IT Forensik adalah cabang dari ilmu komputer tetapi menjurus ke bagian forensik yaitu berkaitan dengan bukti hukum yang ditemukan di komputer dan media digital. Komputer forensik yang juga dikenal dengan nama digital forensik, adalah salah satu cabang ilmu forensik yang berkaitan dengan bukti legal yang ditemui pada komputer dan media penyimpanan digital.
IT Forensik adalah ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode yang digunakan (misalnya metode sebab-akibat). IT Forensik memerlukan keahlian dibidang IT ( termasuk diantaranya hacking ) dan alat bantu (tools) baik hardware maupun software.
IT Forensik bertujuan untuk mendapatkan fakta-fakta obyektif dari sebuah insiden/pelanggaran keamanan sistem informasi.
Prosedur IT Forensik
Prosedur Forensik yang umum digunakan antara lain :
1. Membuat copies dari keseluruhan log data, files, dan lain-lain yang dianggap perlu pada suatu media yang terpisah
2. Membuat finger print dari data secara matematis (contoh hashing algorithm, MD5)
3. Membuat finger print dari copies secara matematis
4. Membuat hashes masterlist
Tools yang digunakan untuk IT Audit dan IT Forensik
1. Hardware
* Harddisk IDE dan SCSI kapasitas sangat besar, CD-R, DVR drives
* Memori yang besar (1 – 2 GB RAM)
* Hub, Switch, keperluan LAN
* Legacy hardware (8088s, Amiga)
* Laptop Forensic Workstations
2. Software
* Viewers (QVP http://www.avantstar.com/, http://www.thumbsplus.de/ )
* Erase/Unerase tools : Diskscrub/Norton utilities
* Hash utility (MD5, SHA1)
* Text search utilities (dtsearch http://www.dtsearch.com/ )
* Drive imaging utilities (Ghost, Snapback, Safeback)
* Forensic toolkits
o Unix/Linux : TCT The Coroners Toolkit / ForensiX
o Windows : Forensic Toolkit
* Disk editors (Winhex)
* Forensic aquisition tools (DriveSpy, EnCase, Safeback, SnapCopy)
Prinsip :
- Forensik bukan proses hacking
- Data yang didapat harus dijaga jangan berubah
- Membuat image dari HD / Floppy / USB-Stick / Memory-dump adalah prioritas tanpa merubah isi, kadang digunakan hardware khusus
- Image tersebut yang diotak – atik (hacking) dan dianalisis – bukan yang asli
- Data yang sudah terhapus membutuhkan tools khusus untuk merekonstruksi
- Pencarian bukti dengan : tools pencarian teks khusus, atau mencari satu persatu dalam image
sumber: http://utomoutami.blogspot.com/2011/03/it-audit-dan-forensic-sebelum-kita.html
Tidak ada komentar:
Posting Komentar