses melalui satu antarmuka.
Karena produk SEM dapat menangani hampir semua sumber data peristiwa keamanan, seperti log OS, antivirus
peringatan perangkat lunak, dan log perangkat keamanan fisik, produk SEM mungkin berisi berbagai macam:
informasi mengenai peristiwa. Namun, biasanya hanya beberapa bidang data yang dibawa. Untuk
contoh, jika IDS merekam paket, paket tersebut tidak dapat ditransfer ke SEM karena bandwidth
dan keterbatasan penyimpanan. Selain itu, karena sebagian besar sumber data merekam informasi dalam format yang berbeda,
Produk SEM biasanya menormalkan data—mengonversi setiap bidang data ke format dan pelabelan standar
99
Dalam konteks ini, terminal server mengacu pada produk seperti Microsoft Windows Terminal Services dan Citrix Metaframe yang
menyediakan akses jarak jauh grafis ke sistem operasi dan aplikasi.
100
Perangkat lunak SEM terdaftar di beberapa situs Web yang tercantum dalam Lampiran F, termasuk Kerentanan Umum dan Eksposur
(CVE) Situs web (http://www.cve.mitre.org/compatible/product.html).
101
Istilah umum lainnya untuk manajemen peristiwa keamanan adalah manajemen informasi keamanan (SIM).
6-7
datanya secara konsisten. Meskipun ini bermanfaat untuk analisis (seperti yang dijelaskan dalam Bagian 6.4),
proses normalisasi terkadang menimbulkan kesalahan dalam data atau menyebabkan beberapa data hilang.
Untungnya, produk SEM biasanya tidak mengubah sumber data asli, jadi analis harus menyimpan salinannya
dari log asli dan menggunakannya untuk memverifikasi keakuratan data jika diperlukan.
6.2.6 Alat Analisis Forensik Jaringan
102
Alat analisis forensik jaringan (NFAT) biasanya menyediakan fungsionalitas yang sama dengan packet sniffer,
penganalisis protokol, dan perangkat lunak SEM dalam satu produk. Sedangkan perangkat lunak SEM berkonsentrasi pada
mengkorelasikan peristiwa di antara sumber data yang ada (yang biasanya mencakup beberapa lalu lintas jaringan yang terkait
sumber), perangkat lunak NFAT berfokus terutama pada pengumpulan, pemeriksaan, dan analisis lalu lintas jaringan.
Perangkat lunak NFAT juga menawarkan fitur tambahan yang lebih memfasilitasi forensik jaringan, seperti:
mengikuti:
! Merekonstruksi peristiwa dengan memutar ulang lalu lintas jaringan di dalam alat, mulai dari individu
sesi (misalnya, pesan instan [IM] antara dua pengguna) ke semua sesi selama waktu tertentu
Titik. Kecepatan pemutaran ulang biasanya dapat disesuaikan sesuai kebutuhan.
! Memvisualisasikan arus lalu lintas dan hubungan antar host. Beberapa alat bahkan dapat mengikat IP
alamat, nama domain, atau data lain ke lokasi fisik dan menghasilkan peta geografis
aktivitas.
! Membangun profil aktivitas khas dan mengidentifikasi penyimpangan yang signifikan.
! Mencari konten aplikasi untuk kata kunci (misalnya, rahasiaî, hak milikî).
6.2.7 Sumber lain
Sebagian besar organisasi memiliki sumber informasi lalu lintas jaringan lain yang dapat digunakan untuk forensik dalam
beberapa kapasitas, antara lain sebagai berikut:
! Server Protokol Konfigurasi Host Dinamis. Layanan DHCP memberikan alamat IP ke

host di jaringan sesuai kebutuhan. Beberapa host mungkin memiliki alamat IP statis, yang berarti bahwa mereka
selalu menerima penugasan alamat IP yang sama; namun, kebanyakan host biasanya menerima dynamic
tugas. Ini berarti bahwa tuan rumah diharuskan untuk memperbarui penetapan alamat IP mereka secara teratur
dan tidak ada jaminan bahwa mereka akan diberikan alamat yang sama. DHCP
server mungkin berisi log penetapan yang menyertakan alamat MAC, alamat IP yang ditetapkan untuk
alamat MAC itu, dan waktu penugasan terjadi.
! Perangkat Lunak Pemantauan Jaringan. Perangkat lunak pemantauan jaringan dirancang untuk mengamati lalu lintas
103
jaringan dan mengumpulkan statistik tentangnya.Misalnya, mungkin merekam informasi tingkat tinggi tentang
arus lalu lintas untuk segmen jaringan tertentu, seperti jumlah bandwidth biasanya
dikonsumsi oleh berbagai protokol. Perangkat lunak pemantauan jaringan juga dapat mengumpulkan informasi lebih
rinci tentang aktivitas jaringan, seperti ukuran muatan dan IP sumber dan tujuan
alamat dan port untuk setiap paket. Beberapa sakelar terkelola dan perangkat jaringan lain menawarkan
kemampuan pemantauan jaringan dasar, seperti mengumpulkan statistik tentang penggunaan bandwidth.
102
Daftar perangkat lunak NFAT tersedia dari situs Web yang terdaftar di Lampiran F, seperti Portal Sihir Keamanan Talisker
(http://www.networkintrusion.co.uk/fornettools.htm).
103
Perangkat lunak pemantauan jaringan sumber terbuka termasuk EtherApe (http://etherape.sourceforge.net/) dan IPaudit
(http://ipaudit.sourceforge.net/). Sniffer paket, penganalisis protokol, dan perangkat lunak IDS juga dapat melakukan fungsi
pemantauan jaringan dasar. Lihat situs Web yang tercantum dalam Lampiran F untuk nama produk tambahan.
6-8
! Catatan Penyedia Layanan Internet. ISP dapat mengumpulkan data terkait lalu lintas jaringan sebagai bagian dari
operasi normal mereka dan ketika menyelidiki aktivitas yang tidak biasa, seperti volume lalu lintas yang sangat
tinggi atau serangan yang nyata. Catatan ISP biasa sering kali hanya disimpan selama berhari-hari atau berjam-jam.
Bagian 6.3.1 membahas pertimbangan hukum yang terlibat dalam pengumpulan data lalu lintas jaringan dari ISP
dan pihak ketiga lainnya.
! Aplikasi Klien/Server. Beberapa aplikasi klien/server yang digunakan melalui jaringan dapat merekam informasi
mengenai upaya penggunaan yang berhasil dan gagal, yang dapat mencakup data terkait koneksi seperti
alamat IP dan port klien. Bidang data yang direkam (jika ada) sangat bervariasi antar aplikasi.
! Konfigurasi dan Koneksi Jaringan Host. Bagian 5.1.2 dan 5.2.1 menjelaskan jenis informasi jaringan yang dapat
dikumpulkan dari masing-masing host, termasuk port TCP dan UDP tempat host mendengarkan.
6.3 Mengumpulkan Data Lalu Lintas Jaringan
Seperti dijelaskan dalam Bagian 6.2, organisasi biasanya memiliki data lalu lintas jaringan yang direkam di banyak tempat
selama operasi normal. Organisasi juga menggunakan mekanisme perekaman data yang sama untuk mengumpulkan
data tambahan sesuai kebutuhan saat menyelidiki insiden atau memecahkan masalah. Misalnya, administrator jaringan
atau penangan insiden mungkin menyebarkan packet sniffer untuk memeriksa paket yang tidak biasa yang dikirim oleh
host.
Data lalu lintas jaringan biasanya direkam ke log atau disimpan dalam file pengambilan paket. Dalam kebanyakan
kasus, mengumpulkan data semudah mengumpulkan log dan file pengambilan paket. Bagian 4 menjelaskan cara
mengumpulkan arsip dengan cara yang tepat untuk tujuan pembuktian. Jika data tidak disimpan dalam file (misalnya, peta
arus lalu lintas yang ditampilkan secara grafis, data yang ditampilkan hanya pada layar konsol), tangkapan layar atau foto
layar mungkin diperlukan. Meskipun pengumpulan data lalu lintas jaringan biasanya mudah, ada beberapa masalah hukum
dan teknis penting yang dapat membuat pengumpulan data menjadi lebih rumit.
6.3.1 Pertimbangan Hukum
Mengumpulkan lalu lintas jaringan dapat menimbulkan masalah hukum. Di antara masalah ini adalah penangkapan
(disengaja atau tidak disengaja) informasi dengan implikasi privasi atau keamanan, seperti kata sandi atau konten email.
Hal ini dapat memaparkan informasi kepada anggota staf yang menganalisis data yang dikumpulkan atau mengelola
sistem perekaman (misalnya, sensor IDS). Organisasi harus memiliki kebijakan terkait penanganan pengungkapan
informasi sensitif yang tidak disengaja. Masalah lain dengan pengambilan data seperti email dan dokumen teks adalah
bahwa penyimpanan jangka panjang dari informasi tersebut mungkin melanggar kebijakan penyimpanan data organisasi.
Penting juga untuk memiliki kebijakan mengenai pemantauan jaringan dan memiliki spanduk peringatan pada sistem yang
menunjukkan bahwa aktivitas dapat dipantau.
Meskipun sebagian besar pengumpulan data lalu lintas jaringan terjadi sebagai bagian dari operasi reguler, hal itu juga dapat
terjadi sebagai bagian dari pemecahan masalah atau penanganan insiden. Dalam kasus terakhir, penting untuk mengikuti
proses yang konsisten dan mendokumentasikan semua tindakan yang dilakukan. Misalnya, merekam semua paket yang dikirim
dan diterima oleh pengguna tertentu harus dimulai hanya setelah berhasil menyelesaikan permintaan formal dan proses
persetujuan. Organisasi harus memiliki kebijakan yang menjelaskan dengan jelas jenis pemantauan apa yang dapat dan tidak
dapat dilakukan tanpa persetujuan, dan yang menjelaskan atau merujuk prosedur yang merinci proses permintaan dan
persetujuan.
6-9
Masalah hukum potensial lainnya adalah pelestarian kayu asli. Seperti yang dijelaskan dalam Bagian 6.4, banyak
organisasi mengirim salinan log lalu lintas jaringan ke perangkat terpusat, serta menggunakan alat yang menafsirkan dan menganalisis
lalu lintas jaringan. Dalam kasus di mana log mungkin diperlukan sebagai bukti, organisasi mungkin ingin:
mengumpulkan salinan file log asli, file log terpusat, dan data log yang ditafsirkan, jika ada
pertanyaan tentang kesetiaan proses penyalinan dan interpretasi. Bagian 6.4 berisi
informasi lebih lanjut tentang ini.
Karena privasi telah menjadi perhatian yang lebih besar bagi organisasi, banyak yang menjadi kurang bersedia untuk berbagi
informasi satu sama lain, termasuk data forensik jaringan. Misalnya, sebagian besar ISP sekarang memerlukan a
perintah pengadilan sebelum memberikan informasi apa pun terkait aktivitas jaringan mencurigakan yang mungkin terjadi
melewati infrastruktur mereka. Meskipun ini menjaga privasi dan mengurangi beban dan
kewajiban ISP, juga memperlambat proses investigasi. Ini sangat menantang ketika
sebuah organisasi mencoba untuk melacak serangan berbasis jaringan yang sedang berlangsung ke sumbernya, terutama jika:
lalu lintas melewati beberapa ISP.
6.3.2 Masalah Teknis
Beberapa masalah teknis mungkin menghambat pengumpulan data tentang lalu lintas jaringan. Bagian ini menjelaskan beberapa
masalah utama dan memberikan panduan tentang apa, jika ada, yang dapat dilakukan untuk mengurangi masing-masing.
! Penyimpanan data. Ketika ada volume besar aktivitas jaringan, terutama selama waktu yang merugikan
peristiwa seperti serangan, log dapat merekam banyak peristiwa dalam waktu singkat. Jika penyimpanan tidak cukup adalah
tersedia, informasi tentang aktivitas terbaru dapat ditimpa dan hilang. Organisasi harus memperkirakan penggunaan log
tipikal dan puncak, menentukan berapa jam' atau hari' nilai data seharusnya
dipertahankan, dan memastikan bahwa sistem dan aplikasi memiliki penyimpanan yang cukup tersedia untuk memenuhi
tujuan.104
! Lalu Lintas Terenkripsi. Ketika protokol seperti IP Security (IPsec), SSH, dan Secure Sockets Layer
(SSL) digunakan untuk mengenkripsi lalu lintas jaringan, perangkat yang memantau lalu lintas jaringan di sepanjang jalur
terenkripsi hanya dapat melihat karakteristik paling dasar dari lalu lintas, seperti IP sumber dan tujuan
alamat. Jika VPN atau teknik tunneling lainnya digunakan, alamat IP mungkin untuk
terowongan itu sendiri dan bukan sumber dan tujuan sebenarnya dari aktivitas tersebut. Untuk mengumpulkan data tentang
lalu lintas yang didekripsi, sumber data harus diposisikan di mana ia dapat melihat aktivitas yang didekripsi. Untuk
misalnya, menempatkan sensor IDS tepat di belakang gateway VPN bisa efektif di
mengidentifikasi aktivitas anomali dalam komunikasi yang didekripsi. Jika komunikasi adalah
dienkripsi sampai ke host internal (misalnya, sesi Web terenkripsi SSL), maka perangkat yang memantau lalu lintas
jaringan tidak dapat melihat paket yang didekripsi. Organisasi harus mempertimbangkan
menetapkan kebijakan yang menentukan penggunaan yang tepat dari teknologi enkripsi lalu lintas, sehingga
kontrol keamanan seperti sensor IDS dapat memantau konten lalu lintas yang tidak perlu
atau tidak harus dienkripsi.
! Layanan Berjalan di Port Tak Terduga. Aplikasi seperti IDS dan penganalisis protokol sering mengandalkan nomor port
untuk mengidentifikasi layanan mana yang digunakan untuk koneksi tertentu.
Sayangnya, seperti yang dijelaskan dalam Bagian 6.1.2, sebagian besar layanan dapat dijalankan pada nomor port apa pun.
Karena lalu lintas yang melibatkan layanan yang berjalan pada nomor port tak terduga mungkin tidak ditangkap,
dipantau, atau dianalisis dengan benar, penggunaan layanan yang tidak sah (misalnya, menyediakan layanan Web pada
104
Organisasi juga harus menyediakan penyimpanan data yang cukup untuk menyimpan log yang terkait dengan insiden keamanan
komputer untuk waktu yang jauh lebih lama daripada log lainnya, sesuai kebutuhan. Misalnya, Jadwal Catatan Umum (GRS) 24, Informasi
Catatan Operasi dan Manajemen Teknologi, menetapkan bahwa catatan penanganan, pelaporan, dan tindak lanjut insiden keamanan
komputerî harus dimusnahkan 3 tahun setelah semua tindakan tindak lanjut yang diperlukan telah diselesaikan.î GRS 24 adalah
tersedia dari National Archives and Records Administration di http://www.archives.gov/records-mgmt/ardor/.
6-10
port atipikal) mungkin tidak terdeteksi. Motivasi lain untuk menggunakan nomor port yang tidak terduga adalah untuk
selipkan lalu lintas melalui perangkat perimeter yang memfilter berdasarkan nomor port. Ada beberapa cara untuk
mencoba mengidentifikasi penggunaan port yang tidak terduga, termasuk yang berikut:
Mengonfigurasi sensor IDS untuk memperingatkan koneksi yang melibatkan port server yang tidak dikenal
Mengonfigurasi proxy aplikasi atau sensor IDS yang melakukan analisis protokol untuk memperingatkan
koneksi yang menggunakan protokol tak terduga (misalnya, lalu lintas FTP menggunakan port HTTP standar)
Melakukan pemantauan arus lalu lintas dan mengidentifikasi arus lalu lintas baru dan tidak biasa
Mengonfigurasi penganalisis protokol untuk menganalisis aliran tertentu sebagai sesuatu yang lain.
! Titik Akses Alternatif. Penyerang sering memasuki jaringan dari titik akses alternatif untuk menghindari deteksi oleh kontrol
keamanan yang memantau titik akses utama, seperti gateway Internet organisasi. Contoh klasik dari jalur akses alternatif adalah
modem di pengguna
stasiun kerja. Jika penyerang dapat menghubungi stasiun kerja dan mendapatkan akses, serangan dapat diluncurkan
dari workstation itu terhadap host lain. Dalam kasus seperti itu, sedikit atau tidak ada informasi mengenai
aktivitas jaringan mungkin dicatat karena aktivitas tersebut tidak akan melewati firewall, segmen jaringan yang dipantau IDS,
dan titik pengumpulan data umum lainnya. Organisasi biasanya
mengatasi masalah potensial ini dengan membatasi jalur akses alternatif, seperti modem dan nirkabel
titik akses, dan memastikan bahwa masing-masing dipantau dan dibatasi melalui firewall, sensor IDS,
dan kontrol lainnya.
! Pemantauan Kegagalan. Mau tidak mau, sistem dan aplikasi terkadang akan mengalami kegagalan
atau pemadaman karena berbagai alasan (misalnya, pemeliharaan sistem, kegagalan perangkat lunak, serangan). Dalam kasus ini
dari sistem pemantauan khusus seperti sensor IDS, penggunaan peralatan yang berlebihan (misalnya, dua sensor yang
105 Strategi
memantau aktivitas yang sama) dapat mengurangi dampak kegagalan pemantauan.
lain adalah dengan melakukan beberapa tingkat pemantauan, seperti mengkonfigurasi firewall berbasis jaringan dan berbasis host
untuk koneksi log.
6.4 Meneliti dan Menganalisis Data Lalu Lintas Jaringan
Ketika suatu peristiwa yang menarik telah diidentifikasi, analis menilai, mengekstrak, dan menganalisis data lalu lintas jaringan
dengan tujuan untuk menentukan apa yang telah terjadi dan bagaimana sistem dan jaringan organisasi memiliki
telah terpengaruh. Proses ini mungkin sesederhana meninjau beberapa entri log pada satu sumber data dan
menentukan bahwa peristiwa itu adalah alarm palsu, atau serumit memeriksa dan menganalisis secara berurutan
lusinan sumber (sebagian besar mungkin tidak berisi data yang relevan), menghubungkan data secara manual di antara
beberapa sumber, kemudian menganalisis data kolektif untuk menentukan kemungkinan maksud dan signifikansi dari
peristiwa. Namun, bahkan kasus yang relatif sederhana untuk memvalidasi beberapa entri log bisa sangat mengejutkan
terlibat dan memakan waktu.
Meskipun alat saat ini (misalnya, perangkat lunak SEM, perangkat lunak NFAT) dapat membantu dalam mengumpulkan dan menyajikan data
lalu lintas jaringan, alat tersebut memiliki kemampuan analisis yang agak terbatas dan hanya dapat digunakan secara efektif oleh
analis yang terlatih dan berpengalaman. Selain memahami alat, analis juga harus memiliki:
pengetahuan yang cukup komprehensif tentang prinsip-prinsip jaringan, jaringan umum dan aplikasi
106 Dia
protokol, produk keamanan jaringan dan aplikasi, serta ancaman dan metode serangan berbasis jaringan.
juga sangat penting bahwa analis memiliki pengetahuan tentang lingkungan organisasi, seperti
arsitektur jaringan dan alamat IP yang digunakan oleh aset penting (misalnya, firewall, dapat diakses publik
105
Di sebagian besar organisasi, biaya pemantauan yang berlebihan membuatnya layak hanya untuk area dengan risiko tertinggi.
106
Referensi yang berguna untuk analis termasuk daftar protokol yang umum digunakan dan nomor port tipikalnya, dan Permintaan untuk
Komentar (RFC) dokumen yang menjelaskan standar untuk berbagai jaringan dan protokol aplikasi.
6-11
server), serta pengetahuan tentang informasi yang mendukung aplikasi dan OS yang digunakan oleh organisasi.
Jika analis memahami dasar komputasi normal organisasi, seperti pola tipikal penggunaan pada sistem dan
jaringan di seluruh perusahaan, mereka harus dapat melakukan pekerjaan mereka dengan lebih mudah dan lebih
cepat. Analis juga harus memiliki pemahaman yang kuat tentang masing-masing sumber data lalu lintas jaringan, serta
akses ke materi pendukung, seperti dokumentasi tanda tangan deteksi intrusi.
Analis harus memahami karakteristik dan nilai relatif dari setiap sumber data sehingga mereka dapat menemukan
data yang relevan dengan cepat.
Mengingat potensi kompleksitas proses analisis dan pengetahuan luas tentang jaringan dan keamanan informasi yang
diperlukan untuk menganalisis data lalu lintas jaringan secara efektif, deskripsi lengkap tentang teknik yang diperlukan
untuk menganalisis data dan menarik kesimpulan dalam situasi kompleks berada di luar cakupan dokumen ini. Sebaliknya,
bagian ini berfokus pada langkah-langkah dasar dari proses pemeriksaan dan analisis dan menyoroti beberapa masalah
teknis signifikan yang harus dipertimbangkan oleh para analis.
6.4.1 Identifikasi Acara yang Menarik
Langkah pertama dalam proses pemeriksaan adalah identifikasi suatu peristiwa yang menarik. Biasanya, identifikasi
ini dilakukan melalui salah satu dari dua metode:
! Seseorang dalam organisasi (misalnya, agen help desk, administrator sistem, keamanan
administrator) menerima indikasi, seperti peringatan otomatis atau keluhan pengguna, bahwa ada masalah terkait
keamanan atau operasional. Analis diminta untuk meneliti aktivitas yang sesuai.
! Selama peninjauan data peristiwa keamanan (misalnya, pemantauan IDS, pemantauan jaringan, log firewall
review), yang merupakan bagian dari tugas rutin analis, analis mengidentifikasi peristiwa yang menarik dan
menentukan bahwa itu harus diteliti lebih lanjut.
Ketika suatu peristiwa yang menarik telah diidentifikasi, analis perlu mengetahui beberapa informasi dasar tentang peristiwa
tersebut sebagai dasar untuk penelitian. Dalam kebanyakan kasus, peristiwa tersebut akan terdeteksi melalui sumber data
lalu lintas jaringan, seperti sensor IDS atau firewall, sehingga analis dapat dengan mudah diarahkan ke sumber data
tersebut untuk informasi lebih lanjut. Namun, dalam beberapa kasus, seperti keluhan pengguna, mungkin tidak jelas sumber
data mana (jika ada) yang berisi informasi yang relevan atau host atau jaringan mana yang mungkin terlibat.
Oleh karena itu, analis mungkin perlu mengandalkan informasi yang lebih umum—misalnya, laporan bahwa beberapa
sistem di lantai empat telah me-reboot sendiri. Meskipun pemeriksaan data lebih mudah jika informasi kejadiannya
spesifik (misalnya, alamat IP dari sistem yang terpengaruh), bahkan informasi umum menyediakan titik awal bagi analis
untuk menemukan sumber data yang relevan.
6.4.2 Periksa Sumber Data
Seperti dijelaskan dalam Bagian 6.2, organisasi mungkin memiliki banyak sumber data terkait lalu lintas jaringan. Satu
peristiwa yang menarik dapat dicatat oleh banyak sumber data ini, tetapi mungkin tidak efisien atau tidak praktis untuk
memeriksa setiap sumber satu per satu. Untuk pemeriksaan data kejadian awal, analis biasanya mengandalkan beberapa
sumber data primer, seperti konsol IDS yang menampilkan peringatan dari semua sensor IDS, atau perangkat lunak SEM
atau NFAT yang menggabungkan banyak sumber data lain dan mengatur data. Ini bukan hanya solusi yang efisien, tetapi
juga dalam banyak kasus, peristiwa yang menarik akan diidentifikasi dengan peringatan dari salah satu sumber data
primer ini.
Untuk setiap sumber data yang diperiksa, analis harus mempertimbangkan kesetiaannya. Secara umum, analis harus
lebih percaya pada sumber data asli daripada sumber data yang menerima data yang dinormalisasi (dimodifikasi) dari
sumber lain. Selain itu, analis harus memvalidasi data yang didasarkan pada interpretasi, seperti peringatan IDS dan SEM.
Tidak ada alat untuk mengidentifikasi aktivitas berbahaya yang sepenuhnya akurat; mereka menghasilkan keduanya palsu
6-12
positif (salah melaporkan aktivitas jinak sebagai berbahaya) dan negatif palsu (salah mengklasifikasikan
107
aktivitas berbahaya sebagai jinak). Alat seperti NFAT dan IDS mungkin juga menghasilkan peringatan yang tidak akurat jika
108
mereka tidak memproses semua paket dalam suatu koneksi. Validasi harus didasarkan pada analisis
data tambahan (misalnya, paket mentah, informasi pendukung yang diambil oleh sumber lain), tinjauan tentang
informasi yang tersedia tentang validitas peringatan (misalnya, komentar vendor tentang positif palsu yang diketahui), dan
pengalaman masa lalu dengan alat yang dimaksud. Dalam banyak kasus, analis yang berpengalaman dapat dengan cepat
memeriksa data pendukung dan menentukan bahwa peringatan itu positif palsu dan tidak memerlukan penyelidikan lebih lanjut.
Analis mungkin juga perlu memeriksa sumber data lalu lintas jaringan sekunder, seperti firewall berbasis host
log dan tangkapan paket, dan sumber data lalu lintas non-jaringan, seperti log audit OS host dan antivirus
log perangkat lunak. Alasan paling umum untuk melakukan ini adalah sebagai berikut:
! Tidak Ada Data tentang Sumber Primer. Dalam beberapa kasus, sumber data lalu lintas jaringan primer yang khas
tidak memuat bukti kegiatan. Misalnya, serangan mungkin terjadi antara dua host pada segmen jaringan internal yang tidak
dipantau atau dikendalikan oleh keamanan jaringan
perangkat. Dalam kasus ini, analis harus mengidentifikasi kemungkinan sumber data lain dan memeriksanya untuk:
bukti.
! Data Tidak Memadai atau Tidak Divalidasi pada Sumber Primer. Analis mungkin perlu memeriksa
sumber data sekunder jika sumber data primer tidak mengandung informasi atau analis yang memadai
perlu memvalidasi data. Setelah meninjau satu atau lebih sumber data primer, analis harus:
menanyakan sumber data sekunder yang sesuai berdasarkan data terkait dari data primer
sumber. Misalnya, jika catatan IDS menunjukkan serangan terhadap sistem di alamat IP
10.20.30.40 dengan asal yang jelas dari alamat IP 10.3.0.1, menanyakan sumber data lain menggunakan satu
atau kedua alamat IP mungkin mengungkap data tambahan terkait aktivitas tersebut. Analis juga menggunakan
stempel waktu, 109 protokol, nomor port, dan bidang data umum lainnya untuk mempersempit pencarian mereka sebagai
diperlukan.
! Sumber Data Terbaik di Tempat Lain. Terkadang, sumber terbaik dari data lalu lintas jaringan adalah
terletak di host tertentu, seperti firewall berbasis host dan log IDS pada sistem yang
terserang. Meskipun sumber data tersebut dapat sangat membantu, data mereka dapat diubah atau dihancurkan
selama serangan yang berhasil.
Jika data tambahan diperlukan tetapi tidak dapat ditemukan dan aktivitas mencurigakan masih terjadi, analis mungkin perlu
melakukan lebih banyak aktivitas pengumpulan data. Misalnya, seorang analis dapat melakukan paket
menangkap pada titik yang tepat di jaringan untuk mengumpulkan lebih banyak informasi. Cara lain untuk mengumpulkan lebih banyak
informasi termasuk mengonfigurasi firewall atau router untuk mencatat lebih banyak informasi tentang aktivitas tertentu, mengatur dan
Tanda tangan IDS untuk menangkap paket untuk aktivitas tersebut, dan menulis tanda tangan IDS khusus yang memberi tahu saat
aktivitas tertentu terjadi. Lihat Bagian 6.2 untuk panduan tambahan tentang alat yang dapat mengumpulkan data. Mengumpulkan
data tambahan dapat membantu jika aktivitas sedang berlangsung atau terputus-putus; jika kegiatan telah berakhir, ada
tidak ada kesempatan untuk mengumpulkan data tambahan.
107
Dari sudut pandang analis, konsep negatif palsu itu penting karena itu berarti perangkat keamanan terkadang
gagal melaporkan serangan yang mereka amati. Analis tidak boleh berasumsi bahwa suatu aktivitas tidak berbahaya jika perangkat keamanan memiliki
tidak melaporkannya sebagai berbahaya.
108
Ada beberapa kemungkinan penyebab tidak memproses semua paket, termasuk kegagalan perangkat keamanan (mis., pemadaman, perangkat lunak
bug), kelebihan perangkat keamanan (misalnya, volume paket yang luar biasa tinggi untuk diproses), dan perutean asinkron. Di
perutean asinkron, paket masuk dan paket keluar untuk koneksi mengambil rute yang berbeda. Jika hanya satu dari rute ini yang dipantau oleh perangkat
seperti sensor IDS, perangkat hanya dapat melihat sebagian sambungan.
109
Seperti disebutkan dalam Bagian 4.3.3, organisasi harus menggunakan sinkronisasi waktu untuk menjaga agar jam sistem tetap konsisten.
Menghubungkan suatu peristiwa di antara beberapa sumber lalu lintas jaringan lebih mudah dan lebih efektif jika jamnya sinkron. Jika acara
sumber data berada di perangkat terpisah, stempel waktu dapat membantu dalam mengonfirmasi jalur yang digunakan paket. (Ketika paket
melintasi jaringan, mereka membutuhkan waktu untuk berpindah dari satu perangkat ke perangkat berikutnya.)
6-13
6.4.2.1 Nilai Sumber Data
Seperti dijelaskan dalam Bagian 6.2, organisasi biasanya memiliki banyak sumber data lalu lintas jaringan yang berbeda.
Karena informasi yang dikumpulkan oleh sumber-sumber ini bervariasi, sumber-sumber tersebut mungkin memiliki nilai yang
berbeda bagi analis, baik secara umum maupun untuk kasus-kasus tertentu. Item berikut menjelaskan nilai tipikal dari sumber data
paling umum dalam forensik jaringan:
! Perangkat Lunak IDS. Data IDS sering menjadi titik awal untuk memeriksa aktivitas yang mencurigakan. IDS tidak hanya
biasanya mencoba mengidentifikasi lalu lintas jaringan berbahaya di semua lapisan TCP/IP, tetapi juga mencatat banyak
bidang data (dan terkadang paket mentah) yang dapat berguna dalam memvalidasi kejadian dan menghubungkannya
dengan sumber data lain. Namun demikian, seperti disebutkan sebelumnya, perangkat lunak IDS memang menghasilkan
positif palsu, jadi peringatan IDS harus divalidasi. Sejauh mana hal ini dapat dilakukan tergantung pada jumlah data yang
direkam terkait dengan peringatan dan informasi yang tersedia bagi analis tentang karakteristik tanda tangan atau
metode deteksi anomali yang memicu peringatan.
! Perangkat Lunak SEM. Idealnya, SEM bisa sangat berguna untuk forensik karena secara otomatis dapat mengkorelasikan
kejadian di antara beberapa sumber data, kemudian mengekstrak informasi yang relevan dan menyajikannya kepada
pengguna. Namun, karena perangkat lunak SEM berfungsi dengan membawa data dari banyak sumber lain, nilai SEM
bergantung pada sumber data mana yang dimasukkan ke dalamnya, seberapa andal setiap sumber data, dan seberapa
baik perangkat lunak dapat menormalkan data dan mengkorelasikan kejadian.
! Perangkat Lunak NFAT. Perangkat lunak NFAT dirancang khusus untuk membantu dalam analisis lalu lintas jaringan,
sehingga sangat berharga jika telah memantau suatu peristiwa yang menarik. Perangkat lunak NFAT biasanya
menawarkan fitur yang mendukung analisis, seperti rekonstruksi dan visualisasi lalu lintas; Bagian 6.2.6 menjelaskan hal
ini secara lebih mendalam.
! Firewall, Router, Server Proxy, dan Server Akses Jarak Jauh. Dengan sendirinya, data dari ini
sumber biasanya bernilai kecil. Menganalisis data dari waktu ke waktu dapat menunjukkan tren keseluruhan, seperti
peningkatan upaya koneksi yang diblokir. Namun, karena sumber-sumber ini biasanya mencatat sedikit informasi tentang
setiap peristiwa, data tersebut memberikan sedikit wawasan tentang sifat peristiwa tersebut.
Selain itu, banyak peristiwa mungkin dicatat setiap hari, sehingga volume data yang besar bisa sangat banyak.
Nilai utama dari data tersebut adalah untuk mengkorelasikan peristiwa yang direkam oleh sumber lain. Misalnya, jika
sebuah host disusupi dan sensor IDS jaringan mendeteksi serangan, menanyakan log firewall untuk peristiwa yang
melibatkan alamat IP penyerang yang tampak mungkin mengonfirmasi di mana serangan memasuki jaringan dan
mungkin mengindikasikan host lain yang berusaha dikompromikan oleh penyerang. Selain itu, pemetaan alamat
(misalnya, NAT) yang dilakukan oleh perangkat ini penting untuk forensik jaringan karena alamat IP penyerang atau
korban mungkin sebenarnya telah digunakan oleh ratusan atau ribuan host. Untungnya, analis biasanya dapat meninjau
log untuk menentukan alamat internal mana yang digunakan.
! DHCP Server. Server DHCP biasanya dapat dikonfigurasi untuk mencatat setiap penetapan alamat IP dan alamat MAC
terkait, bersama dengan stempel waktu. Informasi ini dapat membantu analis dalam mengidentifikasi host mana yang
melakukan aktivitas menggunakan alamat IP tertentu. Namun, analis harus memperhatikan kemungkinan bahwa
penyerang di jaringan internal organisasi memalsukan alamat MAC atau alamat IP mereka, praktik yang dikenal sebagai
spoofing.
! Pengintip Paket. Dari semua sumber data lalu lintas jaringan, packet sniffer dapat mengumpulkan paling banyak
informasi tentang aktivitas jaringan. Namun, sniffer mungkin menangkap sejumlah besar data jinak serta jutaan atau
miliaran paket dan biasanya tidak memberikan indikasi paket mana yang mungkin berisi aktivitas berbahaya. Dalam
kebanyakan kasus, packet sniffer paling baik digunakan untuk menyediakan lebih banyak data tentang kejadian yang
diidentifikasi oleh perangkat atau perangkat lunak lain sebagai kemungkinan berbahaya. Beberapa organisasi merekam
sebagian besar atau semua paket untuk beberapa periode waktu sehingga ketika sebuah insiden terjadi,
6-14
110 Data paket sniffer adalah yang terbaik

data jaringan mentah tersedia untuk pemeriksaan dan analisis. ditinjau dengan
penganalisis protokol, yang menafsirkan data untuk analis berdasarkan pengetahuan tentang standar protokol dan
implementasi umum.
! Pemantauan Jaringan. Perangkat lunak pemantauan jaringan sangat membantu dalam mengidentifikasi signifikan
penyimpangan dari arus lalu lintas normal, seperti yang disebabkan oleh serangan DDoS, di mana ratusan atau
ribuan sistem meluncurkan serangan simultan terhadap host atau jaringan tertentu. Perangkat lunak pemantauan
jaringan dapat mendokumentasikan dampak serangan ini pada bandwidth dan ketersediaan jaringan, serta memberikan
informasi tentang target yang terlihat. Data arus lalu lintas juga dapat membantu dalam menyelidiki aktivitas mencurigakan
yang diidentifikasi oleh sumber lain. Misalnya, ini mungkin menunjukkan apakah pola komunikasi tertentu telah terjadi pada
hari-hari atau minggu-minggu sebelumnya.
! Catatan ISP. Informasi dari ISP terutama bermanfaat dalam melacak serangan kembali ke sumbernya, terutama ketika
serangan menggunakan alamat IP palsu. Bagian 6.4.4 membahas subjek ini secara lebih mendalam.
6.4.2.2 Alat Pemeriksaan dan Analisis
Karena forensik jaringan dapat dilakukan untuk banyak tujuan dengan lusinan jenis sumber data, analis dapat menggunakan
beberapa alat yang berbeda secara teratur, masing-masing cocok untuk situasi tertentu. Analis harus menyadari kemungkinan
pendekatan untuk memeriksa dan menganalisis data lalu lintas jaringan dan harus memilih alat terbaik untuk setiap kasus, daripada
menerapkan alat yang sama untuk setiap situasi. Analis juga harus memperhatikan kekurangan alat; misalnya, penganalisis protokol
tertentu mungkin tidak dapat menerjemahkan protokol tertentu atau menangani data protokol yang tidak terduga (misalnya, nilai bidang
data ilegal). Akan sangat membantu untuk memiliki alat alternatif yang tersedia yang mungkin tidak memiliki kekurangan yang sama.
Alat sering membantu dalam memfilter data. Misalnya, seorang analis mungkin perlu mencari data tanpa informasi konkret yang
dapat mempersempit pencarian. Hal ini kemungkinan besar terjadi ketika analis bertanggung jawab untuk melakukan tinjauan
berkala atau berkelanjutan terhadap log dan peringatan data peristiwa keamanan. Jika volume entri log dan peringatan rendah,
meninjau data relatif mudah-tetapi dalam beberapa kasus, mungkin ada ribuan peristiwa yang terdaftar per hari. Ketika tinjauan data
manual tidak memungkinkan atau praktis, analis harus menggunakan solusi otomatis yang menyaring peristiwa dan menyajikan analis
hanya peristiwa yang paling mungkin menarik. Salah satu teknik peninjauan yang efektif adalah dengan mengimpor log ke dalam
database dan menjalankan kueri terhadapnya, baik menghilangkan jenis aktivitas yang kemungkinan besar tidak berbahaya dan
meninjau sisanya, atau berfokus pada jenis aktivitas yang paling mungkin berbahaya. Misalnya, jika kecurigaan awal adalah bahwa
server telah disusupi melalui aktivitas HTTP, maka pemfilteran log mungkin dimulai dengan menghilangkan semuanya kecuali aktivitas
HTTP dari pertimbangan. Seorang analis yang sangat akrab dengan sumber data tertentu umumnya dapat melakukan pencarian buta
di atasnya dengan relatif cepat, tetapi, pada sumber data yang tidak dikenal, pencarian buta bisa memakan waktu yang sangat lama,
karena mungkin ada sedikit atau tidak ada dasar untuk menghilangkan jenis tertentu. kegiatan dari pertimbangan.
Pilihan analisis lainnya adalah dengan menggunakan alat visualisasi. Alat-alat ini menyajikan data peristiwa keamanan
dalam format grafis. Ini paling sering digunakan untuk mewakili arus lalu lintas jaringan secara visual, yang dapat sangat membantu
dalam memecahkan masalah operasional dan mengidentifikasi penyalahgunaan. Misalnya, penyerang mungkin menggunakan
saluran rahasia —menggunakan protokol dengan cara yang tidak disengaja untuk mengomunikasikan informasi secara diam-diam
(misalnya, menetapkan nilai tertentu dalam header protokol jaringan atau muatan aplikasi). Penggunaan saluran rahasia umumnya
sulit dideteksi, tetapi salah satu metode yang berguna adalah mengidentifikasi penyimpangan dalam arus lalu lintas jaringan yang diharapkan.
110
Banyak program NFAT, seperti yang dijelaskan di Bagian 6.2.6, menyediakan fungsi ini, serta kemampuan tambahan.
6-15
Alat visualisasi sering disertakan dalam perangkat lunak NFAT, seperti yang dijelaskan dalam Bagian 6.2.6.
Beberapa alat visualisasi dapat melakukan rekonstruksi lalu lintas - dengan menggunakan stempel waktu dan bidang data
sekuensial, alat tersebut dapat menentukan urutan kejadian dan secara grafis menampilkan bagaimana paket melintasi
jaringan organisasi. Beberapa alat visualisasi juga dapat digunakan untuk menampilkan jenis data peristiwa keamanan
lainnya. Misalnya, seorang analis dapat mengimpor rekaman deteksi intrusi ke dalam alat visualisasi, yang kemudian akan
menampilkan data menurut beberapa karakteristik yang berbeda, seperti alamat IP atau port sumber atau tujuan. Seorang
analis kemudian dapat menekan tampilan aktivitas baik yang diketahui sehingga hanya peristiwa yang tidak diketahui
yang ditampilkan.
Meskipun alat visualisasi bisa sangat efektif untuk menganalisis jenis data tertentu, analis biasanya mengalami kurva
belajar yang curam dengan alat tersebut. Mengimpor data ke dalam alat dan menampilkannya biasanya relatif mudah,
tetapi mempelajari cara menggunakan alat secara efisien untuk mengurangi kumpulan data besar menjadi beberapa
peristiwa yang menarik dapat membutuhkan banyak usaha. Rekonstruksi lalu lintas juga dapat dilakukan oleh penganalisis
protokol. Meskipun alat ini umumnya tidak memiliki kemampuan visualisasi, mereka dapat mengubah paket individual
menjadi aliran data dan menyediakan konteks berurutan untuk aktivitas.
6.4.3 Menarik Kesimpulan
Salah satu aspek yang paling menantang dari forensik jaringan adalah bahwa data yang tersedia biasanya tidak
komprehensif. Dalam banyak kasus, jika bukan sebagian besar, beberapa data lalu lintas jaringan belum direkam
dan akibatnya telah hilang. Umumnya, analis harus memikirkan proses analisis sebagai pendekatan metodis yang
mengembangkan kesimpulan berdasarkan data yang tersedia dan asumsi mengenai data yang hilang (yang harus
didasarkan pada pengetahuan dan keahlian teknis). Meskipun analis harus berusaha untuk mencari dan memeriksa
semua data yang tersedia mengenai suatu peristiwa, ini tidak praktis dalam beberapa kasus, terutama ketika ada
banyak sumber data yang berlebihan. Analis pada akhirnya harus menemukan, memvalidasi, dan menganalisis data yang
cukup untuk dapat merekonstruksi peristiwa, memahami signifikansinya, dan menentukan dampaknya. Dalam banyak
kasus, data tambahan tersedia dari sumber selain sumber terkait lalu lintas jaringan (misalnya, file data atau OS host).
Bagian 8 memberikan contoh bagaimana analisis dapat menghubungkan data lain ini dengan data dari lalu lintas jaringan
untuk mendapatkan pandangan yang lebih akurat dan komprehensif tentang apa yang terjadi.
Umumnya, analis harus fokus pada mengidentifikasi karakteristik paling penting dari aktivitas dan menilai dampak
negatif yang telah atau mungkin ditimbulkannya terhadap organisasi. Tindakan lain, seperti menentukan identitas
penyerang eksternal, biasanya memakan waktu dan sulit untuk diselesaikan, dan tidak membantu organisasi dalam
memperbaiki masalah operasional atau kelemahan keamanan. Menentukan niat penyerang juga sangat sulit; misalnya,
upaya koneksi yang tidak biasa dapat disebabkan oleh penyerang, kode berbahaya, perangkat lunak yang salah
dikonfigurasi, atau penekanan tombol yang salah, di antara penyebab lainnya.
Meskipun memahami maksud penting dalam beberapa kasus, dampak negatif dari peristiwa tersebut harus menjadi
perhatian utama. Menetapkan identitas penyerang mungkin penting bagi organisasi, terutama ketika aktivitas kriminal
telah terjadi, tetapi dalam kasus lain hal itu harus dipertimbangkan dengan tujuan penting lainnya untuk dimasukkan ke
dalam perspektif. Fokus penyelidikan harus ditentukan sejak awal oleh pihak-pihak yang tepat, yang harus memutuskan
apakah mempelajari identitas penyerang itu penting. Sangatlah penting untuk mencari nasihat dari penasihat hukum
ketika mengembangkan kebijakan dan prosedur yang berkaitan dengan pengambilan keputusan tersebut, serta ketika
bimbingan diperlukan untuk situasi tertentu.
Organisasi harus tertarik tidak hanya dalam menganalisis peristiwa nyata, tetapi juga dalam memahami penyebab alarm
palsu. Misalnya, analis sering berada pada posisi yang tepat untuk mengidentifikasi akar penyebab positif palsu IDS.
Sebagaimana layaknya, analis harus merekomendasikan perubahan pada sumber data peristiwa keamanan yang
meningkatkan akurasi deteksi.
6-16
6.4.4 Identifikasi Penyerang
Saat menganalisis sebagian besar serangan, mengidentifikasi penyerang bukanlah perhatian utama langsung: memastikan bahwa
serangan dihentikan dan memulihkan sistem dan data adalah kepentingan utama. Jika serangan sedang berlangsung, seperti
sebagai serangan penolakan layanan yang diperluas, organisasi mungkin ingin mengidentifikasi alamat IP yang digunakan oleh
penyerang sehingga serangan dapat dihentikan. Sayangnya, ini seringkali tidak sesederhana kedengarannya. Itu
item berikut menjelaskan potensi masalah yang melibatkan alamat IP yang tampaknya digunakan untuk melakukan serangan:
! Alamat IP palsu. Banyak serangan menggunakan alamat IP palsu. Spoofing jauh lebih sulit untuk
lakukan dengan sukses untuk serangan yang memerlukan koneksi, jadi ini paling sering digunakan dalam kasus di
111
mana koneksi tidak diperlukan. Ketika paket dipalsukan, biasanya
penyerang tidak tertarik untuk melihat responnya. Ini tidak selalu benarópenyerang bisa menipu
alamat dari subnet yang mereka pantau, sehingga ketika respons masuk ke sistem itu, mereka
dapat mengendusnya dari jaringan. Terkadang spoofing terjadi secara tidak sengaja, seperti penyerang
salah mengonfigurasi alat dan secara tidak sengaja menggunakan alamat NAT internal. Terkadang penyerang
memalsukan alamat tertentu dengan sengajaómisalnya, alamat palsu mungkin yang sebenarnya
target serangan yang dimaksudkan, dan organisasi yang melihat aktivitas tersebut mungkin hanya
perantara.
! Banyak Sumber Alamat IP. Beberapa serangan tampaknya menggunakan ratusan atau ribuan alamat IP sumber yang
berbeda. Terkadang tampilan ini mencerminkan kenyataanómisalnya, serangan DDoS
biasanya mengandalkan sejumlah besar mesin yang dikompromikan melakukan serangan terkoordinasi.
Terkadang tampilan ini adalah ilusióan serangan mungkin tidak memerlukan penggunaan IP sumber asli
alamat, sehingga penyerang menghasilkan banyak alamat IP palsu yang berbeda untuk menambah kebingungan.
Terkadang penyerang akan menggunakan satu alamat IP asli dan banyak yang palsu; dalam hal ini, mungkin
mungkin untuk mengidentifikasi alamat IP yang sebenarnya dengan mencari aktivitas jaringan lain yang terjadi sebelum atau
setelah serangan yang menggunakan salah satu alamat IP yang sama. Menemukan kecocokan tidak mengkonfirmasi bahwa itu
adalah alamat penyerang; penyerang bisa saja secara tidak sengaja atau sengaja memalsukan
alamat IP sah yang kebetulan berinteraksi dengan organisasi.
! Validitas Alamat IP. Karena alamat IP sering ditetapkan secara dinamis, sistem
saat ini di alamat IP tertentu mungkin tidak sama dengan sistem yang ada saat serangan
muncul. Selain itu, banyak alamat IP bukan milik sistem pengguna akhir, melainkan milik
komponen infrastruktur jaringan yang menggantikan alamat IP mereka dengan alamat sumber yang sebenarnya,
seperti firewall yang melakukan NAT. Beberapa penyerang menggunakan anonimizer, yang merupakan perantara
server yang melakukan aktivitas atas nama pengguna untuk menjaga privasi pengguna.
Beberapa cara untuk memvalidasi identitas host yang mencurigakan adalah sebagai berikut:
! Hubungi Pemilik Alamat IP. Registri Internet Regional, seperti American

112
Registri untuk Nomor Internet (ARIN), menyediakan mekanisme permintaan WHOIS di situs Web mereka
untuk mengidentifikasi organisasi atau orang yang memiliki—bertanggung jawab atas—alamat IP tertentu.
Informasi ini dapat membantu dalam menganalisis beberapa serangan, seperti melihat tiga IP yang berbeda
alamat yang menghasilkan aktivitas mencurigakan semuanya terdaftar pada pemilik yang sama. Namun, dalam banyak kasus,
analis tidak boleh menghubungi pemilik secara langsung; sebagai gantinya, mereka harus memberikan informasi
tentang pemilik kepada manajemen dan penasihat hukum organisasi analis, yang dapat memulai kontak dengan organisasi
atau memberikan persetujuan analis untuk melakukannya jika diperlukan. Kehati-hatian ini
111
Protokol tanpa koneksi seperti ICMP dan UDP adalah yang paling mungkin untuk dipalsukan.
112
Situs web ARIN adalah di http://www.arin.net/. Registri lainnya adalah Pusat Informasi Jaringan Asia Pasifik (APNIC), yang terletak di http://
www.apnic.net/; Pendaftaran Regional Alamat IP Amerika Latin dan Karibia (LACNIC), berlokasi di
http://lacnic.net/; dan Pusat Koordinasi Jaringan RÈseaux IP EuropÈens (RIPE NCC), terletak di http://www.ripe.net/.
6-17
terutama terkait dengan kekhawatiran tentang berbagi informasi dengan organisasi eksternal; juga, pemilik alamat IP
bisa menjadi orang yang menyerang organisasi.
! Kirim Lalu Lintas Jaringan ke Alamat IP. Organisasi tidak boleh mengirim lalu lintas jaringan ke alamat IP yang
menyerang untuk memvalidasi identitasnya. Setiap respons yang dihasilkan tidak dapat secara meyakinkan
mengkonfirmasi identitas host yang menyerang. Selain itu, jika alamat IP adalah untuk sistem penyerang, penyerang
mungkin melihat lalu lintas dan bereaksi dengan menghancurkan bukti atau menyerang host yang mengirimkan lalu
lintas. Jika alamat IP palsu, mengirimkan lalu lintas jaringan yang tidak diminta ke sistem dapat diartikan sebagai
penggunaan yang tidak sah atau serangan. Dalam situasi apa pun individu tidak boleh mencoba untuk mendapatkan
akses ke sistem orang lain tanpa izin.
! Mencari Bantuan ISP. Seperti disebutkan dalam Bagian 6.3.1, ISP umumnya memerlukan perintah pengadilan sebelum
memberikan informasi apa pun kepada organisasi tentang aktivitas jaringan yang mencurigakan. Oleh karena itu,
bantuan ISP umumnya merupakan pilihan hanya selama serangan berbasis jaringan yang paling serius. Bantuan ini
sangat berguna dalam kaitannya dengan serangan yang melibatkan spoofing alamat IP. ISP memiliki kemampuan untuk
melacak serangan yang sedang berlangsung kembali ke sumbernya, apakah alamat IP palsu atau tidak.
! Teliti Sejarah Alamat IP. Analis dapat mencari aktivitas mencurigakan sebelumnya
terkait dengan alamat IP atau blok alamat IP yang sama. Arsip data lalu lintas jaringan organisasi dan database
pelacakan insiden mungkin menunjukkan aktivitas sebelumnya. Kemungkinan sumber eksternal termasuk mesin pencari
Internet dan database insiden online yang memungkinkan pencarian berdasarkan alamat IP.
113
! Cari Petunjuk di Konten Aplikasi. Paket data aplikasi yang terkait dengan serangan mungkin berisi petunjuk identitas
penyerang. Selain alamat IP, informasi berharga dapat mencakup alamat email atau nama panggilan Internet relay
chat (IRC).
Dalam kebanyakan kasus, organisasi tidak perlu secara positif mengidentifikasi alamat IP yang digunakan untuk serangan.
6.5 Rekomendasi
Rekomendasi utama yang disajikan di bagian ini untuk menggunakan data dari lalu lintas jaringan adalah sebagai berikut:
! Organisasi harus memiliki kebijakan mengenai privasi dan informasi sensitif. Penggunaan alat dan teknik forensik
mungkin secara tidak sengaja mengungkapkan informasi sensitif kepada analis dan orang lain yang terlibat dalam
kegiatan forensik. Selain itu, penyimpanan jangka panjang dari informasi sensitif yang secara tidak sengaja ditangkap
oleh alat forensik mungkin melanggar kebijakan penyimpanan data. Kebijakan juga harus membahas pemantauan
jaringan, serta mewajibkan spanduk peringatan pada sistem yang menunjukkan aktivitas dapat dipantau.
! Organisasi harus menyediakan penyimpanan yang memadai untuk log terkait aktivitas jaringan.
Organisasi harus memperkirakan penggunaan log tipikal dan puncak, menentukan berapa jam atau hari data harus
disimpan berdasarkan kebijakan organisasi, dan memastikan bahwa sistem dan aplikasi memiliki penyimpanan yang
cukup tersedia. Log yang terkait dengan insiden keamanan komputer mungkin perlu disimpan untuk jangka waktu yang
jauh lebih lama daripada log lainnya.
! Organisasi harus mengonfigurasi sumber data untuk meningkatkan pengumpulan informasi. Seiring waktu,
pengalaman operasional harus digunakan untuk meningkatkan kemampuan analisis forensik organisasi. Organisasi
harus secara berkala meninjau dan menyesuaikan pengaturan konfigurasi sumber data untuk mengoptimalkan
penangkapan informasi yang relevan.
113
Satu database insiden yang tersedia untuk umum adalah DShield, yang terletak di http://www.dshield.org/.
6-18
! Analis harus memiliki pengetahuan teknis yang cukup komprehensif. Karena alat saat ini memiliki
kemampuan analisis yang agak terbatas, analis harus terlatih dengan baik, berpengalaman, dan
berpengetahuan luas dalam prinsip jaringan, protokol jaringan dan aplikasi umum, produk keamanan
jaringan dan aplikasi, serta ancaman dan metode serangan berbasis jaringan.
! Analis harus mempertimbangkan kesetiaan dan nilai setiap sumber data. Analis harus lebih
percaya pada sumber data asli daripada sumber data yang menerima data yang dinormalisasi dari
sumber lain. Analis harus memvalidasi data yang tidak biasa atau tidak terduga yang didasarkan
pada interpretasi data, seperti peringatan IDS dan SEM.
! Analis umumnya harus fokus pada karakteristik dan dampak dari peristiwa tersebut. Menentukan
identitas penyerang dan tindakan serupa lainnya biasanya memakan waktu lama dan sulit dilakukan,
dan tidak membantu organisasi dalam memperbaiki masalah operasional atau kelemahan keamanan.
Menetapkan identitas dan niat penyerang mungkin penting, terutama jika penyelidikan kriminal akan
terjadi, tetapi harus dipertimbangkan dengan tujuan penting lainnya, seperti menghentikan serangan
dan memulihkan sistem dan data.
6-19
6-20
7. Menggunakan Data dari Aplikasi
Aplikasi seperti e-mail, browser Web, dan pengolah kata adalah apa yang membuat komputer berharga bagi pengguna.
OS, file, dan jaringan semuanya diperlukan untuk mendukung aplikasi: OS untuk menjalankan aplikasi, jaringan untuk
mengirim data aplikasi antar sistem, dan file untuk menyimpan data aplikasi, pengaturan konfigurasi, dan log. Dari
perspektif forensik, aplikasi menyatukan file, OS, dan jaringan.
Bagian ini menjelaskan arsitektur aplikasi-komponen yang biasanya membentuk aplikasi- dan memberikan wawasan
tentang jenis aplikasi yang paling sering menjadi fokus forensik. Bagian ini juga memberikan panduan dalam mengumpulkan,
memeriksa, dan menganalisis data aplikasi.
7.1 Komponen Aplikasi
Semua aplikasi berisi kode dalam bentuk file yang dapat dieksekusi (dan file terkait, seperti pustaka kode bersama)
atau skrip. Selain kode, banyak aplikasi memiliki satu atau lebih komponen berikut: pengaturan konfigurasi,
otentikasi, log, data, dan file pendukung. Bagian 7.1.1 sampai 7.1.5 menjelaskan komponen-komponen ini secara
rinci, dan Bagian 7.1.6 membahas jenis utama dari arsitektur aplikasi, yang berhubungan dengan distribusi yang
dimaksudkan dari komponen utama.
7.1.1 Pengaturan Konfigurasi
Sebagian besar aplikasi memungkinkan pengguna atau administrator untuk menyesuaikan aspek tertentu dari perilaku
aplikasi dengan mengubah pengaturan konfigurasi. Dari perspektif forensik, banyak pengaturan yang sepele (misalnya,
menentukan warna latar belakang), tetapi yang lain mungkin sangat penting, seperti host dan direktori tempat file data dan
log disimpan atau nama pengguna default. Pengaturan konfigurasi mungkin bersifat sementara-diatur secara dinamis
selama sesi aplikasi tertentu-atau permanen. Banyak aplikasi memiliki beberapa pengaturan yang berlaku untuk semua
pengguna, dan juga mendukung beberapa pengaturan khusus pengguna. Pengaturan konfigurasi dapat disimpan dalam
beberapa cara, termasuk berikut ini:
! Berkas Konfigurasi. Aplikasi dapat menyimpan pengaturan dalam file teks atau file dengan kepemilikan
114
format biner. Beberapa aplikasi memerlukan file konfigurasi untuk berada di host yang sama dengan
aplikasi, sedangkan aplikasi lain memungkinkan file konfigurasi ditempatkan di host lain. Misalnya, aplikasi
mungkin diinstal pada workstation, tetapi file konfigurasi untuk pengguna tertentu dapat disimpan di direktori
home pengguna di server file.
! Opsi Waktu Proses. Beberapa aplikasi mengizinkan pengaturan konfigurasi tertentu untuk ditentukan di
runtime melalui penggunaan opsi baris perintah. Misalnya, klien email UNIX mutt memiliki opsi untuk menentukan
lokasi kotak surat yang akan dibuka dan lokasi file konfigurasi. Identifikasi opsi yang digunakan untuk sesi aktif
adalah khusus untuk OS dan aplikasi; metode identifikasi yang mungkin termasuk meninjau daftar proses OS
aktif, memeriksa file riwayat OS, dan meninjau log aplikasi. Opsi runtime juga dapat ditentukan dalam ikon, file
startup, file batch, dan cara lainnya.
! Ditambahkan ke Kode Sumber. Beberapa aplikasi yang membuat kode sumber tersedia (misalnya, open source
aplikasi, skrip) sebenarnya menempatkan pengaturan konfigurasi yang ditentukan pengguna atau administrator
langsung ke dalam kode sumber. Jika aplikasi kemudian dikompilasi (misalnya, dikonversi dari kode yang dapat
dibaca manusia ke format biner yang dapat dibaca mesin), pengaturan konfigurasi sebenarnya dapat terkandung
dalam file yang dapat dieksekusi, berpotensi membuat pengaturan jauh lebih sulit untuk diakses daripada jika
ditentukan dalam file konfigurasi atau sebagai opsi runtime. Dalam beberapa kasus, pengaturan dapat ditemukan
dengan mencari string teks dalam file yang dapat dieksekusi.
114
Misalnya, pada sistem Windows, banyak pengaturan konfigurasi disimpan di registri Windows, yang pada dasarnya adalah
kumpulan file konfigurasi besar.
7-1
7.1.2 Autentikasi
Beberapa aplikasi memverifikasi identitas setiap pengguna yang mencoba menjalankan aplikasi. Meskipun hal
ini biasanya dilakukan untuk mencegah akses tidak sah ke aplikasi, hal ini juga dapat dilakukan ketika akses tidak
menjadi masalah sehingga aplikasi dapat disesuaikan berdasarkan identitas pengguna. Metode otentikasi umum
termasuk yang berikut:
! Otentikasi Eksternal. Aplikasi dapat menggunakan layanan otentikasi eksternal, seperti server direktori.
Meskipun aplikasi mungkin berisi beberapa catatan yang terkait dengan otentikasi, layanan otentikasi
eksternal kemungkinan berisi informasi otentikasi yang lebih rinci.
! Otentikasi Kepemilikan. Aplikasi mungkin memiliki mekanisme otentikasi sendiri, seperti:

sebagai akun pengguna dan kata sandi yang merupakan bagian dari aplikasi, bukan OS.
! Otentikasi Pass-Through. Otentikasi pass-through mengacu pada melewati kredensial OS (biasanya,

nama pengguna dan kata sandi) tidak terenkripsi dari OS ke aplikasi.
! Lingkungan Tuan Rumah/Pengguna. Dalam lingkungan yang terkendali (misalnya, stasiun kerja yang dikelola dan
server dalam suatu organisasi), beberapa aplikasi mungkin dapat mengandalkan otentikasi sebelumnya
yang dilakukan oleh OS. Misalnya, jika semua host yang menggunakan aplikasi adalah bagian dari domain
Windows yang sama dan setiap pengguna telah diautentikasi oleh domain tersebut, maka aplikasi dapat
mengekstrak identitas yang diautentikasi OS dari setiap lingkungan workstation. Aplikasi kemudian dapat
membatasi akses ke aplikasi dengan melacak pengguna mana yang diizinkan untuk memiliki akses dan
membandingkan identitas yang diautentikasi OS dengan daftar pengguna yang diotorisasi. Teknik ini hanya
efektif jika pengguna tidak dapat mengubah identitas pengguna di lingkungan workstation.
Implementasi otentikasi sangat bervariasi di antara lingkungan dan aplikasi. Rincian implementasi tersebut berada
di luar cakupan dokumen ini. Namun, analis harus menyadari bahwa ada banyak cara di mana pengguna dapat
diautentikasi dan, oleh karena itu, sumber catatan otentikasi pengguna mungkin sangat bervariasi di antara aplikasi
dan implementasi aplikasi. Analis juga harus mengetahui bahwa beberapa aplikasi menggunakan kontrol akses
(biasanya diberlakukan oleh OS) untuk membatasi akses ke jenis informasi atau fungsi aplikasi tertentu. Pengetahuan
ini dapat membantu dalam menentukan apa yang dapat dilakukan oleh pengguna aplikasi tertentu. Selain itu,
beberapa aplikasi merekam informasi yang terkait dengan kontrol akses, seperti upaya yang gagal untuk melakukan
tindakan sensitif atau mengakses data yang dibatasi.
7.1.3 Log
Meskipun beberapa aplikasi (terutama yang sangat sederhana) tidak merekam informasi apa pun ke log, sebagian
besar aplikasi melakukan beberapa jenis pencatatan. Aplikasi dapat merekam entri log ke log khusus OS (misalnya,
syslog pada sistem UNIX, log peristiwa pada sistem Windows), file teks, database, atau format file berpemilik.
Beberapa aplikasi merekam berbagai jenis peristiwa ke log yang berbeda. Jenis entri log yang umum adalah sebagai
berikut:
! Peristiwa. Entri log peristiwa biasanya mencantumkan tindakan yang dilakukan, tanggal dan waktu setiap
tindakan terjadi, dan hasil dari setiap tindakan. Contoh tindakan yang mungkin direkam adalah membuat
koneksi ke sistem lain dan mengeluarkan perintah tingkat administrator. Entri log peristiwa mungkin juga
menyertakan informasi pendukung, seperti nama pengguna apa yang digunakan untuk melakukan setiap
tindakan dan kode status apa yang dikembalikan (yang memberikan lebih banyak informasi tentang hasil
daripada status sederhana berhasil/gagal).
7-2
! Audit. Entri log audit, juga dikenal sebagai entri log keamanan, berisi informasi yang berkaitan dengan aktivitas
yang diaudit, seperti upaya masuk yang berhasil dan gagal, perubahan kebijakan keamanan, akses file, dan
eksekusi proses.115 Aplikasi dapat menggunakan kemampuan audit yang dibangun ke dalam OS atau dapat
menyediakan kemampuan audit mereka sendiri.
! Kesalahan. Beberapa aplikasi membuat log kesalahan, yang merekam informasi tentang kesalahan aplikasi, biasanya
dengan cap waktu. Log kesalahan sangat membantu dalam memecahkan masalah baik masalah operasional
maupun serangan. Pesan kesalahan dapat membantu dalam menentukan kapan suatu peristiwa yang menarik
terjadi dan dalam mengidentifikasi beberapa karakteristik dari peristiwa tersebut.
! Instalasi. Aplikasi dapat membuat file log penginstalan terpisah yang mencatat informasi yang berkaitan dengan
penginstalan awal dan pembaruan berikutnya dari aplikasi tersebut. Informasi yang dicatat dalam log
penginstalan sangat bervariasi tetapi kemungkinan mencakup status berbagai fase penginstalan. Log juga dapat
menunjukkan sumber file instalasi, lokasi di mana komponen aplikasi ditempatkan, dan opsi yang melibatkan
konfigurasi aplikasi.
! Debug. Beberapa aplikasi dapat dijalankan dalam mode debugging, yang berarti bahwa mereka mencatat lebih
banyak informasi daripada biasanya mengenai pengoperasian aplikasi. Catatan debug seringkali sangat samar
dan mungkin hanya berarti bagi pembuat perangkat lunak, yang dapat menguraikan kode kesalahan dan aspek
lain dari catatan. Jika aplikasi menawarkan kemampuan debugging, biasanya hanya diaktifkan jika administrator
atau pengembang perlu menyelesaikan masalah operasional tertentu.
7.1.4 Data
Hampir setiap aplikasi dirancang khusus untuk menangani data dalam satu atau lebih cara, seperti membuat,
menampilkan, mentransmisikan, menerima, memodifikasi, menghapus, melindungi, dan menyimpan data. Misalnya,
klien email memungkinkan pengguna untuk membuat pesan email dan mengirimkannya ke seseorang, serta menerima,
melihat, dan menghapus pesan email dari orang lain. Data aplikasi sering berada sementara di memori, dan sementara
atau permanen di file. Format file yang berisi data aplikasi mungkin generik (misalnya, file teks, grafik bitmap) atau
kepemilikan. Data juga dapat disimpan dalam database, yang merupakan kumpulan file dan spesifikasi data yang sangat
terstruktur. Beberapa aplikasi membuat file sementara selama sesi, yang mungkin berisi data aplikasi. Jika aplikasi gagal
dimatikan dengan baik, mungkin akan meninggalkan file sementara di media. Kebanyakan OS memiliki direktori yang
ditujukan untuk file-file sementara; namun, beberapa aplikasi memiliki direktori sementaranya sendiri, dan aplikasi lain
menempatkan file sementara di direktori yang sama tempat data disimpan. Aplikasi juga dapat berisi template file data dan
file data sampel (misalnya, database, dokumen).
7.1.5 File Pendukung
Aplikasi sering menyertakan satu atau lebih jenis file pendukung, seperti dokumentasi dan grafik.
File pendukung cenderung statis, tetapi itu tidak berarti bahwa mereka tidak bernilai untuk forensik. Jenis file pendukung
antara lain sebagai berikut:
! Dokumentasi. Ini mungkin termasuk administrator dan manual pengguna, file bantuan, dan lisensi
informasi. Dokumentasi dapat membantu analis dalam banyak hal, seperti menjelaskan apa yang dilakukan
aplikasi, cara kerja aplikasi, dan komponen apa yang dimiliki aplikasi.
Dokumentasi juga biasanya berisi informasi kontak untuk vendor aplikasi; vendor mungkin dapat menjawab
pertanyaan dan memberikan bantuan lain dalam memahami aplikasi.
115
Beberapa aplikasi merekam upaya masuk ke log otentikasi terpisah. Bagian 7.1.2 berisi informasi tambahan
tentang otentikasi.
7-3
! Link. Juga dikenal sebagai pintasan, tautan hanyalah penunjuk ke sesuatu yang lain, seperti
dapat dieksekusi. Tautan paling sering digunakan pada sistem Windows; misalnya, item yang terdaftar di menu
Start benar-benar link ke program. Dengan memeriksa properti dari sebuah link, seorang analis dapat
menentukan program apa yang dijalankan oleh link tersebut, di mana programnya, dan opsi apa (jika ada) yang
ditetapkan.
! Grafik. File-file ini mungkin termasuk grafik mandiri yang digunakan oleh aplikasi, serta
grafis untuk ikon. Meskipun grafik aplikasi biasanya kurang menarik bagi seorang analis, grafik ikon mungkin
menarik untuk mengidentifikasi executable mana yang sedang berjalan.
7.1.6 Arsitektur Aplikasi
Setiap aplikasi memiliki arsitektur, yang mengacu pada pemisahan logis dari komponennya dan mekanisme komunikasi
yang digunakan antar komponen. Sebagian besar aplikasi dirancang untuk mengikuti salah satu dari tiga kategori arsitektur
aplikasi utama, sebagai berikut:
! Lokal. Aplikasi lokal dimaksudkan untuk dimuat terutama dalam satu sistem. Kode, pengaturan konfigurasi, log,
dan file pendukung terletak di sistem pengguna. Aplikasi lokal tidak mungkin melakukan otentikasi. Data aplikasi
mungkin terdapat pada sistem pengguna atau sistem lain (misalnya, file server) dan biasanya tidak dapat
dimodifikasi secara bersamaan oleh banyak pengguna. Contoh aplikasi lokal adalah editor teks, editor grafis, dan
suite produktivitas kantor (misalnya, pengolah kata, spreadsheet).
! Server klien. Aplikasi klien/server dirancang untuk dibagi di antara beberapa sistem. SEBUAH
aplikasi klien/server dua tingkat menyimpan kode, pengaturan konfigurasi, dan file pendukung pada setiap
workstation pengguna, dan datanya pada satu atau lebih server pusat yang diakses oleh semua pengguna. Log
kemungkinan besar disimpan di workstation saja. Aplikasi klien/server tiga tingkat memisahkan antarmuka
pengguna dari aplikasi lainnya, dan juga memisahkan data dari komponen lainnya. Model tiga tingkat klasik
menempatkan kode antarmuka pengguna pada workstation klien (bersama dengan beberapa file pendukung),
sisa kode aplikasi pada server aplikasi, dan data pada server database. Banyak aplikasi berbasis Web
menggunakan model empat tingkat: browser Web, server Web, server aplikasi, dan server database. Setiap tier
hanya berinteraksi dengan tier yang berdekatan, jadi dalam model three dan four-tier, klien tidak berinteraksi
langsung dengan server database. Contoh aplikasi klien/server yang khas adalah sistem rekam medis, aplikasi e-
commerce, dan sistem inventaris.
! Peer-to-Peer. Aplikasi peer-to-peer dirancang agar host klien individu secara langsung berkomunikasi dan
berbagi data satu sama lain. Biasanya, klien pertama berkomunikasi dengan server terpusat yang
menyediakan informasi tentang klien lain; informasi ini kemudian digunakan untuk membuat koneksi langsung
yang tidak perlu melalui server terpusat. Contoh aplikasi peer-to-peer adalah file sharing, chat, dan program IM
tertentu. Namun, beberapa program jenis ini, sementara populer disebut sebagai peer-to-peer, sebenarnya
klien/server, karena klien berkomunikasi dengan server terpusat, bukan berkomunikasi langsung satu sama
lain.
Sebagian besar aplikasi cukup fleksibel dalam hal arsitektur. Misalnya, banyak aplikasi klien/server dapat memiliki beberapa
tingkatan yang diinstal pada satu sistem. Terutama selama demonstrasi atau pengujian aplikasi, semua tingkatan mungkin
diinstal pada satu sistem. Di sisi lain, beberapa aplikasi lokal dapat dibagi di antara sistem, dengan beberapa komponen
pada sistem lokal dan beberapa pada sistem jarak jauh. Aplikasi seringkali memudahkan untuk menentukan di mana
komponen yang berbeda harus dipasang dan di mana data dan file konfigurasi harus disimpan. Untuk banyak aplikasi,
mungkin ada banyak variasi di antara penerapan.
7-4
Aplikasi yang dirancang untuk membagi kode mereka di antara beberapa host biasanya menggunakan protokol aplikasi
116
untuk komunikasi antar host. protokol aplikasi standar yang terkenal untuk memfasilitasi interoperabilitas antar komponen
Jenis aplikasi yang ada di mana-mana, seperti email dan Web, menggunakan
yang berbeda.
Sebagai contoh, hampir setiap program klien email kompatibel dengan hampir semua program server email karena
mereka didasarkan pada standar protokol aplikasi yang sama. Namun, program yang didasarkan pada standar
mungkin menambahkan fitur kepemilikan atau melanggar standar dalam beberapa cara, terutama jika standar tersebut
tidak dirinci secara mendalam. Jika interoperabilitas dengan aplikasi lain tidak menjadi perhatian (atau tidak diinginkan)
dan pihak yang sama membuat semua komponen aplikasi, protokol non-standar sering digunakan.
Seperti yang dijelaskan di seluruh Bagian 7.1, aplikasi mungkin memiliki banyak komponen berbeda yang
beroperasi bersama. Selain itu, suatu aplikasi mungkin bergantung pada satu atau lebih aplikasi lain. Misalnya, banyak
klien aplikasi e-niaga berjalan dalam browser Web. Banyak aplikasi juga mengandalkan layanan OS, seperti pencetakan
dan pencarian DNS (untuk menemukan alamat IP server aplikasi dan perangkat lain). Aplikasi sangat bervariasi dalam
kompleksitas, dari program utilitas sederhana seperti kalkulator hingga aplikasi e-commerce besar yang mungkin
melibatkan ribuan komponen dan memiliki jutaan
pengguna.
7.2 Jenis Aplikasi
Aplikasi ada untuk hampir setiap tujuan yang bisa dibayangkan. Meskipun teknik forensik dapat diterapkan pada
aplikasi apa pun, jenis aplikasi tertentu lebih cenderung menjadi fokus analisis forensik, termasuk email, penggunaan
Web, pesan interaktif, berbagi file, penggunaan dokumen, aplikasi keamanan, dan alat penyembunyian data. Hampir
setiap komputer memiliki setidaknya beberapa aplikasi yang diinstal dari kategori ini. Bagian berikut menjelaskan
masing-masing jenis aplikasi ini secara lebih rinci.
7.2.1 Email
E-mail telah menjadi sarana utama bagi orang untuk berkomunikasi secara elektronik. Setiap pesan email terdiri
dari header dan body. Badan email berisi isi pesan yang sebenarnya, seperti memorandum atau surat pribadi .
Header email mencakup berbagai informasi mengenai email. Secara default, sebagian besar aplikasi klien email hanya
menampilkan beberapa bidang header untuk setiap pesan: alamat email pengirim dan penerima, tanggal dan waktu
pesan dikirim, dan subjek pesan. Namun, tajuk biasanya mencakup beberapa bidang lain, termasuk yang berikut: 117
! ID Pesan
! Jenis klien email yang digunakan untuk membuat pesan
! Pentingnya pesan, seperti yang ditunjukkan oleh pengirim (misalnya, rendah, normal, tinggi)
! Informasi perutean—server email mana yang dilewati pesan dalam perjalanan dan kapan masing-masing
server menerimanya
! Jenis konten pesan, yang menunjukkan apakah konten email hanya terdiri dari badan teks
atau juga memiliki lampiran file, grafik tersemat, dll.
Aplikasi klien email digunakan untuk menerima, menyimpan, membaca, menulis, dan mengirim email. Sebagian besar
klien email juga menyediakan buku alamat yang dapat menyimpan informasi kontak, seperti alamat email, nama, dan
116
Aplikasi yang dirancang untuk menyimpan semua kode pada satu host biasanya tidak perlu menggunakan protokol aplikasi apa pun.
117
Sebagian besar klien email memiliki pengaturan konfigurasi yang menentukan apakah header email penuh atau sebagian harus ditampilkan.
7-5
nomor telepon. Program enkripsi terkadang digunakan bersama dengan klien email untuk mengenkripsi badan email dan/atau
lampirannya.
Ketika pengguna mengirim email, itu ditransfer dari klien email ke server menggunakan SMTP. jika
pengirim dan penerima email menggunakan server email yang berbeda, email tersebut kemudian dirutekan menggunakan SMTP
melalui server e-mail tambahan hingga mencapai server penerima. Biasanya, penerima menggunakan klien email pada sistem terpisah
untuk mengambil email menggunakan Post Office Protocol 3 (POP3) atau Internet
Protokol Akses Pesan (IMAP); dalam beberapa kasus, klien email mungkin berada di server tujuan (mis.
sistem UNIX multi-pengguna). Server tujuan sering melakukan pemeriksaan pada email sebelum membuat
mereka tersedia untuk pengambilan, seperti memblokir pesan dengan konten yang tidak pantas (misalnya, spam, virus).
Dari ujung ke ujung, informasi mengenai satu pesan email dapat direkam di beberapa tempatóthe
sistem pengirim, setiap server email yang menangani pesan, dan sistem penerima, serta
118
antivirus, spam, dan server penyaringan konten.
7.2.2 Penggunaan Web
Melalui browser Web, orang mengakses server Web yang berisi hampir semua jenis data yang bisa dibayangkan.
Banyak aplikasi juga menawarkan antarmuka berbasis Web, yang juga diakses melalui browser Web.
Karena dapat digunakan untuk banyak tujuan, browser Web adalah salah satu yang paling umum digunakan
aplikasi. Standar dasar untuk komunikasi Web adalah HTTP; namun, HTTP dapat berisi banyak
jenis data dalam berbagai format standar dan kepemilikan. HTTP pada dasarnya adalah mekanisme untuk
mentransfer data antara browser Web dan server Web.119
Biasanya, sumber informasi terkaya mengenai penggunaan Web adalah host yang menjalankan browser Web. Informasi
yang dapat diambil dari browser Web termasuk daftar situs Web favorit, riwayat (dengan stempel waktu) situs Web yang dikunjungi,
file data Web yang di-cache, dan cookie (termasuk
pembuatan dan tanggal kedaluwarsa). Sumber lain yang baik dari informasi penggunaan Web adalah server Web, yang
biasanya menyimpan log dari permintaan yang mereka terima. Data yang sering dicatat oleh server Web untuk setiap permintaan
termasuk stempel waktu; alamat IP, versi browser Web, dan OS dari host yang membuat permintaan; itu
jenis permintaan (misalnya, membaca data, menulis data); sumber daya yang diminta; dan kode status. Tanggapan terhadap
setiap permintaan menyertakan kode status tiga digit yang menunjukkan keberhasilan atau kegagalan permintaan. Untuk
permintaan berhasil, kode status menjelaskan tindakan apa yang dilakukan; untuk kegagalan, kode status
menjelaskan mengapa permintaan gagal.
Beberapa jenis perangkat dan perangkat lunak lain, selain browser dan server Web, mungkin juga masuk log
informasi terkait. Misalnya, server proxy Web dan firewall proxy aplikasi mungkin berfungsi
120
logging rinci aktivitas HTTP, dengan tingkat detail yang mirip dengan log server Web. Router,
firewall non-proxy, dan perangkat jaringan lain mungkin mencatat aspek dasar koneksi jaringan HTTP, seperti alamat dan
port IP sumber dan tujuan. Organisasi yang menggunakan konten Web
layanan pemantauan dan pemfilteran mungkin menemukan data yang berguna dalam log layanan, terutama terkait penolakan
Permintaan web.
118
Untuk informasi lebih lanjut tentang layanan email, lihat NIST SP 800-45, Pedoman Keamanan Surat Elektronik, tersedia untuk
unduh dari http://csrc.nist.gov/publications/nistpubs/index.html.
119
Untuk penjelasan rinci tentang standar HTTP saat ini, lihat RFC 2616, Hypertext Transfer ProtocolóHTTP/ 1.1, tersedia di http://
www.ietf.org/rfc/rfc2616.txt. Juga, lihat NIST SP 800-44, Pedoman Mengamankan Server Web Umum, untuk informasi tambahan
tentang layanan Web; itu tersedia untuk diunduh dari
120
Biasanya, proxy tidak dapat mencatat detail permintaan HTTP yang dilindungi SSL atau TLS, karena permintaan dan
respons yang sesuai melewati proxy yang dienkripsi, yang menyembunyikan isinya.
7-6
7.2.3 Komunikasi Interaktif
Tidak seperti pesan email, yang biasanya membutuhkan waktu beberapa menit untuk berpindah dari pengirim ke penerima, interaktif
layanan komunikasi menyediakan komunikasi real-time (atau mendekati real-time). Jenis aplikasi
umum digunakan untuk komunikasi interaktif meliputi:
! Obrolan Grup. Aplikasi obrolan grup menyediakan ruang pertemuan virtual di mana banyak pengguna dapat
berbagi pesan sekaligus. Aplikasi obrolan grup biasanya menggunakan arsitektur klien/server. Itu
protokol obrolan grup yang paling populer, Internet Relay Chat (IRC), adalah protokol standar yang menggunakan
121
komunikasi berbasis teks yang relatif sederhana. IRC juga menyediakan mekanisme bagi pengguna untuk mengirim
dan menerima file.
! Aplikasi Pesan Instan. Aplikasi IM bersifat peer-to-peer, memungkinkan pengguna untuk mengirim
pesan teks dan file secara langsung satu sama lain, atau klien/server, meneruskan pesan dan file melalui server terpusat.
Pengaturan konfigurasi aplikasi IM mungkin berisi informasi pengguna, daftar
pengguna yang telah berkomunikasi dengan pengguna, informasi transfer file, dan pesan yang diarsipkan atau
sesi obrolan. Ada beberapa layanan IM berbasis Internet utama, yang masing-masing menggunakan layanannya sendiri
protokol komunikasi eksklusif. Beberapa perusahaan juga menawarkan produk IM perusahaan yang
dijalankan dalam suatu organisasi. Produk semacam itu sering diintegrasikan sampai batas tertentu dengan
layanan email organisasi dan hanya dapat digunakan oleh pengguna email yang diautentikasi.
! Audio dan Video. Karena kapasitas jaringan terus meningkat, melakukan video real-time
dan komunikasi audio melalui jaringan komputer juga menjadi lebih umum. Teknologi
seperti Voice over IP (VoIP) memungkinkan orang untuk melakukan percakapan telepon melalui jaringan
seperti Internet. 122
Beberapa implementasi audio menyediakan layanan berbasis komputer dari ujung ke ujung
akhir, sedangkan yang lain hanya sebagian berbasis komputer, dengan server perantara mengubah
komunikasi antara jaringan komputer dan jaringan telepon standar. Banyak teknologi audio terutama merupakan
aplikasi peer-to-peer. Teknologi video dapat digunakan untuk menahan
telekonferensi atau untuk melakukan komunikasi 'telepon video' antara dua individu. Biasanya
protokol yang digunakan untuk komunikasi audio dan video termasuk H.323 dan Session Initiation Protocol
(SIP).123
7.2.4 File sharing
Pengguna dapat berbagi file melalui banyak program berbeda. Seperti yang dijelaskan sebelumnya di bagian ini, email,
program obrolan grup, dan perangkat lunak IM semuanya menawarkan kemampuan untuk mengirim dan menerima file tertentu. Namun,
program ini umumnya tidak mengizinkan penerima untuk menelusuri file dan memilih file untuk
transfer. Program dan protokol berbagi file yang lengkap diperlukan untuk tingkat fungsionalitas ini. Mengajukan
program berbagi dapat dikelompokkan berdasarkan arsitektur, sebagai berikut:
! Server klien. Layanan berbagi file tradisional menggunakan arsitektur klien/server, dengan file pusat
server yang berisi repositori file. Klien dapat menggunakan server dengan memulai koneksi ke sana,
mengautentikasinya (jika diperlukan), meninjau daftar file yang tersedia (jika diperlukan), lalu mentransfer
file ke atau dari server. Beberapa layanan berbagi file klien/server yang umum digunakan adalah FTP,
124
Berbagi File Jaringan (NFS), Protokol Pengarsipan Apple (AFP), dan Blok Pesan Server (SMB).
121
Standar asli untuk IRC didokumentasikan dalam RFC 1459, Internet Relay Chat Protocol, tersedia di
http://www.ietf.org/rfc/rfc1459.txt. RFC 2810 hingga 2813 berisi informasi tambahan yang melengkapi RFC 1459.
122
Untuk informasi lebih lanjut tentang VoIP, lihat NIST SP 800-58, Pertimbangan Keamanan untuk Sistem Voice Over IP, tersedia di
123
Standar untuk SIP tersedia sebagai RFC 3261, SIP: Session Initiation Protocol, terletak di
http://www.ietf.org/rfc/rfc3261.txt.
124
Informasi lebih lanjut tentang SMB tersedia dari http://samba.anu.edu.au/cifs/docs/what-is-smb.html.
7-7
Ini adalah protokol standar yang tidak melindungi kerahasiaan data dalam perjalanan, termasuk kredensial
otentikasi yang disediakan, seperti kata sandi. Alternatif aman, seperti Secure FTP (SFTP) dan Secure Copy (scp),
mengenkripsi komunikasi jaringan mereka. Sebagian besar OS memiliki klien berbagi file bawaan (misalnya, FTP,
SMB), tetapi pengguna juga dapat menginstal berbagai program pihak ketiga yang menyediakan fungsionalitas serupa.
! Peer-to-Peer. Sebagian besar layanan berbagi file peer-to-peer terutama digunakan untuk memperdagangkan musik,
grafik, atau perangkat lunak di Internet. Tidak seperti berbagi file klien / server, di mana satu server menyimpan
repositori file, berbagi file peer-to-peer didistribusikan, dengan file terletak di banyak host yang berbeda. Layanan
berbagi file peer-to-peer biasanya memiliki server pusat yang memberikan informasi kepada klien di mana klien lain
berada, tetapi server tidak berpartisipasi dalam transmisi file atau informasi file. Layanan berbagi file peer-to-peer
biasanya tidak memerlukan otentikasi pengguna. Semua penjelajahan dan transfer file terjadi secara langsung antara
klien (rekan).
Pengguna biasanya dapat memilih dari beberapa program klien saat menggunakan layanan tertentu.
Meskipun sebagian besar layanan memungkinkan setiap pengguna untuk mengontrol file mana yang dibagikan di
sistem mereka, layanan yang dikenal sebagai peer-to-peer terenkripsi bekerja dengan menyimpan file orang lain pada
bagian terenkripsi dari setiap hard drive pengguna, dan tidak memberikan kontrol atau pengetahuan kepada pengguna
tentang apa. disimpan di area sistem mereka sendiri. Layanan peer-to-peer anonim mengirim file yang diminta melalui
beberapa host perantara alih-alih hanya mengirimnya dari sumber ke tujuan, dengan tujuan membuatnya sangat sulit
untuk mengidentifikasi sumber atau tujuan sebenarnya dari file yang diberikan.
7.2.5 Penggunaan Dokumen
Banyak pengguna menghabiskan banyak waktu mereka bekerja dengan dokumen, seperti surat, laporan, dan bagan.
Dokumen dapat berisi semua jenis data, sehingga sering kali menarik bagi analis. Kelas perangkat lunak yang digunakan
untuk membuat, melihat, dan mengedit dokumen semacam itu dikenal sebagai aplikasi produktivitas kantor. Ini termasuk
pengolah kata, spreadsheet, presentasi, dan perangkat lunak database pribadi. Dokumen sering kali memiliki informasi
pengguna atau sistem yang disematkan di dalamnya, seperti nama atau nama pengguna orang yang membuat atau yang
terakhir mengedit dokumen, atau nomor lisensi perangkat lunak atau alamat MAC sistem yang digunakan untuk membuat
125
dokumen.
7.2.6 Aplikasi Keamanan
Host sering menjalankan satu atau lebih aplikasi keamanan yang berusaha melindungi host dari penyalahgunaan dan
penyalahgunaan yang terjadi melalui aplikasi yang umum digunakan, seperti klien email dan browser Web. Beberapa aplikasi
keamanan yang umum digunakan adalah perangkat lunak antivirus, utilitas deteksi dan penghapusan spyware, penyaringan
konten (misalnya, tindakan anti-spam), dan perangkat lunak pendeteksi intrusi berbasis host. Log aplikasi keamanan mungkin
berisi catatan terperinci tentang aktivitas mencurigakan dan juga dapat menunjukkan apakah terjadi atau dicegah adanya
gangguan keamanan. Jika aplikasi keamanan merupakan bagian dari penyebaran perusahaan, seperti perangkat lunak
antivirus yang dikelola dan dikendalikan secara terpusat, log mungkin tersedia baik pada host individu maupun pada log
aplikasi terpusat.
7.2.7 Alat Penyembunyian Data
Beberapa orang menggunakan alat yang menyembunyikan data dari orang lain. Ini mungkin dilakukan untuk tujuan yang
tidak berbahaya, seperti melindungi kerahasiaan dan integritas data dari akses oleh pihak yang tidak berwenang, atau untuk
tujuan jahat, seperti menyembunyikan bukti aktivitas yang tidak semestinya. Contoh alat penyembunyian data termasuk utilitas
enkripsi file, alat steganografi, dan alat pembersihan sistem. Alat pembersihan sistem adalah
125
Salah satu contoh aplikasi produktivitas kantor yang mungkin menangkap informasi pengguna atau sistem dalam dokumen
adalah Microsoft Office. Informasi lebih lanjut tentang topik ini tersedia dari artikel Pangkalan Pengetahuan Microsoft 834427,
terletak di http://support.microsoft.com/default.aspx?scid=kb;en-us;834427.
7-8
perangkat lunak tujuan khusus yang menghapus data yang berkaitan dengan aplikasi tertentu, seperti browser Web,
serta data di lokasi umum, seperti direktori sementara. Penggunaan sebagian besar alat penyembunyian data tidak
mungkin direkam dalam log. Analis harus menyadari kemampuan alat ini sehingga mereka dapat mengidentifikasi alat
tersebut pada sistem dan mengenali efek alat.
7.3 Mengumpulkan Data Aplikasi
Seperti yang dijelaskan dalam Bagian 7.1, data terkait aplikasi dapat ditempatkan di dalam sistem file, data OS yang
mudah menguap, dan lalu lintas jaringan. Bagian 4.2, 5.2, dan 6.3 berisi informasi spesifik tentang pengumpulan data
dari masing-masing sumber ini. Jenis data aplikasi yang mungkin berisi sumber-sumber ini adalah sebagai berikut:
! Sistem file. Sistem file dapat berisi banyak jenis file yang terkait dengan aplikasi, termasuk:
file dan skrip yang dapat dieksekusi, file konfigurasi, file pendukung (misalnya, dokumentasi), log, dan file
data.
! Data OS Volatil. Data OS yang mudah menguap dapat berisi informasi tentang koneksi jaringan yang digunakan
oleh aplikasi, proses aplikasi yang berjalan pada sistem dan argumen baris perintah yang digunakan untuk
setiap proses, dan file yang dibuka oleh aplikasi, serta jenis informasi pendukung lainnya.
! Lalu Lintas Jaringan. Data lalu lintas jaringan yang paling relevan melibatkan koneksi pengguna ke aplikasi
jarak jauh dan komunikasi antara komponen aplikasi pada sistem yang berbeda. Catatan lalu lintas jaringan
lainnya mungkin juga memberikan informasi pendukung, seperti koneksi jaringan untuk pencetakan jarak
jauh dari aplikasi, dan pencarian DNS oleh klien aplikasi atau komponen lain untuk menyelesaikan nama
domain komponen aplikasi ke alamat IP.
Analis sering menghadapi tantangan besar dalam menentukan data mana yang harus dikumpulkan. Dalam banyak
kasus, analis pertama-tama harus memutuskan aplikasi mana yang menarik. Misalnya, adalah umum untuk memiliki
beberapa browser Web dan klien email yang diinstal pada satu sistem. Jika analis diminta untuk mengumpulkan data
tentang penggunaan layanan email organisasi oleh individu, mereka harus memperhatikan semua cara individu dapat
mengakses layanan tersebut. Komputer pengguna dapat berisi tiga klien email yang berbeda, ditambah dua browser
Web yang dapat digunakan untuk mengakses klien email berbasis Web yang disediakan oleh organisasi. Untuk komputer
pengguna, analis dapat dengan mudah mengumpulkan semua data dari komputer dan kemudian menentukan selama
proses pemeriksaan klien mana yang benar-benar digunakan untuk email.
Namun, ada banyak sumber data potensial selain dari komputer pengguna, dan sumber ini mungkin berbeda
berdasarkan klien yang digunakan. Misalnya, penggunaan klien berbasis Web mungkin telah direkam dalam server
Web, firewall, IDS, dan log perangkat lunak pemantauan konten, serta dalam file riwayat browser Web, cache browser
Web, cookie, dan log firewall pribadi. Dalam beberapa situasi, pengumpulan data yang diperlukan mungkin melibatkan
identifikasi semua komponen aplikasi, memutuskan mana yang paling mungkin menarik (berdasarkan detail situasi dan
kebutuhan), menemukan lokasi setiap komponen, dan mengumpulkan data dari komponen tersebut. Bagian 8 berisi
contoh-contoh yang menggambarkan kompleksitas mengidentifikasi komponen dan memprioritaskan pengumpulan
data untuk aplikasi.
7.4 Memeriksa dan Menganalisis Data Aplikasi
Memeriksa dan menganalisis data aplikasi sebagian besar terdiri dari melihat bagian tertentu dari sistem file data
aplikasi, data OS yang mudah menguap, dan lalu lintas jaringan menggunakan alat dan teknik yang dijelaskan dalam
Bagian 4.3 dan 4.4, 5.3, dan 6.4, masing-masing. Pemeriksaan dan analisis mungkin terhambat jika aplikasi tersebut
dibuat khusus, seperti program yang ditulis oleh pengguna; analis tidak mungkin memiliki pengetahuan tentang
aplikasi semacam itu. Masalah lain yang mungkin dalam pemeriksaan melibatkan penggunaan kontrol keamanan
berbasis aplikasi, seperti enkripsi data dan kata sandi. Banyak aplikasi menggunakan kontrol keamanan tersebut
untuk menggagalkan akses tidak sah ke data sensitif oleh pengguna yang berwenang.
7-9
Dalam beberapa kasus, analis menyatukan data aplikasi terkait dari beberapa sumber data aplikasi yang bervariasi;
ini sebagian besar merupakan proses manual. Analisis terperinci dari peristiwa terkait aplikasi dan rekonstruksi
peristiwa biasanya memerlukan analis yang terampil dan berpengetahuan luas yang memahami informasi yang
disajikan oleh semua sumber. Analis dapat meninjau hasil pemeriksaan dan analisis sumber data aplikasi individual
dan melihat bagaimana informasi tersebut cocok bersama. Alat yang dapat membantu analis termasuk perangkat lunak
manajemen peristiwa keamanan (dijelaskan dalam Bagian 6.2.5), yang dapat menghubungkan beberapa peristiwa
terkait aplikasi di antara berbagai sumber data, dan perangkat lunak analisis log (termasuk beberapa jenis perangkat
lunak pendeteksi intrusi berbasis host) , yang dapat dijalankan terhadap jenis log tertentu untuk mengidentifikasi aktivitas
yang mencurigakan. Bagian 8 menunjukkan bagaimana data dari berbagai jenis sumber dapat dikorelasikan melalui
analisis untuk mencapai pandangan yang lebih akurat dan komprehensif tentang apa yang terjadi.
7.5 Rekomendasi
Rekomendasi utama yang disajikan di bagian ini untuk menggunakan data dari aplikasi adalah sebagai berikut:
! Analis harus mempertimbangkan semua kemungkinan sumber data aplikasi. Peristiwa aplikasi mungkin
direkam oleh banyak sumber data yang berbeda. Selain itu, aplikasi dapat digunakan melalui beberapa
mekanisme, seperti beberapa program klien yang diinstal pada sistem dan antarmuka klien berbasis Web.
Dalam situasi seperti itu, analis harus mengidentifikasi semua komponen aplikasi, memutuskan mana yang
paling mungkin menarik, menemukan lokasi setiap komponen yang menarik, dan mengumpulkan data.
! Analis harus menyatukan data aplikasi dari berbagai sumber. Analis harus meninjau hasil pemeriksaan
dan analisis sumber data aplikasi individual dan menentukan bagaimana informasi tersebut cocok bersama,
untuk melakukan analisis rinci tentang kejadian terkait aplikasi dan rekonstruksi kejadian.
7-10
8. Menggunakan Data dari Berbagai Sumber
Bagian 4 sampai 6 menjelaskan pengumpulan, pemeriksaan, dan analisis data dari tiga kategori sumber data:
file data, OS, dan lalu lintas jaringan. Teknik dan proses untuk mengumpulkan, memeriksa, dan menganalisis data
dalam kategori ini pada dasarnya berbeda. Bagian 7 menjelaskan pengumpulan, pemeriksaan, dan analisis data
aplikasi, yang menyatukan tiga kategori sumber data. Misalnya, banyak aplikasi menggunakan file data, mengubah
konfigurasi OS, dan menghasilkan lalu lintas jaringan.
Banyak situasi, seperti insiden keamanan komputer, dapat ditangani paling efektif dengan menganalisis
berbagai jenis sumber data dan menghubungkan peristiwa di seluruh sumber.
Bagian panduan ini menyajikan dua contoh penggunaan berbagai sumber data selama forensik digital.
Setiap contoh menggambarkan skenario, menunjukkan kebutuhan khusus untuk analisis forensik, dan menyajikan
penjelasan tentang bagaimana proses forensik dapat dilakukan. Penjelasannya juga menggambarkan betapa
rumitnya proses itu. Contoh-contoh yang disajikan dalam bagian ini adalah sebagai berikut:
! Menentukan worm mana yang telah menginfeksi sistem dan mengidentifikasi karakteristik worm
! Merekonstruksi urutan peristiwa dunia maya yang melibatkan email yang mengancam.
8.1 Dugaan Infeksi Cacing Layanan Jaringan
Help desk organisasi menerima beberapa panggilan dalam waktu singkat dari pengguna yang mengeluh
tentang server tertentu yang memberikan respons lambat. Meja bantuan mengirimkan tiket masalah ke grup pemantau.
IDS jaringan grup itu baru-baru ini melaporkan beberapa peringatan yang tidak biasa yang melibatkan server,
dan analis yang meninjau peringatan tersebut percaya bahwa mereka mungkin akurat. Data dalam peringatan
menunjukkan bahwa beberapa aktivitas mencurigakan diarahkan ke server, dan server sekarang menghasilkan
aktivitas identik yang diarahkan ke sistem lain. Hipotesis awal analis deteksi intrusi adalah bahwa worm mungkin
telah menyerang layanan jaringan yang rentan dan menginfeksi server, yang sekarang mencoba menginfeksi
sistem lain. Grup pemantau menghubungi penangan insiden yang bertugas untuk menyelidiki kemungkinan insiden
di server.
Untuk insiden tersebut, peran penangan insiden khusus ini adalah untuk menentukan jenis worm yang telah
menginfeksi sistem dan untuk mengidentifikasi karakteristik pembeda dari worm tersebut. Informasi ini sangat
penting untuk kemampuan tim respons insiden untuk secara efektif melakukan aktivitas penahanan, pemberantasan,
dan pemulihan dan untuk mencegah sistem lain dalam organisasi agar tidak terinfeksi. Jika penyelidikan insiden
handler menunjukkan bahwa insiden itu mungkin disebabkan oleh sesuatu selain worm, karakteristik yang
diidentifikasi handler akan sangat membantu dalam menentukan apa yang sebenarnya terjadi.
Informasi mengenai kejadian ini dapat direkam di beberapa tempat yang berbeda. Penangan insiden harus
memeriksa sumber data yang paling mungkin memiliki informasi yang relevan terlebih dahulu, berdasarkan
pengalaman penangan sebelumnya dengan sumber data dan informasi awal yang tersedia mengenai insiden
tersebut. Misalnya, karena sensor IDS jaringan melihat aktivitas yang mencurigakan, sumber data berbasis
jaringan lain yang memantau segmen jaringan yang sama mungkin juga berisi informasi yang relevan. Jika
organisasi menggunakan manajemen kejadian keamanan atau perangkat lunak alat analisis forensik jaringan,
yang menyatukan data dari berbagai sumber, penanganan insiden mungkin dapat mengumpulkan semua
informasi yang diperlukan hanya dengan menjalankan beberapa kueri dari konsol SEM atau NFAT. Jika sumber data
terpusat tidak tersedia, pawang harus memeriksa sumber potensi individu dari karakteristik serangan, seperti berikut
ini:
! ID jaringan. Karena laporan awal insiden dihasilkan oleh sensor IDS jaringan, kemungkinan besar data IDS
jaringan berisi informasi tentang karakteristik dasar dari
8-1
aktivitas jaringan. Minimal, data harus menunjukkan server mana yang diserang dan apa yang
nomor port, yang menunjukkan layanan jaringan mana yang ditargetkan. Mengidentifikasi layanan sangat
penting untuk menemukan kerentanan yang dieksploitasi dan mengembangkan strategi mitigasi untuk mencegah insiden
serupa terjadi pada sistem lain. Dari sudut pandang analisis, mengetahui
layanan yang ditargetkan dan nomor port juga penting karena informasi tersebut dapat digunakan untuk mengidentifikasi
kemungkinan sumber data lain dan untuk menanyakan informasi yang relevan kepada mereka. Beberapa IDS jaringan
penyebaran dapat merekam informasi tambahan yang berguna, seperti data aplikasi (misalnya, permintaan dan
tanggapan Web, header email dan nama lampiran file). Data aplikasi mungkin berisi kata, frasa, atau urutan karakter lain
yang terkait dengan worm tertentu.
! Firewall Berbasis Jaringan. Firewall biasanya dikonfigurasi untuk mencatat upaya koneksi yang diblokir,
termasuk alamat IP dan port tujuan yang dituju. Dengan demikian, firewall mungkin memiliki catatan
aktivitas cacing yang mereka blokir. Beberapa worm mencoba mengeksploitasi beberapa layanan atau layanan
pelabuhan; catatan firewall mungkin menunjukkan bahwa worm benar-benar mencoba membuat koneksi ke at
setidaknya empat nomor port yang berbeda, tetapi firewall memblokir koneksi menggunakan tiga dari
pelabuhan. Informasi ini dapat berguna dalam mengidentifikasi worm. Jika firewall dikonfigurasi untuk
merekam koneksi yang diizinkan, log mereka dapat menunjukkan host mana dalam organisasi yang dimiliki
menerima lalu lintas cacing atau telah terinfeksi dan menghasilkan lalu lintas cacing mereka sendiri. Ini terutama
berguna untuk situasi di mana sensor IDS jaringan tidak memantau semua lalu lintas yang mencapai
firewall. Perangkat perimeter lain yang mungkin dilewati oleh lalu lintas worm, seperti router,
Gateway VPN, dan server akses jarak jauh, dapat merekam informasi yang serupa dengan yang dicatat oleh
firewall berbasis jaringan.
! Host IDS dan Firewall. Produk IDS dan firewall yang berjalan pada sistem yang terinfeksi mungkin berisi informasi yang lebih rinci
daripada IDS jaringan dan produk firewall. Misalnya, host IDS dapat mengidentifikasi perubahan file atau pengaturan konfigurasi
pada host yang dilakukan oleh worm.
Informasi ini berguna tidak hanya dalam perencanaan penahanan, pemberantasan, dan kegiatan pemulihan
dengan menentukan bagaimana worm tersebut mempengaruhi inangnya, tetapi juga dalam mengidentifikasi worm mana yang terinfeksi
sistem. Namun, karena banyak worm menonaktifkan kontrol keamanan berbasis host dan menghancurkan log
entri, data dari host IDS dan perangkat lunak firewall mungkin terbatas atau hilang. Jika perangkat lunak dikonfigurasi untuk
meneruskan salinan lognya ke server log terpusat, maka kueri ke server tersebut dapat memberikan beberapa informasi.
! Perangkat Lunak Antivirus. Karena ancaman mencapai server dan berhasil menembusnya, itu adalah
tidak mungkin perangkat lunak antivirus berbasis jaringan atau host berisi catatan ancaman apa pun. Jika
perangkat lunak antivirus telah mendeteksi worm, seharusnya menghentikannya. Namun, mungkin saja
perangkat lunak antivirus melihat worm tetapi entah bagaimana gagal menghentikannya, atau perangkat lunak antivirus
telah diperbarui sejak infeksi dengan tanda tangan baru yang dapat mengenali worm. Kecelakaan
handler juga dapat memindai server untuk mencari worm menggunakan perangkat lunak antivirus versi terkini dari a
perangkat forensik.
! Log Aplikasi. Jika worm menggunakan protokol aplikasi umum, seperti HTTP atau SMTP,
informasi mengenainya dapat direkam di beberapa tempat, seperti log server aplikasi, server proxy, dan kontrol keamanan
khusus aplikasi. Protokol aplikasi yang kurang umum
mungkin memiliki informasi hanya di log server aplikasi. Catatan log aplikasi ekstensif
detail tentang karakteristik spesifik aplikasi dari aktivitas, dan sangat membantu di
mengidentifikasi karakteristik serangan dari aplikasi yang kurang umum.
Tujuan dalam upaya pengumpulan informasi awal adalah untuk mengidentifikasi karakteristik yang cukup untuk positif
identifikasi cacing. Ini bisa menjadi tantangan, terutama untuk worm yang memiliki lusinan varian; varian ini sering memiliki karakteristik
yang sama tetapi memiliki efek yang berbeda pada sistem. Analis dapat melakukan query pada database malware vendor antivirus, mencari
karakteristik yang teridentifikasi seperti:
8-2
nama produk, nama layanan atau nomor port, string teks di dalam malware, dan file atau pengaturan yang diubah
126
pada sasaran. Hampir semua contoh malware, selain ancaman terbaru (misalnya, dirilis di masa lalu
beberapa jam), kemungkinan akan disertakan dalam database malware utama. Setiap entri basis data biasanya
berisi informasi ekstensif tentang bagaimana worm menyebar, bagaimana pengaruhnya terhadap sistem (misalnya, apa yang mengubahnya
membuat), dan bagaimana hal itu dapat diberantas, termasuk langkah-langkah mengenai pencegahan infeksi pada
sistem.
Jika pencarian database malware tidak mengarah pada identifikasi worm, maka incident handler
mungkin perlu melakukan penelitian dan analisis tambahan untuk menemukan informasi yang biasanya diberikan oleh
entri basis data malware. Meskipun organisasi dapat mengirim salinan worm ke vendor antivirus organisasi untuk analisis dan
identifikasi, organisasi harus melakukan analisisnya sendiri dalam
Sementara itu, karena kerangka waktu untuk tanggapan vendor tidak diketahui. Untuk mengumpulkan informasi lebih lanjut,
Analis dapat memeriksa infeksi melalui metode berikut:
! Keadaan Tuan Rumah Saat Ini. Analis dapat memeriksa host untuk melihat beberapa aspek dari keadaan saat ini.
Dalam hal ini, mungkin paling efektif untuk memeriksa koneksi jaringan
daftar untuk mengidentifikasi koneksi yang tidak biasa (misalnya, jumlah besar, penggunaan nomor port yang tidak terduga,
host tak terduga) dan port mendengarkan tak terduga (misalnya, backdoors dibuat oleh worm). Lainnya
langkah-langkah yang mungkin berguna termasuk mengidentifikasi proses yang tidak diketahui dalam daftar proses yang sedang berjalan dan
memeriksa log host untuk mengungkapkan entri yang tidak biasa yang mungkin terkait dengan infeksi.
! Aktivitas Jaringan Host. Analis dapat mengumpulkan lalu lintas worm yang dihasilkan oleh yang terinfeksi
server melalui packet sniffer dan penganalisa protokol. Ini dapat memberikan informasi tambahan yang cukup
mengenai karakteristik worm untuk memungkinkan analis untuk menemukannya di major
database malware.
Insiden cacing sering kali memerlukan respon secepat mungkin, karena sistem yang terinfeksi mungkin
menyerang sistem lain di dalam dan di luar organisasi. Selain itu, worm sering memasang pintu belakang
dan alat lain pada sistem yang memungkinkan penyerang mendapatkan akses jarak jauh ke sistem yang terinfeksi, yang dapat
membuat kerusakan tambahan. Oleh karena itu, organisasi dapat memilih untuk memutuskan sistem yang terinfeksi dari
jaringan segera, alih-alih melakukan pengumpulan data untuk host terlebih dahulu. Langkah ini mungkin berhasil
jauh lebih sulit bagi analis untuk mengidentifikasi worm dan untuk menentukan efeknya pada sistemófor
misalnya, jika sistem terputus dari jaringan, aktivitas jaringan dan aspek tertentu dari status host tidak akan tersedia. Dalam kasus
seperti itu, analis mungkin perlu melakukan forensik yang lebih rinci
analisis server, seperti mengumpulkan sistem filenya dan memeriksanya untuk tanda-tanda aktivitas jahat (misalnya, sistem
yang dapat dieksekusi yang diubah) untuk menentukan dengan tepat apa yang terjadi pada server. Analis juga dapat memeriksa
karakteristik non-volatile dari OS server, seperti mencari tingkat administratif
akun pengguna dan grup yang mungkin telah ditambahkan oleh worm. Pada akhirnya, analis harus mengumpulkan
informasi yang cukup untuk mengidentifikasi perilaku worm dengan cukup detail untuk memungkinkan respons insiden
tim untuk bertindak secara efektif untuk menahan, memberantas, dan memulihkan dari insiden tersebut.
8.2 Email Mengancam
Penangan insiden menanggapi permintaan bantuan dengan penyelidikan internal. Seorang karyawan memiliki
telah dituduh mengirim email ancaman kepada karyawan lain melalui email organisasi
sistem. Penangan insiden telah diminta untuk membantu penyelidik menemukan semua sumber data yang mungkin berisi:
126
Basis data malware dikelola oleh beberapa vendor, termasuk Computer Associates
(http://www3.ca.com/securityadvisor/virusinfo/default.aspx), F-Secure (http://www.f-secure.com/virus-info/), Network
Associates (http://vil.nai.com/vil/default.aspx), Sophos (http://www.sophos.com/virusinfo/analyses/), Symantec
(http://securityresponse.symantec.com/avcenter/vinfodb.html), dan Trend
Micro (http://www.trendmicro.com/vinfo/virusencyclo/).
8-3
catatan email. Informasi ini akan membantu penyidik dalam menentukan siapa yang mengirim email. Karena email dapat
dipalsukan dengan mudah, penting untuk menggunakan semua sumber data yang tersedia untuk merekonstruksi urutan kejadian
untuk membuat, mengirim, dan menerima email. Juga, penangan insiden perlu
melakukan semua pekerjaan menggunakan alat, teknik, dan prosedur yang sehat secara forensik, dan untuk mendokumentasikan semua tindakan
dilakukan.
Email yang mengancam adalah kunci penyelidikan, dan tajuknya berisi informasi paling penting
kepada penangan insiden. Ini harus berisi nama domain dan alamat IP dari host yang mengirim email, jenis klien email yang
digunakan untuk mengirim email, ID pesan email, dan tanggal dan waktu pengiriman.
email telah dikirim. Header email juga harus mencantumkan setiap server email (nama domain dan alamat IP) yang
127 Karena email
pesan yang dikirimkan dan tanggal serta waktu setiap server memproses email.
seharusnya dikirim menggunakan sistem email organisasi, header email seharusnya hanya mencantumkan sistem di dalam
organisasi. Dengan asumsi bahwa ini adalah kasusnya, penanganan insiden dapat memeriksa setiap sistem di
daftar untuk menghubungkan informasi.
Karena pentingnya e-mail yang mengancam, penanganan insiden harus fokus terlebih dahulu pada pengumpulan
salinan email, termasuk header-nya. Tergantung pada jenis klien email yang digunakan oleh penerima dan
konfigurasinya, email mungkin telah diunduh ke workstation penerima, atau mungkin tetap ada
di server email. Mungkin juga email tersebut masih tersimpan di kedua lokasi tersebut. Kecelakaan
pawang harus mengumpulkan salinan e-mail dari berbagai sumber, jika memungkinkan, untuk memastikan bahwa isi e-mail tidak
berubah dalam perjalanan atau oleh penerima.
Setelah meninjau header, penangan insiden selanjutnya harus mengumpulkan lebih banyak informasi tentang pengiriman
email. Header harus mencantumkan alamat IP dan klien email yang digunakan oleh pengirim; kecelakaan
handler harus menentukan host mana yang menggunakan alamat IP tersebut pada saat email dikirim. Ada
tiga kemungkinan untuk alamat IP:
! Klien Email Lokal. Dalam hal ini, penanganan insiden harus dapat menggunakan catatan jaringan,
seperti log DHCP, untuk mengidentifikasi desktop, laptop, PDA, atau perangkat lain yang digunakan untuk mengirim email.
Penangan insiden kemudian dapat membuat gambar dari perangkat yang diidentifikasi dan memeriksa salinan gambar
untuk mencari malware dan catatan yang terkait dengan email. Misalnya, klien email mungkin
dikonfigurasi untuk menyimpan salinan setiap email yang dikirim, atau pengguna mungkin telah menyimpan draf dari
pesan email. Jika pesan tidak dapat ditemukan utuh pada sistem, kumpulkan data dari
memori perangkat dan sistem file, termasuk file yang dihapus dan file sementara, dapat menyebabkan:
identifikasi fragmen email. Selain itu, kontrol keamanan pada perangkat, seperti
pemfilteran spam dan perangkat lunak antivirus, mungkin telah memindai email keluar dan mencatatnya
catatan itu. Mungkin juga, tetapi tidak mungkin, bahwa salinan email disimpan di email
server. Selain mencari catatan email di host lokal, penangan insiden
harus menganalisis catatan otentikasi pada host untuk menentukan akun pengguna mana yang digunakan
saat email dikirim.
! Klien Email Berbasis Server. Jika organisasi menawarkan klien berbasis server, seperti Web
antarmuka email berbasis, maka alamat IP mungkin sesuai dengan server itu. Biasanya, penggunaan
server semacam itu mengharuskan pengguna untuk mengotentikasi diri mereka sendiri, jadi mungkin ada catatan
otentikasi yang menunjukkan kapan pengirim yang diduga masuk ke server dan alamat IP pengguna
sistem sedang menggunakan. Penangan insiden kemudian dapat menentukan sistem mana yang ditetapkan IP itu
alamat pada saat itu, melakukan pencitraan aliran bit untuk sistem yang diidentifikasi, dan memeriksa salinan dari
127
Di dalam header email, catatan ini disimpan dalam urutan terbalik, jadi catatan terbaru muncul pertama dan terakhir
rekor terjadi terakhir. Jika email telah dipalsukan, catatan palsu adalah yang paling baru, sehingga akan muncul terakhir di
header.
8-4
gambar untuk malware dan email. Misalnya, file sementara dari browser Web mungkin berisi salinan isi email.
! Dipalsukan. Jika alamat IP dibuat-misalnya, jika itu bukan alamat yang valid dalam jaringan organisasi-
penangan insiden harus bergantung pada sumber data lain untuk mengidentifikasi host yang benar-benar
mengirim pesan email.
Server email organisasi adalah sumber informasi lain yang mungkin. Setiap alamat IP server yang tercantum
dalam header email harus berisi beberapa catatan email, termasuk nilai ID pesan, yang harus memfasilitasi identifikasi
cepat catatan terkait. Seperti disebutkan sebelumnya, server email terakhir dalam daftar mungkin berisi salinan email.
Cadangan dari server tersebut mungkin berisi salinan email, tetapi hanya jika disimpan di sana untuk pengiriman selama
beberapa jam atau lebih. Layanan lain yang terkait dengan email, seperti perangkat lunak antivirus dan filter spam, mungkin
juga berisi catatan dasar aktivitas email, tetapi tidak mungkin berisi banyak detail. Sumber informasi lain yang mungkin
adalah catatan otentikasi. Meskipun beberapa server email mengharuskan pengguna untuk mengautentikasi untuk mengirim
email, mereka biasanya memerlukan otentikasi untuk mengirimkan email ke pengguna. Karena pengguna sering mengirim
dan menerima email selama satu sesi, log otentikasi mungkin berisi catatan untuk menerima email yang dapat membantu
dalam menentukan siapa yang mungkin telah mengirim email tertentu.
Sumber informasi lain yang mungkin adalah catatan lalu lintas jaringan yang dihasilkan dengan mengirim atau
menerima email. Paket sniffer atau alat analisis forensik jaringan yang memantau aktivitas jaringan mungkin telah
menangkap aktivitas tersebut, termasuk alamat IP sebenarnya dari host pengirim atau penerima, konten dan header
email, dan aktivitas autentikasi terkait apa pun.
Pada akhirnya, penanganan insiden harus mengidentifikasi host yang digunakan untuk mengirim dan menerima email,
serta semua host perantara yang mentransfer email dari pengirim ke penerima. Penangan insiden harus mengumpulkan
salinan e-mail dan informasi pendukung dari setiap host yang relevan dan, dengan menggunakan stempel waktu dalam
catatan, harus membuat ulang urutan kejadian dari perspektif dunia maya. Misalnya, urutan yang mungkin adalah sebagai
berikut:
Seorang pengguna masuk ke komputer desktop tertentu pada pukul 08:37 Pada pukul 10:02,
email ancaman dikirim dari komputer tersebut menggunakan klien email bawaannya. Email
melewati tiga server email organisasi dan disimpan di Server 4 untuk menunggu pengambilan oleh
penerima yang dituju. Pengguna penerima masuk ke komputer laptop tertentu pada pukul 11:20
dan mengunduh e-mail, termasuk e-mail yang mengancam, pada pukul 11:23 Isi e-mail di komputer
penerima, serta yang disediakan pengguna bidang header (misalnya, Dari, Kepada, Subjek), identik
dengan salinan yang disimpan dalam folder Terkirim pada komputer desktop pengguna pertama.
Informasi ini dapat digunakan sebagai dasar untuk penyelidikan lebih lanjut; meskipun mendokumentasikan aktivitas dunia
maya, itu tidak menceritakan keseluruhan cerita. Misalnya, tidak dapat menentukan orang mana yang sebenarnya mengirim
email dari komputer desktop, hanya akun pengguna mana yang digunakan saat itu. Penangan insiden dapat menganalisis
komputer desktop yang bersangkutan untuk memverifikasi integritasnya, seperti membandingkan pengaturan dan kontrol
keamanannya dengan pengaturan dasar organisasi, memeriksa pengaturan jamnya, dan memeriksa sistem untuk tanda-
tanda kompromi dan pelanggaran keamanan lainnya.
8.3 Rekomendasi
Rekomendasi utama yang disajikan di bagian ini untuk menggunakan data dari berbagai sumber adalah sebagai berikut:
! Analis dapat menangani banyak situasi secara paling efektif dengan menganalisis beberapa data individu
sumber dan kemudian menghubungkan peristiwa di antara mereka. Teknik dan proses untuk mengumpulkan,
8-5
memeriksa, dan menganalisis berbagai jenis sumber data pada dasarnya berbeda. Banyak aplikasi memiliki
data yang diambil dalam file data, OS, dan lalu lintas jaringan.
! Organisasi harus menyadari kompleksitas teknis dan logistik dari analisis. SEBUAH
peristiwa tunggal dapat menghasilkan catatan pada banyak sumber data yang berbeda dan menghasilkan lebih
banyak informasi daripada yang dapat ditinjau oleh analis. Alat seperti SEM dapat membantu analis dengan membawa
informasi dari banyak sumber data bersama-sama di satu tempat.
8-6
Lampiran AóRekomendasi
Lampiran A menyatakan kembali rekomendasi utama yang disajikan dalam Bagian 2 sampai 8 dari publikasi ini.
Rekomendasi kelompok pertama berlaku untuk mengatur kemampuan forensik. Rekomendasi yang tersisa telah
dikelompokkan berdasarkan fase proses forensik: pengumpulan, pemeriksaan,
analisis, dan pelaporan.
A.1 Mengatur Kemampuan Forensik
! Organisasi harus memiliki kemampuan untuk melakukan forensik komputer dan jaringan.
Forensik diperlukan untuk berbagai tugas dalam suatu organisasi, termasuk menyelidiki kejahatan dan
perilaku yang tidak pantas, merekonstruksi insiden keamanan komputer, pemecahan masalah operasional
masalah, mendukung uji tuntas untuk pemeliharaan catatan audit, dan pemulihan dari kecelakaan
kerusakan sistem. Tanpa kemampuan seperti itu, suatu organisasi akan kesulitan menentukan apa yang
peristiwa telah terjadi dalam sistem dan jaringannya, seperti eksposur yang dilindungi, sensitif
data. Selain itu, menangani bukti dengan cara yang baik secara forensik menempatkan pengambil keputusan pada posisi di mana
mereka dapat dengan percaya diri mengambil tindakan yang diperlukan.
A.1.1 Peserta Forensik
! Organisasi harus menentukan pihak mana yang harus menangani setiap aspek forensik. Sebagian besar organisasi
mengandalkan kombinasi staf mereka sendiri dan pihak eksternal untuk melakukan forensik
tugas. Organisasi harus memutuskan pihak mana yang harus menangani tugas mana yang didasarkan pada keterampilan
dan kemampuan, biaya, waktu respons, dan sensitivitas data.
! Analis harus memiliki pengetahuan teknis yang cukup komprehensif. Karena alat saat ini
memiliki kemampuan analisis yang agak terbatas, analis harus terlatih, berpengalaman, dan
berpengetahuan luas dalam prinsip-prinsip jaringan, jaringan umum dan protokol aplikasi, jaringan
dan produk keamanan aplikasi, serta ancaman dan metode serangan berbasis jaringan.
! Tim penanganan insiden harus memiliki kemampuan forensik yang kuat. Lebih dari satu tim
anggota harus dapat melakukan setiap aktivitas forensik yang khas. Latihan langsung dan kursus pelatihan TI dan
forensik dapat membantu dalam membangun dan memelihara keterampilan, seperti halnya demonstrasi
dari alat dan teknologi baru.
! Banyak tim dalam suatu organisasi harus berpartisipasi dalam forensik. Performa individu
tindakan forensik harus dapat menjangkau tim dan individu lain dalam suatu organisasi,
sesuai kebutuhan, untuk bantuan tambahan. Contoh tim yang dapat memberikan bantuan dalam hal ini
upaya termasuk profesional TI, manajemen, penasihat hukum, personel sumber daya manusia,
auditor, dan staf keamanan fisik. Anggota tim ini harus memahami peran mereka dan
tanggung jawab dalam forensik, menerima pelatihan dan pendidikan tentang kebijakan terkait forensik,
pedoman, dan prosedur, dan bersiaplah untuk bekerja sama dengan dan membantu orang lain di bidang forensik
tindakan.
A.1.2 Kebijakan, Pedoman, dan Prosedur Forensik
! Pertimbangan forensik harus ditangani dengan jelas dalam kebijakan. Pada tingkat tinggi, kebijakan
harus memungkinkan personel yang berwenang untuk memantau sistem dan jaringan dan melakukan investigasi
untuk alasan yang sah dalam keadaan yang sesuai. Organisasi mungkin juga memiliki
kebijakan forensik untuk penangan insiden dan orang lain dengan peran forensik yang memberikan aturan yang
lebih rinci untuk perilaku yang sesuai. Setiap orang yang mungkin dipanggil untuk membantu forensik apa pun
A-1
upaya harus akrab dengan dan memahami kebijakan forensik. Pertimbangan kebijakan tambahan
adalah sebagai berikut:
Kebijakan forensik harus secara jelas mendefinisikan peran dan tanggung jawab semua orang yang melakukan atau
membantu kegiatan forensik organisasi. Kebijakan tersebut harus mencakup semua pihak internal dan eksternal
yang mungkin terlibat dan harus dengan jelas menunjukkan siapa yang harus menghubungi pihak mana dalam
keadaan yang berbeda.
Kebijakan , pedoman, dan prosedur organisasi harus dengan jelas menjelaskan tindakan forensik apa yang harus
dan tidak boleh dilakukan dalam keadaan normal dan khusus dan harus membahas penggunaan alat dan
teknik anti-forensik. Kebijakan, pedoman, dan prosedur juga harus menangani penanganan paparan informasi
sensitif yang tidak disengaja.
Memasukkan pertimbangan forensik ke dalam siklus hidup sistem informasi dapat menghasilkan lebih banyak
penanganan yang efisien dan efektif dari banyak insiden.
Kebijakan organisasi harus menangani pengungkapan yang tidak disengaja dan penyimpanan jangka panjang dari
informasi sensitif yang ditangkap oleh alat forensik, dan harus memastikan bahwa ini tidak melanggar privasi
organisasi atau kebijakan penyimpanan data.
Kebijakan organisasi juga harus membahas pemantauan jaringan, serta

membutuhkan spanduk peringatan pada sistem yang menunjukkan bahwa aktivitas mungkin dipantau.
Kebijakan harus mempertimbangkan ekspektasi yang wajar dari privasi pengguna.
! Organisasi harus membuat dan memelihara pedoman dan prosedur untuk melakukan tugas forensik.
Pedoman harus mencakup metodologi umum untuk menyelidiki insiden menggunakan teknik forensik, dan
prosedur langkah demi langkah harus menjelaskan bagaimana melakukan tugas rutin. Pedoman dan prosedur
harus mendukung diterimanya bukti ke dalam proses hukum. Karena catatan elektronik dan catatan lain dapat
diubah atau dimanipulasi, organisasi harus siap, melalui kebijakan, pedoman, dan prosedur mereka, untuk
menunjukkan keandalan dan integritas catatan tersebut. Pedoman dan prosedur juga harus ditinjau secara teratur
dan dipelihara agar akurat.
A.1.3 Persiapan Teknis
! Analis harus memiliki perangkat forensik untuk pengumpulan, pemeriksaan, dan analisis data. Ini harus
berisi berbagai alat yang menyediakan kemampuan untuk mengumpulkan dan memeriksa data yang mudah
menguap dan tidak mudah menguap dan untuk melakukan tinjauan cepat terhadap data serta analisis mendalam.
Toolkit harus memungkinkan aplikasinya dijalankan dengan cepat dan efisien dari media yang dapat dipindahkan
(misalnya, floppy disk, CD) atau workstation forensik.
! Organisasi harus menyediakan penyimpanan yang memadai untuk log terkait aktivitas jaringan.
Organisasi harus memperkirakan penggunaan log tipikal dan puncak, menentukan berapa jam atau hari nilai data
yang harus disimpan berdasarkan kebijakan organisasi, dan memastikan bahwa sistem dan aplikasi memiliki
penyimpanan yang cukup tersedia. Log yang terkait dengan insiden keamanan komputer mungkin perlu disimpan
untuk jangka waktu yang jauh lebih lama daripada log lainnya.
A.2 Melakukan Proses Forensik
! Organisasi harus melakukan forensik menggunakan proses yang konsisten. Panduan ini menyajikan
proses forensik empat fase, dengan fase pengumpulan, pemeriksaan, analisis, dan pelaporan. Rincian yang tepat
dari fase dapat bervariasi berdasarkan kebutuhan forensik.
A-2
A.2.1 Pengumpulan Data
! Organisasi harus proaktif dalam mengumpulkan data yang berguna. Mengonfigurasi audit pada OS, menerapkan
pencatatan terpusat, melakukan pencadangan sistem secara teratur, dan menggunakan kontrol pemantauan
keamanan, semuanya dapat menghasilkan sumber data untuk upaya forensik di masa mendatang.
! Analis harus menyadari berbagai kemungkinan sumber data. Analis harus dapat mensurvei area fisik dan
mengenali kemungkinan sumber data. Analis juga harus memikirkan kemungkinan sumber data yang terletak di
tempat lain di dalam organisasi dan di luar organisasi.
Analis harus siap untuk menggunakan sumber data alternatif jika tidak layak untuk mengumpulkan data dari sumber
utama.
! Analis harus mempertimbangkan semua kemungkinan sumber data aplikasi. Peristiwa aplikasi mungkin direkam
oleh banyak sumber data yang berbeda. Selain itu, aplikasi dapat digunakan melalui beberapa mekanisme, seperti
beberapa program klien yang diinstal pada sistem dan antarmuka klien berbasis Web. Dalam situasi seperti itu,
analis harus mengidentifikasi semua komponen aplikasi, memutuskan mana yang paling mungkin menarik,
menemukan lokasi setiap komponen yang menarik, dan memperoleh data.
! Analis harus melakukan pengumpulan data menggunakan proses standar. Langkah-langkah yang direkomendasikan
adalah mengidentifikasi sumber data, mengembangkan rencana untuk memperoleh data, memperoleh data, dan
memverifikasi integritas data. Rencana tersebut harus memprioritaskan sumber data, menetapkan urutan perolehan
data, berdasarkan kemungkinan nilai data, volatilitas data, dan jumlah upaya yang diperlukan. Sebelum pengumpulan
data dimulai, keputusan harus dibuat oleh analis atau manajemen mengenai kebutuhan untuk mengumpulkan dan
melestarikan bukti dengan cara yang mendukung penggunaannya dalam proses hukum atau disiplin internal di masa
mendatang. Dalam situasi seperti itu, rantai pengawasan yang jelas harus diikuti untuk menghindari tuduhan kesalahan
penanganan atau perusakan bukti.
! Analis harus bertindak dengan tepat untuk melestarikan data OS yang mudah menguap. Kriteria untuk menentukan
apakah data OS yang mudah menguap harus disimpan harus didokumentasikan terlebih dahulu sehingga analis dapat
membuat keputusan yang tepat secepat mungkin. Untuk menentukan apakah upaya yang diperlukan untuk
mengumpulkan data OS volatil diperlukan, risiko yang terkait dengan pengumpulan tersebut harus dipertimbangkan
terhadap potensi pemulihan informasi penting.
! Analis harus menggunakan toolkit forensik untuk mengumpulkan data OS yang mudah menguap. Penggunaan
perangkat forensik memungkinkan pengumpulan data OS yang akurat sambil meminimalkan gangguan pada sistem
dan melindungi alat dari perubahan. Analis harus mengetahui bagaimana setiap alat akan mempengaruhi atau
mengubah sistem selama pengumpulan data.
! Analis harus memilih metode shutdown yang sesuai untuk setiap sistem. Setiap cara mematikan OS tertentu
dapat menyebabkan berbagai jenis data disimpan atau rusak; analis harus menyadari perilaku shutdown khas
setiap OS.
! Analis harus menjaga dan memverifikasi integritas file. Menggunakan pemblokir tulis selama pencadangan dan
pencitraan mencegah komputer menulis ke media penyimpanannya. Integritas data yang disalin harus diverifikasi
dengan menghitung dan membandingkan intisari pesan dari file. Cadangan dan gambar harus diakses sebagai
hanya-baca bila memungkinkan; write-blocker juga dapat digunakan untuk mencegah penulisan ke file cadangan
atau gambar atau cadangan atau gambar yang dipulihkan.
A-3
A.2.2 Pemeriksaan dan Analisis
! Analis harus menggunakan pendekatan metodis untuk mempelajari data. Landasan forensik adalah menggunakan
pendekatan metodis dalam menganalisis data yang tersedia sehingga analis dapat menarik kesimpulan yang tepat
berdasarkan data yang tersedia, atau menentukan bahwa belum ada kesimpulan yang dapat ditarik. Jika bukti mungkin
diperlukan untuk tindakan disipliner hukum atau internal, analis harus hati-hati mendokumentasikan temuan dan
langkah-langkah yang diambil.
! Analis harus memeriksa salinan file, bukan file asli. Selama fase pengumpulan, analis harus membuat banyak salinan
dari file atau sistem file yang diinginkan, biasanya salinan master dan salinan kerja. Analis kemudian dapat bekerja
dengan copy pekerjaan file tanpa mempengaruhi file asli atau master copy. Gambar aliran bit harus dilakukan jika bukti
mungkin diperlukan untuk penuntutan atau tindakan disipliner, atau jika menjaga waktu file penting.
! Analis harus mempertimbangkan kesetiaan dan nilai setiap sumber data. Analis harus lebih percaya pada
sumber data asli daripada sumber data yang menerima data yang dinormalisasi dari sumber lain. Analis harus
memvalidasi data yang tidak biasa atau tidak terduga yang didasarkan pada interpretasi data, seperti peringatan IDS
dan SEM.
! Analis harus mengandalkan header file, bukan ekstensi file, untuk mengidentifikasi tipe konten file.
Karena pengguna dapat menetapkan ekstensi file apa pun ke file, analis tidak boleh berasumsi bahwa
ekstensi file akurat. Analis dapat mengidentifikasi jenis data yang disimpan dalam banyak file dengan memeriksa
header file mereka. Meskipun orang dapat mengubah header file untuk menyembunyikan jenis file yang sebenarnya,
ini jauh lebih jarang terjadi daripada mengubah ekstensi file.
! Analis umumnya harus fokus pada karakteristik dan dampak dari peristiwa tersebut. Menentukan identitas
penyerang dan tindakan serupa lainnya biasanya memakan waktu lama dan sulit dilakukan, dan tidak membantu
organisasi dalam memperbaiki masalah operasional atau kelemahan keamanan. Menetapkan identitas dan niat
penyerang mungkin penting, terutama jika penyelidikan kriminal akan terjadi, tetapi itu harus dipertimbangkan dengan
tujuan penting lainnya.
! Organisasi harus menyadari kompleksitas teknis dan logistik dari analisis. SEBUAH
peristiwa tunggal dapat menghasilkan catatan pada banyak sumber data yang berbeda dan menghasilkan lebih
banyak informasi daripada yang dapat ditinjau oleh analis. Alat seperti SEM dapat membantu analis dengan membawa
informasi dari banyak sumber data bersama-sama di satu tempat.
! Analis harus mengumpulkan data dari berbagai sumber. Analis harus meninjau hasil pemeriksaan dan analisis
sumber data individu, seperti file data, OS, dan lalu lintas jaringan, dan menentukan bagaimana informasi tersebut
cocok bersama, untuk melakukan analisis rinci tentang kejadian terkait aplikasi dan rekonstruksi kejadian.
A.2.3 Pelaporan
! Analis harus meninjau proses dan praktik mereka. Tinjauan tindakan forensik saat ini dan baru-baru ini dapat
membantu mengidentifikasi kekurangan kebijakan, kesalahan prosedural, dan masalah lain yang mungkin perlu
diperbaiki, serta memastikan bahwa organisasi tetap mengikuti tren teknologi dan perubahan hukum.
A-4
Lampiran BóSkenario
Latihan meja yang berfokus pada bagaimana alat dan teknik forensik dapat digunakan dalam berbagai skenario
memberikan cara yang murah dan efektif untuk membangun dan memelihara keterampilan dan mengidentifikasi masalah
dengan pedoman, prosedur, dan kebijakan. Peserta latihan meninjau skenario singkat dan kemudian diberikan beberapa
pertanyaan terkait dengan skenario tersebut. Para peserta mendiskusikan setiap pertanyaan dan merumuskan jawaban
berdasarkan apa yang sebenarnya akan mereka lakukan dalam situasi tersebut. Tanggapan tersebut kemudian
dibandingkan dengan kebijakan, prosedur, dan pedoman organisasi untuk mengidentifikasi setiap perbedaan atau
kekurangan. Misalnya, jawaban atas satu pertanyaan mungkin menunjukkan bahwa tindakan forensik akan tertunda karena
peserta tidak memiliki perangkat lunak tertentu dan tim tertentu dalam organisasi tidak memberikan dukungan di luar jam
kerja.
Bagian B.1 berisi daftar pertanyaan umum yang dapat diterapkan pada hampir semua skenario. Bagian B.2 berisi beberapa
contoh skenario, beberapa di antaranya diikuti oleh pertanyaan khusus skenario tambahan.
Organisasi didorong untuk mengadaptasi pertanyaan dan skenario ini untuk digunakan dalam latihan mereka sendiri.
B.1 Pertanyaan Skenario
1. Apa saja potensi sumber data?
2. Dari sumber data potensial, mana yang paling mungkin mengandung informasi bermanfaat dan
mengapa?
3. Sumber data mana yang akan diperiksa terlebih dahulu dan mengapa?
4. Alat dan teknik forensik mana yang kemungkinan besar akan digunakan? Alat apa lagi dan
teknik mungkin juga digunakan?
5. Kelompok dan individu mana dalam organisasi yang mungkin akan terlibat dalam forensik?
kegiatan?
6. Komunikasi apa dengan pihak eksternal yang mungkin terjadi, jika ada?
7. Dari sudut pandang forensik, apa yang akan dilakukan secara berbeda jika skenario terjadi pada hari yang
berbeda atau pada waktu yang berbeda (jam reguler versus jam tidak aktif)?
8. Dari sudut pandang forensik, apa yang akan dilakukan secara berbeda jika skenario terjadi pada a
lokasi fisik yang berbeda (onsite versus offsite)?
B.2 Skenario
Skenario 1: Kemungkinan Serangan DDoS
Pada hari Sabtu sore, pengguna eksternal mulai mengalami masalah dalam mengakses situs Web publik organisasi.
Selama satu jam berikutnya, masalah memburuk ke titik di mana hampir setiap upaya untuk mengakses salah satu situs
Web publik organisasi gagal. Sementara itu, seorang anggota staf jaringan organisasi merespons peringatan yang dibuat
secara otomatis dari router perbatasan Internet dan menentukan bahwa sebagian besar bandwidth Internet organisasi
digunakan oleh paket User Datagram Protocol (UDP) dalam volume yang luar biasa besar ke dan dari kedua Domain Name
System (DNS) publik organisasi
server.
B-1
Berikut ini adalah pertanyaan tambahan untuk skenario ini:
1. Bagaimana aktivitas forensik berubah jika serangan DDoS tampaknya berasal dari a
jaringan dalam keadaan berbeda? Di negara yang berbeda?
2. Bagaimana aktivitas forensik berubah jika serangan DDoS tampaknya berasal dari jaringan mitra bisnis?
Skenario 2: Masalah Pembayaran Online
Selama seminggu, jumlah panggilan telepon yang masuk ke saluran bantuan organisasi untuk presentasi tagihan online dan
pembayaran meningkat 400 persen. Sebagian besar penelepon mengeluh karena harus mengirim ulang informasi
pembayaran beberapa kali, dan banyak yang tidak dapat menyelesaikan pembayaran mereka.
1. Masalah dapat disebabkan oleh penyebab non-teknis, seperti kurangnya instruksi yang jelas untuk pengguna baru.
Bagaimana aspek teknis dan non-teknis investigasi harus dikoordinasikan dan diseimbangkan?
2. Bagaimana pertimbangan privasi mempengaruhi penggunaan alat dan teknik forensik?
3. Bagaimana alat dan teknik forensik digunakan jika pengembang aplikasi yakin bahwa masalah operasional
menyebabkan masalah?
Skenario 3: Titik Akses Nirkabel Tidak Dikenal
Pada Senin pagi, meja bantuan organisasi menerima panggilan dari lima pengguna di lantai yang sama dari sebuah gedung
yang menyatakan bahwa mereka mengalami masalah dengan akses nirkabel mereka. Seorang administrator jaringan yang
diminta untuk membantu memecahkan masalah membawa laptop dengan kemampuan nirkabel ke lantai pengguna. Saat dia
melihat konfigurasi jaringan nirkabelnya, dia memperhatikan bahwa ada titik akses nirkabel baru yang terdaftar sebagai
tersedia. Berdasarkan pengaturan konfigurasi tidak aman yang ditransmisikan oleh titik akses, administrator tidak percaya
bahwa timnya menyebarkannya.
1. Jenis alat forensik apa yang mungkin digunakan untuk menemukan titik akses secara terbuka? Diam-diam?
2. Bagaimana aktivitas forensik berubah jika ditentukan bahwa titik akses digunakan untuk tujuan bisnis yang sah, seperti
pekerjaan sementara di kantor oleh kontraktor?
3. Bagaimana aktivitas forensik akan berubah jika ditentukan bahwa individu yang tidak dikenal memiliki?
telah terlihat menyebarkan titik akses?
Skenario 4: Host yang Terinfeksi Ulang
Selama 2 minggu terakhir, pengguna harus menghapus virus yang sama dari komputer laptop dua kali, dan pengguna
sekarang melaporkan gejala yang sama lagi. Staf dukungan teknis yang menangani infeksi sebelumnya mengkonfirmasi
bahwa perangkat lunak antivirus di komputer diaktifkan dan diperbarui dan tidak dapat menentukan bagaimana virus
menginfeksi ulang komputer.
B-2
1. Sumber data lain apa yang mungkin terlihat dengan melakukan survei visual di kantor pengguna?
2. Apa kemungkinan sumber data yang paling mungkin di luar kantor pengguna?
3. Pertimbangan hukum apa yang harus diperhatikan oleh analis jika mereka ingin memeriksa sumber data?
yang tidak dimiliki organisasi?
Skenario 5: Identitas yang Salah
Dalam 24 jam terakhir, dua karyawan di organisasi telah melaporkan pembelian palsu yang dibebankan
ke kartu kredit yang dikeluarkan organisasi mereka. Organisasi sering membeli barang dari perusahaan yang
menjual barang-barang dalam transaksi yang dipertanyakan. Sebuah penilaian lanjutan menunjukkan bahwa biaya untuk
kartu kredit organisasi di seluruh organisasi telah meningkat sebesar 30 persen dalam 3 hari terakhir.
1. Bagaimana alat dan teknik forensik dapat membantu analis menentukan apa yang telah terjadi (mis
karyawan individu dalam organisasi menjadi korban pencurian identitas, bahwa sumber daya keuangan telah
dikorupsi)?
2. Masalah privasi apa yang harus dipertimbangkan dalam menyelidiki transaksi keuangan karyawan?
Skenario 6: Penghemat Layar yang Tidak Diinginkan
Help desk organisasi baru saja menerima beberapa panggilan dari pengguna yang mengeluh bahwa screen saver
menggambarkan pemandangan pastoral aktif saat mereka bekerja di depan komputer mereka. Penghemat layar
mengharuskan setiap pengguna untuk mengirimkan kata sandinya untuk membuka kunci screen saver dan melanjutkan pekerjaan. Pada
pada saat yang sama, sistem deteksi intrusi jaringan organisasi melaporkan beberapa peringatan yang tidak biasa yang melibatkan
sebuah webserver. Data dalam peringatan menunjukkan bahwa beberapa aktivitas mencurigakan diarahkan ke server, dan
server sekarang menghasilkan aktivitas serupa yang diarahkan ke sistem lain. Hipotesis awal analis deteksi intrusi adalah bahwa
worm mungkin telah menyerang layanan jaringan yang rentan di server Web.
1. Mengingat sifat sensitif waktu dari skenario ini, bagaimana seharusnya analis memprioritaskan tindakan mereka?
2. Bagaimana penggunaan alat dan teknik forensik berubah jika worm mengganggu jaringan?
komunikasi?
3. Bagaimana penggunaan alat dan teknik forensik berubah jika sistem desktop yang terinfeksi?
digunakan untuk memproses informasi sensitif yang harus dilindungi oleh organisasi?
Skenario 7: Upaya Phishing
Dalam 24 jam terakhir, beberapa karyawan telah menelepon meja bantuan untuk mempertanyakan validitas email dari
penyedia kartu kredit resmi organisasi. Email tersebut menyebutkan kemungkinan pelanggaran keamanan di bagian keuangan
catatan institusi dan meminta penerima untuk mengikuti tautan ke situs Web institusi dan membuat yang baru
kata sandi, setelah mengidentifikasi diri mereka sendiri dengan memberikan kata sandi dan informasi akun yang ada.
1. Mengingat sifat sensitif waktu dari skenario ini, bagaimana seharusnya analis memprioritaskan tindakan mereka?
B-3
2. Organisasi lain apa yang harus dihubungi untuk mengurangi potensi kasus pencurian identitas?
Skenario 8: File Terenkripsi
Seorang karyawan meninggalkan organisasi secara tidak terduga, dan manajer karyawan tersebut diberikan akses ke
komputer desktop mantan karyawan untuk mengambil informasi proyek penting yang harus disimpan di dalamnya.
Manajer menemukan beberapa nama file yang tampaknya terkait dengan proyek, tetapi manajer tidak dapat mengakses
konten file. Seorang administrator sistem melihat sistem dan menyimpulkan bahwa yang pertama
karyawan mungkin mengenkripsi file.
1. Siapa yang harus menentukan seberapa banyak upaya yang harus dilakukan untuk memulihkan yang dienkripsi
data? Bagaimana hal ini ditentukan?
2. Perubahan apa yang dapat dilakukan terhadap kebijakan, pedoman, dan prosedur organisasi untuk mengurangi
dampak dari insiden serupa di masa depan?
B-4
Lampiran CóGlosarium
Istilah yang dipilih yang digunakan dalam Panduan untuk Mengintegrasikan Teknik Forensik ke dalam Respons Insiden didefinisikan
di bawah.
Analisis: Tahap ketiga dari proses forensik komputer dan jaringan, yang melibatkan penggunaan metode dan teknik yang dapat
dibenarkan secara hukum, untuk memperoleh informasi yang berguna yang menjawab pertanyaan-pertanyaan yang
dorongan untuk melakukan pengumpulan dan pemeriksaan.
Anti-Forensik: Sebuah teknik untuk menyembunyikan atau menghancurkan data sehingga orang lain tidak dapat mengaksesnya.
Bit Stream Imaging: Salinan sedikit demi sedikit dari media asli, termasuk ruang kosong dan ruang kosong.
Juga dikenal sebagai pencitraan disk.
Cluster: Sekelompok sektor yang berdekatan.
Koleksi: Tahap pertama dari proses forensik komputer dan jaringan, yang melibatkan pengidentifikasian,
memberi label, merekam, dan memperoleh data dari kemungkinan sumber data yang relevan, sambil mengikuti pedoman
dan prosedur yang menjaga integritas data.
Data: Potongan berbeda dari informasi digital yang telah diformat dengan cara tertentu.
Forensik Digital: Penerapan ilmu pengetahuan untuk identifikasi, pengumpulan, pemeriksaan, dan analisis,
data sambil menjaga integritas informasi dan mempertahankan lacak balak yang ketat untuk
data.
Direktori: Struktur organisasi yang digunakan untuk mengelompokkan file bersama-sama.
Disk Imaging: Menghasilkan salinan sedikit demi sedikit dari media asli, termasuk ruang kosong dan ruang kosong.
Juga dikenal sebagai gambar aliran bit.
Disk-to-Disk Copy: Menyalin konten media secara langsung ke media lain.
Disk-to-File Copy: Menyalin konten media ke satu file data logis.
Pemeriksaan: Tahap kedua dari proses forensik komputer dan jaringan, yang melibatkan pemrosesan forensik sejumlah
besar data yang dikumpulkan menggunakan kombinasi otomatis dan manual.
metode untuk menilai dan mengekstrak data yang menarik, sambil menjaga integritas data.
Negatif Palsu: Salah mengklasifikasikan aktivitas berbahaya sebagai jinak.
Positif Palsu: Salah mengklasifikasikan aktivitas jinak sebagai berbahaya.
File: Kumpulan informasi yang dikelompokkan secara logis ke dalam satu entitas dan direferensikan dengan nama yang unik,
seperti nama file.
Unit Alokasi File: Sekelompok sektor yang berdekatan, juga dikenal sebagai cluster.
File Header: Data dalam file yang berisi informasi identitas tentang file dan mungkin metadata
dengan informasi tentang isi file.
C-1
Nama file: Nama unik yang digunakan untuk mereferensikan file.
Sistem file : Metode untuk memberi nama, menyimpan, mengatur, dan mengakses file pada volume logis.
Ilmu Forensik: Penerapan ilmu pada hukum.
Pembersihan Forensik: Media digital yang sepenuhnya dihapus dari semua data, termasuk data yang tidak penting dan sisa,
dipindai untuk malware, dan diverifikasi sebelum digunakan.
Ruang Kosong: Area di media atau di dalam memori yang tidak dialokasikan.
Logical Backup: Salinan direktori dan file dengan volume logis.
Volume Logis: Sebuah partisi atau kumpulan partisi yang bertindak sebagai satu kesatuan yang telah diformat dengan sistem file.
Message Digest: Sebuah hash yang secara unik mengidentifikasi data. Mengubah satu bit dalam aliran data yang digunakan
untuk menghasilkan intisari pesan akan menghasilkan intisari pesan yang sama sekali berbeda.
Metadata: Data tentang data. Untuk sistem file, metadata adalah data yang menyediakan informasi tentang konten file.
Network Address Translation: Proses pemetaan alamat di satu jaringan ke alamat di jaringan lain.
Network Intrusion Detection System: Perangkat lunak yang melakukan packet sniffing dan analisis lalu lintas jaringan untuk
mengidentifikasi aktivitas yang mencurigakan dan merekam informasi yang relevan.
Lalu Lintas Jaringan: Komunikasi jaringan komputer yang dibawa melalui jaringan kabel atau nirkabel antar host.
Data Non-Volatile: Data yang tetap ada bahkan setelah komputer dimatikan.
Normalisasi: Proses di mana data dengan format berbeda diubah menjadi format standar dan diberi label secara konsisten.
Sistem Operasi: Sebuah program yang berjalan di komputer dan menyediakan platform perangkat lunak di mana program lain dapat
berjalan.
Paket: Unit logis dari komunikasi jaringan yang dihasilkan oleh lapisan transport.
Packet Sniffer: Perangkat lunak yang memantau lalu lintas jaringan pada jaringan kabel atau nirkabel dan menangkap paket.
Partisi: Bagian logis dari media yang berfungsi seolah-olah secara fisik terpisah dari bagian logis media lainnya.
Proses: Program yang sedang dieksekusi.
Protocol Analyzer: Perangkat lunak yang dapat memasang kembali aliran dari paket individual dan memecahkan kode
komunikasi yang menggunakan berbagai protokol.
C-2
Proxy: Perangkat lunak yang menerima permintaan dari klien, kemudian mengirimkan permintaan atas nama klien ke tujuan
yang diinginkan.
Server Akses Jarak Jauh: Perangkat, seperti gateway jaringan pribadi virtual dan server modem, yang memfasilitasi
koneksi antar jaringan.
Pelaporan: Tahap akhir dari proses forensik komputer dan jaringan, yang melibatkan pelaporan hasil analisis; ini mungkin
termasuk menggambarkan tindakan yang digunakan, menjelaskan bagaimana alat dan prosedur dipilih, menentukan tindakan
lain apa yang perlu dilakukan (misalnya, pemeriksaan forensik sumber data tambahan, mengamankan kerentanan yang
diidentifikasi, meningkatkan kontrol keamanan yang ada), dan memberikan rekomendasi untuk perbaikan kebijakan, pedoman,
prosedur, alat, dan aspek lain dari proses forensik. Formalitas langkah pelaporan sangat bervariasi tergantung pada situasinya.
Sektor: Unit terkecil yang dapat diakses pada media.
Perangkat Lunak Manajemen Peristiwa Keamanan: Perangkat lunak yang mengimpor informasi peristiwa keamanan dari
berbagai sumber data, menormalkan data, dan menghubungkan peristiwa di antara sumber data.
Slack Space: Ruang yang tidak digunakan dalam blok alokasi file atau halaman memori yang mungkin menyimpan data sisa.
Steganografi: Menanamkan data di dalam data lain untuk menyembunyikannya.
Subdirektori: Direktori yang terdapat di dalam direktori lain.
Data Volatile: Data pada sistem langsung yang hilang setelah komputer dimatikan.
Menyeka: Menimpa media atau bagian media dengan nilai acak atau konstan untuk menghalangi pengumpulan data.
Write-Blocker: Alat yang mencegah semua media penyimpanan komputer yang terhubung ke komputer untuk ditulis atau
dimodifikasi.
C-3
C-4
Lampiran DóAkronim
Akronim terpilih yang digunakan dalam Panduan untuk Mengintegrasikan Teknik Forensik ke dalam Respons Insiden adalah :
didefinisikan di bawah ini.
IKLAN Aliran Data Alternatif

ARIN Registri Amerika untuk Nomor Internet
ARP Protokol Resolusi Alamat
ASCII Kode Standar Amerika untuk Pertukaran Informasi
ATA Lampiran Teknologi Canggih
BIOS Sistem Input/Output Dasar
CCIPS Bagian Kejahatan Komputer dan Kekayaan Intelektual

CD CD
CD-R Dapat Direkam CD
CD ROM Memori Hanya Baca CD
CD-RW CD-Dapat Ditulis Ulang
CDFS Sistem File CD
CFI Investigasi Komputer dan Keuangan
CFRDC Pusat Penelitian dan Pengembangan Forensik Komputer
CFTT Pengujian Alat Forensik Komputer
CMOS Semikonduktor Oksida Logam Pelengkap
CVE Kerentanan dan Eksposur Umum
DDoS Penolakan Layanan Terdistribusi

DHCP Protokol Konfigurasi Host Dinamis
DLL Perpustakaan Tautan Dinamis
DNS Sistem Nama Domain
DoD Departemen Pertahanan
DVD Disk Video Digital atau Disk Serbaguna Digital
DVD-R DVD-Recordable
DVD-ROM DVDñMemori Hanya Baca
DVD-RW DVD-Dapat Ditulis Ulang
ESP Enkapsulasi Keamanan Payload

ext2fs Sistem File Diperpanjang Kedua
ext3fs Sistem File Diperpanjang Ketiga
FACCI Asosiasi Penyelidik Kejahatan Komputer Florida

FAT FBI Tabel Alokasi File
FIPS Biro Investigasi Federal
Standar Pemrosesan Informasi Federal
KEBAKARAN Lingkungan Respons Forensik dan Insiden
FISMA Undang-Undang Manajemen Keamanan Informasi Federal
FLETC Pusat Pelatihan Penegakan Hukum Federal
FTP Protokol Transfer File
GB Gigabyte
GUI Antarmuka Pengguna Grafis
H-1
HFS Sistem File Hirarki

HPA Tuan Rumah Kawasan Lindung
HPFS Sistem File Berkinerja Tinggi

HTCIA Asosiasi Investigasi Kejahatan Teknologi Tinggi
HTTP Protokol Transfer Hypertext
IACIS Asosiasi Internasional Spesialis Investigasi Komputer

ICMP Protokol Pesan Kontrol Internet
PENGENAL Identifikasi
IDE Elektronik Drive Terintegrasi
ID Sistem pendeteksi intrusi
IGMP Protokol Manajemen Grup Internet
AKU Pesan singkat
IMAP Protokol Akses Pesan Internet
iOS Sistem Operasi Internetwork
AKU P protokol internet
IPsec Keamanan Protokol Internet
IR Laporan Antar-Lembaga
IRC Obrolan Relai Internet
IRQ Jalur Permintaan Interupsi
ISO Organisasi Internasional untuk Standardisasi
ISP Penyedia layanan internet
DIA Teknologi Informasi
ITL Laboratorium Teknologi Informasi
JPEG Kelompok Ahli Fotografi Bersama
KB kilobyte
LACNIC Registri Regional Alamat IP Amerika Latin dan Karibia
MAC Kontrol Akses Media

MAC Modifikasi, Akses, dan Penciptaan
MB Megabita
MD Intisari Pesan
MISTI Lembaga Pelatihan MIS
MMC Kartu Multimedia
MO Optik Magneto
MS-DOS Sistem Operasi Disk Microsoft
NAT Terjemahan Alamat Jaringan Alat

NFAT Analisis Forensik Jaringan Berbagi
NFS File Jaringan Kartu Antarmuka Jaringan
NIC
NIJ Institut Kehakiman Nasional
NIST Institut Standar dan Teknologi Nasional
NLEECTC-NE Pusat Teknologi Penegakan Hukum dan Koreksi Nasional ñPerpustakaan Referensi
NSRL Perangkat Lunak Nasional Timur Laut
NTFS Sistem File Windows NT
NTI Teknologi Baru Inc.
H-2
NTP Protokol Waktu Jaringan

NW3C Pusat Kejahatan Kerah Putih Nasional
OEM Produsen Peralatan Asli

OMB Kantor Manajemen dan Anggaran
OS Sistem operasi
OSR2 Rilis Layanan OEM 2
PCMCIA Asosiasi Internasional Kartu Memori Komputer Pribadi

PDA Asisten digital pribadi
POP3 Protokol Kantor Pos 3
SERANGAN Array Disk Murah yang Berlebihan

RAM Memori Akses Acak
RCFL Laboratorium Forensik Komputer Regional
RFC Permintaan Komentar
RIPE NCC RÈseaux IP Europens Pusat Koordinasi Jaringan
SAM Manajer Akun Keamanan

SCSI Antarmuka Sistem Komputer Kecil
SD Keamanan Digital
SDMI Inisiatif Musik Digital Aman
SEM Manajemen Acara Keamanan
SFTP FTP aman
SHA-1 Algoritma Hash Aman 1
MENYESAP Protokol Inisiasi Sesi
UKM Blok Pesan Server
SMTP Protokol Transfer Surat Sederhana
SNMP Protokol Manajemen Jaringan Sederhana
SP Publikasi Khusus
SSH Cangkang Aman
SSL Lapisan Soket Aman
TB Terabyte
TCP Protokol Kontrol Transmisi
TCP/IP Protokol Kontrol Transmisi/Protokol Internet
TUCOFS Koleksi Ultimate Perangkat Lunak Forensik
UDF Format Disk Universal

UDP Protokol Datagram Pengguna
UFS Sistem File UNIX
UPS Sumber daya tanpa hambatan
URL Pencari Sumber Daya Seragam
USB Bus Seri Universal
VoIP Suara Melalui IP

VPN Jaringan Pribadi Virtual
H-3
H-4
Lampiran EóSumber Daya Cetak
Bejtlich, Richard. Tao Pemantauan Keamanan Jaringan: Melampaui Deteksi Penyusupan.

Addison-Wesley, 2004.
Pembawa, Brian. Analisis Forensik Sistem File. Addison-Wesley, 2005.
Casey, Eoghan. Bukti Digital dan Kejahatan Komputer. Pers Akademik, 2004.
Casey, Eoghan. Buku Pegangan Investigasi Kejahatan Komputer: Alat & Teknologi Forensik.
Pers Akademik, 2001.
Davis, Chris, dkk. Peretasan Terkena: Rahasia & Solusi Forensik Komputer. McGraw-Hill
Osborne Media, 2004.
Petani, Dan, dan Wietse Venema. Penemuan Forensik. Addison-Wesley, 2004.
Proyek Honeynet. Kenali Musuh Anda: Belajar tentang Ancaman Keamanan, Edisi Kedua.
Jones, Keith J., dkk. Forensik Digital Nyata: Keamanan Komputer dan Respons Insiden.
Kruse, Warren G., II, dan Jay G. Heiser. Forensik Komputer: Esensi Respons Insiden.
Lucas, Julie, dan Brian Moeller. Tim Tanggap Insiden yang Efektif. Addison-Wesley, 2004.
Orebaugh, Angela. Mengendus Paket Ethereal. Syngress, 2004.
Osel, Lisa. Forensik Komputer: Kunci Pemecahan Kejahatan. Oktober 2001.

http://faculty.ed.umuc.edu/~meinkej/inss690/oseles_2.pdf.
Prose, Chris, dkk. Tanggapan Insiden dan Forensik Komputer, Edisi Kedua. McGraw-Hill Osborne Media,
2003.
Schiffman, Mike, dkk. Tantangan Peretas 2: Uji Keamanan Jaringan & Keterampilan Forensik Anda.
McGraw-Hill Osborne Media, 2002.
Schweitzer, Douglas. Tanggapan Insiden: Toolkit Forensik Komputer. Wiley, 2003.
Zalewski, Michal. Silence on the Wire: Panduan Lapangan untuk Pengintaian Pasif dan Tidak Langsung
Serangan. Tanpa Pati, 2005.
E-1
E-2
Lampiran FóAlat dan Sumber Daya Online
Daftar berikut memberikan contoh alat online (terutama gratis/sumber terbuka) dan sumber daya yang
mungkin membantu dalam membangun kemampuan forensik atau melakukan forensik komputer dan jaringan.
Organisasi Pendukung Forensik
Organisasi URL
Bagian Kejahatan Komputer dan Kekayaan Intelektual (CCIPS), AS http://www.cybercrime.gov/

Depkeh
Biro Investigasi Federal (FBI) http://www.fbi.gov/
Asosiasi Investigator Kejahatan Komputer Florida (FACCI) http://www.facci.org/

Asosiasi Investigasi Kejahatan Teknologi Tinggi (HTCIA) http://www.htcia.org/
Asosiasi Internasional Spesialis Investigasi Komputer (IACIS) http://www.cops.org/
Pusat Teknologi Penegakan Hukum dan Pemasyarakatan Nasional Utara http://www.nlectc.org/nlectcne/
Timur (NLECTC-NE)
Pusat Kejahatan Kerah Putih Nasional (NW3C) http://www.nw3c.org/
Laboratorium Forensik Komputer Regional (RCFL) http://www.rcfl.gov/
CARI: Konsorsium Nasional untuk Informasi dan Statistik Keadilan http://www.search.org/
Situs Sumber Daya Teknis
Nama Sumberdaya URL
Pusat Penelitian Kejahatan Komputer http://www.crime-research.org/

Tautan Forensik Komputer (disusun oleh Dave Dittrich) http://staff.washington.edu/dittrich/
Tautan dan Buku Putih Forensik Komputer http://www.forensics.nl/links/
Proyek Pengujian Alat Forensik Komputer (CFTT) http://www.cftt.nist.gov/
Sumber Daya Teknis dan Hukum Gunung Digital http://www.digitalmountain.com/technical_resources
Pusat Informasi Bukti Elektronik http://www.e-evidence.info/ http://www.forensicfocus.com/
Fokus Forensik Billboard dan Tautan http://www.ojp.usdoj.gov/nij/topics/ecrime /selamat
Kejahatan Elektronik Institut Keadilan Nasional (NIJ) datang.html
Program
Perpustakaan Referensi Perangkat Lunak Nasional (NSRL) http://www.nsrl.nist.gov/
Pusat Sumber Daya Jalur Teknologi http://www.techpathways.com/DesktopDefault.aspx?tabin
dex=8&tabid=14
Format Wotsit http://www.wotsit.org/
F-1
Sumber Daya Pelatihan
Nama Sumber Daya Pelatihan URL
CompuForensik http://www.compuforensics.com/training.htm http://

Layanan Forensik Komputer www.computer-forensic.com/training.html
Pusat Pelatihan Forensik Komputer http://www.cftco.com/
On line
Pelatihan Penegakan Hukum Federal http://www.fletc.gov/cfi/index.htm

Pusat (FLETC), Komputer & Keuangan
Divisi Investigasi (CFI)
Batu pendiri http://www.foundstone.com/
IACIS http://www.iacis.info/iacisv2/pages/training.php http://
Institut InfoSec www.infosecinstitute.com/courses/computer_forensics_training.html http://
Lembaga Pelatihan MIS (MISTI) www.misti.com/
Teknologi Baru Inc. (NTI) http://www.forensics-intl.com/training.html
NW3C http://www.nw3c.org/ocr/courses_desc.cfm
Institut SANS http://www.sans.org/
Dokumen Sumber Daya Teknis Lainnya
Nama Sumberdaya URL
Langkah Dasar dalam Analisis Forensik Sistem Unix, oleh http://staff.washington.edu/dittrich/misc/forensics/

Dave Dittrich
Forensik Komputer: Pengantar Respons Insiden http://www.sans.org/rr/whitepapers/incident/647.php

dan Investigasi Windows NT/ 2000, oleh Norman
Haase
Investigasi Digital: Jurnal Internasional Digital http://www.compseconline.com/digitalinvestigation/

Tanggapan Forensik & Insiden
Investigasi TKP Elektronik: Panduan untuk Pertama http://www.ncjrs.gov/
Responden
Metodologi Penyitaan Bukti untuk Forensik Komputer, oleh http://www.crazytrain.com/seizure.html
Thomas Rude
Analisis Forensik Sistem Linux Langsung, oleh Mariusz http://www.securityfocus.com/infocus/1769 (bagian satu),
Burdach http://www.securityfocus.com/infocus/1773 (bagian dua)
Cara Melewati Kata Sandi BIOS http://labmice.techtarget.com/articles/BIOS_hack.htm http://
Jurnal Internasional Bukti Digital www.utica.edu/academic/institutes/ecii/ijde/ http://
NIST Interagency Report (IR) 7100, Alat Forensik PDA: csrc.nist.gov/publications/nistir/index.html
Ikhtisar dan Analisis
NIST IR 7250, Alat Forensik Ponsel: Tinjauan http://csrc.nist.gov/publications/nistir/index.html
dan Analisis
NIST SP 800-31, Sistem Deteksi Intrusi http://csrc.nist.gov/publications/nistpubs/index.html http://
NIST SP 800-44, Pedoman Mengamankan Web Publik csrc.nist.gov/publications/nistpubs/index.html
Server
NIST SP 800-45, Pedoman Keamanan Surat Elektronik http://csrc.nist.gov/publications/nistpubs/index.html http://

NIST SP 800-61, Penanganan Insiden Keamanan Komputer csrc.nist.gov/publications/nistpubs/index.html
Memandu
NIST SP 800-72, Pedoman Forensik PDA http://csrc.nist.gov/publications/nistpubs/index.html
F-2
Nama Sumberdaya URL
NIST SP 800-83, Panduan Pencegahan dan Penanganan Insiden http://csrc.nist.gov/publications/nistpubs/index.html

Malware
Gambaran Umum Steganografi untuk Komputer http://www.fbi.gov/hq/lab/fsc/backissu/july2004/research

Pemeriksa Forensik, oleh Gary Kessler /2004_03_research01.htm
RFC 3164: Protokol Syslog BSD http://www.ietf.org/rfc/rfc3164.txt

RFC 3227: Pedoman Pengumpulan Bukti dan http://www.ietf.org/rfc/rfc3227.txt
Pengarsipan
Situs Web dengan Daftar Perangkat Lunak Forensik128
Jenis Perangkat Lunak Nama Situs Web URL
Sistem deteksi dan Honeypots.net http://www.honeypots.net/ids/products/

pencegahan intrusi
Sniffer paket jaringan badai paket http://packetstormsecurity.org/defense/sniff/

dan penganalisa protokol
Protokol jaringan Softpedia http://www.softpedia.com/get/Network-Tools/Protocol Analyzers-

analisa Sniffers/
Berbagai komputer dan Forensik dan Insiden http://fire.dmzs.com/?section=tools

alat jaringan Lingkungan Respons
(API)
Batu pendiri http://www.foundstone.com/index.htm?subnav=resources/
navigasi.htm&subcontent=/resources/freetools.htm http://
Daging segar freshmeat.net/search/?q=forensic&section=projects http://www.e-
Spiral fense.com/helix/ http://www.opensourceforensics.org/ alat/kategori.html
Sumber Terbuka Digital

Alat Analisis Forensik
Kategori
Kit Detektif Penguin http://www.linux-forensics.com/forensics/pensleuth.html

Sihir Keamanan Talisker http://www.networkintrusion.co.uk/
Pintu gerbang
Kit Detektif http://www.sleuthkit.org/sleuthkit/tools.php

Koleksi Ultimate dari http://www.tucofs.com/tucofs.htm
Perangkat Lunak Forensik
(TUCOFS)
75 Alat Keamanan Teratas http://www.insecure.org/tools.html http://

Trinux trinux.sourceforge.net/ http://
Berbagai alat komputer Alat Checksum lists.thedatalist.com/pages/Checksum_Tools.htm
Alat Forensik Komputer, http://www.forensix.org/tools/

Perangkat Lunak, Utilitas
Perangkat Lunak Funduc http://www.funduc.com/

Berbagai alat jaringan Kerentanan Umum dan http://www.cve.mitre.org/compatible/product.html
Eksposur (CVE)
128
Aplikasi yang dirujuk dalam tabel ini sama sekali bukan daftar lengkap aplikasi yang digunakan untuk tujuan forensik, publikasi ini juga
tidak menyiratkan dukungan terhadap produk tertentu.
F-3
F-4
Lampiran GóIndex
Penyimpanan data, 6-10

Degaussing, 4-10
SEBUAH
Direktori, 4-3, 4-13, 5-7, C-1

Kontrol akses, 3-6 Pencitraan disk, C-1
Aliran Data Alternatif, 4-5, 4-10 Salinan disk-ke-disk, 4-6, C-1
Analisisnya adalah, 1, 2-2, 3-1, 3-6, 4-14, 6-11, 7-9, C-1 Salinan disk-ke-file, 4-6, C-1
Sebuah ti-forensik, 2-6, 3-3, C-1 Dokumentasi, 3-4, 4-6, 5-9
Aplikasi, 7-1 klien/ Nama domain, 6-3
C server, 7-4 Protokol Konfigurasi Host Dinamis, 6-8, 6-14
Dokumen, 7-8
Lokal, 7-4
E
Peer-to-peer, 7-4
Keamanan, 7-8 Email, 7-5
Arsitektur aplikasi, 7-4 Sundulan, 7-5
Pengaturan konfigurasi aplikasi, 7-1 Enkripsi, 3-6, 4-11, 6-10, 7-8, 7-9
Data aplikasi, 7-3 Bukti, 2, 2-8, 3-1, 3-4, 4-6, 5-5, 6-9, 6-10
File pendukung aplikasi, 7-3 Penjaga, 3-4
Identifikasi penyerang, 6-17 Penanganan persediaan, 3-4
Audio, 7-7 Ujian, 1, 2-2, 3-1, 3-6, 4-10, 5-11, 6-11, 7-9, C-1
Audit, 2-6, 3-2, 4-7 Latihan, 2-4
Auditor, 2-5
Otentikasi, 5-10, 7-2
F
Negatif palsu, 6-13, C-1
B
Positif palsu, 6-13, C-1
Cadangan, 2-6 File, 4-1, C-1
Sistem Input/Output Dasar, 5-3, 5-10 Aplikasi, 5-2
Pencitraan aliran bit, 4-6, 4-8, 4-9, 4-10, C-1 Tangkap, 6-6
Blok, 4-3 Konfigurasi, 5-1
Data, 5-2
Dihapus, 4-4, 4-11
C Buang, 5-3
Rantai penjagaan, 2-8, 3-4, 4-7 Hibernasi, 5-3
C kilau, 4-3, C-1 Tersembunyi, 4-11
Kode, 7-1 Terbuka, 5-4, 5-7, 5-8

Koleksi, 1, 2-2, 3-1, 3-2, 4-5, 5-4, 6-9, 7-9, C-1 Tukar, 5-2, 5-11
Kompresi, 3-6, 4-13 Sementara, 5-3
PengujianAlat Forensik Komputer, 4-7 Unit alokasi file, 4-3, C-1
Co st, 2-3 Ekstensi file, 4-11
Saluran cove rt, 6-15 File hash, 2-6, 4-14
Judul file, 4-11, C-1
Integritas file, 4-7
D Pemeriksa, 5-11
Berbagi file, 7-7
Data, 1, 2-1, C-1
Jenis file, 3-6, 4-11
Alat penyembunyian. Lihat Alat, Penyembunyian data
Penampil file, 4-13
Tersembunyi,
Nama file, 4-1, C-2
4-10 Non-volatile, 3-3, 5-1, 5-4, 5-8, C-2
Sistem file, 4-1, 4-3, 5-1, 5-9, 7-9, C-2
Sensitive, 2-4, 3-5, 6-9 Volatile, 3-3, 5-3 ,
5-4, 5-8, 7-9, C-3 Akuisisi data, 2-2 Memori, 5-1
Dapat dipulihkan, 4-3
Firewall, 6-5, 6-14
Fidelitas data, 6-12
Proses forensik, 2-2, 3-1
Integritas data, 3-4
Ilmu forensik, 2-1, C-2
Pemulihan data, 2-2
Forensik, 1
Retensi data, 3-7
Digital, 1, 2-1, C-1
Sumber data, 2-1, 3-2, 6-12, 8-1
Ruang kosong, 4-5, 4-9, 4-11, 5-3, C-2
Identifikasi, 3-2
G-1
G N
Obrolan grup, 7-7 Perpustakaan Referensi Perangkat Lunak Nasional, 4-14
Pedoman, 2, 2-7, 3-7, 4-7 Akses jaringan, 3-5
Terjemahan alamat jaringan, 6-5, C-2
Konfigurasi jaringan, 5-4, 5-6, 5-8, 6-9
H Koneksi jaringan, 5-4, 5-6, 5-8, 6-9
Drive pertama, 5-11 Alat analisis forensik jaringan, 6-8, 6-11, 6-12, 6-14, 6-16
Editor Hex, 5-11 Sistem deteksi intrusi jaringan, 6-6, C-2
Sistem deteksi intrusi utama, 5-11, 6-6 Pemantauan jaringan, 6-8, 6-15
Kawasan Lindung Utama, 4-10 Berbagi jaringan, 5-10
Sumber daya manusia, 2-5 Protokol Waktu Jaringan, 4-15
Lalu lintas jaringan, 6-1, 7-9, C-2
Normalisasi, 6-7, C-2
Saya
Penanganan insiden. Lihat Tanggapan insiden HAI

Tanggapan insiden, 2-1, 2-3, 2-4, 3-5, 3-7
Penahanan, 3-5 Latihan, B-1 Kantor Inspektur Jenderal, 2-3, 2-5
Sistem operasi, 5-1, C-2
Siklus hidup sistem informasi, 2-6 Pesan Pengalihdayaan, 2-3
instan, 7-7
Protokol Pesan Kontrol Internet, Protokol
P
Internet 6-3, 6-3
Penyedia layanan internet, 3-2, 6-9, 6-10, 6-15, 6-18 Sistem Paket, 6-2, C-2
deteksi penyusupan, 6-6, 6-11, 6-12, 6-14 Investigasi, 2-1, 2- Header paket, 6-2
3, 2-4 profesional TI, 2-3 Paket sniffer, 6-5, 6-14, C-2
Partisi, 4-3, C-2
Kata sandi, 5-9, 7-9
Sistem Input/Output Dasar, 4-12, 5-10
J Harddisk, 4-13
Ju konflik risdiksi, 2-5 Pembobolan kata sandi, 4-12
File kata sandi, 5-2
Perlindungan kata sandi, 4-11, 4-12, 5-10
K Fotografi, 3-4, 5-9
Keamanan fisik, 2-5, 3-5
Pemetaan ulang kunci, 5-11
Kebijakan, 2, 2-5, 2-6, 3-3, 3-7, 4-7
Retensi data, 2-7, 6-9
L Nomor port, 6-2, 6-10
Perangkat digital portabel, 3-2, 4-1, 5-1
Penegakan hukum, 2, 2-8, 3-5, 3-7
Persiapan, 2, 3-4
Lapisan
Prioritas, 3-4, 5-7
Aplikasi, 6-1
Privasi, 2-5, 6-9, 6-10
Tautan data, 6-1
Prosedur, 2, 2-6, 2-7, 3-7, 4-7
Jaringan, 6-1
Proses, 5-4, 5-7, 5-8, 5-11, C-2
Transportasi, 6-1
Penganalisis protokol, 6-6, 6-15, C-2
Penasihat hukum, 2-5, 3-5
Proksi, 6-5, 6-14, C-3
Log, 5-2, 5-10, 5-11, 6-7, 6-10, 6-15, 7-2
Manajemen, 3-3
Pemantauan, 2-2 R
Cadangan logis, 4-6, 4-8, 4-9, 4-10, C-2
Array Disk Murah yang Berlebihan, 4-10
Sesi masuk, 5-4, 5-7, 5-8
Server akses jarak jauh, 6-7, 6-14, C-3
Pelaporan, 1, 2-2, 3-1, 3-6, C-3
M Peran dan tanggung jawab, 2-5
Router, 6-5, 6-14
Manajemen, 2-5
Media, 3-1, 3-2, 4-1, 4-2, 4-7, 5-1
Penghancuran, 4-10 S
Kontrol Akses Media, 6-4
Mencari, 3-6, 6-8
Memori, 5-3, 5-6, 5-8, 5-11 intisari
M intisari, 3-4, 4-8, 5-7, 5-11, C-2 Pencocokan pola, 4-14
Senar, 4-14, 5-7
Metadata, 4-9, 4-14, C-2
Sektor, 4-3, C-3
Pemantauan, 2, 2-5, 3-3, 6-9, 6-11
G-2
Perangkat lunak manajemen acara keamanan, 6-7, 6-11, 6-12, 6-14, Latihan, 2-3, 2-5, 3-7
C-3 Protokol Kontrol Transmisi, 6-2
Layanan, 6-10 Protokol Kontrol Transmisi/Protokol Internet, 6-1
Metode shutdown, 5-8 Pemecahan masalah, 2-1
Keterampilan, B-1
Ruang kosong, 4-5, 4-9, 4-11, 5-3, C-3

kamu
Pemalsuan, 6-14, 6-17
Kepegawaian, 2-3 Protokol Datagram Pengguna, 6-3
Steganografi, 4-11, 4-12, 7-8, C-3
Subdirektori, 4-3, C-3
V
T Video, 7-7
Jaringan pribadi virtual, 6-10
Editor teks, 5-7 Alat visualisasi, 6-15
Waktu, 4-14 Suara melalui IP, 7-7
Entri diubah, 4-9 Volume, 4-3
Modifikasi, akses, dan pembuatan, 4-9, 4-15 Logis, 4-3, C-2
Sistem operasi, 5-4, 5-7, 5-8
Pelestarian, 4-9
Sinkronisasi, 4-15 W
Alat, 2-6, 3-4, 5-5, 5-11
Web, 7-6
Anti-forensik, 2-6
Menyeka, 4-9, C-3
Penyembunyian data, 7-8
Pemblokir tulis, 4-7, 4-11, 4-15, C-3
Ujian, 6-15
Perangkat, 4-13, 5-6, 5-7
G-3

Nist SP 800-86 Id

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Nist SP 800-86 Id

Diunggah oleh

Hak Cipta:

Format Tersedia

Machine Translated by Google

Publikasi Khusus 800-86

Panduan untuk Mengintegrasikan Forensik

Rekomendasi dari Institut Nasional

Publikasi Khusus NIST 800-86 Panduan untuk Mengintegrasikan Teknik Forensik

Karen Kent, Suzanne Chevalier,

Divisi Keamanan Komputer

Carlos M. Gutierrez, Sekretaris

Robert C. Cresanti, Wakil Sekretaris

Institut Standar dan Teknologi Nasional

William A. Jeffrey, Sutradara

PANDUAN UNTUK MENGINTEGRASI TEKNIK FORENSIK KE DALAM RESPON INSIDEN

Laporan Teknologi Sistem Komputer

Laboratorium Teknologi Informasi (ITL) di Institut Nasional Standar dan Teknologi

PANDUAN UNTUK MENGINTEGRASI TEKNIK FORENSIK KE DALAM RESPON INSIDEN

Ucapan Terima Kasih

aku aku aku

PANDUAN UNTUK MENGINTEGRASI TEKNIK FORENSIK KE DALAM RESPON INSIDEN

Ringkasan bisnis plan................................................ ................................................................... ..........ES-1

1. Perkenalan ............................................... ................................................................... .................. 1-1

1.1 Kewenangan............................................................ ................................................................... ............... 1-1

2. Membangun dan Mengorganisir Kemampuan Forensik............................................ ........ 2-1

3. Melakukan Proses Forensik ............................................ .................................... 3-1

4. Menggunakan Data dari File Data.................................................. ................................................... 4- 1

5. Menggunakan Data dari Sistem Operasi ......................................... ................................ 5-1

PANDUAN UNTUK MENGINTEGRASI TEKNIK FORENSIK KE DALAM RESPON INSIDEN

5.1.1 Data Non-Volatile.................................................. ............................................ 5-1 5.1.2

6. Menggunakan Data Dari Lalu Lintas Jaringan.................................................. ........................................ 6-1

7. Menggunakan Data dari Aplikasi ............................................ .......................................... 7-1

PANDUAN UNTUK MENGINTEGRASI TEKNIK FORENSIK KE DALAM RESPON INSIDEN

7.4 Meneliti dan Menganalisis Data Aplikasi............................................ ................ 7-9 7.5

8. Menggunakan Data dari Berbagai Sumber .................................................. .................................... 8-1

Lampiran Aó Rekomendasi............................................................... .........................................A-1

A.1 Mengorganisir Kemampuan Forensik .................................................. ..................................A-1 A.1.1

Apendiks Bó Skenario............................................................ ................................................................... ......B-1

Lampiran Có Glosarium ................................................... ................................................................... .......C-1

Apendiks Dó Akronim ............................................................ ................................................................... .....H-1

Lampiran Eó Sumber Daya Cetak.................................................. ............................................... E-1

Lampiran Fó Alat dan Sumber Daya Online ............................................ ............................ F-1

Lampiran Gó Indeks............................................................... ................................................................... .............G-1

Gambar 3-1. Proses Forensik ................................................... ................................................... 3 -1

Gambar 4-1. Informasi Header File............................................................. ........................................ 4-12 Gambar

6-1. Lapisan TCP/IP ............................................................ ................................................................... ...... 6-1

Gambar 6-2. Enkapsulasi TCP/IP .................................................. ............................................ 6-2

PANDUAN UNTUK MENGINTEGRASI TEKNIK FORENSIK KE DALAM RESPON INSIDEN

Ringkasan bisnis plan

PANDUAN UNTUK MENGINTEGRASI TEKNIK FORENSIK KE DALAM RESPON INSIDEN

PANDUAN UNTUK MENGINTEGRASI TEKNIK FORENSIK KE DALAM RESPON INSIDEN

PANDUAN UNTUK MENGINTEGRASI TEKNIK FORENSIK KE DALAM RESPON INSIDEN

Halaman ini sengaja dikosongkan.

PANDUAN UNTUK MENGINTEGRASI TEKNIK FORENSIK KE DALAM RESPON INSIDEN

1.2 Tujuan dan Ruang Lingkup

PANDUAN UNTUK MENGINTEGRASI TEKNIK FORENSIK KE DALAM RESPON INSIDEN

1.4 Struktur Publikasi

Sisa dari publikasi ini dibagi menjadi tujuh bagian utama:

Publikasi ini juga memuat beberapa lampiran dengan materi pendukung:

! Lampiran A menyajikan rekomendasi utama yang dibuat dalam publikasi.

! Lampiran C dan D masing-masing berisi daftar istilah dan daftar akronim.

! Lampiran G berisi indeks untuk publikasi.

PANDUAN UNTUK MENGINTEGRASI TEKNIK FORENSIK KE DALAM RESPON INSIDEN

2. Membangun dan Mengatur Kemampuan Forensik

2.1 Kebutuhan Forensik

PANDUAN UNTUK MENGINTEGRASI TEKNIK FORENSIK KE DALAM RESPON INSIDEN