IT Forensik

TI forensik atau forensik komputer atau forensik digital adalah cabang forensik. TI forensik berkaitan dengan penyelidikan insiden yang mencurigakan yang melibatkan IT sistem dan penentuan fakta-fakta dan pelaku melalui akuisisi , analisis dan evaluasi jejak digital dalam sistem komputer. Sementara itu, penyelidikan sistem komputer juga terkait dengan "kejahatan konvensional", tetapi juga didirikan untuk tujuan penghindaran pajak. Studi tentang kejahatan yang berkaitan dengan komputer (server jaringan atau pencurian, dll) kebanyakan memainkan peran kecil.

TI forensik
• Bertujuan untuk mendapatkan fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi

• Fakta-fakta tersebut setelah diverifikasi akan menjadi buktibukti (evidence) yang akan digunakan dalam proses hukum

Metodologi umum dalam proses pemeriksaan insiden sampai proses hukum:

1. Pengumpulan data/fakta dari sistem komputer (harddisk, usb-stick, log, memory-dump, internet, dll) – termasuk di dalamnya data yang sdh terhapus.

2. Mendokumentasikan fakta-fakta yang ditemukan dan menjaga integritas data selama proses forensik dan hukum dengan proteksi fisik, penanganan khusus, pembuatan image, dan menggunakan algoritma HASH untuk pembuktian / verifikasi.

3. Merunut kejadian (chain of events) berdasarkan waktu kejadian.

4. Memvalidasi kejadian2 tersebut dengan metode “sebab-akibat”.

5. Dokumentasi hasil yang diperoleh dan menyusun laporan.

6. Proses hukum (pengajuan delik, proses persidangan, saksi ahli,
dll)

IT Forensik:

– Ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode yang digunakan (misalnya metode sebab-akibat).

– Memerlukan keahlian dibidang IT ( termasuk diantaranya hacking) – dan alat bantu (tools) baik hardware maupun software.


Prinsip:

– Forensik bukan proses Hacking

– Data yang didapat harus dijaga jgn berubah

– Membuat image dari HD / Floppy / USB-Stick / Memory-dump adalah prioritas tanpa merubah isi, kadang digunakan hardware khusus

– Image tsb yang diotak-atik (hacking) dan dianalisis – bukan yang asli

– Data yang sudah terhapus membutuhkan tools khusus untuk merekonstruksi

– Pencarian bukti dengan: tools pencarian teks khusus, atau mencari satu persatu dalam image

Hardware:

– Harddisk IDE & SCSI kapasitas sangat besar, CD-R, DVR drives

– Memori yang besar (1-2GB RAM)

– Hub, Switch, keperluan LAN

– Legacy hardware (8088s, Amiga, …)

– Laptop forensic workstations

Software

– Viewers (QVP http://www.avantstar.com/, http://www.thumbsplus.de/

– Erase/Unerase tools: Diskscrub/Norton utilities)

– Hash utility (MD5, SHA1)

– Text search utilities (dtsearch http://www.dtsearch.com/)

– Drive imaging utilities (Ghost, Snapback, Safeback,…)

– Forensic toolkits
● Unix/Linux: TCT The Coroners Toolkit/ForensiX
● Windows: Forensic Toolkit

– Disk editors (Winhex,…)

– Forensic acquisition tools (DriveSpy, EnCase, Safeback, SnapCopy,…)
– Write-blocking tools (FastBloc http://www.guidancesoftware.com ) untuk memproteksi buktibukti

http://de.wikipedia.org/wiki/IT-Forensik
http://iwayan.info/Lecture/EtikaProfesi_S1/04a_ITForensik.pdf