Heboh aksi deface belakangan kembali terjadi. Situs KPU, Kominfo dan Golkar jadi korbannya. Apa yang bisa dilakukan saat situs kena susup?

Banyak admin panik langsung mematikan sistem dan menghapus kesalahan sehingga sistem bisa up kembali. Saran saya, jangan. Tetapi sebaiknya lakukan langkah yang tepat untuk menyimpan bukti dengan cara menyimpan kondisi memori, kondisi file temporar, kondisi soket terbuka dan lain sebagainya. Pada dunia komputer forensik ini yang dikenal membuat “snapshot” dari sistem yang sedang berjalan. Setelah itu baru memeriksa sistem yang ada (analisis post mortem). Teknik mesin virtual saat ini memungkinkan kita menjalankan “image” sistem dengan snapshoot berjalan seperti kondisi tersebut.

Untuk memeriksa sistem yang ada, maka hard disk asli tidak boleh dikutak-katik untuk itu perlu dibuat “image” dan image inilah yang bisa diselidiki. Untuk melakukan hal itu berbagai tool tersedia dari tool komersial seperti Encase[1], Forensic Tool Kit (FTK) [2], XWays [3], bisa juga dengan tool Open Source dd yang relatif ada di tiap sistem Unix/Linux, atau dd_rescue [4]. Untuk aplikasi Open Source dapat dengan mudah menggunakan distribution untuk forensik misal Helix [5].

Setelah image disimpan baru lakukan proses analisis forensik standard. Dalam melakukan proses forensik ada kaidah utama yang diterapkan yaitu “Chain of custody” artinya setiap langkah yang dilakukan, siapa, bagaimana dan hasilnya harus tercatat rapih. Perangkat bantu atau metoda yang digunakan juga biasanya harus memenuhi kaidah Daubert (sebelumya yang diterapkan adalah kaidah Frey). Pada kaidah Daubert metoda dan perangkat bantu yang diterapkan telah melalui peer-review secara ilmiah. Oleh karena itu sekarang pada beberapa negara, perangkat bantu proprietary agar dapat digunakan untuk pekerjaan forensik harus melalui auditing dan pengujian terbuka terlebih dahulu. Beberapa polisi di negara maju lebih mengandalkan perangkat bantu open source untuk melakukan proses image ini.

Audit Jejak

Berkaitan dengan analisis forensik setelah kejadian (incident), maka akan dapat dilakukan lebih mudah dan lebih detil lagi, bila sistem yang dibangun juga telah memiliki pertimbangan seperti itu. Dengan kata lain audit jejak (trail), benar-benar diterapkan. Sayangnya tidak banyak sistem yang dikembangkan untuk kepentingan pemerintah memenuhi kriteria tersebut. Sebagian sistem dikembangkan dengan asumsi sistem tidak pernah ada masalah. Saya kurang tahu apakah sistem seperti e-Procurement, Certificate Authority yang saat ini sudah diterapkan di situs pemerintah, telah menerapkan kaidah-kaidah audit trail dengan baik.

Tentu saja untuk tujuan forensik itu, maka pertimbangan disain sistem akan mulai dari file system manakah yang paling mudah untuk dilakukan forensik (menyimpan timestamp, dan metadata paling lengkap). Juga perlu dipertimbangkan file system manakah yang spesifikasinya terbuka, karena ini akan memudahkan proses penggunaan perangkat bantu. Seperti yang diungkapkan salah satu ahli forensik Jerman, Alexander Geschonneck [6] di CeBIT 2008, untuk file system proprietary seperti NTFS, ketika seorang harus melakukan analisis forensik sering harus diterapkan teknik-teknik yang relatif berdasarkan reverse engineering. Di CeBIT 2008, di pertemuan forensik yang banyak dihadiri polisi dan praktisi forensik dari berbagai perusahaan sekuriti., ahli tersebut menyatakan kerumitannya untuk proses forensik file system NTFS yang digunakan di Windows VISTA.

Begitu juga untuk sistem operasi, sistem operasi manakah yang dapat dipasang perangkat lunak “instrumentasi” sehingga setiap proses, penggunaan resource dapat tercatat dengan ditail. Trend terbaru saat ini adala dengan cara memasang sistem di atas Hypervisor Monitoring (seperti Xen) sehingga apa yang terjadi di atas sistem tersebut akan tercatat dengan baik di log. Instrumentasi ini juga perlu dilakukan untuk setiap komponen (akses ke web server, akses ke database server, akses ke shell, dan sebagainya). Dengan log yang baik maka proses analisis akan dimudahkan.

Tentu saja log-log ini perlu dikelola dengan baik dan tidak disimpan di 1 tempat. Sehingga perlu dibangun log aggregator server yang menyimpan log-log ini. Untuk kevalidan penyimpanan log, maka perlu dilakukan 2 metoda, penyimpanan real time dan penyimpanan secara regular. Di samping itu proses tanda tangan digital perlu dilakukan agar log ini sah sebaca bukti hukum. Kedua jenis log (real time berbentuk stream) dan regular (berbentuk file), membutuhkan proses tanda tangan digital yang berbeda.

Analisa

Jadi mendisain sistem tentu saja bukan dengan asumsi, bila semuanya bekerja secara normal, tetapi juga ketika sistem berjalan tidak normal atau mengalami serangan. Bagi pembaca yang ingin mengetahui tahapan-tahapan digital forensik, bisa membaca beberapa tulisan kelompok kerja di bawah arahan Dr A. B. Mutiara dari Univ Gunadarma [7], yang telah menyediakan beberapa guideline komputer forensik dalam bahasa Indonesia dan beberapa kertas kerja dalam bidang komputer forensik. Juga bisa dibaca di blog Hendro Wicaksono [8]

Langkah berikut setelah mengumpulkan factual information adalah melakukan interpretasi informasi. Beberapa metoda formal dapat diterapkan dari memanfaatkan petri-net, ataupun dengan Why Because Analysis [9] dari Prof. Peter B Ladkin PhD, yang telah banyak digunakan untuk melakukan analisis kecelakaan transportasi (pesawat, kereta, dan lain sebagainya).

[1] http://www.guidancesoftware.com/

[2] http://www.accessdata.com/

[3] http://www.x-ways.net

[4] http://www.garloff.de/kurt/linux/ddrescue/

[5] http://www.e-fense.com/helix/

[6] http://www.computer-forensik.org

[7] http://nustaffsite.gunadarma.ac.id/blog/amutiara/

[8] http://hendrowicaksono.multiply.com/blog

[9] http://www.rvs.uni-bielefeld.de

foto: detik