> > IT Forensic

IT Forensic

Posted on 05/05/13 by me

IT forensic adalah Ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode yang digunakan (misalnya metode sebab-akibat)

Bertujuan untuk mendapatkan fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi.
  • Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti bukti (evidence) yang akan digunakan dalam proses hukum
  • Metodologi umum dalam proses pemeriksaan insiden sampai proses hukum:
  1. Pengumpulan data/fakta dari sistem komputer (harddisk,usb-stick, log, memory-dump, internet, dll) – termasuk di dalamnya data yang sudah terhapus.
  2. Mendokumentasikan fakta-fakta yang ditemukan dan menjaga integritas data selama proses forensik dan hukum dengan proteksi fisik, penanganan khusus, pembuatan image, dan menggunakan algoritma HASH untuk pembuktian / verifikasi.
  3. Merunut kejadian (chain of events) berdasarkan waktu kejadian.
  4. Memvalidasi kejadian2 tersebut dengan metode “sebab-akibat”.
  5. Dokumentasi hasil yang diperoleh dan menyusun laporan.
  6. Proses hukum (pengajuan delik, proses persidangan, saksi ahli, dll
IT forensic membutuhkan hardware dan software sebagai berikut :
Hardware :
  • Harddisk IDE & SCSI kapasitas sangat besar, CD-R, DVR drives
  • Memori yang besar (1-2GB RAM)
  • Hub, Switch, keperluan LAN
  • Legacy hardware (8088s, Amiga, …)
  • Laptop forensic workstations
Software :
  • Viewers (QVP http://www.avantstar.com/, http://www.thumbsplus.de/
  • Erase/Unerase tools: Diskscrub/Norton utilities)
  • Hash utility (MD5, SHA1)
  • Text search utilities (dtsearch)
  • Drive imaging utilities (Ghost, Snapback, Safeback,…)
  • Forensic toolkits
Unix/Linux: TCT The Coroners :
  • Toolkit/ForensiX
Windows: Forensic Toolkit :
  • Disk editors (Winhex,…)
  • Forensic acquisition tools (DriveSpy, EnCase, Safeback, SnapCopy,…)
  • Write-blocking tools (FastBloc http://www.guidancesoftware.com) untuk memproteksi buktibukti

IT forensic mempunyai suatu prinsip yaitu sebagai berikut :
  1. Forensik bukan proses Hacking.
  2. Data yang didapat harus dijaga janganberubah.
  3. Membuat image dari HD / Floppy / USB-Stick / Memory-dump adalah prioritas tanpa merubah isi, kadang digunakan hardware khusus.
  4. Image tsb yang diotak-atik (hacking) dan dianalisis – bukan yang asli.
  5. Data yang sudah terhapus membutuhkan tools khusus untuk merekonstruksi.
  6. Pencarian bukti dengan: tools pencarian teks khusus, atau mencari satu persatu dalam image.


Category Article

What's on Your Mind...

Pilih "Anonymous" jika tidak mempunyai akun.