Heboh aksi deface belakangan kembali terjadi. Situs
KPU, Kominfo dan Golkar jadi korbannya. Apa yang bisa dilakukan saat
situs kena susup?
Banyak admin
panik langsung mematikan sistem dan menghapus kesalahan sehingga sistem
bisa up kembali. Saran saya, jangan. Tetapi sebaiknya lakukan langkah
yang tepat untuk menyimpan bukti dengan cara menyimpan kondisi memori,
kondisi file temporar, kondisi soket terbuka dan lain sebagainya. Pada
dunia komputer forensik ini yang dikenal membuat “snapshot†dari
sistem yang sedang berjalan. Setelah itu baru memeriksa sistem yang ada
(analisis post mortem).
Teknik mesin virtual saat ini memungkinkan kita menjalankan “imageâ€
sistem dengan snapshoot berjalan seperti kondisi tersebut.
Untuk memeriksa sistem yang ada, maka hard disk
asli tidak boleh dikutak-katik untuk itu perlu dibuat “image†dan
image inilah yang bisa diselidiki. Untuk melakukan hal itu berbagai tool
tersedia dari tool komersial seperti Encase[1], Forensic Tool Kit (FTK) [2], XWays [3], bisa juga dengan tool Open Source dd yang relatif ada di tiap sistem Unix/Linux, atau dd_rescue [4]. Untuk aplikasi Open Source dapat dengan mudah menggunakan distribution untuk forensik misal Helix [5].
Setelah image disimpan baru lakukan proses analisis
forensik standard. Dalam melakukan proses forensik ada kaidah utama yang
diterapkan yaitu “Chain of custody†artinya setiap langkah yang
dilakukan, siapa, bagaimana dan hasilnya harus tercatat rapih. Perangkat
bantu atau metoda yang digunakan juga biasanya harus memenuhi kaidah
Daubert (sebelumya yang diterapkan adalah kaidah Frey). Pada kaidah
Daubert metoda dan perangkat bantu yang diterapkan telah melalui peer-review secara ilmiah. Oleh karena itu sekarang pada beberapa negara, perangkat bantu proprietary agar dapat digunakan untuk pekerjaan forensik harus melalui auditing dan
pengujian terbuka terlebih dahulu. Beberapa polisi di negara maju lebih
mengandalkan perangkat bantu open source untuk melakukan proses image ini.
Audit Jejak
Berkaitan dengan analisis forensik setelah kejadian (incident),
maka akan dapat dilakukan lebih mudah dan lebih detil lagi, bila sistem
yang dibangun juga telah memiliki pertimbangan seperti itu. Dengan kata
lain audit jejak (trail), benar-benar diterapkan. Sayangnya
tidak banyak sistem yang dikembangkan untuk kepentingan pemerintah
memenuhi kriteria tersebut. Sebagian sistem dikembangkan dengan asumsi
sistem tidak pernah ada masalah. Saya kurang tahu apakah sistem seperti e-Procurement, Certificate Authority yang saat ini sudah diterapkan di situs pemerintah, telah menerapkan kaidah-kaidah audit trail dengan baik.
Tentu saja untuk tujuan forensik itu, maka pertimbangan disain sistem akan mulai dari file system manakah yang paling mudah untuk dilakukan forensik (menyimpan timestamp, dan metadata paling lengkap). Juga perlu dipertimbangkan file system
manakah yang spesifikasinya terbuka, karena ini akan memudahkan proses
penggunaan perangkat bantu. Seperti yang diungkapkan salah satu ahli
forensik Jerman, Alexander Geschonneck [6] di CeBIT 2008, untuk file system proprietary seperti NTFS, ketika seorang harus melakukan analisis forensik sering harus diterapkan teknik-teknik yang relatif berdasarkan reverse engineering.
Di CeBIT 2008, di pertemuan forensik yang banyak dihadiri polisi dan
praktisi forensik dari berbagai perusahaan sekuriti., ahli tersebut
menyatakan kerumitannya untuk proses forensik file system NTFS yang
digunakan di Windows VISTA.
Begitu juga untuk sistem operasi, sistem operasi
manakah yang dapat dipasang perangkat lunak “instrumentasi†sehingga
setiap proses, penggunaan resource dapat tercatat dengan ditail. Trend
terbaru saat ini adala dengan cara memasang sistem di atas Hypervisor
Monitoring (seperti Xen) sehingga apa yang terjadi di atas sistem
tersebut akan tercatat dengan baik di log. Instrumentasi ini juga perlu
dilakukan untuk setiap komponen (akses ke web server, akses ke database server, akses ke shell, dan sebagainya). Dengan log yang baik maka proses analisis akan dimudahkan.
Tentu saja log-log ini perlu dikelola dengan baik dan tidak disimpan di 1 tempat. Sehingga perlu dibangun log aggregator server yang menyimpan log-log ini. Untuk kevalidan penyimpanan log, maka perlu dilakukan 2 metoda, penyimpanan real time dan penyimpanan secara regular. Di samping itu proses tanda tangan digital perlu dilakukan agar log ini sah sebaca bukti hukum. Kedua jenis log (real time berbentuk stream) dan regular (berbentuk file), membutuhkan proses tanda tangan digital yang berbeda.
Analisa
Jadi mendisain sistem tentu saja bukan dengan asumsi,
bila semuanya bekerja secara normal, tetapi juga ketika sistem berjalan
tidak normal atau mengalami serangan. Bagi pembaca yang ingin
mengetahui tahapan-tahapan digital forensik, bisa membaca beberapa
tulisan kelompok kerja di bawah arahan Dr A. B. Mutiara dari Univ
Gunadarma [7], yang telah menyediakan beberapa guideline
komputer forensik dalam bahasa Indonesia dan beberapa kertas kerja dalam
bidang komputer forensik. Juga bisa dibaca di blog Hendro Wicaksono [8]
Langkah berikut setelah mengumpulkan factual
information adalah melakukan interpretasi informasi. Beberapa metoda
formal dapat diterapkan dari memanfaatkan petri-net, ataupun dengan Why
Because Analysis [9] dari Prof. Peter B Ladkin PhD, yang telah banyak
digunakan untuk melakukan analisis kecelakaan transportasi (pesawat,
kereta, dan lain sebagainya).
[1] http://www.guidancesoftware.com/
[2] http://www.accessdata.com/
[3] http://www.x-ways.net
[4] http://www.garloff.de/kurt/linux/ddrescue/
[5] http://www.e-fense.com/helix/
[6] http://www.computer-forensik.org
[7] http://nustaffsite.gunadarma.ac.id/blog/amutiara/
[8] http://hendrowicaksono.multiply.com/blog
[9] http://www.rvs.uni-bielefeld.de
sipp
BalasHapus