IT FORENSIK
IT Forensik adalah cabang
dari ilmu komputer tetapi menjurus ke bagian forensik yaitu berkaitan dengan
bukti hukum yang ditemukan di komputer dan media penyimpanan digital. Komputer
forensik juga dikenal sebagai Digital Forensik yang terdiri dari aplikasi dari
ilmu pengetahuan kepada indetifikasi, koleksi, analisa, dan pengujian dari
bukti digital.
IT Forensik adalah
penggunaan sekumpulan prosedur untuk melakukan pengujian secara menyeluruh
suatu sistem komputer dengan mempergunakan software dan tool untuk memelihara
barang bukti tindakan kriminal. IT forensik dapat menjelaskan keadaan artefak
digital terkini. Artefak Digital dapat mencakup sistem komputer, media
penyimpanan (seperti hard disk atau CD-ROM, dokumen elektronik (misalnya pesan
email atau gambar JPEG) atau bahkan paket-paket yang secara berurutan bergerak
melalui jaringan. Bidang IT Forensik juga memiliki cabang-cabang di dalamnya
seperti firewall forensik, forensik jaringan , database forensik, dan forensik
perangkat mobile. * Menurut Noblett, yaitu berperan untuk mengambil, menjaga,
mengembalikan, dan menyajikan data yang telah diproses secara elektronik dan
disimpan di media komputer. * Menurut Judd Robin, yaitu penerapan secara
sederhana dari penyidikan komputer dan teknik analisisnya untuk menentukan
bukti-bukti hukum yang mungkin. * Menurut Ruby Alamsyah (salah seorang ahli
forensik IT Indonesia), digital forensik atau terkadang disebut komputer
forensik adalah ilmu yang menganalisa barang bukti digital sehingga dapat
dipertanggungjawabkan di pengadilan. Barang bukti digital tersebut termasuk
handphone, notebook, server, alat teknologi apapun yang mempunyai media
penyimpanan dan bisa dianalisa. Alasan mengapa menggunakan IT forensik, antara
lain: -Dalam kasus hukum, teknik digital forensik sering digunakan untuk
meneliti sistem komputer milik terdakwa (dalam perkara pidana) atau tergugat
(dalam perkara perdata). -Memulihkan data dalam hal suatu hardware atau
software mengalami kegagalan/kerusakan (failure). -Meneliti suatu sistem
komputer setelah suatu pembongkaran/ pembobolan, sebagai contoh untuk
menentukan bagaimana penyerang memperoleh akses dan serangan apa yang
dilakukan. -Mengumpulkan bukti menindak seorang karyawan yang ingin
diberhentikan oleh suatu organisasi. -Memperoleh informasi tentang bagaimana
sistem komputer bekerja untuk tujuan debugging, optimisasi kinerja, atau membalikkan
rancang-bangun. Siapa yang menggunakan IT forensic ? Network Administrator
merupakan sosok pertama yang umumnya mengetahui keberadaan cybercrime sebelum
sebuah kasus cybercrime diusut oleh pihak yang berwenang. Ketika pihak yang
berwenang telah dilibatkan dalam sebuah kasus, maka juga akan melibatkan
elemenelemen vital lainnya, antara lain: a. Petugas Keamanan (Officer/as a
First Responder), Memiliki kewenangan tugas antara lain : mengidentifikasi
peristiwa,mengamankan bukti, pemeliharaan bukti yang temporer dan rawan
kerusakan. b. Penelaah Bukti (Investigator), adalah sosok yang paling berwenang
dan memiliki kewenangan tugas antara lain: menetapkan instruksi-instruksi,
melakukan pengusutan peristiwa kejahatan, pemeliharaan integritas bukti. c.
Tekhnisi Khusus, memiliki kewenangan tugas antara lain : memeliharaan bukti
yang rentan kerusakan dan menyalin storage bukti, mematikan(shuting down)
sistem yang sedang berjalan, membungkus/memproteksi buktibukti, mengangkut
bukti dan memproses bukti. IT forensic digunakan saat mengidentifikasi
tersangka pelaku tindak kriminal untuk penyelidik, kepolisian, dan kejaksaan.
Tujuan IT Forensik
Mendapatkan fakta-fakta
obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi.
Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-bukti (evidence)
yang akan digunakan dalam proses hukum.
Mengamankan dan
menganalisa bukti digital. Dari data yang diperoleh melalui survey oleh FBI dan
The Computer Security Institute, pada tahun 1999 mengatakan bahwa 51% responden
mengakui bahwa mereka telah menderita kerugian terutama dalam bidang finansial
akibat kejahatan komputer. Kejahatan Komputer dibagi menjadi dua, yaitu :
Komputer fraud : kejahatan
atau pelanggaran dari segi sistem organisasi komputer.
Komputer crime: kegiatan
berbahaya dimana menggunakan media komputer dalam melakukan pelanggaran hukum.
Tools dalam Forensik IT
1. antiword
Antiword merupakan sebuah
aplikasi yang digunakan untuk menampilkan teks dan gambar dokumen Microsoft
Word. Antiword hanya mendukung dokumen yang dibuat oleh MS Word versi 2 dan
versi 6 atau yang lebih baru.
2. Autopsy
The Autopsy Forensic
Browser merupakan antarmuka grafis untuk tool analisis investigasi diginal
perintah baris The Sleuth Kit. Bersama, mereka dapat menganalisis disk dan
filesistem Windows dan UNIX (NTFS, FAT, UFS1/2, Ext2/3).
3. binhash
binhash merupakan sebuah
program sederhana untuk melakukan hashing terhadap berbagai bagian file ELF dan
PE untuk perbandingan. Saat ini ia melakukan hash terhadap segmen header dari
bagian header segmen obyek ELF dan bagian segmen header obyekPE.
4. sigtool
sigtcol merupakan tool
untuk manajemen signature dan database ClamAV. sigtool dapat digunakan untuk
rnenghasilkan checksum MD5, konversi data ke dalam format heksadesimal,
menampilkan daftar signature virus dan build/unpack/test/verify database CVD
dan skrip update.
5. ChaosReader
ChaosReader merupakan
sebuah tool freeware untuk melacak sesi TCP/UDP/… dan mengambil data aplikasi
dari log tcpdump. la akan mengambil sesi telnet, file FTP, transfer HTTP (HTML,
GIF, JPEG,…), email SMTP, dan sebagainya, dari data yang ditangkap oleh log
lalu lintas jaringan. Sebuah file index html akan tercipta yang berisikan link
ke seluruh detil sesi, termasuk program replay realtime untuk sesi telnet,
rlogin, IRC, X11 atau VNC; dan membuat laporan seperti laporan image dan laporan
isi HTTP GET/POST.
6. chkrootkit
chkrootkit merupakan
sebuah tool untuk memeriksa tanda-tanda adanya rootkit secara lokal. la akan
memeriksa utilitas utama apakah terinfeksi, dan saat ini memeriksa sekitar 60
rootkit dan variasinya.
7. dcfldd
Tool ini mulanya
dikembangkan di Department of Defense Computer Forensics Lab (DCFL). Meskipun
saat ini Nick Harbour tidak lagi berafiliasi dengan DCFL, ia tetap memelihara
tool ini.
8. ddrescue
GNU ddrescue merupakan
sebuah tool penyelamat data, la menyalinkan data dari satu file atau device
blok (hard disc, cdrom, dsb.) ke yang lain, berusaha keras menyelamatkan data
dalam hal kegagalan pembacaan. Ddrescue tidak memotong file output bila tidak
diminta. Sehingga setiap kali anda menjalankannya kefile output yang sama, ia
berusaha mengisi kekosongan.
9. foremost
Foremost merupakan sebuah
tool yang dapat digunakan untuk me-recover file berdasarkan header, footer,
atau struktur data file tersebut. la mulanya dikembangkan oleh Jesse Kornblum
dan Kris Kendall dari the United States Air Force Office of Special
Investigations and The Center for Information Systems Security Studies and
Research. Saat ini foremost dipelihara oleh Nick Mikus seorang Peneliti di the
Naval Postgraduate School Center for Information Systems Security Studies and
Research.
10. gqview
Gqview merupakan sebuah
program untuk melihat gambar berbasis GTK la mendukung beragam format gambar,
zooming, panning, thumbnails, dan pengurutan gambar.
11. galleta
Galleta merupakan sebuah
tool yang ditulis oleh Keith J Jones untuk melakukan analisis forensic terhadap
cookie Internet Explorer.
12. Ishw
Ishw (Hardware Lister)
merupakan sebuah tool kecil yang memberikan informasi detil mengenai
konfigurasi hardware dalam mesin. la dapat melaporkan konfigurasi memori dengan
tepat, versi firmware, konfigurasi mainboard, versi dan kecepatan CPU,
konfigurasi cache, kecepatan bus, dsb. pada sistem t>MI-capable x86 atau
sistem EFI.
13. pasco
Banyak penyelidikan
kejahatan komputer membutuhkan rekonstruksi aktivitas Internet tersangka.
Karena teknik analisis ini dilakukan secara teratur, Keith menyelidiki struktur
data yang ditemukan dalam file aktivitas Internet Explorer (file index.dat).
Pasco, yang berasal dari bahasa Latin dan berarti “browse”, dikembangkan untuk
menguji isi file cache Internet Explorer. Pasco akan memeriksa informasi dalam
file index.dat dan mengeluarkan hasil dalam field delimited sehingga dapat
diimpor ke program spreadsheet favorit Anda.
14. scalpel
calpel adalah sebuah tool
forensik yang dirancang untuk mengidentifikasikan, mengisolasi dan merecover
data dari media komputer selama proses investigasi forensik. Scalpel mencari
hard drive, bit-stream image, unallocated space file, atau sembarang file
komputer untuk karakteristik, isi atau atribut tertentu, dan menghasilkan
laporan mengenai lokasi dan isi artifak yang ditemukan selama proses pencarian
elektronik. Scalpel juga menghasilkan (carves) artifak yang ditemukan sebagai
file individual.
Prodesur IT Forensik
Prosedur forensik yang
umum digunakan, antara lain :Membuat copies dari keseluruhan log data, file,
dan lain-lain yang dianggap perlu pada suatu media yang terpisah. Membuat
copies secara matematis.Dokumentasi yang baik dari segala sesuatu yang
dikerjakan.
Bukti yang digunakan dalam
IT Forensics berupa :Harddisk.Floopy disk atau media lain yang bersifat
removeable.Network system.
Metode/prosedure IT
Forensik yang umum digunakan pada komputer ada dua jenis yaitu :
Search dan seizure :
dimulai dari perumusan suatu rencana.
Identifikasi dengan
penelitian permasalahan.
Membuat hipotesis.
Uji hipotesa secara konsep
dan empiris.
Evaluasi hipotesa
berdasarkan hasil pengujian dan pengujian ulang jika hipotesa tersebut jauh
dari apa yang diharapkan.
Evaluasi hipotesa terhadap
dampak yang lain jika hipotesa tersebut dapat diterima.
Pencarian informasi
(discovery information). Ini dilakukan oleh investigator dan merupakan
pencarian bukti tambahan dengan mengendalikan saksi secara langsung maupun
tidak langsung.
Membuat copies dari
keseluruhan log data, files, dan lain-lain yang dianggap perlu pada media
terpisah.
Membuat fingerprint dari
data secara matematis.
Membuat fingerprint dari
copies secara otomatis.
Membuat suatu hashes
masterlist
Dokumentasi yang baik dari
segala sesuatu yang telah dikerjakan.
IT Audit
Audit teknologi informasi
atau information systems (IS) audit adalah bentuk pengawasan dan pengendalian
dari infrastruktur teknologi informasi secara menyeluruh. Audit teknologi
informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit
internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Pada
mulanya istilah ini dikenal dengan audit pemrosesan data elektronik, dan
sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan
evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah
lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai
untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja
secara efektif, dan integratif dalam mencapai target organisasinya.
B. Sejarah singkat Audit IT
Audit IT yang pada awalnya
lebih dikenal sebagai EDP Audit (Electronic Data Processing) telah mengalami
perkembangan yang pesat. Perkembangan Audit IT ini didorong oleh kemajuan
teknologi dalam sistem keuangan, meningkatnya kebutuhan akan kontrol IT, dan
pengaruh dari komputer itu sendiri untuk menyelesaikan tugas-tugas penting.
Pemanfaatan teknologi komputer ke dalam sistem keuangan telah mengubah cara
kerja sistem keuangan, yaitu dalam penyimpanan data, pengambilan kembali data,
dan pengendalian. Sistem keuangan pertama yang menggunakan teknologi komputer
muncul pertama kali tahun 1954. Selama periode 1954 sampai dengan 1960-an
profesi audit masih menggunakan komputer. Pada pertengahan 1960-an terjadi
perubahan pada mesin komputer, dari mainframe menjadi komputer yang lebih kecil
dan murah.
Pada tahun 1968, American
Institute of Certified Public Accountants (AICPA) ikut mendukung pengembangan
EDP auditing. Sekitar periode ini pula para auditor bersama-sama mendirikan
Electronic Data Processing Auditors Association (EDPAA). Tujuan lembaga ini
adalah untuk membuat suatu tuntunan, prosedur, dan standar bagi audit EDP. Pada
tahun 1977, edisi pertama Control Objectives diluncurkan. Publikasi ini
kemudian dikenal sebagai Control Objectives for Information and Related
Technology (CobiT). Tahun 1994, EDPAA mengubah namanya menjadi Information
System Audit (ISACA). Selama periode akhir 1960-an sampai saat ini teknologi TI
telah berubah dengan cepat dari mikrokomputer dan jaringan ke internet. Pada
akhirnya perubahan-perubahan tersebut ikut pula menentukan perubahan pada audit
IT.
C. Jenis Audit IT.
1. Sistem dan aplikasi.
Memeriksa apakah sistem
dan aplikasi sesuai dengan kebutuhan organisasi, berdayaguna, dan memiliki
kontrol yang cukup baik untuk menjamin keabsahan, kehandalan, tepat waktu, dan
keamanan pada input, proses, output pada semua tingkat kegiatan sistem.
2. Fasilitas pemrosesan
informasi.
Memeriksa apakah fasilitas
pemrosesan terkendali untuk menjamin ketepatan waktu, ketelitian, dan
pemrosesan aplikasi yang efisien dalam keadaan normal dan buruk.
3. Pengembangan sistem.
Memeriksa apakah sistem
yang dikembangkan mencakup kebutuhan obyektif organisasi.
4. Arsitektur perusahaan
dan manajemen TI
Memeriksa apakah manajemen
TI dapat mengembangkan struktur organisasi dan prosedur yang menjamin kontrol
dan lingkungan yang berdaya guna untuk pemrosesan informasi.
5. Client/Server,
telekomunikasi, intranet, dan ekstranet
Memeriksa apakah
kontrol-kontrol berfungsi pada client, server, dan jaringan yang menghubungkan
client dan server.
D. Metodologi Audit IT.
Dalam praktiknya,
tahapan-tahapan dalam audit IT tidak berbeda dengan audit pada umumnya, sebagai
berikut :
1. Tahapan Perencanaan.
Sebagai suatu pendahuluan
mutlak perlu dilakukan agar auditor mengenal benar obyek yang akan diperiksa
sehingga menghasilkan suatu program audit yang didesain sedemikian rupa agar
pelaksanaannya akan berjalan efektif dan efisien.
2. Mengidentifikasikan
reiko dan kendali.
Untuk memastikan bahwa
qualified resource sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman
dan juga referensi praktik-praktik terbaik.
3. Mengevaluasi kendali
dan mengumpulkan bukti-bukti.
Melalui berbagai teknik
termasuk survei, interview, observasi, dan review dokumentasi.
4. Mendokumentasikan.
Mengumpulkan temuan-temuan
dan mengidentifikasikan dengan auditee.
5. Menyusun laporan.
Mencakup tujuan
pemeriksaan, sifat, dan kedalaman pemeriksaan yang dilakukan.
E. Alasan dilakukannya
Audit IT.
Ron Webber, Dekan Fakultas
Teknologi Informasi, monash University, dalam salah satu bukunya Information
System Controls and Audit (Prentice-Hall, 2000) menyatakan beberapa alasan
penting mengapa Audit IT perlu dilakukan, antara lain :
1. Kerugian akibat
kehilangan data.
2. Kesalahan dalam
pengambilan keputusan.
3. Resiko kebocoran data.
4. Penyalahgunaan komputer.
5. Kerugian akibat
kesalahan proses perhitungan.
6. Tingginya nilai
investasi perangkat keras dan perangkat lunak komputer.
F. Manfaat Audit IT.
1. Manfaat pada saat
Implementasi (Pre-Implementation Review)
– Institusi dapat
mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun
memenuhi acceptance criteria.
– Mengetahui apakah
pemakai telah siap menggunakan sistem tersebut.
– Mengetahui apakah
outcome sesuai dengan harapan manajemen.
2. Manfaat setelah sistem
live (Post-Implementation Review)
– Institusi mendapat
masukan atas risiko-risiko yang masih yang masih ada dan saran untuk
penanganannya.
– Masukan-masukan tersebut
dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis, dan
anggaran pada periode berikutnya.
– Bahan untuk perencanaan
strategis dan rencana anggaran di masa mendatang.
– Memberikan reasonable
assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur
yang telah ditetapkan.
– Membantu memastikan
bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh
manajemen, auditor maupun pihak lain yang berwewenang melakukan pemeriksaan.
– Membantu dalam penilaian
apakah initial proposed values telah terealisasi dan saran tindak lanjutnya.
G. Pengertian Audit Trail
Audit Trail merupakan
salah satu fitur dalam suatu program yang mencatat semua kegiatan yang
dilakukan tiap user dalam suatu tabel log. secara rinci. Audit Trail secara
default akan mencatat waktu , user, data yang diakses dan berbagai jenis
kegiatan. Jenis kegiatan bisa berupa menambah, merungubah dan menghapus. Audit
Trail apabila diurutkan berdasarkan waktu bisa membentuk suatu kronologis
manipulasi data.Dasar ide membuat fitur Audit Trail adalah menyimpan histori tentang
suatu data (dibuat, diubah atau dihapus) dan oleh siapa serta bisa
menampilkannya secara kronologis. Dengan adanya Audit Trail ini, semua kegiatan
dalam program yang bersangkutan diharapkan bisa dicatat dengan baik.
1. Cara Kerja Audit Trail
a. Audit Trail yang
disimpan dalam suatu tabel
b. Dengan menyisipkan
perintah penambahan record ditiap query Insert, Update dan Delete
c. Dengan memanfaatkan
fitur trigger pada DBMS. Trigger adalah kumpulan SQL statement, yang secara
otomatis menyimpan log pada event INSERT, UPDATE, ataupun DELETE pada sebuah
tabel.
2. Fasilitas Audit Trail
Fasilitas Audit Trail
diaktifkan, maka setiap transaksi yang dimasukan ke Accurate, jurnalnya akan
dicatat di dalam sebuah tabel, termasuk oleh siapa, dan kapan. Apabila ada sebuah
transaksi yang di-edit, maka jurnal lamanya akan disimpan, begitu pula dengan
jurnal barunya.
3. Hasil Audit Trail
Record Audit Trail
disimpan dalam bentuk, yaitu :
a. Binary File – Ukuran
tidak besar dan tidak bisa dibaca begitu saja
b. Text File – Ukuran
besar dan bisa dibaca langsung
c. Tabel.
Perbedaan audit around computer
dan through the computer
Audit around computer
adalah suatu pendekatan
audit yang berkaitan dengan komputer, lebih tepatnya pendekatan audit disekitar
komputer. dalam pendekatan ini auditor dapat melangkah kepada perumusan
pendapatdengan hanya menelaah sturuktur pengendalian dan melaksanakan pengujian
transaksi dan prosedur verifikasi saldo perkiraan dengan cara sama seperti pada
sistem manual(bukan sistem informasi berbasis komputer).
Audit around computer
dilakukan pada saat :
1. Dokumen sumber tersedia
dalam bentuk kertas ( bahasa non-mesin), artinya masih kasat mata dan dilihat
secara visual.
2. Dokumen-dokumen
disimpan dalam file dengan cara yang mudah ditemukan
3. Keluaran dapat
diperoleh dari daftar yang terinci dan auditor mudah menelusuri setiap
transaksi dari dokumen sumber kepada keluaran dan sebaliknya.
# keunggulan metode Audit
around computer :
1. Pelaksanaan audit lebih
sederhana.
2. Auditor yang memiliki
pengetahuan minimal di bidang komputer dapat dilihat dengan mudah untuk
melaksanakan audit.
Audit Through the computer
Audit ini berbasis
komputer, dimana dalam pendekatan ini auditor melakukan pemeriksaan langsung
terhadap program-program dan file-file komputer pada audit sistem informasi
berbasis komputer. Auditor menggunakan komputer (software bantu) atau dengan
cek logika atau listing program untuk menguji logika program dalam rangka
pengujian pengendalian yang ada dalam komputer.
Pendekatan Audit Through
the computer dilakukan dalam kondisi :
1. Sistem aplikasi komputer
memroses input yang cukup besar dan menghasilkan output yang cukup besar pula,
sehingga memperuas audit untuk meneliti keabsahannya.
2. Bagian penting dari
struktur pengendalian intern perusahaan terdapat di dalam komputerisasi yang
digunakan.
# Keunggulan pendekatan
Audit Through the computer :
1. Auditor memperoleh
kemampuasn yang besar dan efketif dalam melakukan pengujian terhadap sistem
komputer.
2. Auditor akan merasa
lebih yakin terhadap kebenaran hasil kerjanya.
3. Auditor dapat melihat
kemampuan sistem komputer tersebut untuk menghadapi perubahan lingkungan.
Resume:
Audit IT merupakan urutan
kronologis catatan audit, yang masing-masing berisikan bukti langsung yang
berkaitan dengan yang dihasilkan dari pelaksanaan suatu proses bisnis atau fungsi
sistem. Catatan audit biasanya hasil kerja dari kegiatan seperti transaksi atau
komunikasi oleh orang-orang individu, sistem, rekening atau badan lainnya.
Dengan adanya Audit IT diharapkan semua kronologis/kegiatan program dapat
terekam dengan baik.
Audit IT juga sangat
membantu dalam IT forensik jika pengguna IT menderita kerugian terutama dalam
bidang finansial akibat kejahatan komputer seperti Komputer fraud (Kejahatan
atau pelanggaran dari segi sistem organisasi komputer) dan Komputer crime. (menggunakan
media komputer dalam melakukan pelanggaran hukum). Sehingga memudahkan Penyidik
IT forensik dalam menganalisa.
Sumber:
http://capungtempur.blogspot.com/2012/05/it-forensik.html
https://avanza250.wordpress.com/2013/06/22/pemeriksaan-sistem-informasi-audit-it/
Tidak ada komentar:
Posting Komentar