Penanganan Insiden Forensik dan
Freezing The Scene (PART 1 Robby)
Digital Forensik merupakan bidang
ilmu baru dalam dunia komputer yang berkembang pesat akhir-akhir ini dengan
ditunjukannya berita-berita yang
mengulas tentang kejahatan di bidang komputer serta semakin banyaknya buku-buku
yang mengupas mengenai digital forensik, sehingga semakin menambah refrensi
pengetahuan bagi peneliti-peneliti muda.
· Pendahuluan
Dalam kamus Bahasa Inggris, forensik
memiliki arti berhubungan dengan kehakiman atau peradilan, sementara dalam
Kamus Besar Bahasa Indonesia, forensik merupakan cabang ilmu kedokteran yang
berhubungan dengan penerapan fakta-fakta medis pada masalah-masalah hukum.
Namun demikian istilah forensik adalah suatu proses ilmiah dalam mengumpulkan,
menganalisa dan menghadirkan berbagai bukti dalam sidang pengadilan terkait
adanya suatu kasus hukum.
Freezing the scene atau yang lebih
dikenal juga dengan pengumpulan bukti digital forensik adalah ilmu
yang menganalisa barang bukti digital sehingga dapat dipertanggungjawabkan
di pengadilan. Freezing The
Scene yaitu mengenai pengumpulan bukti atas sebuah kejadian tindak kejahatan.
o
Pra Insiden
Jenis insiden menurut the information security
management :
§
Virus
§
Unauthorized access
§
Pencurian atau kehilangan
kepercayaan pada informasi
Penanganan Insiden Forensik dan
Freezing The Scene (PART 2 Lutfi)
o
Persiapan
§
Pengunaanbeberapa tool
untukmencegahpenyusupandengandeteksi
§
Backup system
§
Kebijakanpassword
§
Kebijakankeamanansystem
§
Lakukaninstalasi patch
security
§
Pergunakan security – auditing
tools
§
Pelajarisistemlebihlama
§
Aktifkanfasilitas logging
danaccounting
§
Lakukan audit
danpengujianpadasistemsecararutin
o
Prosedurpenangananinsiden
§
Bagaimanamengamankandanmenjagabarangbukti
§
Dimanadanbagaimanamencaribarangbukti
§
Daftar yang
dipersiapkanuntuklaporanmenyeluruh
§
Daftar orang
untukkeperluanpelaporan
§
Daftar software yang digunakan
§
Daftarahli
o
Prosedurpenangananinsiden
Jikaahliforensiktidakdimilikiatautidakberadaditempatdanterdapatinsiden, yang
harusdilakukanolehseorang staff :
§
Membuat image
§
Analisisforensikdilakukansemuadaricopy
§
Memelihararincian media dalam
proses
Penanganan Insiden Forensik dan Freezing The Scene (PART 3 Indra)
o
Prosedur penanganan insiden secara
sederhana
Menurut Scott Grace “Computer incident response and computer forensics
overview” :
§
Amankanlingkungan
§
Shutting down computer
§
Label barangbukti
§
Dokumentasikanbarangbukti
§
Transportasikanbarangbukti
§
Dokumentasikanrangkaianpenyimpanan
o
Prosedurpenangananinsiden
Dokumenpenangananinsidendari
SANS institute :
§
Semuapartisipanmenyarankanelemendanperubahan
§
Proses
berjalandenganbanyakperulangan
§
Beberapamasalahdisajikandenganbanyakpilihan
§
Setiappartisipanharusmenyetujuikeseluruhandokumen
o
Fase merespon insiden
§
Fase 1 : Persiapan (42
tindakan)
§
Fase 2 : Identifikasi (6
tindakan)
§
Fase 3 : Pengisian (17
tindakan)
§
Fase 4 : Pembasmian (10
tindakan)
§
Fase 5 : Pemulihan (6
tindakan)
§
Fase 6 : Tindaklanjut (9
tindakan)
Penanganan Insiden Forensik dan Freezing The Scene
(Part 4 Aji)
o
Emergency action card
§
Tetaptenangsehinggaterhindarikesalahanfatal
§
Buatlahcatatan yang
baikdanrelevan
§
Beritahu orang yang
tepatdancarilahpertolongan
§
Tetapkankebijakan orang –
orang terpercaya yang bolehtahu
§
Gunakanjalurkomunikasiterpisahdarisistem
yang mengalamicompromise
§
Isolasimaslahsehinggatidakbertambahburuk
§
Buat backup system
§
Temukansumbermasalah
§
Kembalikepekerjaansemulasetelah
backup terjamindanlakukan restore system
§
Belajardaripengalaman
o Pemrosesan Barang Bukti
Menurut Lori Willer “ Computer forensics”, panduan :
§ Shut down komputer, dan perlu dipertimbangkan keruksakan proses yang
berjalan dibackground
§ Dokumentasikan konfigurasi hardware
dari sistem
§ Pindahkan sistem komputer ke
lokasi yang aman
§ Buat backup bit dri hard disk
dan floppy
§ Uji otentifikasi data dari semua
penyimpanan
§ Dokumentasikan tanggal dan waktu
yang berhubungan dengan file komputer
§ Buat daftar key word pencarian
§ Evaluasi swap file
§ Evaluasi file slack, dari dump
memori yang terjadi selama file ditutup
§ Evaluasi unallocated space –
erased file
§ Pencarian keyword pada file, file
slack dn unallocated space
§ Dokumentasikan nama file
(atribut tanggal dan file)
§ Identifikasikan anomali file,
program dan storage
§ Evaluasi fungsionalitas program
untuk mengetahui kegunaannya
§ Dokumentasikan temuan dan
software yang dipergunakan
§ Buat copy dari software yang
dipergunakan
Penanganan Insiden Forensik dan
Freezing The Scene (PART 5 Marlin)
o
Tahapan pemrosesan barang bukti
Menurut Jim Mc Millan, lima tahapam pemrosesan barang bukti :
§ Persiapan
§ Snapshot
§ Transport
§ Pengujian
§ Analisa
o
Persiapan
§ Sterilkan semua media dari virus
§ Pastikan semua tool forensik bisa dipergunakan secara resmi
§ Periksa kerja semua peralatan lab
§ Pilih ahli forensik yang tepat
dan mampu memberikan kesaksian dan penjelasan di persidangan
o
Snapshot
§
Foto lingkungan
§
Catat rinciannya
§
Foto barang bukti
§
Dokumentasikan konfigurasi hardware
§
Labeli barang bukti sesuai
metodologi
§
Foto barang bukti lagi setelah
dilabeli
§
Dokumentasikan apa terjadi
o
Transport
§
Lakukan pengemasan secara aman
§
Foto dan dokumentasikan penanganan
barang bukti meninggalkan tempat kejadian sampai ke lab pengujian
Penanganan Insiden Forensik dan
Freezing The Scene (PART 6 Yanti)
o
Pengujian
§
Lakukan unpack sesuai metodologi
§
Lakukan ujimvisual dan catatt setiap
konfigurasi yang tidak semstinya
§
Buatlah image hard disk
§
Setelah menbuat image simpan barang
bukti di tempat aman dan catat
§
Lakukan pembuat image kedua
o
Analisa
§
Analisa barang bukti dilakukan
secara dua level :
§
Level fisik
§
Level lojik
§
Perhitungan rangkaian kepercayaan –
chain of evidence
o
Rangkaian kepercayaan
§
Shell
§
Command
§
Dynamic libraries
§
Device driver
§
Kernel
§
Controller
§
Hardware
