Etika dan Profesionalisme TSI - IT Forensik
Audit teknologi informasi adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya.
Jejak audit atau log audit adalah urutan kronologis catatan audit, yang masing-masing berisi bukti langsung yang berkaitan dengan dan yang dihasilkan dari pelaksanaan suatu proses bisnis atau fungsi sistem.
Catatan Audit biasanya hasil dari kegiatan seperti transaksi atau komunikasi oleh orang-orang individu, sistem, rekening atau badan lainnya. Audit IT sendiri berhubungan dengan berbagai macam ilmu, antara lain Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. Audit IT bertujuan untuk meninjau dan mengevaluasi faktor-faktor ketersediaan (availability), kerahasiaan (confidentiality), dan keutuhan (integrity) dari sistem informasi organisasi yang bersifat online atau real time.
Audit trail
Sebagai "yang menunjukkan catatan yang telah mengakses sistem operasi komputer dan apa yang dia telah dilakukan selama periode waktu tertentu”. Dalam telekomunikasi, istilah ini berarti catatan baik akses selesai dan berusaha dan jasa, atau data membentuk suatu alur yang logis menghubungkan urutan peristiwa, yang digunakan untuk melacak transaksi yang telah mempengaruhi isi record. Dalam informasi atau keamanan komunikasi, audit informasi berarti catatan kronologis kegiatan sistem untuk memungkinkan rekonstruksi dan pemeriksaan dari urutan peristiwa dan / atau perubahan dalam suatu acara. Dalam penelitian keperawatan, itu mengacu pada tindakan mempertahankan log berjalan atau jurnal dari keputusan yang berkaitan dengan sebuah proyek penelitian, sehingga membuat jelas langkah-langkah yang diambil dan perubahan yang dibuat pada protokol asli. Dalam akuntansi, mengacu pada dokumentasi transaksi rinci mendukung entri ringkasan buku. Dokumentasi ini mungkin pada catatan kertas atau elektronik. Proses yang menciptakan jejak audit harus selalu berjalan dalam mode istimewa, sehingga dapat mengakses dan mengawasi semua tindakan dari semua pengguna, dan user normal tidak bisa berhenti / mengubahnya. Selanjutnya, untuk alasan yang sama, berkas jejak atau tabel database dengan jejak tidak boleh diakses oleh pengguna normal.
Cara kerja Audit Trail
Audit Trail yang disimpan dalam suatu tabel :
1. Dengan menyisipkan perintah penambahan record ditiap query Insert, Update dan Delete
2. Dengan memanfaatkan fitur trigger pada DBMS. Trigger adalah kumpulan SQL statement, yang secara otomatis menyimpan log pada event INSERT, UPDATE, ataupun DELETE pada sebuah tabel.
Fasilitas Audit Trail
Fasilitas Audit Trail diaktifkan, maka setiap transaksi yang dimasukan ke Accurate, jurnalnya akan dicatat di dalam sebuah tabel, termasuk oleh siapa, dan kapan. Apabila ada sebuah transaksi yang di-edit, maka jurnal lamanya akan disimpan, begitu pula dengan jurnal barunya.
Hasil Audit Trail
Record Audit Trail disimpan dalam bentuk, yaitu :
1. Binary File – Ukuran tidak besar dan tidak bisa dibaca begitu saja
2. Text File – Ukuran besar dan bisa dibaca langsung
3. Tabel.
Tools yang Digunakan Untuk IT Audit
Tool-Tool yang dapat digunakan untuk mempercepat proses Audit Teknologi Informasi, antara lain:
1. ACL
ACL (Audit Command Language) merupakan sebuah software CAAT (Computer Assisted Audit Techniques) yang sudah sangat populer untuk melakukan analisa terhadap data dari berbagai macam sumber.
2. Picalo
Picalo merupakan sebuah software CAAT (Computer Assisted Audit Techniques) seperti halnya ACL yang dapat dipergunakan untuk menganalisa data dari berbagai macam sumber.
3. Powertech Compliance Assessment
Powertech Compliance Assessment merupakan automated audit tool yang dapat dipergunakan untuk mengaudit dan mem-benchmark user access to data, public authority to libraries, user security, system security, system auditing dan administrator rights (special authority) sebuah server AS/400.
4. Nipper
Nipper merupakan audit automation software yang dapat dipergunakan untuk mengaudit dan membenchmark konfigurasi sebuah router.
5. Nessus
Nessus merupakan sebuah vulnerability assessment software.
6. Metasploit
Metasploit Framework merupakan sebuah penetration testing tool.
7. NMAP
NMAP merupakan open source utility untuk melakukan security auditing.
8. Wireshark
Wireshark merupakan network utility yang dapat dipergudipergunakan untuk meng-capture paket data yang ada di dalam jaringan komputer.
IT Forensik
Keamanan komputer merupakan hal yang menarik untuk disimak. Perkembangan dunia IT yang sangat cepat telah melahirkan dimensi lain dari teknologi, yaitu kejahatan dengan peran computer sebagai alat utamanya. Istilah yang populer untuk modus ini disebut dengan cybercrime. Adanya kecenderungan negative dari teknologi computer tersebut telah memunculkan berbagai permasalahan baru, baik secara mikro karena hanya berefek pada tingkatan personal/perseorangan, sampai kepada persoalan makro yang memang sudah pada wilayah komunal, publik, serta memiliki efek domino kemana-mana. Untuk negara yang sudah maju dalam IT-nya, pemerintahan setempat atau Profesional swasta bahkan telah membentuk polisi khusus penindak kejahatan yang spesifik menangani permasalahan-permasalahan ini. Cyber Police adalah polisi cyber yang diberikan tugas untuk menindak pelaku-pelaku kriminalitas di dunia cyber, yang tentu saja agak sedikit berbeda dengan polisi ‘konvensional’, para petugas ini memiliki kemampuan dan perangkat khusus dalam bidang komputerisasi.
Sejarah IT
Untuk Menganalisis Barang Bukti dalam Bentuk Elektronik atau Data seperti :
1. NB/Komputer/Hardisk/MMC/CD/Camera Digital/Flash Disk dan SIM Card/HP
2. Menyajikan atau menganalisis Chart Data Komunikasi Target
3. Menyajikan atau Analisis Data isi SMS Target dari HP
4. Menentukan Lokasi/Posisi Target atau Maping
5. Menyajikan Data yg ada atau dihapus atau Hilang dari Barang Bukti Tersebut
Data atau barang bukti tersebut diatas diolah dan dianalisis menggunakan software dan alat khusus untuk dimulainya IT Forensik, Hasil dari IT Forensik adalah sebuah Chart data Analisis komunikasi data Target.
Prosedur Forensik
Berikut prosedur forensik yang umum di gunakan antara lain :
1. Membuat copies dari keseluruhan log data, files, daln lain-lain yang dianggap perlu pada media terpisah
2. Membuat finerptint dari data secara matematis.
3. Membuat fingerprint dari copies secvara otomatis.
4. Membuat suatu hashes masterlist
5. Dokumentasi yang baik dari segala sesuatu yang telah dikerjakan.
Sejarah IT Forensik
Barang bukti yang berasal dari komputer telah muncul dalam persidangan hampir 30 tahun. Awalnya, hakim menerima bukti tersebut tanpa melakukan pembedaan dengan bentuk bukti lainnya. Sesuai dengan kemajuan teknologi komputer, perlakuan serupa dengan bukti tradisional menjadi ambigu. US Federal Rules of Evidence 1976 menyatakan permasalahan tersebut sebagai masalah yang rumit.
Hukum lainnya yang berkaitan dengan kejahatan komputer:
1. The Electronic Communications Privacy Act 1986, berkaitan dengan penyadapan peralatan elektronik.
2. The Computer Security Act 1987 (Public Law 100-235), berkaitan dengan keamanan system komputer pemerintahan.
3. Economic Espionage Act 1996, berhubungan dengan pencurian rahasia dagang. Pada akhirnya, jika ingin menyelesaikan suatu “misteri komputer” secara efektif, diperlukan pengujian sistem sebagai seorang detektif, bukan sebagai user. Sifat alami dari teknologi Internet memungkinkan pelaku kejahatan untuk menyembunyikan jejaknya. Kejahatan komputer tidak memiliki batas geografis.
Tools dalam Forensik IT
1. Antiword
Antiword merupakan sebuah aplikasi yang digunakan untuk menampilkan teks dan gambar dokumen Microsoft Word. Antiword hanya mendukung dokumen yang dibuat oleh MS Word versi 2 dan versi 6 atau yang lebih baru.
2. Autopsy
The Autopsy Forensic Browser merupakan antarmuka grafis untuk tool analisis investigasi diginal perintah baris The Sleuth Kit. Bersama, mereka dapat menganalisis disk dan filesistem Windows dan UNIX (NTFS, FAT, UFS1/2, Ext2/3).
3. Binhash
Binhash merupakan sebuah program sederhana untuk melakukan hashing terhadap berbagai bagian file ELF dan PE untuk perbandingan. Saat ini ia melakukan hash terhadap segmen header dari bagian header segmen obyek ELF dan bagian segmen header obyekPE.
4. Sigtool
Sigtcol merupakan tool untuk manajemen signature dan database ClamAV. sigtool dapat digunakan untuk rnenghasilkan checksum MD5, konversi data ke dalam format heksadesimal, menampilkan daftar signature virus dan build/unpack/test/verify database CVD dan skrip update.
5. ChaosReader
ChaosReader merupakan sebuah tool freeware untuk melacak sesi TCP/UDP/… dan mengambil data aplikasi dari log tcpdump. la akan mengambil sesi telnet, file FTP, transfer HTTP (HTML, GIF, JPEG,…), email SMTP, dan sebagainya, dari data yang ditangkap oleh log lalu lintas jaringan. Sebuah file index html akan tercipta yang berisikan link ke seluruh detil sesi, termasuk program replay realtime untuk sesi telnet, rlogin, IRC, X11 atau VNC; dan membuat laporan seperti laporan image dan laporan isi HTTP GET/POST.
6. Chkrootkit
Chkrootkit merupakan sebuah tool untuk memeriksa tanda-tanda adanya rootkit secara lokal. la akan memeriksa utilitas utama apakah terinfeksi, dan saat ini memeriksa sekitar 60 rootkit dan variasinya.
7. Dcfldd
Tool ini mulanya dikembangkan di Department of Defense Computer Forensics Lab (DCFL). Meskipun saat ini Nick Harbour tidak lagi berafiliasi dengan DCFL, ia tetap memelihara tool ini.
8. Ddrescue
GNU ddrescue merupakan sebuah tool penyelamat data, la menyalinkan data dari satu file atau device blok (hard disc, cdrom, dsb.) ke yang lain, berusaha keras menyelamatkan data dalam hal kegagalan pembacaan. Ddrescue tidak memotong file output bila tidak diminta. Sehingga setiap kali anda menjalankannya kefile output yang sama, ia berusaha mengisi kekosongan.
9. Foremost
Foremost merupakan sebuah tool yang dapat digunakan untuk me-recover file berdasarkan header, footer, atau struktur data file tersebut. la mulanya dikembangkan oleh Jesse Kornblum dan Kris Kendall dari the United States Air Force Office of Special Investigations and The Center for Information Systems Security Studies and Research. Saat ini foremost dipelihara oleh Nick Mikus seorang Peneliti di the Naval Postgraduate School Center for Information Systems Security Studies and Research.
10. Gqview
Gqview merupakan sebuah program untuk melihat gambar berbasis GTK la mendukung beragam format gambar, zooming, panning, thumbnails, dan pengurutan gambar.
11. Galleta
Galleta merupakan sebuah tool yang ditulis oleh Keith J Jones untuk melakukan analisis forensic terhadap cookie Internet Explorer.
12. Ishw
Ishw (Hardware Lister) merupakan sebuah tool kecil yang memberikan informasi detil mengenai konfigurasi hardware dalam mesin. la dapat melaporkan konfigurasi memori dengan tepat, versi firmware, konfigurasi mainboard, versi dan kecepatan CPU, konfigurasi cache, kecepatan bus, dsb. pada sistem t>MI-capable x86 atau sistem EFI.
13. Pasco
Banyak penyelidikan kejahatan komputer membutuhkan rekonstruksi aktivitas Internet tersangka. Karena teknik analisis ini dilakukan secara teratur, Keith menyelidiki struktur data yang ditemukan dalam file aktivitas Internet Explorer (file index.dat). Pasco, yang berasal dari bahasa Latin dan berarti “browse”, dikembangkan untuk menguji isi file cache Internet Explorer. Pasco akan memeriksa informasi dalam file index.dat dan mengeluarkan hasil dalam field delimited sehingga dapat diimpor ke program spreadsheet favorit Anda.
14. Scalpel
Scalpel adalah sebuah tool forensik yang dirancang untuk mengidentifikasikan, mengisolasi dan merecover data dari media komputer selama proses investigasi forensik. Scalpel mencari hard drive, bit-stream image, unallocated space file, atau sembarang file komputer untuk karakteristik, isi atau atribut tertentu, dan menghasilkan laporan mengenai lokasi dan isi artifak yang ditemukan selama proses pencarian elektronik. Scalpel juga menghasilkan (carves) artifak yang ditemukan sebagai file individual.
Elemen kunci IT Forensik
Empat Elemen Kunci Forensik yang harus diperhatikan berkenaan dengan bukti digital dalam Teknologi Informasi, adalah sebagai berikut:
1. Identifikasi dalam bukti digital (Identification/Collecting Digital Evidence)
Merupakan tahapan paling awal dalam teknologi informasi. Pada tahapan ini dilakukan identifikasi dimana bukti itu berada, dimana bukti itu disimpan, dan bagaimana penyimpanannya untuk mempermudah penyelidikan. Network Administratormerupakan sosok pertama yang umumnya mengetahui keberadaan cybercrime, atau Tim Respon cybercrimecybercrimediusut oleh cyberpolice.
2. Penyimpanan bukti digital (Preserving Digital Evidence)
Bentuk, isi, makna bukti digital hendaknya disimpan dalam tempat yang steril. Untuk benar-benar memastikan tidak ada perubahan-perubahan, hal ini vital untuk diperhatikan. Karena sedikit perubahan saja dalam bukti digital, akan merubah juga hasil penyelidikan. Bukti digital secara alami bersifat sementara (volatile), sehingga keberadaannya jika tidak teliti akan sangat mudah sekali rusak, hilang, berubah, mengalami kecelakaan. Step pertama untuk menghindarkan dari kondisi-kondisi demikian adalah salahsatunya dengan mengcopy data secara Bitstream Image pada tempat yang sudah pasti aman.
Bitstream image adalah methode penyimpanan digital dengan mengkopi setiap bit demi bit dari data orisinil, termasuk File yang tersembunyi (hidden files), File temporer (temp file), File yang terfragmentasi (fragmen file), file yang belum ter-ovverwrite. Dengan kata lain, setiap biner digit demi digit terkopi secara utuh dalam media baru.
3. Analisa bukti digital (Analizing Digital Evidence)
Barang bukti setelah disimpan, perlu diproses ulang sebelum diserahkan pada pihak yang membutuhkan. Pada proses inilah skema yang diperlukan akan fleksibel sesuai dengan kasus-kasus yang dihadapi. Barang bukti yang telah didapatkan perlu diexplore kembali beberapa poin yang berhubungan dengan tindak pengusutan, antara lain: (a) Siapa yang telah melakukan. (b) Apa yang telah dilakukan (Ex. Penggunaan software apa),(c) Hasil proses apa yang dihasilkan. (d) Waktu melakukan.
4. Presentasi bukti digital (Presentation of Digital Evidence)
Kesimpulan akan didapatkan ketika semua tahapan tadi telah dilalui, terlepas dari ukuran obyektifitas yang didapatkan, atau standar kebenaran yang diperoleh, minimal bahan-bahan inilah nanti yang akan dijadikan “modal” untuk ke pengadilan. Proses digital dimana bukti digital akan dipersidangkan, diuji otentifikasi dan dikorelasikan dengan kasus yang ada. Pada tahapan ini menjadi penting, karena disinilah proses-proses yang telah dilakukan sebelumnya akan diurai kebenarannya serta dibuktikan kepada hakim untuk mengungkap data dan informasi kejadian.
Tujuan IT Forensik
Adalah untuk mengamankan dan menganalisa bukti digital. Dari data yang diperoleh melalui survey oleh FBI dan The Computer Security Institute, pada tahun 1999 mengatakan bahwa 51% responden mengakui bahwa mereka telah menderita kerugian terutama dalam bidang finansial akibat kejahatan komputer. Kejahatan Komputer dibagi menjadi dua, yaitu:
1. Komputer fraud Kejahatan atau pelanggaran dari segi sistem organisasi komputer.
2. Komputer crime Merupakan kegiatan berbahaya dimana menggunakan media komputer dalam melakukan pelanggaran hukum.
19 Langkah Umum Audit TSI
* Kontrol lingkungan
1. Apakah kebijakan keamanan (security policy) memadai dan efektif ?
2. Jika data dipegang oleh vendor, periksa laporan tentang kebijakan dan prosedural yang terkini dari external auditor
3. Jika sistem dibeli dari vendor, periksa kestabilan finansial
4. Memeriksa persetujuan lisen (license agreement)
* Kontrol Keamanan Fisik
5. Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai
6. Periksa apakah backup administrator keamanan sudah memadai (trained,tested)
7. Periksa apakah rencana kelanjutan bisnis memadai dan efektif
8. Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai
* Kontrol Keamanan Logical
9. Periksa apakah password memadai dan perubahannya dilakukan regular
10. Apakah administrator keamanan memprint akses kontrol setiap user
11. Memeriksa dan mendokumentasikan parameter keamanan default
12. Menguji fungsionalitas system keamanan (password, suspend userID, etc)
13. Memeriksa apakah password file / database disimpan dalam bentuk tersandi dan tidak dapat dibuka oleh pengguna umum
14. Memeriksa apakah data sensitif tersandi dalam setiap phase dalam prosesnya
15. Memeriksa apakah prosedur memeriksa dan menganalisa log memadai
16. Memeriksa apakah akses kontrol remote (dari tempat yang lain) memadai: (VPN, CryptoCard, SecureID, etc)
* Menguji Kontrol Operasi
17. Memeriksa apakah tugas dan job description memadai dalam semua tugas dalam operasi tersebut
18. Memeriksa apakah ada problem yang signifikan
19. Memeriksa apakah control yang menjamin fungsionalitas sistem informasi telah memadai
Tidak ada komentar:
Posting Komentar