 |
| Sumber: ilustrasi pribadi |
Forensik Komputer
Forensik merupakan suatu proses ilmiah dalam mengumpulkan, menganalisis, dan menghadirkan berbagai bukti dalam sidang pengadilan terkait adanya suatu kasus hukum. Sementara itu, forensik komputer merupakan suatu proses mengidentifikasi, memelihara, menganalisis, dan menggunakan bukti digital menurut hukum yang berlaku. Istilah ini kemudian meluas menjadi forensik teknologi informasi.
Tujuan
Tujuan dilakukannya forensik komputer adalah mendapatkan fakta-fakta objektif dari sebuah insiden/pelanggaran keamanan sistem informasi. Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-bukti (evidence) yang akan digunakan dalam proses hukum.
Komponen
Komponen dari forensik komputer di antaranya adalah sebagai berikut:
1. Manusia
2. Perangkat
3. Aturan
Konsep
Forensik komputer memiliki beberapa konsep-konsep yang diterapkan, di antaranya sebagai berikut:
1. Identifikasi
Pada tahap ini segala bukti-bukti yang mendukung penyelidikan dikumpulkan. Penyelidikan dimulai dari identifikasi di mana bukti itu berada, di mana disimpannya, dan bagaimana penyimpanannya untuk mempermudah penyelidikan. Alat yang digunakan untuk mendukung tahapan ini di antaranya, yaitu Forensic Acquisition Utilities, Ftimes, dan ProDiscover DFT.
2. Penyimpanan
Tahapan ini mencakup penyimpanan dan penyiapan bukti-bukti yang ada, termasuk melindungi bukti-bukti dari kerusakan, perubahan, dan penghilangan oleh pihak-pihak tertentu. Dikarenakan bukti digital yang bersifat sementara (volatile), mudah rusak, berubah, dan hilang, maka pengetahuan yang mendalam dari seorang ahli digital forensik mutlak diperlukan.
3. Analisis
Tahapan ini dilaksanakan dengan melakukan analisis secara mendalam terhadap bukti-bukti yang ada. bukti yang telah didapatkan perlu dieksplorasi kembali ke dalam sejumlah skenario yang berhubungan dengan tindak pengusutan, seperti siapa yang melakukan, apa yang telah dilakukan, dan waktu melakukan. Tahapan analisis dibagi menjadi dua, yaitu analisis media (media analysis) dan analisis aplikasi (application analysis) pada barang bukti yang ada. Alat yang digunakan untuk analisis media di antaranya, yaitu TestDisk, Explore2fs, dan ProDiscover DFT. Sementara itu, alat yang digunakan untuk analisis aplikasi di antaranya, yaitu Event Log Parser, Galleta, dan Md5deep.
4. Presentasi
Tahapan ini dilakukan dengan menyajikan dan menguraikan secara detail laporan penyelidikan dengan bukti-bukti yang sudah dianalisis secara mendalam dan dapat dipertanggungjawabkan secara hukum di pengadilan. Beberapa hal penting yang perlu dicantumkan pada saat presentasi/penyajian laporan, yaitu tanggal dan waktu terjadinya pelanggaran, tanggal dan waktu pada saat investigasi, dan permasalahan yang terjadi.
Pelatihan dan Sertifikasi
Beberapa pelatihan dan sertifikasi yang berkaitan dengan forensik komputer di antaranya sebagai berikut:
1. Certified Information System Security Professional (CISSP)
2. Experienced Computer Forensic Examiner (ECFE)
3. Computer Hacking Forensic Investigator (CHFI)
4. Certified Forensics Analyst (CFA)
5. Certified Computer Examiner (CCE)
6. Advanced Information Security (AIS)
Studi Kasus: Keamanan Data Perusahaan XYZ
Perusahaan XYZ, sebuah perusahaan besar yang bergerak di bidang teknologi, mengalami insiden keamanan di mana data sensitif pelanggan mereka ditemukan bocor ke publik. Tim keamanan internal perusahaan mencurigai adanya pelanggaran keamanan dan telah mengundang Anda, seorang ahli IT Forensik, untuk melakukan penyelidikan.
1. Identifikasi Ancaman
a. Jelaskan langkah-langkah awal yang akan Anda ambil untuk mengidentifikasi sumber dan jenis ancaman yang mungkin telah menyebabkan bocornya data.
Jawaban:
Langkah-langkah untuk mengidentifikasi sumber dan jenis ancaman adalah sebagai berikut:
1) Pengumpulan informasi awal, yaitu mengumpulkan laporan dan informasi awal tentang insiden.
2) Analisis log keamanan, yaitu memeriksa log keamanan untuk mencari aktivitas mencurigakan.
3) Rekonstruksi kejadian, yaitu merekonstruksi langkah-langkah kejadian yang menyebabkan bocornya data.
4) Analisis malware (jika ada), menganalisis malware untuk mengidentifikasi tujuan dan cara kerjanya.
5) Pemeriksaan rentang waktu, yaitu menentukan rentang waktu insiden untuk memahami perkembangan kejadian.
6) Identifikasi metode serangan, yaitu menganalisis metode serangan yang digunakan oleh penyerang.
7) Pemeriksaan hak akses, yaitu meninjau hak akses dan identifikasi kemungkinan akun yang dikompromi.
8) Analisis jaringan, yaitu memeriksa lalu lintas jaringan untuk mencari aktivitas mencurigakan.
9) Wawancara dengan tim terkait, yaitu melakukan wawancara dengan tim keamanan dan administrator sistem.
10) Penggunaan alat forensik, yaitu menggunakan alat forensik untuk ekstraksi informasi tambahan.
11) Pengumpulan bukti, yaitu mengumpulkan bukti elektronik untuk mendukung penyelidikan.
b. Apa peran log aktivitas sistem dan jaringan dalam membantu identifikasi ancaman?
Jawaban:
Log aktivitas sistem dan jaringan memiliki peran dalam membantu mengidentifikasi ancaman, di antaranya yaitu:
1) Memberikan indikasi dini terhadap aktivitas mencurigakan.
2) Menyediakan catatan kronologis kejadian yang memungkinkan tim keamanan untuk merekonstruksi kejadian.
3) Memungkinkan pengenalan pola atau tanda khas serangan yang dapat membantu memahami metode dan teknik yang digunakan oleh penyerang.
4) Menyediakan informasi tentang aktivitas yang mencurigakan.
5) Berperan dalam pemenuhan persyaratan audit dan kepatuhan dengan menyimpan rekam aktivitas yang dapat diaudit.
2. Analisis Jejak Digital
a. Bagaimana Anda akan melacak jejak digital yang ditinggalkan oleh penyerang? Jelaskan teknik atau alat yang akan Anda gunakan.
Jawaban:
Melacak jejak digital yang ditinggalkan oleh penyerang melibatkan:
1) Pemeriksaan log aktivitas sistem dan jaringan dengan alat seperti ELK Stack.
2) Penggunaan alat analisis malware seperti VirusTotal atau Cuckoo Sandbox.
3) Pemeriksaan jejak digital dalam memori sistem dengan alat seperti Volatility Framework.
4) Analisis berkas dan sistem dengan alat seperti Autopsy atau The Sleuth Kit.
5) Pemantauan jejak digital dalam lalu lintas jaringan dengan alat seperti Wireshark atau Tcpdump.
6) Pemantauan aktivitas di perangkat akhir menggunakan solusi EDR.
7) Pemanfaatan platform analisis ancaman seperti ThreatConnect atau Recorded Future untuk mengidentifikasi penyerang.
b. Apa yang Anda cari dalam jejak digital untuk memahami cara serangan terjadi?
Jawaban:
Berikut adalah beberapa hal yang dicari dalam jejak digital untuk memahami cara serangan:
1) Pola serangan penyerang dari awal hingga akhir serangan.
2) Metode eksploitasi penyerang mendapatkan akses ke sistem atau jaringan.
3) Rute penetrasi pertahanan keamanan.
4) Sumber ancaman penyerang yang terlibat.
5) Modus operandi penyerang selama serangan.
3. Pemulihan Data
a. Bagaimana Anda akan melakukan pemulihan data untuk mengidentifikasi data yang telah dicuri atau diakses oleh penyerang?
Jawaban:
Berikut adalah beberapa langkah yang dapat diambil untuk mengidentifikasi data yang telah dicuri atau diakses oleh penyerang:
1) Mengisolasi sistem atau server yang terkena dampak.
2) Melakukan backup data yang tersimpan di sistem yang terkena dampak untuk menjaga salinan data yang tidak tercemar.
3) Melakukan analisis forensik pada sistem atau server yang terkena dampak untuk mengidentifikasi perubahan atau aktivitas mencurigakan.
4) Menggunakan backup yang telah dibuat untuk memulihkan data yang tidak tercemar.
5) Pemeriksaan metadata berkas untuk melihat perubahan terkait waktu, pengguna, atau atribut lain yang dapat memberikan petunjuk penyerangan.
b. Apa tindakan konkret yang dapat diambil untuk memastikan pemulihan data yang efektif?
Jawaban:
Untuk memastikan pemulihan data yang efektif setelah insiden keamanan, berikut adalah tindakan konkret yang dapat diambil:
1) Mengidentifikasi dan mengisolasi sumber ancaman.
2) Melakukan backup segera setelah deteksi.
3) Memeriksa kembali keamanan backup.
4) Memulihkan data dari backup yang terpercaya.
5) Melakukan analisis forensik digital pada sistem atau server yang terkena dampak.
4. Kerja Sama dengan Pihak Eksternal
a. Dalam kasus ini, sejauh mana Anda akan bekerja sama dengan pihak keamanan eksternal atau lembaga penegak hukum?
Jawaban:
Kerja sama dengan pihak keamanan eksternal dan lembaga penegak hukum adalah langkah yang penting dalam menangani insiden keamanan yang serius. Sejauh mana tindakan bekerja sama dengan pihak eksternal bergantung pada sejumlah faktor, termasuk kebijakan perusahaan, hukum yang berlaku, dan sifat insiden. Berikut adalah pertimbangan yang dapat memengaruhi tindakan kerja sama:
1) Kepastian untuk memahami kewajiban hukum perusahaan dan regulasi yang berlaku.
2) Semakin parah insiden, semakin besar kemungkinan kerja sama dengan pihak eksternal diperlukan.
3) Pertimbangan keahlian dan sumber daya internal perusahaan.
4) Jika insiden melibatkan kejahatan siber, berkolaborasi dengan lembaga penegak hukum dapat membantu dalam penyelidikan dan pengumpulan bukti.
5) Pertimbangan risiko reputasi.
b. Apa informasi yang dapat Anda bagi atau yang perlu Anda pertahankan dalam kerja sama dengan pihak eksternal?
Jawaban:
Informasi yang dapat dibagi meliputi:
1) Detail insiden
2) Jenis ancaman
3) Jejak digital
4) Bukti
Informasi yang perlu dipegang meliputi:
1) Informasi sensitif dan rahasia
2) Kata sandi dan kredensial
3) Dokumen hukum
4) Informasi pribadi karyawan
5. Pencegahan Masa Depan
a. Berdasarkan hasil investigasi Anda, rekomendasikan langkah-langkah pencegahan yang dapat diambil oleh Perusahaan XYZ untuk mencegah insiden serupa di masa depan.
Jawaban:
Beberapa rekomendasi langkah-langkah pencegahan yang dapat diambil untuk mencegah insiden serupa di masa depan, di antaranya:
1) Peningkatan kesadaran keamanan karyawan
2) Pemantauan aktivitas jaringan secara terus-menerus
3) Pengelolaan hak akses dan kredensial
4) Pemutakhiran dan pemantauan sistem keamanan
5) Kebijakan sandi yang kuat dan menggunakan autentikasi multifaktor
b. Bagaimana Anda akan membantu perusahaan mengembangkan kebijakan keamanan yang lebih kuat?
Jawaban:
Untuk membantu perusahaan mengembangkan kebijakan keamanan yang lebih kuat, berikut beberapa langkah yang dapat dilakukan:
1) Melakukan evaluasi menyeluruh terhadap kebutuhan dan risiko keamanan perusahaan.
2) Mengaudit dan mengevaluasi efektivitas kebijakan keamanan yang sudah ada.
3) Berkomunikasi dengan berbagai pihak terkait, termasuk tim keamanan, manajemen tingkat atas, divisi IT, dan pemangku kepentingan lainnya.
4) Menyusun atau memperbarui kebijakan keamanan dengan mempertimbangkan temuan dari evaluasi, audit, dan konsultasi.
5) Mengembangkan program pelatihan dan pendidikan untuk karyawan agar mereka memahami dan mematuhi kebijakan keamanan.
6. Hukum dan Kode Etik
a. Jelaskan bagaimana Anda akan memastikan bahwa proses investigasi Anda mematuhi hukum dan kode etik yang berlaku.
Jawaban:
Berikut adalah langkah-langkah yang akan diambil untuk memastikan kepatuhan tersebut:
1) Memastikan bahwa saya dan tim memiliki pemahaman yang kuat tentang hukum dan kode etik yang berlaku.
2) Berkonsultasi dengan ahli hukum atau penasihat hukum perusahaan untuk memastikan bahwa setiap langkah dalam investigasi sesuai dengan hukum yang berlaku.
3) Memastikan bahwa semua tindakan investigasi mematuhi persyaratan izin dan persetujuan yang diperlukan.
4) Memastikan bahwa seluruh bukti yang dikumpulkan selama investigasi dikelola dengan cara yang mematuhi hukum.
5) Mengidentifikasi dan mengevaluasi risiko hukum yang mungkin timbul selama investigasi.
b. Apa tanggung jawab etis seorang profesional IT Forensik dalam menangani informasi yang sensitif?
Jawaban:
Berikut adalah beberapa tanggung jawab etis yang harus dipegang oleh seorang profesional IT forensik:
1) Memastikan privasi individu dan kerahasiaan informasi sensitif yang terlibat dalam investigasi.
2) Memastikan bahwa setiap tindakan dan prosedur yang dilakukan selama investigasi mematuhi hukum dan regulasi yang berlaku.
3) Menjaga tingkat transparansi dan keterbukaan yang sesuai dengan konteks investigasi.
4) Memastikan pemeliharaan bukti yang sah selama proses investigasi.
5) Memahami konteks bisnis dari organisasi yang sedang diselidiki.
Demikian penjelasan mengenai bagian IT Forensic yang penulis dapatkan dari perkuliahan mata kuliah Etika Profesi di Universitas Jember. Bagaimana? Sudah paham belum dari artikel di atas? Semoga penjelasan singkat tadi dapat dipahami ya.
Terima kasih sudah berkunjung.
Komentar
Posting Komentar