Tahap
Komputer Forensik
•
Pengumpulan
•
Pengujian
•
Analisa
•
Laporan
Pengumpulan Data
•
Mengidentifikasi sumber
– sumber potensial dan bagaimana kemudian data dikumpulkan
•
Data bertumpu pada
–
Personal computer
–
Mobile computer
–
Jaringan komputer
–
Media penyimpanan
–
Integrasi penyimpanan
•
Pengumpulan data
mencakup
–
Identifikasi
–
Penamaan
–
Perekaman
–
Mendapatkan data
Langkah
yang dibutuhkan
•
Membuat perencanaan
untuk mendapatkan data
–
Kemiripan nilai
–
Volatility (Volatile)
–
Upaya dalam mendapatkan
data
•
Mendapatkan data
•
Analisa integritas data
Pengujian
•
Melakukan pengujian,
menilai dan mengekstrak kepingan informasi yang relevan dari data – data yang
dikumpulkan
•
Tahap ini melibatkan :
–
Bypassing fitur – fitur
sistem
–
Filtrasi (eliminasi
data)
–
Meng-exclude file
–
Mengalokasi file
–
Mengekstrak file
Analisa
•
Melakukan analisa untuk
merumuskan kesimpulan dalam menggambarkan informasi
•
Cakupan analisa :
–
Identifikasi user di
luar pengguna
–
Identifikasi lokasi
–
Identifikasi barang
–
Identifikasi kejadian
–
Menentukan bagaimana
komponen terelasi satu dengan lainnya
Dokumentasi dan Laporan
•
Merepresentasikan
informasi yang merupakan hasil dari proses analisis
•
Faktor yang mempengaruhi
reporting
–
Alternative explanation
(penjelasan alternatif)
–
Audience consideration
(pertimbangan peserta)
–
Actionable information
6.
Persiapan Pra Insiden
Sesuai survey
(Desember 2000) dari [1], ancaman terbesar dari jaringan komputer adalah:
68% karyawan, 17% hacker, 9% kompetitor, dan 6% customer. Artinya kita masih
harus melakukan perlindungan jaringan baik dari dalam maupun dari luar. The
Information Security Management Handbook, Vol. 2 halaman 559 menyatakan jenis
insiden [11]:
·
Virus
·
Unauthorized access
·
Pencurian atau kehilangan kepercayaan
pada informasi
·
Serangan denial of service pada
sistem
·
Korupsi informasi
Untuk menghadapi penyusupan dan serangan
dapat dilakukan persiapan berikut [2][4]:
·
Penggunaan beberapa tool untuk mencegah penyusupan
dengan deteksi. Amati aktivitas pada port- port yang biasanya berkaitan dengan trojan,
backdoor, denial of service tool, dan yang serupa. Pergunakan tool
semacam Tripwire untuk mengamati perubahan pada sistem, yang memungkinkan
membuat snapshot sistem
Pemeriksaan lainnya adalah mode promiscous pada network card dan
adanya kompilator yang diinstall.
·
Kebutuhan untuk backup sistem yang baik
sehingga bisa melakukan restore data sebelum penyusupan.
·
Jika diasumsikan penyusup mempergunakan sniffer
untuk menangkap password, maka perlu diterapkan kebijakan pasword yang
tepat. Bisa juga dipertimbangkan one
time password. Practical Unix & Internet Security, oleh Simson
Garfinkel dan Gene Spafford, merekomendasikan "Jangan mengirimkan clear text
password yang bisa dipergunakan kembali lewat koneksi jaringan. Pergunakan one-time
password atau metode rahasia “
·
Suatu kebijakan keamanan harus
diterapkan untuk menangani insiden yang
muncul, dan harus cukup mudah diimplementasikan dan dimengerti oleh setiap orang
[1]. Misalkan capture tampilan, jangan matikan komputer, lakukan shutdown
normal, copot modem, labeli semua alat, dan tulis semua yang mungkin. Harus
ditentukan standard operating procedures (SOP) di mana akan memastikan
tidak ada kontaminasi dengan data lain atau data kasus sebelumnya [12].
·
Lakukan instalasi patch security
dari vendor sistem operasi atau aplikasi.
·
Matikan semua service jaringan yang
tidak dipergunakan, dan pergunakan security/auditing tool
·
Luangkan lebih banyak waktu untuk
mempelajari sistem anda dengan lebih baik
·
Aktifkan fasilitas logging dan accounting
·
Lakukan audit dan pengujian pada sistem
secara rutin
Banyak organisasi tidak hanya mengabaikan
penerapan keamanan untuk melindungi jaringan dan data mereka, tetapi juga tidak
siap untuk menangani penyusupan dan insiden [11]. Organisasi harus menerapkan
perencanaan respon dan pelaporan insiden, serta membuat team untuk
menanganinya. Hal itu bisa juga dilakukan dengan menyewa ahli forensik dari
perusahaan keamanan. Saat diduga terdapat kecurigaan compromise keamanan
atau tindakan ilegal yang berkaitan dengan komputer, maka akan merupakan suatu
hal yang penting untuk melakukan langkah–langkah dalam menjamin perlindungan
terhadap data pada komputer atau media penyimpanan. Penyimpanan data diperlukan
untuk menentukan compromise tingkat keamanan dan letak bukti-bukti yang
mungkin berkaitan dengan tindakan ilegal [10].
7.
Penanganan Dan Respon Pada Insiden
Respon awal pada penanganan insiden bisa
sangat mempengaruhi analisis laboratorium [12]. Orang-orang tidak
berkepentingan tidak seharusnya dibiarkan di sekitar tempat kejadian perkara.
Perlu adanya dokumentasi mengenai perlindungan barang bukti, analisis dan
laporan penemuan.
Suatu kebijakan dan prosedur penanganan
insiden sangat penting untuk setiap organisasi. Hal-hal yang harus diingat
adalah [19]:
·
Bagaimana untuk mengamankan atau menjaga
barang bukti, baik dengan membuat copy image dan mengunci yang asli, sampai
kedatangan ahli forensik
·
Di mana atau bagaimana untuk mencari
barang bukti, baik itu di drive lokal, backup sistem, komputer atau laptop
·
Daftar yang harus dipersiapkan untuk
laporan menyeluruh
·
Daftar orang untuk keperluan pelaporan,
pada suatu situasi tertentu
·
Daftar software yang disarankan
digunakan secara internal oleh penyelidik
·
Daftar ahli yang disarankan untuk
konsultasi
Tidak semua perusahaan memiliki ahli
forensik, kalau pun ada mereka tidak selalu berada di tempat. Sehingga pada
saat terjadi insiden staf harus terlatih sekurang-kurangnya [19]:
·
Membuat image, sehingga yang asli tetap
terjaga
·
Analisis forensik dilakukan semua dari
copy
·
Memelihara rincian media dalam proses
Respon awal pada keamanan komputer bisa
jadi lebih penting daripada analisis teknis selanjutnya dari sistem komputer,
karena dampak tindakan yang dilakukan oleh tim penanganan insiden [10]. Dalam
suatu kejadian yang dicurigai sebagai insiden komputer, harus ada perlakuan secara berhati-hati untuk
menjaga barang bukti dalam keadaan aslinya. Meski kelihatan sesederhana melihat
file pada suatu sistem yang tidak akan menghasilkan perubahan media asli,
membuka file tersebut akan mengakibatkan perubahan. Dari sudut pandang legal,
hal tersebut tidak lagi menjadi bukti orisinil dan tidak bisa diterima oleh
proses administratif hukum.
Tiap organisasi harus memiliki suatu tim
penanganan insiden. Tim harus menulis prosedur penanganan insiden. Prosedur
sederhana untuk mengamankan suatu insiden komputer [10]:
1. Amankan
lingkungan
2. Shutting
down komputer
3. Label
barang bukti
4. Dokumentasikan
barang bukti
5. Transportasikan
barang bukti
6. Dokumentasi
rangkaian penyimpanan
Berikut adalah dokumen penanganan insiden yang
populer dari SANS Insititute [15]. Ini merupakan dokumen konsensus di mana:
·
Semua partisipan menyarankan elemen dan
perubahan
·
Proses berjalan dengan banyak perulangan
·
Beberapa masalah disajikan dengan banyak
pilihan
·
Setiap partisipan harus menyetujui
keseluruhan dokumen
Hasilnya adalah panduan untuk persiapan dan respon
pada insiden keamanan. Terdiri dari 44 halaman, menyatakan 90 tindakan dalam 31
langkah dan 6 fase. Di sini ditunjukkan bagaimana berespon pada jenis insiden
tertentu seperti probing, spionase, dan lainnya. 6 Fase tersebut adalah:
1. Fase
1: Persiapan (42 tindakan)
2. Fase
2: Identifikasi (6 tindakan)
3. Fase
3: Pengisian(17 tindakan)
4. Fase
4: Pembasmian (10 tindakan)
5. Fase
5: Pemulihan (6 tindakan)
6. Fase
6: Tindak lanjut (9 tindakan)
Salah satu bagian dari dokumen [15] yang bisa
dipergunakan perusahaan yang belum siap menghadapi insiden adalah Emergency
Action Card, berupa sepuluh langkah berikut:
1. Tetap
tenang sehingga menghindari kesalahan fatal
2. Buatlah
catatan yang baik dan relevan: siapa, apa, bagaimana, kapan, di mana, mengapa
3. Beritahu
orang yang tepat dan carilah pertolongan, mulai dari koordinator keamanan dan
manajer
4. Tetapkan
kebijakan orang-orang terpercaya yang boleh tahu
5. Gunakan
jalur komunikasi terpisah dari sistem yang mengalami compromise
6. Isolasi
masalah sehingga tidak bertambah buruk
7. Buat
backup sistem
8. Temukan
sumber masalah
9. Kembali
ke pekerjaan semula setelah backup terjamin, dan lakukan restore sistem
