MATAKULIAH

ETIKA PROFESI

BAHASAN
IT FORENSIK

Pertemuan ke-4 Erma Sulistyo Rini,SE.,M.MKom

Definisi
 Forensik :
Suatu cara atau metode yang digunakan untuk mengetahui hal
atau mendapatkan bukti dan fakta dari suatu kejadian.

 Komputer Forensik
“Penggunaan sekumpulan prosedur untuk melakukan pengujian
secara menyeluruh suatu sistem komputer dengan
mempergunakan software dan tool untuk mengekstrak dan
memelihara barang bukti tindakan kriminal”

 Menurut Judd Robin, seorang ahli komputer forensik:

“Penerapan secara sederhana dari penyelidikan komputer dan
teknik analisisnya untuk menentukan bukti-bukti hukum yang
mungkin”
 New Technologies memperluas definisi Robin dengan:
“Komputer forensik berkaitan dengan pemeliharaan,
identifikasi, ekstraksi dan dokumentasi dari bukti-bukti
komputer yang tersimpan dalam wujud informasi magnetik
(disket, hardisk dan memori )”

Alasan diadakannya komputer forensik bagi perusahaan :

Setiap organisasi membutuhkan banyak data untuk diolah menjadi

sebuah informasi yang berguna bagi organisasi tersebut. Data
seperti ini biasa disimpan atau di transfer oleh sistem komputer, personal
digital assistants (PDA), networking equipment (Perusahaan yang
membuat peralatan jaringan komputer termasuk LANs, WANs dan Router )
dan sumber – sumber data lainnya. Untuk itu penting adanya analisa
data. Karena analisa data dapat digunakan untuk berbagai tujuan, seperti
merekonstruksi kejadian keamanan komputer, trouble shooting (Semua
masalah yang berhubungan dengan komputer) permasalahan operasional
dan pemulihan dari kerusakan sistem yang terjadi secara mendadak.
Kriteria penyelidik forensik
 James J. Dougherty, “Computer Forensics”,
SANS Institute, Thn. 2001
“ Seorang penyelidik yang baik harus mudah
berkomunikasi dengan siapapun, dan sangat
kritis. Berpikir lojik, objektif (tidak memihak)
dan tidak bias (tidak menyimpang dari
prosedur), tanpa kontroversi/pertentangan.
Kemampuan verbal dan tulisan sehingga
setiap orang memahami apa yang terjadi, karena
akan ditanyai saran dan kepakaran saat
diperlukan.”
Kriteria penyelidik forensik

 Pengetahuan yang diperlukan ahli forensik di

antaranya menurut Diana J. Michaud, “Adventures in
Computer Forensics”, SANS Institute, Thn. 2001:
1. Dasar-dasar hardware dan pemahaman cara kerja
sistem operasi
2. Bagaimana cara kerja partisi drive (mengetahui
tempat penyimpanan file secara terpisah atau
terbagi ), hidden partition (Bagaimana membaca file
yang disembunyikan secara terpisah – pisah ), dan
di mana tabel partisi bisa ditemukan pada sistem
operasi yang berbeda.
3. Bagaimana umumnya master boot record
(master proses perekam atau sistem pada
harddisk yang berlokasi pada silinder 0
head 0 dan sector 1 / LBA 0 ) tersebut dan
bagaimana drive geometry.(design sofware
/ program grafis )
4. Pemahaman untuk hide, delete, recover file
dan directory bisa mempercepat pemahaman
pada bagaimana tool forensik dan sistem
operasi yang berbeda bekerja.
5. Familiar dengan header dan ekstension file
yang bisa jadi berkaitan dengan file tertentu.
Kriteria penyelidik forensik
 Menurut Peter Sommer dari Virtual City Associates
Forensic Technician, serta Dan Farmer dan Wietse
Venema:
1. Metode yang berhati-hati pada pendekatan pencatatan
rekaman.
2. Pengetahuan komputer, hukum, dan prosedur legal.

3. Keahlian untuk mempergunakan utility

(alat bantu/perangkat bantuan)
4. Kepedulian teknis dan memahami implikasi teknis dari
setiap tindakan.
5. Penguasaan bagaimana modifikasi (add,update,delete)
bisa dilakukan pada data.
6. Berpikiran terbuka dan mampu
berpandangan jauh.
7. Etika yang tinggi dab Selalu belajar.

8. Selalu mempergunakan data dalam jumlah

redundan (pola data yang berulang sehingga
dapat dihilangkan, tujuannya untuk kompresi
data sehingga semakin tinggi redundasi maka
semakin tinggi tingkat kompresi yang bisa
dilakukan) sebelum mengambil kesimpulan.
Hal – hal yang perlu diperhatikan
oleh investigator:
1. Jangan merubah bukti asli.
2. Jangan mengeksekusi program pada bukti
(komputer) terutama Operating System-nya.
3. Tidak mengizinkan tersangka untuk berinteraksi
dengan bukti (komputer).
4. Segera mungkin mem-backup bukti yang ada di
dalam komputer tersangka.
 Jika pada saat diidentifikasi komputer masih nyala,
jangan dimatikan sampai seluruh data termasuk
temporary selesai dianalisa dan disimpan.
5. Rekam seluruh aktifitas investigasi.
6. Jika perlu, pindahkan bukti ke tempat penyimpanan
yang lebih aman.
Bukti forensik komputer
 Bukti yang biasanya digunakan dalam forensik
komputer adalah berupa :
1. Logs. (Temp File, Recent link files, Spool printed files/file
yang dapat diakses secara simultan, Informasi file
fragmentasi disk/file yang dialokasikan pada disk, Internet
history / temp, Registry, Recycle bin)
2. Stand alone system / sistem operasi
3. Networked system.
4. Hard disk. (Space yang tidak digunakan pada disk,
Sector pada disk)
5. Floppy disk atau media lain yang bersifat removable.
6. Email.
Elemen yang terlibat dalam forensik
 Elemen yang terlibat dalam forensik
1. Network Administrator  Sosok pertama yang umumnya
mengetahui keberadaan cybercrime
2. Tim Respon Cybercrime  (jika perusahaan memilikinya)
sebelum sebuah kasus cybercrime diusut oleh cyberpolice
3. Petugas Keamanan (Officer/as a First Responder),
Memiliki tugas-tugas yakni : ((i) Mengidentifikasi Peristiwa,
(ii) Mengamankan Bukti dan (iii) Pemeliharaan bukti yang
temporer dan Rawan Kerusakan.
4. Penelaah Bukti (Investigator), Memiliki Tugas-tugas
yakni : (i) Menetapkan instruksi-instruksi sebagai
sosok paling berwenang, (ii) Melakukan pengusutan
peristiwa kejahatan,(iii) Pemeliharaan integritas bukti.
5. Teknisi Khusus, Memiliki tugas-tugas
(dihindari terjadi overlaping job dengan
Investigator), yakni (i) Pemeliharaan bukti
yang rentan kerusakan dan menyalin
storage bukti, (ii) Mematikan(shuting down)
sistem yang sedang berjalan,(iii)
Membungkus / memproteksi bukti-bukti,(iv)
Mengangkut bukti,(v) Memproses bukti
Elemen Kunci Foreksik
1. Identifikasi dari Bukti Digital
 Merupakan tahapan paling awal forensik dalam
teknologi informasi. Pada tahapan ini dilakukan
identifikasi dimana bukti itu berada, dimana bukti
itu disimpan dan bagaimana penyimpanannya
untuk mempermudah tahapan selanjutnya.
2. Penyimpanan Bukti Digital
Termasuk tahapan yang paling kritis dalam
forensik. Bukti digital dapat saja hilang karena
penyimpanannya yang kurang baik.
3. Analisa Bukti Digital
Bagian penting dalam analisa bukti digital
adalah Pengambilan, Pemrosesan dan
Interprestasi dari bukti digital
4. Presentasi Bukti Digital
Proses persidangan dimana bukti digital
akan diuji dengan kasus yang ada.
Presentasi disini berupa penunjukkan bukti
digital yang berhubungan dengan kasus
yang disidangkan.
Manajemen Bukti (Bagaimana
Memelihara Barang Bukti )

1. The Chain of Custody

 Pemeliharaan dengan meminimalisir kerusakan yang
diakibatkan karena investigasi.
 Tujuannya untuk menjaga keaslian dari barang bukti
 Untuk menjaga bukti itu dalam mekanisme the chain
of custody ini, dilakukan beberapa cara:
1. Gunakan catatan yang lengkap mengenai keluar-
masuk bukti dari penyimpanan.
2. Simpan di tempat yang dianggap aman.
3. Akses yang terbatas dalam tempat penyimpanan.
4. Catat siapa saja yang dapat mengakses bukti
tersebut.
2. Rules of Evidence
 adalah barang bukti harus memiliki hubungan yang
relevan dengan kasus yang ada.
 Syarat Rules of Evidence :
1. Dapat Diterima (Admissible). Harus mampu
diterima dan digunakan demi hukum, mulai dari
kepentingan penyidikan sampai dengan
kepentingan pengadilan.
2. Asli (Authentic). Bukti tersebut harus berhubungan
dengan kejadian / kasus yang terjadi dan bukan
rekayasa.
3. Lengkap (Complete). Bukti bisa dikatakan
bagus dan lengkap jika di dalamnya terdapat
banyak petunjuk yang dapat membantu
proses investigasi.
4. Dapat Dipercaya (Believable & Reliable).
Bukti dapat mengatakan hal yang terjadi di
belakangnya. Jika bukti tersebut dapat
dipercaya, maka proses investigasi akan
lebih mudah. Walau relatif, dapat dipercaya
ini merupakan suatu keharusan dalam
penanganan perkara.
Prosedur Forensik
 Prosedur Forensik yang Umum yang perlu
dilakukan oleh investigator :
1. Membuat copies dari keseluruhan log data, files, dan lain-
lain yang dianggap perlu pada suatu media yang terpisah.
2. Membuat fingerprint/sidik jari dari data secara matematis
(contoh hashing algorithm, MD5).
3. Membuat fingerprint dari copies secara matematis.
4. Membuat suatu hashes master list.(hash function adalah
suatu algoritma yang digunakan untuk menghasilkan
fingerprint/sidikjari dari suatu strings biner. Digunakan untuk
intergritas data  Akurasi data atau penyesuaiannya setelah data dipindakan
atau diproses. )

5. Dokumentasi yang baik dari segala sesuatu yang telah

dikerjakan.
Metode forensik
1. Search dan seizure:
Pemulihan dan Pemrosesan bukti fisik  Investigator mampu
mengidentifikasi, menganalisa dan memproses bukti fisik
serta penyitaan barang bukti guna membantu proses
penyidikan dibawah koridor hukum yang berlaku
 Tahapan:
1. Identifikasi dan penelitian permasalahan.
2. Membuat hipotesa.
3. Hipotesa diuji secara konsep dan empiris, apakah hipotesa
itu sudah dapat dijadikan kesimpulan atau tidak.
4. Evaluasi hipotesa berdasarkan hasil pengujian dan pengujian
ulang jika hipotesa tersebut jauh dari apa yang diharapkan.
5. Evaluasi hipotesa terhadap dampak yang lain jika hipotesa
tersebut dapat diterima.
2. Melacak Sumber Program Perusak

1. Kode executable
 Algoritma dan struktur data: Pilihan algoritma dan struktur
data bisa menunjukkan background dari pembuat.
 Kompilator: Dalam kasus virus bisa ditentukan bahasa
pemrogramannya dan dari vendor mana, karena rutin-
rutin dan library yang dipergunakan.
 Pengetahuan pemrograman: Bisa dilihat tingkat
kemampuan pemrogram dari penggunaan fungsi dan
error checking semacam exception handling.
 Pilihan system call.
 Kesalahan: Beberapa programmer membuat kesalahan
serupa pada program-programnya.
2. Kode Sumber
1. Bahasa  Menunjukkan pengetahuan dan
ketersediaan pada program.
2. Format  Biasanya konsisten, Misalnya identasi dan
deklarasi
 Identasi adalah bentuk penulisan yang baris pertama,
kedua dan seterusnya berbeda-beda masuk dan keluar
dalam paragraf
 Macam - macam Identasi :
1. First Line Indent --> memasukan baris pertama dalam
tiap paragraf.
2. Hanging Indent --> memasukan kecuali baris pertama
dalam tiap paragraf.
 3. Left Indent -->memasukan baris pertama
dan seterusnya dalam tiap
paragraf.
4. Right Indent -->memasukan ke kanan
semua baris dalam tiap paragraf.
 Deklarasi adalah Proses pengenalan type data suatu
variabel sehingga diketahui berapa banyak memori
yang harus disiapkan untuk masing2 variabel
3. Komentar.
4. Nama variabel.
5. Ejaan  Ada pemrogram yang melakukan kesalahan
eja secara tetap.
 Feature bahasa  Beberapa pemrogram lebih
suka menggunakan pilihan tertentu, misal
antara perulangan for dengan repeat until
atau while.
 Scope  pemilihan variabel lokal dan global
 Jalur eksekus  adanya kode yang tidak
pernah dieksekusi.
 Bug  Kesalahan serupa yang dibuat dalam
program-programnya
3. Analisis Unknown Program

1. Analisis statik:
 Mempelajari program tanpa benar-benar
mengeksekusinya.
 Tool yang dipergunakan adalah dissasembler,
decompiler, tool analisis kode sumber, dan tool
dasar semacam grep (menyaring masukan atau
tampilan baris). Dalam kenyataannya bisa
memberikan suatu gambaran pendekatan
mengenai program.
2. Analisis dinamik:
 Mempelajari program saat dieksekusi. Tool yang
dipergunakan adalah debugger (Pelacak), tracer
(Pengusutan), emulator mesin, analisis logika
dan terkadang sniffer jaringan.
 Keuntungan dari analisis dinamik adalah cepat
dan akurat. Kasus khusus dari analisis dinamik
adalah analisis kotak hitam (black box), yaitu
analisis dinamik tanpa mengakses internal
program. Dalam kasus ini, pengamatan
dilakukan pada input dan output eksternal, serta
karakteristik pewaktuannya.
3. Analisis postmortem:
 Mempelajari perilaku perangkat lunak
dengan mengamati dampak setelah eksekusi
program. Bisa jadi ini merupakan satu-
satunya alat yang tersedia setelah
penyusupan sistem.
Tools Komputer Forensik
 The Coroner Toolkit - Dan Farmer & Wietse Venema ,
www.porcupine.org/forensics/tct.html
 Byte Back – oleh TechAssist, www.toolsthatwork.com/byteback.htm
 DriveSpy –
www.digitalintelligence.com/software/disoftware/drivespy/
 EnCase – oleh Guidance Software, http://www.encase.com/
 Forensic ToolKit – http://www.accessdata.com/
 Maresware Suite – http://www.dmares.com/
 Drive Image Pro - PowerQuest
 Linux "dd" - Red Hat
 Norton Ghost 2000 - Symantec
 SafeBack - New Technologies
 SnapBack DatArrest oleh Columbia Data Products