- Priyo Sarjono Wibowo -

4KA07, 4KA08, 4KA22

Materi Minggu IV

“IT FORENSICS”

ETIKA DAN

PROFESIONALISME TSI

➢ IT Audit trail

➢ Real-time audit

➢ IT Forensics

TINJAUAN UMUM

a. Pemanfaatan ICT di berbagai segi kehidupan.

b. Ketergantungan bisnis terhadap ICT membuat resiko bisnis semakin besar.

LATAR BELAKANG

▪ Sebuah pemeriksaan resmi atas sebuah akun organisasi, biasanya oleh sebuah badan independent.

▪ Sebuah tinjauan atau penilaian sistematis atas sesuatu.

DEFINISI AUDIT

(OXFORD DICTIONARIES)

Penilaian/pengujian kendali dalam sistem informasi atau infrastruktur teknologi informasi.

DEFINISI IT AUDIT

▪ Mengumpulkan dan mengevaluasi bukti-bukti bagaimana system informasi dikembangkan, dioperasikan, diorganisasikan,

PROSES IT AUDIT

▪ serta bagaimana praktek dilaksanakan:- Apakah SI melindungi aset institusi?

(asset protection, availability)

- Apakah integritas data dan sistem dilindungi secara cukup? (security,confidentiality)

- Apakah operasi sistem efektif dan efisien dalam mencapai tujuan organisasi?

PROSES IT AUDIT

a. Internal IT department,

b. External IT consultant,

c. Board of commsion,

d. Management,

e. Internal IT auditor,

f. External IT Auditor.

STAKEHOLDERS

a. CISA (Certified Information Systems Auditor),

b. CIA (Certified Internal Auditor),

c. CISSP (Certified Information Systems Security Professional),

d. dll.

KUALIFIKASI AUDITOR

▪ Solusi teknologi meningkat, menyeluruh, dan mendalam.

▪ Fokus kepada global, menuju kepada standar yang diakui.

OUTPUT INTERNAL IT

▪ Rekrutmen staf, teknologi baru, dan kompleksitasnya,

▪ Outsourcing yang tepat,

▪ Benchmarks/best practices.

OUTPUT EXTERNAL IT

▪ Menjamin keseluruhan audit,

▪ Budget dan alokasi sumber daya,

▪ Pelaporan.

OUTPUT INTERNAL AUDIT & BUSINESS

1. IT Audit,

2. Analisis resiko berdasarkan hasil audit,

3. Memeriksa kondisi sistem dan security benchmarking terhadap sistem lain/standar yang ada.

FRAMEWORK BESAR

4. Hasil dari 1, 2, dan 3 melahirkan konsep keamanan sistem informasi.

5. Hasil dari konsep keamanan:- Panduan keamanan sistem (Handbook of

system security).

FRAMEWORK BESAR

1. COBIT. Control Objectives for Information and Related Technologies.url: www.icasa.org

2. BS7799. Code of Practice (CoP).www.bsi.org.uk/disc/

METODOLOGI IT AUDIT

3. BSI. IT baseline protection manual.url: www.bsi.bund.de/gshb/english/menue.html

4. ITSEC. www.itsec.gov.uk

5. Common criteria. csrc.nist.gov/cc. www.niap-ccevs.org.

METODOLOGI IT AUDIT

▪ Dikembangkan oleh ISACA

▪ (mungkin) cocok untuk self-assesement, tapi kurang cocok untuk mengembangkan buku petunjuk keamanan sistem.

▪ Membantu dalam implementasi sistem kendali di sistem IT.

COBIT

▪ Kurangnya dokumentasi terinci.

▪ Tidak begitu user-friendly.

COBIT

COBIT

▪ Code of Practice for Information Security Management.

▪ Dikembangkan oleh BSI (British Standards Institution) group yang berasal dari UK (United Kingdom).

BS 7799 – Code of Practice

▪ 10 control categories,

▪ 32 control groups,

▪ 109 security controls,

▪ 10 security key controls.

BS 7799 – Code of Practice

Security Baseline Controls

▪ System access controls,

▪ System development and maintenance,

▪ Business continuity planning,

▪ Compliance,

▪ Information security policy,

BS 7799 – Code of Practice

Kategori Kontrol

▪ Security organization,

▪ Assets classification and control,

▪ Personnel security,

▪ Physical dan environmental security,

▪ Computer and network management.

BS 7799 – Code of Practice

Kategori Kontrol

▪ Digunakan untuk self-assessment. Konsep keamanan dan kesehatan sistem.

▪ Tidak tersedia metodologi evaluasi.

▪ Tidak menjelaskan bagaimana melakukan assessment on system,

▪ Sangat user-friendly. Ease-of-use.

BS 7799 – Code of Practice

▪ IT Baseline Protection Manual (IT-Grundschutzhandbuch).

▪ Dikembangkan oleh GISA (German Information Security Agency).

▪ Digunakan: evaluasi konsep keamanan dan manual.

▪ Metode evaluasi tidak dijelaskan.

BSI - Bundesamt für Sicherheit in der

Informationstechnik

▪ Mudah digunakan dan sangat rinci.

▪ Tidak cocok untuk analisis resiko.

▪ Representasi tidak dalam grafik yg mudah dibaca.

BSI - Bundesamt für Sicherheit in der

Informationstechnik

BSI - Bundesamt für Sicherheit in der

Informationstechnik

▪ 7 areas,

▪ 34 modules (building blocks).

BSI

IT SECURITY MEASURES

▪ 6 categories of security measures.

BSI

SAFEGUARD CATALOGUE

▪ 5 categories of threats

BSI

THREATS CATALOGUE

▪ Protection for generic components.

▪ Infrastructure,

▪ Non-networked systems,

▪ LANs,

▪ Data transfer systems,

▪ Telecommunications, and other IT components

BSI

SECURITY MEASURES EXAMPLES

▪ Organisation,

▪ Personnel,

▪ Contingency planning,

▪ Data protection.

BSI

KOMPONEN GENERIK

Bulidings, Cabling, Rooms, Office, Server Room, Storage for Media Archives, Technical Infrastructure Room, Protective cabinets, Home working place.

BSI

INFRASTRUKTUR

▪ IT Security Evaluation Criteria.

▪ Dibuat oleh UK, Germany, France, Netherland dan utamanya berdasar kepada USA TCSEC (Orange Book).

▪ Berdasarkan pendekatan sistematis, terdokumentasi untuk evaluasi keamanan dari sistem dan produk.

ITSEC

ITSEC

▪ Dikembangkan oleh USA, berdasarkan ITSEC.

▪ ISO international standard.

▪ Langkah evaluasi:- Definisi fungsionalitas,

- Kepastian: keyakinan di dalam fungsionalitas.

COMMON CRITERIA (CC)

KOMPARASI TEKNOLOGI

1. Apakah kebijakan keamanan (security policy) memadai dan efektif?

2. Jika data dipegang oleh vendor, periksa laporan tentang kebijakan dan prosedur terkini dari external auditor.

19 LANGKAH UMUM AUDIT TSI

KENDALI LINGKUNGAN

3. Jika sistem dibeli dari vendor, periksa kestabilan finansial.

4. Memeriksa persetujuan lisensi (license agreement).

19 LANGKAH UMUM AUDIT TSI

KENDALI LINGKUNGAN

5. Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai?

6. Periksa apakah backup administrator keamanan sudah memadai (terlatih, teruji).

19 LANGKAH UMUM AUDIT TSI

KENDALI KEAMANAN FISIK

7. Periksa apakah rencana kelanjutan bisnis memadai dan efektif?

8. Periksa apakah asuransi perangkat-keras, sistem operasi, aplikasi, dan data memadai?

19 LANGKAH UMUM AUDIT TSI

KENDALI KEAMANAN FISIK

9. Periksa apakah password memadai dan pengubahannya dilakukan secara teratur?

10. Apakah administrator keamanan mencetak akses kendali dari setiap user?

19 LANGKAH UMUM AUDIT TSI

KENDALI KEAMANAN LOGIS

11. Memeriksa dan mendokumentasikan parameter keamanan default.

12. Menguji fungsionalitas sistem keamanan (password, suspend userID, dan lain-lain).

19 LANGKAH UMUM AUDIT TSI

KENDALI KEAMANAN LOGIS

13. Memeriksa apakah password file/database disimpan dalam bentuk tersandi dan tidak dapat dibuka oleh pengguna umum?

14. Memeriksa apakah data sensitif tersandi dalam setiap fase dalam prosesnya?

19 LANGKAH UMUM AUDIT TSI

KENDALI KEAMANAN LOGIS

15. Memeriksa apakah prosedur memeriksa dan menganalisa log (catatan) memadai?

16. Memeriksa apakah akses kendali remote memadai (VPN, CryptoCard, SecureID, dan lain-lain)?

19 LANGKAH UMUM AUDIT TSI

KENDALI KEAMANAN LOGIS

17. Memeriksa apakah tugas dan job description memadai dalam semua tugas dalam operasi tersebut?

18. Memeriksa apakah ada permasalahan yang signifikan?

19 LANGKAH UMUM AUDIT TSI

MENGUJI KENDALI OPERASI

19. Memeriksa apakah kendali yang menjamin fungsionalitas sistem informasi telah memadai?

19 LANGKAH UMUM AUDIT TSI

MENGUJI KENDALI OPERASI

▪ Bertujuan untuk mendapatkan fakta obyektif dari sebuah insiden/pelanggaran keamanan sistem informasi.

▪ Fakta-fakta tersebut setelahdiverifikasi akan menjadi bukti(evidence) yang akan digunakan di dalam proses hukum.

IT FORENSICS

1. Pengumpulan data/fakta dari sistem komputer (harddisk, usb-stick, log, memory-dump, internet, dan lain-lain) - termasuk di dalamnya data yang sdh terhapus.

METODOLOGI UMUM: PROSES PERIKSA

INSIDEN HINGGA PROSES HUKUM

2. Dokumentasi fakta yang ditemukan dan menjaga integritas data selama proses forensik dan hukum dengan proteksi fisik, penanganan khusus, pembuatan image, dan menggunakan algoritma hashuntuk pembuktian/verifikasi.

METODOLOGI UMUM: PROSES PERIKSA

INSIDEN HINGGA PROSES HUKUM

3. Merunut kejadian (chain of events) berdasarkan waktu kejadian.

4. Memvalidasi setiap kejadian tersebut dengan metode “sebab-akibat”.

METODOLOGI UMUM: PROSES PERIKSA

INSIDEN HINGGA PROSES HUKUM

5. Dokumentasi hasil yang diperoleh dan menyusun laporan.

6. Proses hukum (pengajuan delik,proses persidangan, saksi ahli, dan lain-lain).

METODOLOGI UMUM: PROSES PERIKSA

INSIDEN HINGGA PROSES HUKUM

▪ Hard drive IDE dan SCSI berkapasitas sangat besar, CD-R, DVR drives

▪ Memori yang besar (1-2 GB RAM)

▪ Hub, Switch, keperluan LAN

▪ Legacy hardware (8088s, Amiga, …)

▪ Laptop forensic workstations.

IT FORENSICS

KEBUTUHAN: HARDWARE

▪ Viewers (QVP).http://www.avantstar.com/,http://www.thumbsplus.de/.

▪ Erase/Unerase tools:Diskscrub/Norton utilities.

▪ Hash utility (MD5, SHA1)

IT FORENSICS

KEBUTUHAN: SOFTWARE

▪ Text search utilities (dtsearch)http://www.dtsearch.com/.

▪ Drive imaging utilities (Norton Ghost, Snapback, Safeback).

IT FORENSICS

KEBUTUHAN: SOFTWARE

▪ Forensic toolkits:- Unix/Linux: TCT The Coroners

Toolkit/ForensiX,

- Windows: Forensic Toolkit.

▪ Disk editors (Winhex).

IT FORENSICS

KEBUTUHAN: SOFTWARE

▪ Forensic acquisition tools:DriveSpy, EnCase, Safeback, SnapCopy.

▪ Write-blocking tools (FastBloc). Untuk memproteksi bukti.

IT FORENSICS

KEBUTUHAN: SOFTWARE

▪ Forensik bukan proses hacking.

▪ Data yang didapat harus dijaga agar tidak berubah.

▪ Membuat image dari HD/Floppy/USB-Stick/Memory-dump adalah prioritas tanpa merubah isi, kadang digunakan hardware khusus.

IT FORENSICS

PRINSIP

▪ Image tersebut yang “diotak-atik” (hacking) dan dianalisis – bukan yang asli.

▪ Data yang sudah terhapus membutuhkan tools khusus untuk merekonstruksi.

IT FORENSICS

PRINSIP

▪ Pencarian bukti dengan: tools pencarian teks khusus, atau mencari satu persatu dalam image.

IT FORENSICS

PRINSIP

▪ CobiT: metode audit untuk semua proses IT.

▪ ITSEC, CC: pendekatan evaluasi yang sistematik.

KESIMPULAN

▪ BS7799, BSI:- Evaluasi yang detail dan digunakan

sebagai dokumentasi “best practices”.

- Detailed audit plans, checklists, tools for technical audits (sistem operasi, LANs, dan lain-lain).

KESIMPULAN

▪ IT Forensics:- Ilmu yang berhubungan dengan

pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode yang digunakan (misalnya metode sebab-akibat).

- Memerlukan keahlian dibidang IT (termasuk diantaranya hacking) – dan tools (hardware maupun software).

KESIMPULAN

▪ Auditor dan Dokter-Komputer-Forensik:- penuh dengan tanggungjawab,

- harus independen,

- di-asses (dinilai) secara formal.

KESIMPULAN

Pertanyaan dan Diskusi