IT
FORENSICS
IT Audit
Audit
teknologi informasi adalah bentuk pengawasan dan pengendalian dari infrastruktur
teknologi informasi secara menyeluruh. Audit teknologi informasi ini dapat
berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan
kegiatan pengawasan dan evaluasi lain yang sejenis.
Jejak audit atau log audit
adalah urutan kronologis catatan audit, yang masing-masing berisi bukti langsung
yang berkaitan dengan dan yang dihasilkan dari pelaksanaan suatu proses bisnis
atau fungsi sistem.
Catatan Audit biasanya hasil
dari kegiatan seperti transaksi atau komunikasi oleh orang-orang individu, sistem,
rekening atau badan lainnya. Audit IT sendiri berhubungan dengan berbagai macam
ilmu, antara lain Traditional Audit, Manajemen Sistem Informasi, Sistem
Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. Audit IT bertujuan
untuk meninjau dan mengevaluasi faktor-faktor ketersediaan (availability),
kerahasiaan (confidentiality), dan keutuhan (integrity) dari sistem informasi
organisasi yang bersifat online atau real time.
Audit Trail sebagai "yang menunjukkan
catatan yang telah mengakses sistem operasi komputer dan apa
yang
dia telah dilakukan selama periode waktu tertentu”.
Cara kerja Audit
Trail
Audit Trail yang disimpan dalam suatu table
1.
Dengan menyisipkan perintah penambahan record ditiap query
Insert, Update dan Delete
2.
Dengan memanfaatkan fitur trigger pada DBMS. Trigger adalah
kumpulan SQL statement,
yang
secara otomatis menyimpan log pada event INSERT, UPDATE, ataupun DELETE pada
sebuah
tabel.
Fasilitas Audit
Trail
Fasilitas Audit Trail diaktifkan, maka setiap
transaksi yang dimasukan ke Accurate, jurnalnya akan dicatat di dalam sebuah
tabel, termasuk oleh siapa, dan kapan. Apabila ada sebuah transaksi yang
di-edit, maka jurnal lamanya akan disimpan, begitu pula dengan jurnal barunya.
Hasil Audit Trail
Record Audit Trail disimpan dalam bentuk,
yaitu :
1. Binary File – Ukuran tidak besar dan tidak
bisa dibaca begitu saja
2. Text File – Ukuran besar dan bisa dibaca
langsung
3.
Tabel.
Tools yang Digunakan Untuk IT
Audit
Tool-Tool Yang Dapat Digunakan Untuk Mempercepat Proses
Audit Teknologi Informasi, antara lain:
1.ACL
ACL (Audit Command Language) merupakan sebuah software
CAAT (Computer Assisted Audit Techniques) yang sudah sangat populer untuk
melakukan analisa terhadap data dari berbagai macam sumber. http://www.acl.com/
2.Picalo
Picalo merupakan sebuah software CAAT (Computer Assisted
Audit Techniques) seperti halnya ACL yang dapat dipergunakan untuk menganalisa
data dari berbagai macam sumber. http://www.picalo.org/
3.Powertech Compliance
Assessment
Powertech Compliance Assessment merupakan automated audit
tool yang dapat dipergunakan untuk mengaudit dan mem-benchmark user access to
data, public authority to libraries, user security, system security, system
auditing dan administrator rights (special authority) sebuah server AS/400. http://www.powertech.com/
4.Nipper
Nipper merupakan audit automation software yang dapat
dipergunakan untuk mengaudit dan membenchmark konfigurasi sebuah router.
http://sourceforge.net/projects/nipper/
5.Nessus
Nessus merupakan sebuah vulnerability assessment software.
http://www.nessus.org/
6.Metasploit
Metasploit Framework merupakan sebuah penetration testing
tool. http://www.metasploit.com/
7.NMAP
NMAP merupakan open source utility untuk melakukan
security auditing. http://www.insecure.org/nmap/
8.Wireshark
Wireshark merupakan network utility yang dapat
dipergunakan untuk meng-capture paket data yang ada di dalam jaringan komputer.
http://www.wireshark.org/
o
Membuat copies dari keseluruhan log data, files, daln lain-lain
yang dianggap perlu pada media terpisah.
o
Membuat finerptint dari data secara matematis.
o
Membuat fingerprint dari copies secvara otomatis.
o
Membuat suatu hashes masterlist
o
Dokumentasi yang baik dari segala sesuatu yang telah dikerjakan.
Sedangkan menurut
metode Search dan Seizure adalah :
o
Identifikasi dan penelitian permasalahan.
o
Membaut hipotesa.
o
Uji hipotesa secara konsep dan empiris.
o
Evaluasi hipotesa berdasarkan hasil pengujian dan pengujian
ulang jika hipotesa tersebut jauh dari apa yang diharapkan.
o
Evaluasi hipotesa terhadap dampak yang lain jika hipotesa
tersebut dapat diterima.
Tools dalam
Forensik IT
1. Antiword
Antiword merupakan
sebuah aplikasi yang digunakan untuk menampilkan teks dan gambar dokumen
Microsoft Word. Antiword hanya mendukung dokumen yang dibuat oleh MS Word versi
2 dan versi 6 atau yang lebih baru.
2. Autopsy
The Autopsy
Forensic Browser merupakan antarmuka grafis untuk tool analisis investigasi diginal
perintah baris The Sleuth Kit. Bersama, mereka dapat menganalisis disk dan
filesistem Windows dan UNIX (NTFS, FAT, UFS1/2, Ext2/3).
3. Binhash
Binhash merupakan
sebuah program sederhana untuk melakukan hashing terhadap berbagai bagian file ELF
dan PE untuk perbandingan. Saat ini ia melakukan hash terhadap segmen header
dari bagian header segmen obyek ELF dan bagian segmen header obyekPE.
4. Sigtool
Sigtcol merupakan
tool untuk manajemen signature dan database ClamAV. sigtool dapat digunakan
untuk rnenghasilkan checksum MD5, konversi data ke dalam format heksadesimal, menampilkan
daftar signature virus dan build/unpack/test/verify database CVD dan skrip
update.
5. ChaosReader
ChaosReader
merupakan sebuah tool freeware untuk melacak sesi TCP/UDP/… dan mengambil data
aplikasi dari log tcpdump. la akan mengambil sesi telnet, file FTP, transfer HTTP
(HTML, GIF, JPEG,…), email SMTP, dan sebagainya, dari data yang ditangkap oleh
log lalu lintas jaringan. Sebuah file index html akan tercipta yang berisikan
link ke seluruh detil sesi, termasuk program replay realtime untuk sesi telnet,
rlogin, IRC, X11 atau VNC; dan membuat laporan seperti laporan image dan
laporan isi HTTP GET/POST.
6. Chkrootkit
Chkrootkit
merupakan sebuah tool untuk memeriksa tanda-tanda adanya rootkit secara lokal. la
akan memeriksa utilitas utama apakah terinfeksi, dan saat ini memeriksa sekitar
60 rootkit dan variasinya.
7. Dcfldd
Tool ini mulanya
dikembangkan di Department of Defense Computer Forensics Lab (DCFL). Meskipun
saat ini Nick Harbour tidak lagi berafiliasi dengan DCFL, ia tetap memelihara
tool ini.
8. Ddrescue
GNU ddrescue
merupakan sebuah tool penyelamat data, la menyalinkan data dari satu file atau device
blok (hard disc, cdrom, dsb.) ke yang lain, berusaha keras menyelamatkan data
dalam hal kegagalan pembacaan. Ddrescue
tidak memotong file output bila tidak diminta. Sehingga setiap kali anda
menjalankannya kefile output yang sama, ia berusaha mengisi kekosongan.
9. Foremost
Foremost merupakan
sebuah tool yang dapat digunakan untuk me-recover file berdasarkan header,
footer, atau struktur data file tersebut. la mulanya dikembangkan oleh Jesse
Kornblum dan Kris Kendall dari the United States Air Force Office of Special
Investigations and The Center for Information Systems Security Studies and
Research. Saat ini foremost dipelihara oleh Nick Mikus seorang Peneliti di the
Naval Postgraduate School Center for Information Systems Security Studies and
Research.
10. Gqview
Gqview merupakan
sebuah program untuk melihat gambar berbasis GTK la mendukung beragam format
gambar, zooming, panning, thumbnails, dan pengurutan gambar.
11. Galleta
Galleta merupakan
sebuah tool yang ditulis oleh Keith J Jones untuk melakukan analisis forensic
terhadap cookie Internet Explorer.
12. Ishw
Ishw (Hardware
Lister) merupakan sebuah tool kecil yang memberikan informasi detil mengenai
konfigurasi hardware dalam mesin. la dapat melaporkan konfigurasi memori dengan
tepat, versi firmware, konfigurasi mainboard, versi dan kecepatan CPU,
konfigurasi cache, kecepatan bus, dsb. pada sistem t>MI-capable x86 atau
sistem EFI.
13. Pasco
Banyak
penyelidikan kejahatan komputer membutuhkan rekonstruksi aktivitas Internet tersangka.
Karena teknik analisis ini dilakukan secara teratur, Keith menyelidiki struktur
data yang ditemukan dalam file aktivitas Internet Explorer (file index.dat).
Pasco, yang berasal dari bahasa Latin dan berarti “browse”, dikembangkan untuk
menguji isi file cache Internet Explorer. Pasco akan memeriksa informasi dalam
file index.dat dan mengeluarkan hasil dalam field delimited sehingga dapat
diimpor ke program spreadsheet favorit Anda.
14. Scalpel
Scalpel adalah
sebuah tool forensik yang dirancang untuk mengidentifikasikan, mengisolasi dan
merecover data dari media komputer selama proses investigasi forensik. Scalpel
mencari hard drive, bit-stream image, unallocated space file, atau sembarang
file komputer untuk karakteristik, isi atau atribut tertentu, dan menghasilkan
laporan mengenai lokasi dan isi artifak yang ditemukan selama proses pencarian
elektronik. Scalpel juga menghasilkan (carves) artifak yang ditemukan sebagai
file individual.
Elemen Kunci It Forensik
Empat Elemen Kunci Forensik
yang harus diperhatikan berkenaan dengan bukti digital dalam Teknologi
Informasi, adalah sebagai
berikut:
a. Identifikasi
dalam bukti digital (Identification/Collecting Digital Evidence)
Merupakan tahapan paling awal
dalam teknologi informasi. Pada tahapan ini dilakukan identifikasi dimana bukti
itu berada, dimana bukti itu disimpan, dan bagaimana penyimpanannya untuk mempermudah
penyelidikan. Network Administratormerupakan sosok pertama yang umumnya mengetahui
keberadaan cybercrime, atau Tim Respon cybercrimecybercrimediusut
oleh cyberpolice.
b.
Penyimpanan bukti digital (Preserving
Digital Evidence)
Bentuk, isi, makna bukti
digital hendaknya disimpan dalam tempat yang steril. Untuk benar-benar memastikan
tidak ada perubahan-perubahan, hal ini vital untuk diperhatikan. Karena sedikit
perubahan saja dalam bukti digital, akan merubah juga hasil penyelidikan. Bukti
digital secara alami bersifat sementara (volatile), sehingga
keberadaannya jika tidak teliti akan sangat mudah sekali rusak, hilang, berubah,
mengalami kecelakaan.
c. Analisa
bukti digital (Analizing Digital Evidence)
Barang bukti setelah disimpan,
perlu diproses ulang sebelum diserahkan pada pihak yang membutuhkan. Pada
proses inilah skema yang diperlukan akan fleksibel sesuai dengan kasus-kasus
yang dihadapi. Barang bukti yang telah didapatkan perlu diexplore kembali
beberapa poin yang berhubungan dengan tindak pengusutan
d. Presentasi
bukti digital (Presentation of Digital Evidence)
Kesimpulan akan didapatkan
ketika semua tahapan tadi telah dilalui, terlepas dari ukuran obyektifitas yang
didapatkan, atau standar kebenaran yang diperoleh, minimal bahan-bahan inilah
nanti yang akan dijadikan “modal” untuk ke pengadilan. Proses digital
dimana bukti digital akan dipersidangkan, diuji otentifikasi dan dikorelasikan
dengan kasus yang ada.
Sumber :