Abyantama
El A.P
4KA15
10114089
Audit IT Forensik (Pembahasan Tools ChaosReader)
Audit Forensik terdiri
dari dua kata, yaitu audit dan forensik. Audit adalah tindakan untuk
membandingkan kesesuaian antara kondisi dan kriteria. Sementara forensik adalah
segala hal yang bisa diperdebatkan di muka hukum / pengadilan.
Menurut
Association of Certified Fraud Examiners (ACFE), forensic accounting / auditing
merujuk kepada fraud examination. Dengan kata
lain keduanya merupakan hal yang sama, yaitu:
“Forensic accounting is the
application of accounting, auditing, and investigative skills to provide
quantitative financial information about matters before the courts.”
Menurut D. Larry Crumbley,
editor-in-chief dari Journal of Forensic Accounting (JFA) “Akuntansi forensik
adalah akuntansi yang akurat (cocok) untuk tujuan hukum. Artinya, akuntansi
yang dapat bertahan dalam kancah perseteruan selama proses pengadilan, atau
dalam proses peninjauan judicial atau administratif”.
Dengan demikian, audit forensik bisa
didefinisikan sebagai tindakan menganalisa dan membandingkan antara kondisi di
lapangan dengan kriteria, untuk menghasilkan informasi atau bukti kuantitatif
yang bisa digunakan di muka pengadilan.
Karena sifat dasar dari audit
forensik yang berfungsi untuk memberikan bukti di muka pengadilan, maka fungsi
utama dari audit forensik adalah untuk melakukan audit investigasi terhadap
tindak kriminal dan untuk memberikan keterangan saksi ahli (litigation support)
di pengadilan.
Audit Forensik dapat bersifat proaktif
maupun reaktif. Proaktif artinya audit forensik digunakan untuk mendeteksi
kemungkinan-kemungkinan risiko terjadinya fraud atau kecurangan. Sementara itu,
reaktif artinya audit akan dilakukan ketika ada indikasi (bukti) awal
terjadinya fraud. Audit tersebut akan menghasilkan “red flag” atau sinyal atas
ketidakberesan. Dalam hal ini, audit forensik yang lebih mendalam dan
investigatif akan dilakukan.
Perbandingan antara Audit Forensik dengan Audit
Tradisional (Keuangan)
|
Audit
Tradisional
|
Audit Forensik
|
|
|
Waktu
|
Berulang
|
Tidak berulang
|
|
Lingkup
|
Laporan Keuangan secara umum
|
Spesifik
|
|
Hasil
|
Opini
|
Membuktikan fraud (kecurangan)
|
|
Hubungan
|
Non-Adversarial
|
Adversarial (Perseteruan hukum)
|
|
Metodologi
|
Teknik Audit
|
Eksaminasi
|
|
Standar
|
Standar Audit
|
Standar Audit dan Hukum Positif
|
|
Praduga
|
Professional Scepticism
|
Bukti awal
|
a.
Gambaran
Proses Audit Forensik
·
Identifikasi masalah
Dalam tahap ini, auditor melakukan
pemahaman awal terhadap kasus yang hendak diungkap. Pemahaman awal ini berguna
untuk mempertajam analisa dan spesifikasi ruang lingkup sehingga audit bisa
dilakukan secara tepat sasaran.
·
Pembicaraan dengan klien
Dalam tahap ini, auditor akan
melakukan pembahasan bersama klien terkait lingkup, kriteria, metodologi audit,
limitasi, jangka waktu, dan sebagainya. Hal ini dilakukan untuk membangun
kesepahaman antara auditor dan klien terhadap penugasan audit.
·
Pemeriksaan pendahuluan
Dalam tahap ini, auditor melakukan
pengumpulan data awal dan menganalisanya. Hasil pemeriksaan pendahulusan bisa
dituangkan menggunakan matriks 5W + 2H (who, what, where, when, why, how, and
how much). Investigasi dilakukan apabila sudah terpenuhi minimal 4W + 1H (who,
what, where, when, and how much). Intinya, dalam proses ini auditor akan
menentukan apakah investigasi lebih lanjut diperlukan atau tidak.
·
Pengembangan rencana pemeriksaan
Dalam tahap ini, auditor akan
menyusun dokumentasi kasus yang dihadapi, tujuan audit, prosedur pelaksanaan
audit, serta tugas setiap individu dalam tim. Setelah diadministrasikan, maka
akan dihasilkan konsep temuan. Konsep temuan ini kemudian akan dikomunikasikan
bersama tim audit serta klien.
·
Pemeriksaan lanjutan
Dalam tahap ini, auditor akan
melakukan pengumpulan bukti serta melakukan analisa atasnya. Dalam tahap ini
lah audit sebenarnya dijalankan. Auditor akan menjalankan teknik-teknik
auditnya guna mengidentifikasi secara meyakinkan adanya fraud dan pelaku fraud
tersebut.
b. Penyusunan
Laporan
Pada tahap akhir ini, auditor
melakukan penyusunan laporan hasil audit forensik. Dalam laporan ini setidaknya
ada 3 poin yang harus diungkapkan. Poin-poin tersebut antara lain adalah:
1. Kondisi, yaitu kondisi yang
benar-benar terjadi di lapangan.
2. Kriteria, yaitu standar yang menjadi
patokan dalam pelaksanaan kegiatan. Oleh karena itu, jika kondisi tidak sesuai
dengan kriteria maka hal tersebut disebut sebagai temuan.
3. Simpulan, yaitu berisi kesimpulan
atas audit yang telah dilakukan. Biasanya mencakup sebab fraud, kondisi fraud,
serta penjelasan detail mengenai fraud tersebut.
c.
Prosedur
dalam Forensik IT
·
Prosedur Forensik yang umum digunakan
adalah :
1.
Membuat copies dari keseluruhan log data, files, daln lain-lain yang dianggap
perlu pada media terpisah.
2.
Membuat finerptint dari data secara matematis.
3.
Membuat fingerprint dari copies secvara otomatis.
4.
Membuat suatu hashes masterlist
5.
Dokumentasi yang baik dari segala sesuatu yang telah dikerjakan.
·
Sedangkan menurut metode Search dan
Seizure adalah :
1.
Identifikasi dan penelitian permasalahan.
2.
Membaut hipotesa.
3.
Uji hipotesa secara konsep dan empiris.
4.
Evaluasi hipotesa berdasarkan hasil pengujian dan pengujian ulang jika hipotesa
tersebut jauh dari apa yang diharapkan.
5.
Evaluasi hipotesa terhadap dampak yang lain jika hipotesa tersebut dapat
diterima.
d.
Tools
dalam Forensik IT
ChaosReader
ChaosReader
merupakan sebuah tool freeware untuk melacak sesi TCP/UDP/… dan mengambil data
aplikasi dari log tcpdump. la akan mengambil sesi telnet, file FTP, transfer
HTTP (HTML, GIF, JPEG,…), email SMTP, dan sebagainya, dari data yang ditangkap
oleh log lalu lintas jaringan. Sebuah file index html akan tercipta yang
berisikan link ke seluruh detil sesi, termasuk program replay realtime untuk
sesi telnet, rlogin, IRC, X11 atau VNC; dan membuat laporan seperti laporan
image dan laporan isi HTTP GET/POST.
a. Install
ChaosReader
1. Install
penerjemah PERL 5.6.x terlebih dahulu di komputer anda .
2. Muncul
dalam paket MSI sehingga yang harus dilakukan adalah klik dan ikuti
perintahnya.
3. Langkah
kedua adalah mendownload Chaosreader sendiri.
4. Drag
dan drop program ini ke root c: \. Dengan kata lain pasang di c: \. Hal ini
membuat lebih mudah dinavigasi karena semua jenis program ini harus dipasang di
sana, jika mereka belum menginstal di sana secara default
b. Cara
Menggunakan ChaosReader
1. Buka cmd.exe dan arahkan ke c: \ dan masukkan
perintah berikut;
C:\> chaosreader0.94
2. Windows
akan menanyakan apa yang ingin dibuka dengan program ini. Chaosreader akan terbaca dalam PERL jadi kita
perlu mengganti namanya menjadi seperti berikut ini.
c:> copy chaosreader0.94 chaosreader.pl
3. Setelah mengganti nama maka dapat melanjutkan dan
memasukkan perintah yang dicatat di bawah ini.
c:\> chaosreader.pl –help
4. Kemudian ketik didalam cmd seperti
dibawah ini.
Version 0.94, 01-May-2004
USAGE: chaosreader
[-aehikqrvxAHIRTUXY] [-D dir]
[-b port[,...]] [-B port[,...]]
[-j IPaddr[,...]] [-J IPaddr[,...]]
[-l port[,...]] [-L port[,...]] [-m bytes[k]]
[-M bytes[k]] [-o "time"|"size"|"type"|"ip"]
[-p port[,...]] [-P port[,...]]
infile [infile2 ...]
[-b port[,...]] [-B port[,...]]
[-j IPaddr[,...]] [-J IPaddr[,...]]
[-l port[,...]] [-L port[,...]] [-m bytes[k]]
[-M bytes[k]] [-o "time"|"size"|"type"|"ip"]
[-p port[,...]] [-P port[,...]]
infile [infile2 ...]
chaosreader -s [mins] | -S
[mins[,count]]
[-z] [-f 'filter']
[-z] [-f 'filter']
chaosreader
# Create application session files, indexes
-a,
--application # Create application session files
(default)
-e, --everything # Create HTML 2-way & hex files for everything
-h # Print a brief help
--help # Print verbose help (this) and version
-e, --everything # Create HTML 2-way & hex files for everything
-h # Print a brief help
--help # Print verbose help (this) and version
5. Perlu
diketahui bahwa ini adalah singkatan dari file bantuan yang disertakan dengan
Chaosreader. Jadi sekarang kita memiliki Chaosreader yang berjalan. Yang perlu
kita dapatkan dengan menggunakan windump. Setelah menginstal windump ke drive c
kita siap untuk melanjutkan. Harap diingat bahwa Anda juga memerlukan winpcap
sehingga windump akan bekerja. Sekarang Anda perlu memasukkan string seperti
berikut atau variannya.
c:> windump.exe -w traffic -s 0
6. Filter
BPF ini akan mengumpulkan semua paket yang menimpa kartu NIC Anda dan
memasukkannya ke file log biner yang disebut "traffic". Ini adalah
file yang disebut "traffic" yang sekarang akan kita gunakan untuk
memberi makan ke Chaosreader. Sekarang, silahkan mengeluarkan perintah berikut
untuk mendapatkan beberapa keluaran dari Chaosreader; (buatlah sebuah direktori
yang disebut "chaos_output2" seperti: mkdir chaos_output2).
C:\>chaosreader.pl
-e traffic -D chaos_output2
Chaosreader ver 0.94
Chaosreader ver 0.94
7. Lalu
terbukalah traffic.
Reading file contents,
100% (2601433/2601433)
Reassembling packets,
100% (916/3061)
100% (2601433/2601433)
Reassembling packets,
100% (916/3061)
8. Traffic tersebut akan membuat
berbagai file.
Num Session (host:port <=>
host:port)
Service
0009 192.168.1.102:4500,63.240.93.142:80 web
0012 192.168.1.102:4506,67.18.103.137:80 web
0018 192.168.1.102:4516,67.18.103.137:80 web
0017 192.168.1.102:4514,213.86.172.147:80 web
0003 192.168.1.102:4494,68.142.228.154:80 web
0013 192.168.1.102:4508,67.18.103.137:80 web
0004 192.168.1.102:4484,72.14.207.104:80 web
0011 192.168.1.102:4504,216.109.126.26:80 web
0005 192.168.1.102:4496,206.190.44.47:80 web
0015 192.168.1.102:4512,64.233.167.104:80 web
0014 192.168.1.102:4510,67.18.103.137:80 web
0016 69.50.174.2:12345,192.168.1.102:3704 3704
0007 192.168.1.102:4498,63.240.93.147:80 web
0001 192.168.1.102:4250,216.196.97.142:119 119
0002 192.168.1.102:4249,216.196.97.142:119 119
0010 192.168.1.102:4502,216.109.118.41:80 web
0008 192.168.1.102:1025,24.153.23.66:53 dns
0006 192.168.1.102:1025,24.153.22.67:53 dns
0009 192.168.1.102:4500,63.240.93.142:80 web
0012 192.168.1.102:4506,67.18.103.137:80 web
0018 192.168.1.102:4516,67.18.103.137:80 web
0017 192.168.1.102:4514,213.86.172.147:80 web
0003 192.168.1.102:4494,68.142.228.154:80 web
0013 192.168.1.102:4508,67.18.103.137:80 web
0004 192.168.1.102:4484,72.14.207.104:80 web
0011 192.168.1.102:4504,216.109.126.26:80 web
0005 192.168.1.102:4496,206.190.44.47:80 web
0015 192.168.1.102:4512,64.233.167.104:80 web
0014 192.168.1.102:4510,67.18.103.137:80 web
0016 69.50.174.2:12345,192.168.1.102:3704 3704
0007 192.168.1.102:4498,63.240.93.147:80 web
0001 192.168.1.102:4250,216.196.97.142:119 119
0002 192.168.1.102:4249,216.196.97.142:119 119
0010 192.168.1.102:4502,216.109.118.41:80 web
0008 192.168.1.102:1025,24.153.23.66:53 dns
0006 192.168.1.102:1025,24.153.22.67:53 dns
9. index.html
dibuat.
C:\>
10. Jadi
seperti yang bisa kita lihat dari keluaran di atas yang dihasilkan oleh
Chaosreader saya memiliki beberapa file yang duduk di direktori
"chaos_output2" seperti yang terlihat di bawah ini.
C:\chaos_output2>dir
Volume in drive C has no label.
Volume Serial Number is 806A-DE05
Volume in drive C has no label.
Volume Serial Number is 806A-DE05
11. Directory
of C:\chaos_output2
11/05/2005 12:52
PM
<DIR> .
11/05/2005 12:52 PM <DIR> ..
11/05/2005 12:52 PM 9,430 getpost.html
11/05/2005 12:52 PM 4,381 httplog.text
11/05/2005 12:52 PM 516 image.html
11/05/2005 12:52 PM 9,344 index.html
11/05/2005 12:52 PM 6,254 index.text
11/05/2005 12:52 PM 2,129,400 session_0001.119.hex.html
11/05/2005 12:52 PM 972,286 session_0001.119.hex.text
11/05/2005 12:52 PM 279,154 session_0001.119.html
11/05/2005 12:52 PM 2,029,317 session_0002.119.hex.html
11/05/2005 12:52 PM 926,732 session_0002.119.hex.text
11/05/2005 12:52 PM 266,084 session_0002.119.html
11/05/2005 12:52 PM <DIR> ..
11/05/2005 12:52 PM 9,430 getpost.html
11/05/2005 12:52 PM 4,381 httplog.text
11/05/2005 12:52 PM 516 image.html
11/05/2005 12:52 PM 9,344 index.html
11/05/2005 12:52 PM 6,254 index.text
11/05/2005 12:52 PM 2,129,400 session_0001.119.hex.html
11/05/2005 12:52 PM 972,286 session_0001.119.hex.text
11/05/2005 12:52 PM 279,154 session_0001.119.html
11/05/2005 12:52 PM 2,029,317 session_0002.119.hex.html
11/05/2005 12:52 PM 926,732 session_0002.119.hex.text
11/05/2005 12:52 PM 266,084 session_0002.119.html
