IT FORENSIK

Dalam dunia detektif, forensik di gunakan untuk mengungkap skandal yang terjadi pada
suatu kasus dimana dugaan-dugaan sementara yang tadinya tidak memiliki bukti untuk di
telusuri. Identitas dan bukti kejahatan oleh tersangka tentunya akan di sembunyikan sebaik-
baiknya supaya tidak akan tertangkap oleh pihak berwajib. Dugaan kuat menjadi salah satu
alasan dilakukannya forensik pada orang tersebut, pihak berwenang akan memeriksa secara
menyeluruh mulai dari lingkungan, kenalan anda, dan bahkan barang-barang pribadi.
Forensik sendiri mengalami perkembangan dimana penulusuran dilakukan dengan tool
menggunakan teknologi terkini. Teknologi untuk menganalisa dan identifikasi untuk keperluan
forensik di kembangkan tersendiri untuk mendukung kerja kepolisian, misalnya
dipekerjakannnya seorang pakar IT untuk menggunakan komputer untuk keperluan forensik.
Secara umum IT forensik adalah ilmu yang berhubungan dengan pengumpulan fakta dan
bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode yang digunakan
(misalnya metode sebab-akibat).  IT forensik bertujuan untuk mendapatkan fakta-fakta
obyektif dari sebuah insiden/pelanggaran keamanan sistem informasi. Fakta-fakta tersebut
setelah diverifikasi akan menjadi bukti-bukti envidence yang akan digunakan dalam proses
hukum.
IT Forensik atau bisa juga disebut Digital Forensik. Digital forensik itu turunan dari
disiplin ilmu teknologi informasi yang membahas tentang temuan bukti digital setelah suatu
peristiwa terjadi. Kata forensik itu sendiri secara umum artinya membawa ke pengadilan.
Digital forensik atau kadang disebut komputer forensik yaitu ilmu yang menganalisa barang
bukti digital sehingga dapat dipertanggungjawabkan di pengadilan. Kegiatan forensik komputer
sendiri adalah suatu proses mengidentifikasi, memelihara, menganalisa, dan mempergunakan
bukti digital menurut hukum yang berlaku.
Bukti digital adalah informasi yang didapat dalam bentuk/format digital. Bukti digital ini
bisa berupa bukti riil maupun abstrak (perlu diolah terlebih dahulu sebelum menjadi bukti yang
riil). Beberapa contoh bukti digital antara lain:
 E-mail
 Source code software
 File bentuk image
 Video
 Audio
 Web browser bookmark, cookies
 Deleted file
 Chat logs
Tools atau perangkat forensik adalah perangkat lunak yang dibuat untuk mengakses
data. Perangkat ini digunakan untuk mencari berbagai informasi dalam hard drive, serta
menjebol password dengan memecahkan enkripsi. Yang digunakan pada IT forensik dibedakan

Page 1 of 9
menjadi 2 yaitu hardware dan software. Dilihat dari sisi hardware, spsifikasi yang digunakan
harus mempunyai kapasitas yang mumpuni seperti :
 Hardisk atau storage yang mempunya kapasitas penyimpanan yang besar,
 Memory RAM antara (1-2 GB),
 Hub switch atau LAN, serta
 Laptop khusus untuk forensic workstations.
Jika dilihat dari sisi software yang digunakan harus khusus dan memiliki kemampuan
yang memadai untuk melakukan IT forensik seperti :
 Write-Blocking Tools untuk memproses bukti-bukti
 Text Search Utilities (dtsearch) berfungsi sebagai alat untuk mencari koleksi dokumen yang
besar.
 Hash Utility ( MD5sum) berfungsi untuk menghitung dan memverifikasi 128-bit md5 hash,
untuk sidik jari file digital.
 Forensic Acqusition tools (encase) digunakan oleh banyak penegak hokum untuk investigasi
criminal, investigasi jaringan, data kepatuhan, dan penemuan elektronik.
 Spy Anytime PC Spy digunakan untuk memonitoring berbagai aktifitas computer, seperti :
seperti: website logs,keystroke logs, application logs, dan screenshot logs.

Tujuan IT Forensik
1. Mendapatkan fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem
informasi. Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-bukti (evidence) yang
akan digunakan dalam proses hukum.
2. Mengamankan dan menganalisa bukti digital. Dari data yang diperoleh melalui survey oleh
FBI dan The Computer Security Institute, pada tahun 1999 mengatakan bahwa 51%
responden mengakui bahwa mereka telah menderita kerugian terutama dalam bidang
finansial akibat kejahatan komputer. Kejahatan Komputer dibagi menjadi dua, yaitu:
 Komputer fraud : kejahatan atau pelanggaran dari segi sistem organisasi komputer.
 Komputer crime: kegiatan berbahaya dimana menggunakan media komputer dalam
melakukan pelanggaran hukum.

Alasan Penggunaan IT Forensik

1) Dalam kasus hukum, teknik komputer forensik sering digunakan untuk menganalisis sistem
komputer milik terdakwa (dalam kasus pidana) atau milik penggugat (dalam kasus perdata).
2) Untuk memulihkan data jika terjadi kegagalan atau kesalahan hardware atausoftware.
3) Untuk menganalisa sebuah sistem komputer setelah terjadi perampokan, misalnya untuk
menentukan bagaimana penyerang memperoleh akses dan apa yang penyerang itu lakukan.
4) Untuk mengumpulkan bukti untuk melawan seorang karyawan yang ingin diberhentikan
oleh organisasi.
5) Untuk mendapatkan informasi tentang bagaimana sistem komputer bekerja untuk tujuan
debugging, optimasi kinerja, atau reverse-engineering.

Page 2 of 9
Terminologi IT Forensik
1. Bukti digital (digital evidence) adalah informasi yang didapat dalam bentuk atau
format  digital, contohnya e-mail.
2. Elemen kunci forensik dalam teknologi informasi, antara lain:
 Identifikasi dari bukti digital.
Tahapan paling awal forensik dalam teknologi informasi. Pada tahapan ini dilakukan
identifikasi dimana bukti itu berada, dimana bukti itu disimpan dan bagaimana
penyimpanannya untuk mempermudah tahapan selanjutnya.
 Penyimpanan bukti digital.
Tahapan yang paling kritis dalam forensik. Bukti digital dapat saja hilang karena
penyimpanannya yang kurang baik.
 Analisa bukti digital.
Tahapan pengambilan, pemrosesan, dan interpretasi dari bukti digital merupakan bagian
penting dalam analisa bukti digital.
 Presentasi bukti digital.
Proses persidangan dimana bukti digital akan diuji dengan kasus yang ada. Presentasi
disini berupa penunjukkan bukti digital yang berhubungan dengan kasus yang
disidangkan.

Prinsip IT Forensik
1. Forensik bukan proses Hacking
2. Data yang didapat harus dijaga jangan berubah
3. Membuat image dari HD / Floppy / USB-Stick / Memory-dump adalah prioritas tanpa
merubah isi, kadang digunakan hardware khusus.
4. Image tsb yang diotak-atik (hacking) dan dianalisis – bukan yang asli.
5. Data yang sudah terhapus membutuhkan tools khusus untuk merekonstruksi.
6. Pencarian bukti dengan: tools pencarian teks khusus, atau mencari satu persatu dalam image.

Beberapa Tools IT Forensics

 Antiword.
Aplikasi untuk menampilkan teks dan gambar dokumen Microsoft Word. Antiword hanya
mendukung dokumen yang dibuat oleh MS Word versi 2 dan versi 6 atau yang lebih baru.
 Autopsy.
The Autopsy Forensic Browser merupakan antarmuka grafis untuk tool analisis investigasi
diginal perintah baris The Sleuth Kit. Bersama, mereka dapat menganalisis disk dan
filesistem Windows dan UNIX (NTFS, FAT, UFS1/2, Ext2/3).
 Binhash.

Page 3 of 9
 Program sederhana untuk melakukan hashing terhadap berbagai bagian file ELF dan PE
untuk perbandingan. Saat ini ia melakukan hash terhadap segmen header dari bagian header
segmen obyek ELF dan bagian segmen header obyekPE.
 Sigtool.
Tool untuk manajemen signature dan database ClamAV. sigtool dapat digunakan untuk
rnenghasilkan checksum MD5, konversi data ke dalam format heksadesimal, menampilkan
daftar signature virus dan build/unpack/test/verify database CVD dan skrip update.
 ChaosReader.
Tool freeware untuk melacak sesi TCP/UDP/… dan mengambil data aplikasi dari log
tcpdump. la akan mengambil sesi telnet, file FTP, transfer HTTP (HTML, GIF, JPEG,…),
email SMTP, dan sebagainya, dari data yang ditangkap oleh log lalu lintas jaringan. Sebuah
file index html akan tercipta yang berisikan link ke seluruh detil sesi, termasuk program
replay realtime untuk sesi telnet, rlogin, IRC, X11 atau VNC; dan membuat laporan seperti
laporan image dan laporan isi HTTP GET/POST.
 Chkrootkit.
Tool untuk memeriksa tanda-tanda adanya rootkit secara lokal. la akan memeriksa utilitas
utama apakah terinfeksi, dan saat ini memeriksa sekitar 60 rootkit dan variasinya.
 Dcfldd.
Tool ini mulanya dikembangkan di Department of Defense Computer Forensics Lab
(DCFL). Meskipun saat ini Nick Harbour tidak lagi berafiliasi dengan DCFL, ia tetap
memelihara tool ini.
 GNU Ddrescue.
Tool penyelamat data, la menyalinkan data dari satu file atau device blok (hard disc, cdrom,
dsb.) ke yang lain, berusaha keras menyelamatkan data dalam hal kegagalan pembacaan.
Ddrescue tidak memotong file output bila tidak diminta. Sehingga setiap kali anda
menjalankannya kefile output yang sama, ia berusaha mengisi kekosongan.
 Foremost.
Tool yang dapat digunakan untuk me-recover file berdasarkan header, footer, atau struktur
data file tersebut. la mulanya dikembangkan oleh Jesse Kornblum dan Kris Kendall dari the
United States Air Force Office of Special Investigations and The Center for Information
Systems Security Studies and Research. Saat ini foremost dipelihara oleh Nick Mikus
seorang Peneliti di the Naval Postgraduate School Center for Information Systems Security
Studies and Research.
 Gqview.
Program untuk melihat gambar berbasis GTK la mendukung beragam format gambar,
zooming, panning, thumbnails, dan pengurutan gambar.
 Galleta.
Tool yang ditulis oleh Keith J Jones untuk melakukan analisis forensic terhadap cookie
Internet Explorer.
 Ishw (Hardware Lister).

Page 4 of 9
 Tool kecil yang memberikan informasi detil mengenai konfigurasi hardware dalam mesin. la
dapat melaporkan konfigurasi memori dengan tepat, versi firmware, konfigurasi mainboard,
versi dan kecepatan CPU, konfigurasi cache, kecepatan bus, dsb. pada sistem t>MI-capable
x86 atau sistem EFI.
 Pasco.
Banyak penyelidikan kejahatan komputer membutuhkan rekonstruksi aktivitas Internet
tersangka. Karena teknik analisis ini dilakukan secara teratur, Keith menyelidiki struktur
data yang ditemukan dalam file aktivitas Internet Explorer (file index.dat). Pasco, yang
berasal dari bahasa Latin dan berarti “browse”, dikembangkan untuk menguji isi file cache
Internet Explorer. Pasco akan memeriksa informasi dalam file index.dat dan mengeluarkan
hasil dalam field delimited sehingga dapat diimpor ke program spreadsheet favorit Anda.
 Scalpel.
Tool forensik yang dirancang untuk mengidentifikasikan, mengisolasi dan merecover data
dari media komputer selama proses investigasi forensik. Scalpel mencari hard drive, bit-
stream image, unallocated space file, atau sembarang file komputer untuk karakteristik, isi
atau atribut tertentu, dan menghasilkan laporan mengenai lokasi dan isi artifak yang
ditemukan selama proses pencarian elektronik. Scalpel juga menghasilkan (carves) artifak
yang ditemukan sebagai file individual.

Investigasi Kasus Teknologi Informasi

 Prosedur forensik yang umum digunakan, antara lain: Membuat copies dari keseluruhan log
data, file, dan lain-lain yang dianggap perlu pada suatu media yang terpisah. Membuat
copies secara matematis.Dokumentasi yang baik dari segala sesuatu yang dikerjakan.
 Bukti yang digunakan dalam IT Forensics berupa :Harddisk.Floopy disk atau media lain
yang bersifat removeable.Network system.
 Metode/prosedure IT Forensik yang umum digunakan pada komputer ada dua jenis yaitu:
1. Search dan seizure : dimulai dari perumusan suatu rencana.
1) Identifikasi dengan penelitian permasalahan.
2) Membuat hipotesis.
3) Uji hipotesa secara konsep dan empiris.
4) Evaluasi hipotesa berdasarkan hasil pengujian dan pengujian ulang jika hipotesa
tersebut jauh dari apa yang diharapkan.
5) Evaluasi hipotesa terhadap dampak yang lain jika hipotesa tersebut dapat diterima.
2. Pencarian informasi (discovery information). Ini dilakukan oleh investigator dan
merupakan pencarian bukti tambahan dengan mengendalikan saksi secara langsung
maupun tidak langsung.
1) Membuat copies dari keseluruhan log data, files, dan lain-lain yang dianggap perlu
pada media terpisah.
2) Membuat fingerprint dari data secara matematis.
3) Membuat fingerprint dari copies secara otomatis.

Page 5 of 9
 4) Membuat suatu hashes masterlist
5) Dokumentasi yang baik dari segala sesuatu yang telah dikerjakan.

Objek-Objek IT Forensic.
Ada banyak sekali hal yang bisa menjadi petunjuk atau jejak dalam setiap tindakan
kriminal yang dilakukan dengan menggunakan teknologi seperti komputer. Contohnya adalah
sebagai berikut:
 Log file atau catatan aktivitas penggunaan komputer yang tersimpan secara rapi dan detail di
dalam sistem.
 File yang sekilas telah terhapus secara sistem, namun secara teknikal masih bisa diambil
dengan cara-cara tertentu.
 Catatan digital yang dimiliki oleh piranti pengawas trafik seperti IPS (Intrusion Prevention
System) dan IDS (Intrusion Detection System).
 Hard disk yang berisi data/informasi backup dari sistem utama.
 Rekaman email, mailing list, blog, chat, dan mode interaksi dan komunikasi lainnya.
 Beraneka ragam jeis berkas file yang dibuat oleh sistem maupun aplikasi untuk membantu
melakukan manajemen file (misalnya: .tmp, .dat, .txt, dan lain-lain).
 Rekam jejak interaksi dan trafik via internet dari satu tempat ke tempat yang lain (dengan
berbasis IP address misalnya).
 Absensi akses server atau komputer yang dikelola oleh sistem untuk merekam setiap adanya
pengguna yang login ke piranti terkait; dan lain sebagainya.
Beraneka ragam jenis obyek ini selain dapat memberikan petunjuk atau jejak, dapat pula
dipergunakan sebagai alat bukti awal atau informasi awal yang dapat dipergunakan oleh
penyelidik maupun penyidik dalam melakukan kegiatan penelusuran terjadinya suatu peristiwa
kriminal, karena hasil forensik dapat berupa petunjuk semacam:
 Lokasi fisik seorang individu ketika kejahatan sedang berlangsung (alibi).
 Alat atau piranti kejahatan yang dipergunakan.
 Sasaran atau target perilaku jahat yang direncanakan.
 Pihak mana saja yang secara langsung maupun tidak langsung terlibat dalam tindakan
kriminal.
 Waktu dan durasi aktivitas kejahatan terjadi.
 Motivasi maupun perkiraan kerugian yang ditimbulkan.
 Hal-hal apa saja yang dilanggar dalam tindakan kejahatan tersebut.
 Modus operandi pelaksanaan aktivitas kejahatan; dan lain sebagainya.

Siapa Yang Menggunakan IT Forensik?

Network Administrator merupakan sosok pertama yang umumnya mengetahui
keberadaan cybercrime sebelum sebuah kasus cybercrime diusut oleh pihak yang berwenang.
Ketika pihak yang berwenang telah dilibatkan dalam sebuah kasus, maka juga akan melibatkan
elemen-elemen vital lainnya, antara lain:
Page 6 of 9
1. Petugas Keamanan (Officer/as a First Responder)
Memiliki kewenangan tugas antara lain : mengidentifikasi peristiwa, mengamankan bukti,
pemeliharaan bukti yang temporer dan rawan kerusakan.
2. Penelaah Bukti (Investigator)
Sosok yang paling berwenang dan memiliki kewenangan tugas antara lain: menetapkan
instruksi-instruksi, melakukan pengusutan peristiwa kejahatan, pemeliharaan integritas
bukti.
3. Teknisi Khusus
Memiliki kewenangan tugas, antara lain: memeliharaan bukti yang rentan kerusakan dan
menyalin storage bukti, mematikan (shuting down) sistem yang sedang berjalan,
membungkus/memproteksi bukti-bukti, mengangkut bukti dan memproses bukti. IT
forensic digunakan saat mengidentifikasi tersangka pelaku tindak kriminal untuk
penyelidik, kepolisian, dan kejaksaan.

Pengetahuan yang diperlukan ahli IT Forensik

Seperti ahli forensik dalam kasus tindak kriminal, tindak kejahatan di dunia IT pun juga
memerlukan seoarang ahli forensik komputer. Berikut ini terdapat beberapa pengetahuan dan
kriteria yang diperlukan untuk menjadi seorang ahli forensik. Pengetahuan yang diperlukan ahli
forensik di antaranya:
1) Dasar-dasar hardware dan pemahaman bagaimana umumnya sistem operasi bekerja.
2) Bagaimana partisi drive, hidden partition, dan di mana tabel partisi bisa ditemukan pada
sistem operasi yang berbeda.
3) Bagaimana umumnya master boot record tersebut dan bagaimana drive geometry.
4) Pemahaman untuk hide, delete, recover file dan directory bisa mempercepat pemahaman
pada bagaimana tool forensik dan sistem operasi yang berbeda bekerja.Familiar dengan
header dan ekstension file yang bisa jadi berkaitan dengan file tertentu. Kriteria ahli forensik
berikut ini dijelaskan oleh Peter Sommer dari Virtual City Associates Forensic Technician ,
serta Dan Farmer dan Wietse Venema.
5) Metode yang berhati-hati pada pendekatan pencatatan rekaman.
6) Pengetahuan komputer, hukum, dan prosedur legal.
7) Keahlian untuk mempergunakan utility.
8) Kepedulian teknis dan memahami implikasi teknis dari setiap tindakan.
9) Penguasaan bagaimana modifikasi bisa dilakukan pada data.
10) Berpikiran terbuka dan mampu berpandangan jauh.
11) Etika yang tinggi.
12) Selalu belajar.
13) Selalu mempergunakan data dalam jumlah redundan sebelum mengambil kesimpulan.

Contoh Kasus Penggunaan IT Forensik

Page 7 of 9
 Pada tanggal 29 September 2009, Polri akhirnya membedah isi laptop Noordin M. Top
yang ditemukan dalam penggrebekan di Solo. Dalam temuan tersebut akhirnya terungkap video
rekaman kedua ‘pengantin’ dalam ledakan bom di Mega Kuningan, Dani Dwi Permana dan
Nana Ichwan Maulana.
Sekitar tiga minggu sebelum peledakan Dani Dwi Permana dan Nana Ichwan pada video
tersebut setidaknya melakukan field tracking sebanyak dua kali ke lokasi JW. Marriot dan Ritz
Carlton yang terletak di daerah elit dimana banyak Embassy disini, Mega Kuningan. Dalam
melakukan survei tersebut Dani dan Nana didampingi oleh Syaifuddin Zuhri sebagai pemberi
arahan dalam melakukan eksekusi bom bunuh diri.

Pada praktiknya terdapat beberapa cabang pekerjaan untuk IT Forensik yang lebih
spesifik seperti:
1) Database Forensik
Mengumpulkan dan menganalisis database/table ataupun transaksi yang spesifik untuk
merekonstruksi data atau event yang telah terjadi pada sisten. Sistem database yang
memiliki fitur log audit akan memudahkan pekerjaan ini.
2) Network Forensik
Melihat dan melakukan penelurusan terhadap traffic network untuk memeriksa kejanggalan.
Contohnya pemeriksaan paket data yang meningkat secara tidak wajar dan kemungkinan
terjadinya serangan DDoS.
3) Mobile device Forensik
Perkembangan penggunaan smartphone semakin meningkat, penyimpanan data pada setiap
individu ataupun komunikasi yang dilakukan lewat device mobile dapat dilacak sepenuhnya
berdasarkan history yang tercatat pada log system, misalnya smartphone berbasis android.
4) Fotografi Forensik
Salah satu teknik forensik menggunakan analisa vektor untuk pembuktian media seperti
videoa digital yang kualitasnya buruk. Pelaku memalsukan bukti menggunakan teknik
pengolahan media seperti foto maupun video untuk menghindari kemungkinan dirinya
menjadi terdakwa.

Anti Forensik
Bila terdapat IT forensik yang melakukan investigasi data, terdapat Anti Forensik yang
berusaha untuk melawannya. Anti forensik akan mengamankan data-data yang telah tersimpan
agar tidak sampai kepada pihak-pihak yang ingin melakukan penyadapan. Apakah anda masih
ingat kasus pembongkaran atas penyadapan telepon Presiden SBY oleh Amerika? Profesi IT
forensic menjadi salah satu yang dipanggil untuk dilakukannya konsultasi.
Teknik-teknik yang dapat di pakai untuk Anti Forensik terbilang lebih beragam, misalnya
untuk melakukan perlindungan data perusahaan ataupun penghilangan jejak transaksi yang
dilakukan. Beberapa teknik yang digunakan untuk anti forensik :
a) Enkripsi

Page 8 of 9
 Enkripsi adalah teknik klasik untuk mengubah format yang akan dikirimkan kepada pihak
lain agar hanya dapat di baca oleh penerima saja. Dengan teknik dan tool enkripsi yang baik
data-data yang telah di ubah formatnya walaupun telah tercuri oleh pihak ketiga, namun
tidak dapat untuk dibaca ataupun diakses paket datanya.
b) Steganografi
Seni untuk menyembunyikan data dalam bentuk lain dalah steganografi. Data tersebut di
sembunyikan dan di kirimkan dalam bentuk format file lain. Teknik ini dilakukan untuk
mengelabui para forensik, contohnya adalah mengubah format extensi file menjadi mp3 agar
di kira mengirimkan lagu namun sebenarnya bukan file lagu.
c) Hash Collision
Hash digunakan sebagai identitas suatu file. Algoritma hash yang umumnya digunakan
adalah md5. Dalam komputer forensik, hash dipakai untuk integritas suatu file. Pada maret
2005, Xiayun Wang dan Hong Bo Yu berhasil membuat dua file berbeda dengan hash md5
yang sama. Ilmu komputer forensic pun akan semakin sulit menentukan data yang original.
d) Process Dump
Bermain aman di memory tanpa menyentuh area penyimpanan seperti hard disk. Dengan
melakukan sesuatu pada memory proses tracking akan menjadi tidak mungkin untuk
dilakukan karena sistem hanya menyimpan data-data tersebut secara sementara ketika
komputer di gunakan dan tak akan meninggalkan jejak untuk di track.
e) Clear imprint
Menghilangkan jejak aktivitas seperti pada proses penggunaan layanan internet.
Menggunakan IP address privat dan ISP yang hanya bekerja sama dengan pengguna. Para
hacker menggunakan cara tersebut untuk menghilangkan jejak percobaan pembobolan suatu
sistem ketika melakukan aksisnya.
Anti forensik merupakan ilmu yang digunakan untuk meminimalisasi upaya pencurian
rutin data penting. Ilmu forensic pun tidak di ajari secara terang-terangan pada institut
pendidikan sama halnya dengan dunia hacking. Terdapat komunitas yang secara underground
mengajari hal-hal tersebut.

Page 9 of 9