Upload
zufar-fathi-suhardi
View
244
Download
1
Embed Size (px)
DESCRIPTION
Â
Citation preview
Zufar Fathi Suhardi
4711010025
Pengantar..
Bab ini memperkenalkan konsep komputer investigasi dan
menunjukkan langkah-langkah yang terlibat dalam menyelidiki
kejahatan komputer. Bagian pertama membahas pentingnya
menentukan apakah insiden telah terjadi. berikut bagian
membahas bagaimana untuk mencari dan mengumpulkan bukti
yang dapat digunakan dalam kasus hukum atau penyelidikan
perusahaa , bagaimana untuk memeriksa dan menganalisa
bukti ini, dan hal-hal lain yang berkaitan dengan kasus forensik.
Sebelum memulai penyelidikan, penyidik perlu terlebih dahulu
menentukan bahwa insiden telah terjadi dan kemudian menilai
dampaknya. Sebuah insiden adalah suatu peristiwa yang
mengancam keamanan sistem komputer atau jaringan dalam
sebuah organisasi.
Kebijakan dan prosedur
pembangunan
Kebijakan dan prosedur yang perlu dilakukan:
Pernyataan misi
Pernyataan personil
Pertimbangan-pertimbangan administratif
Lisensi software
Komitmen Sumber
Pelatihan
Penyampaian dan pengambilan dari permintaan untuk
pelayanan forensik komputer
Pelaksanaan prosedur manajemen kasus
Penanganan bukti
Pengembangan prosedur dari case-processing
Pengembangan prosedur teknis
Mengidentifikasi tugas atau masalah
Mengusulkan solusi yang mungkin
Pengujian setiap solusi pada sampel kontrol yang dikenal
Mengevaluasi hasil tes
Menyelesaikan prosedur
Setiap perusahaan memiliki standar kebijakan bahwa setiap karyawan harus mengikuti mengenai penggunaan peralatan komputer yang dimiliki oleh
perusahaan. Kebijakan perusahaan yang disusun dengan benar mengenai penggunaan media elektronik dapat menghilangkan kemungkinan seorang
karyawan membahayakan privasi selama penerimaan informasi.
Mengimplementasi dan Menegakkan
Kebiijakan Perusahaan
Untuk melaksanakan kebijakan tersebut secara efektif, perusahaan perlu untuk menginformasikan setiap karyawan dari kebijakan perusahaan. Karyawan yang menggunakan sumber daya perusahaan seperti Internet atau komputer sistem untuk penggunaan pribadi tidak hanya melanggar kebijakan perusahaan tetapi juga membuang-buang sumber daya, waktu, dan uang.
Untuk menjaga pelanggaran kebijakan perusahaan, pemeriksa forensik atau penyelidik dipanggil untuk melakukan penyelidikan internal. Penyidik harus mengumpulkan bukti dari komputer tersangka dan menentukan apakah suatu kejahatan atau pelanggaran terhadap kebijakan perusahaan telah terjadi. Seorang penyidik harus mengikuti metodologi standar untuk menyelidiki pelanggaran kebijakan perusahaan.
Contoh Kasus Pelanggaran
Kebijakan Mike diduga menjalankan bisnis sendiri dengan menggunakan komputer perusahaan.
Situasi : Kasus penyalahgunaan karyawan
Sifat kasus : Bisnis sampingan
Spesifik tentang kasus : Karyawan dikabarkan melakukan bisnis sampingan di komputernya.
Jenis bukti : Disket
OS : Windows 2000
Format disket yang diketahui : FAT32
Lokasi bukti : Disket yang ditemukan manajer dekat komputer Mike; manajer telah menerima keluhan dari rekan kerja Mike bahwa ia menghabiskan terlalu banyak waktu pada bisnisnya sendiri dan tidak menjalankan tugas pekerjaan yang ditugaskan kepadanya.
Berdasarkan rincian kasus, Anda dapat menentukan
persyaratan kasus:
Jenis bukti: Mike sedang melakukan bisnis sendiri
menggunakan komputer perusahaan miliknya.
Alat forensik komputer : Alat untuk menduplikasi floppy disk
dan menemukan file yang dihapus dan disembunyikan
Sistem operasi khusus : Setiap sistem operasi yang telah
diinstal pada komputer perusahaan oleh tersangka
Mike hanya diduga melanggar kebijakan perusahaan. Bukti
yang Anda peroleh mungkin dapat membuktikan dia bersalah
atau membantu membuktikan dia tidak bersalah.
Jagalah perspektif untuk tidak memihak, dan objektif.
Sebelum memulai investigasi
Teknisi harus cukup mampu untuk menganalisis dan memperoleh berbagai bukti
Adanya workstation atau laboratorium pemulihan data
Harus memiliki sinkronisasi dengan jaksa wilayah setempat
Beberapa poin hukum yang penting penyidik yang harus diingat:
Memastikan lingkup pencarian
Memeriksa kemungkinan masalah yang berkaitan dengan undang-undang federal yang berlaku, seperti: Electronic Communications Privacy Act of 1986 [ECPA]
Cable Communications Policy Act [CCPA]
Privacy Protection Act of 1980 [PPA]
Status daerah
Politik lokal dan hukum
10 Langkah Mempersiapkan
Investigasi Forensik Komputer 1. Jangan mematikan komputer atau, menjalankan program,
atau mencoba untuk mengakses data pada komputer.
2. Mengamankan setiap relevan media termasuk hard drive,
laptop, BlackBerry, PDA, ponsel, CDROM, DVD, USB drive,
dan MP3 player-subjek yang mungkin telah digunakan
3. Tunda penghancuran dokumen otomatis dan kebijakan
daur ulang yang mungkin menyangkut media atau user
yang relevan pada saat masalah terjadi
4. Identifikasi jenis data, informasi yang Anda cari dan tingkat
kemendesakan dari pemeriksaan
5. Setelah mesin di amankan, ambil informasi tentang mesin
tersebut, lingkungannya dan jaringan mana mesin tersebut
terkoneksi
6. Jika memungkinkan, dapatkan password untuk mengakses file terenkripsi atau file yang terlindungi password
7. Susun daftar nama, alamat e-mail, dan informasi indentitas yang lain tentang mereka yang mungkin telah berkomunikasi dengan subjek
8. Jika komputer di akses sebelum ahli forensik dapat mengamankan mirror image, catat user yang mengaksesnya, file apa yang diakses, dan kapan waktu aksesnya. Jika memungkinkan, cari alasan mengapa komputer di akses
9. Jagalah “chain of custody” untuk setiap media original, menandakan dimana media sebelumnya berada, siapa yang memilikan, dan alaman kepemilikan
10. Buat sebuah daftar kata kunci atau frase untuk digunakan pada saat mencari data yang relevan
Langkah-langkah standar ketika
menyiapkan kasus forensik Metodologi juga dapat digunakan sebagai titik acuan, dan
penyidik dapat bekerja sesuai dengan langkah-langkah
ditunjukkan. Langkah-langkah sebagai berikut:
1. Menilai kasus
2. Menentukan desain awal atau pendekatan untuk kasus
3. Siapkan desain rinci
4. Tentukan sumber daya yang diperlukan
5. Dapatkan disk barang bukti
6. Copy isi disk barang bukti
7. Identifikasi resiko
8. Meminimalkan resiko
9. Menguji Design
10. Menganalisis dan memulihkan bukti digital
11. Menyelidiki data yang telah dipulihkan
12. Lengkapi laporan khusus
13. Kritik kasus
Mengevaluasi kasus
1. Memeriksa permintaan.
2. Cari otoritas hukum.
3. Pastikan bahwa permintaan diberikan.
4. Menyediakan rantai lengkap.
5. Periksa apakah proses forensik dilakukan pada bukti.
6. Periksa apakah mengikuti metode investigasi.
7. Mengidentifikasi relevansi ke TKP.
8. Membangun potensi bukti.
9. Mendapatkan rincian tambahanyang digunakan pengguna.
10. Mengevaluasi tingkat keahlian dari para pengguna.
11. Mengatur urutan.
12. Identifikasi apakah personil tambahan diperlukan.
13. Identifikasi apakah peralatan tambahan diperlukan .
Mengumpulkan Bukti
Seorang penyidik harus meminta izin untuk melakukan
pencarian di lokasi. Sebuah komputer dapat menjadi sumber
informasi. Rantai kejadian pengumpulan bukti:
1. Mendapatkan Surat
Perintah
2. Lingkup Surat Perintah
3. Mempersiapkan Pencarian
4. Pencarian tanpa jaminan
5. Melakukan penilaian awal
6. Meneliti dan
mengumpulkan bukti
7. Memperoleh bukti perihal
8. Metode pengumpulan bukti
9. Mengamankan bukti
komputer
10. Mengambil langkah yang
di perlukan
11. Mencegah perusak bukti
12. Pengelolahan lokasi
penilaian
Mendapatkan Surat Perintah
Seorang penyidik dapat menjalankan investigasi nya setelah
rencana investigasi telah dikembangkan. Penyidik perlu terlebih
dahulu mendapatkan surat perintah penggeledahan dari
pengadilan. Sebuah surat perintah penggeledahan adalah
perintah tertulis yang dikeluarkan oleh hakim yang
mengarahkan petugas penegak hukum untuk mencari bagian
tertentu dari bukti di lokasi tertentu.
Lingkup Surat Perintah
Tergantung pada situasi tertentu, surat perintah dapat
dikeluarkan untuk:
Sebuah seluruh perusahaan
Sebuah lantai bangunan perusahaan
Sebuah kamar di sebuah gedung perusahaan
Sebuah perangkat
Sebuah mobil
Sebuah rumah
Setiap properti perusahaan lain
Mempersiapkan Pencarian
Mempersiapkan pencarian sebelum seorang hakim
mengeluarkan surat perintah pencarian dan penyitaan untuk
seluruh atau sebagian dari komputer target, penyidik perlu untuk
menentukan signifikansi komputer dalam pelanggaran.
Peran komputer dalam suatu kejahatan bisa itu adalah:
1. Sebuah alat pelanggaran.
2. Sebuah repositori pelanggaran
Pencarian Tanpa Jaminan
Dalam situasi tertentu, pencarian yang dilakukan tanpa surat
perintahmungkin diperbolehkan. Ini situasi khusus diidentifikasi
berikut:
"Ketika perusakan barang bukti sudah dekat,tanpa surat
bukti yang dibenarkan jika ada kemungkinan penyebab
untuk percaya bahwa item disita merupakan bukti kegiatan
kriminal.“
"Agen dapat mencari tempat atau objek tanpa surat perintah
atau penyebab, jika seseorang dengan otoritas memiliki
setuju."
Melakukan Penilaian Awal
Seorang penyidik harus melakukan penilaian awal untuk
mencari bukti. Setelah penilaian selesai, penyidik perlu
melakukan langkah-langkah berikut:
1. Mengambil snapshot dari TKP sebelum mengumpulkan
bukti.
2. Mengumpulkan peralatan yang digunakan dalam
melakukan kejahatan.
3. Dokumentasikan item.
Setelah melakukan langkah-langkah ini, penyidik dapat
mendokumentasikan prosedur diikuti selama pengumpulan bukti
dan kemudian mulai penyelidikan yang sebenarnya.
Meneliti dan Mengumpulkan
Bukti
Langkah-langkah berikut harus diikuti ketika memeriksa dan
mengumpulkan bukti-bukti:
1. Menemukan bukti
2. Temukan data yang relevan
3. Siapkan urutan volatilitas
Memperoleh Bukti Perihal
Menyelidiki susunan perangkat penyimpanan untuk
memastikan bahwa semua ruang.
Ambil nomor seri elektronik drive dan dapat diakses
pengguna, data host-spesifik lainnya.
Mendapatkan bukti dengan menggunakan alat yang tepat,
termasuk:
Stand-alone software duplikasi
Forensik analisis suite software
Perangkat keras Dedicated
Menggunakan oleh sektor- sektor perbandingan.
Metode Pengumpulan Bukti
Bukti yang dikumpulkan dari komputer hidup dengan mencari
berikut:
Proses mendaftar.
Virtual dan memori fisik.
Jaringan.
Menjalankan proses.
Disk, kaset , dan CD-ROM.
Kertas cetakan.
Mengamankan Bukti Komputer
Langkah pertama penyidik harus mengambil setelah
mengidentifikasi insiden keamanan dan mengumpulkan bukti-
bukti untuk mengamankan bukti untuk mencegah terjadinya
penyalahgunaan. Mengamankan bukti melibatkan mengambil
semua informasi yang dimiliki tentang komputer sehingga dapat
digunakan dalam penyelidikan. Istilah komputer di sini meliputi
semua media komputer.
Dengan mengamankan bukti, penyidik memastikan bahwa itu
tidak berubah selama proses pemeriksaan. Mengamankan bukti
harus sesuai dengan praktik terbaik. Praktik terbaik adalah set
terbukti secara empiris metode untuk melakukan tugas dengan
cara yang terbaik dan paling efisien . Jika keamanan dilanggar,
bukti mungkin kehilangan kredibilitasnya.
Mengambil Langkah yang
Diperlukan Karena bukti digital dapat dengan mudah dirusak,
diubah, atau dihancurkan, penyidik perlu memastikan bahwa
bukti yang diawetkan dan diamankan dengan baik. Langkah-
langkah berikut untuk mengamankan bukti digital:
Ikuti panduan departemen bila mungkin, jika tidak, gunakan
Sebuah Panduan untuk Responders Pertama.
Dokumen dan memverifikasi konfigurasi hardware dari
sistem yang akan diperiksa.
Bongkar komputer untuk diperiksa.
Mengidentifikasi dan mendokumentasikan perangkat
penyimpanan internal .
Mencegah Kerusakan Bukti
Hal ini penting bagi penyidik untuk memastikan bahwa
sedikitnya jumlah gangguan dilakukan untuk bukti, karena
gangguan dapat mengubah bukti. Untuk melakukannya,
penyidik harus mencegah orang dari gangguan dengan bukti,
baik jarak jauh atau sistem tersangka.
1. Mengumpulkan bukti: Mengumpulkan bukti menggunakan
teknik yang tepat dan industri yang berlaku dan prosedur.
2. Siapkan lacak balak : Peneliti harus mendokumentasikan
proses pengumpulan.
Pengolahan Lokasi Penilaian
Sebuah lingkungan seperti area kerja forensik khusus atau
laboratorium dianjurkan. Hal ini juga dianjurkan untuk
mengendalikan lingkungan dalam hal pemeriksaan dilakukan
on-site.
Pertimbangan penilaian yang mungkin meliputi:
Waktu yang diperlukan untuk memulihkan bukti saat
penukaran
kekhawatiran logistik dan tenaga kerja yang terkait dengan
penyebaran jangka panjang
Bisnis dampak dari pencarian memakan waktu
Kesesuaian peralatan, sumber daya , media, pelatihan , dan
pengalaman untuk pemeriksaan
Ringkasan
Mengamankan bukti komputer adalah proses dimana semua
informasi yang dimiliki pada komputer akan diambil ke
membantu penyelidikan.
Spanduk sebuah organisasi harus memberikan
pemberitahuan yang jelas dan tegas untuk penyusup bahwa
dengan penandatanganan ke sistem , mereka tegas
menyetujui pemantauan.
Salinan bit-stream adalah salinan bit-by - bit dari media
penyimpanan asli dan salinan yang tepat dari disk yang asli.
Memeriksa bukti-bukti tergantung pada jenis kasus dan
media digital yang tersedia di TKP.
bukti digital harus benar-benar dikaji sehubungan dengan
lingkup kasus untuk menentukan tindakan.
Analisis adalah proses menafsirkan data yang diambil untuk
menentukan signifikansi mereka untuk kasus ini.