Forensik Digital Tahapan, alat bantu, dan analisis

Universitas GunadarmaToT Born to Protect – Forensik Digitall

1

Koko Bachrudin, S.Kom., MMSI.

Forensik DigitalTahapan, alat bantu, dan analisis


2

Tentang Saya● Staf Tetap Universitas

Gunadarma (UG)

● System AdministratorPortal Kemenpora.go.id

● CTO ddoeth creativestudio

● Anggota AFDI (AsosiasiForensic DigitalIndonesia)

● DEFR (Digital EvidenceFirst Responder)


3

Agenda

● Kemanan Siber● Critical Information Infrastructure

Protection● Digital Forensic● Barang Bukti Digital● Penanganan Barang Bukti Digital● Perngkat Pengambilan Bukti Digital


4

Keamanan Siber


5

Fenomena Stuxnet


6

Critical Information Infrastructure Protection


7

Critical Information Infrastructure Protection


8

Interdepedensi Vuln


9

Digital Forensic


10

Standar Terkait

● ISO/SNI 27037 - Guidelines for identifcation,collection, acquisition and preservation ofdigital evidence

● ISO/IEC 27041 - Guidance on assuringsuitability and adequacy of incidentinvestigative methods

● ISO/IEC 27042 - Guidelines for the analysisand interpretation of digital evidence

● ISO/IEC 27043 - Incident investigationprinciples and processes


11

Kasus Digital Forensic

● Pembunuhan Munir (2004)● Kasus Antasari Azhar (2009)● Ariel Peterpan (2010)● Kopi Sianida (2016)


12

Barang Bukti Digital


13

Karateristik Bukti Digital

● Mudah hilang● Mudah diubah● Sulit di dapatkan


14

Penanganan Barang Bukti DigitalBerdasarkan SNI/ISO 27037


15

Digital Evidence First Responder

● Individu yang pertama kali mengambilbarang bukti di TKP

● Individu yang yang selalu menjagaintergritas barang bukti


16

Kewajiban DEFR atau DES

● Mendokumentasikan segala aksi● Menetapkan dan menggunakan metode

untuk memastikan akurasi dan kehandalansalinan barang bukti identik dengan barangbukti asli

● Menyadari penyimpanan barang selaluterjadi gangguan


17

Barang Bukti Digital

“Sebuah informasi pembuktian suatu kasusyang disimpan atau ditransmisikan dalam

bentuk digital dan dapat digunakandipengadilan”


18

Prinsip Barang Bukti

● Relevansi (relevance)● Kehandalan (Reliability)● Kecukupan (Sufciency)


19

Penanganan Barang Bukti

● Dapat diaudit (auditability)● Dapat diualang (Repeatability) dan,● Dapat direproduksi kembali

(Reproducibility) tergantung pada keadaantertentu

● Dapat memberikan justifkasi (justifability)


20

Penangan Barang Bukti Digital

● Identifkasi (identifcation)● Koleksi (collection)● Akuisisi (acquisition)● Preservasi (preservation)


21

Indetifkasi (Identifcation)

● Proses pencarian dan pendokumentasianbarang bukti potensial

● Barang bukti digital dibagi:– Fisik

● Reperesentasi data dalam perangkat nyata

– Logis● Repersentasi virtual data didalam perangkat digital

● Harus Berhati-hati, tidak semua barangbukti dapat mudah diidentifkasi dan dicari


22

Koleksi (collection)

● Memindahkan barang bukti potensial dariTKP ke laboratorium– Barang bukti dalam keadaan hidup– Barang bukti dalam keadaan mati

● Barang bukti bisa berupa:– Kertas berisi password– Konektor sumber daya untuk sistem terbenam


23

Koleksi (collection)

● DEFR dan DES dapat mengadopsi metodepengkoleksian berdasarkan situasi,biayadan waktu

● Melepas digital storage tidak dianjurkandan pastikan DEFR memiliki kompetensidan izin untuk melakukannya

● Dokumentasi semua pendekatan untukmemberikan justifkasi dalam setiapmetode


24

Akuisisi (acquisition)

● Proses yang menghasilakan salinan daribarang bukti potensial– Barang bukti dalam keadaan hidup – Barang bukti dalam keadaan mati

● Kedua barang bukti (asli dan salinan) wajibdi verifkasi dengan fungsi verifkasi yangsudah terbukti


25

Akuisisi (acquisition)

● Jika verifkasi tidak dimungkinkan DEFRharus memeberikan justifkasi padadokumentasinya

● Penyalinan data secara logis bolehdilakukan pada sebuah sistem kritis– Menyalin berkas tertentu– Menyalin partisi tertentu

● Penyalinan secara logis harus memilikidokumentasi dan Justifkasi


26

Preservasi (preservation)

● Menjaga integritas dari barang bukti digital● Menjaga barang bukti digital dari gangguan

dan perampasan pihak lain● Pada beberapa kasus DEFR bisa

membuktikan tidak berubahnya datamenggunakan timestamp dari barang buktiyang tidak berubah


27

Perangkat Forensik


28

dd

● Bebas dan kode terbuka● Tools untuk membuat image hardisk yang

secara default tersedia GNU/Linux● Tidak menampilkan progres ketika berjalan● Waktu yang dibutuhkan cukup lama● Standar NIST


29

ddrescue

● Pengembangan lebih lanjut dari dd,dikhususkan untuk hardisk yangbermasalah

● ddrescue dapat membaca hardisk daribeberapa posisi, sehingga dapat “melewati”sektor yang rusak

● Tidak memunculkan progres ketika berjalan● Membutuhkan waktu yang sangat lama,

tergantung kerusakan hardisk


30

libewf

● Library yang dibuat untuk akese ExpertWitness Compression Format (EWF)

● Mendukung:– SMART (.S01)– Encase (.E01)

● Menampilkan Progres pada saat berjalan● Waktu yang dibutuhkan relatif lebih cepat● Mendukung Pemecahan File


31

Guymager

● Open Soure● Standar NIST● User friendly● Menampilkan Progres


32

Sleuth Kit

● Melakukan analisis harddisk● Mendukung banyak fle system● Rekonstruksi fle● Standar NIST


33

TestDisk

● Merekonstruksi:– File yang dihapus– Partisi yang dihapus

● Berbasis console● Standar NIST


34

Distro Linux

● Caine● DEFT Forensic Linux● Kali Linux


35

Analisis Barang Bukti Digital


36

Analisis Barang bukti Digital

● Fisik– Merekonstruksi fle yang dihapus– Mengetahui kondisi barang bukti sebelumnya

● Logis– Tidak memungkinan merekonstruksi fle yang

dihapus– Mencari petunjuk dengan cara mencari fle

yang ada


37

Yang perlu di pelajari

● Dasar Sistem operasi● File System (NTFS, FAT, EXT, dll)● Administrasi sistem operasi● Standar/panduan yang terkait


38

Barang bukti: Windows

● Struktur Registry● Struktur File dan folder● Filesystem● Daftar Proses -> Forensik RAM


39

Barang Bukti: Linux

● Struktur Direktori distro Linux● Struktur partisi Linux● Filesystem Linux● Daftar Proses -> Forensik RAM


40

Forensik Digital Tahapan, alat bantu, dan analisis

Documents