Nama : Irfan Eka Putra Tanggal
: 11 Mei 2014
Email : irfanekaputra93@gmail.com
A. Definisi
Computer Forensic / Digital Forensic adalah serangkaian metodologi yang digunakan dalam
melakukan akuisisi (imaging), pengumpulan, analisa, serta presentasi bukti
digital. Bukti digital mencakup setiap informasi elektronik yang disimpan atau
diolah menggunakan teknologi komputer sehingga dapat digunakan untuk mendukung
atau menolak tentang bagaimana sebuah insiden atau tindakan pelanggaran hukum
terjadi. Karena keterlibatan proses computer forensic adalah setelah terjadinya
suatu insiden maka metodologi yang tepat sangat diperlukan untuk mempercepat
proses investigasi serta mendapatkan bukti-bukti digital yang akurat.
Terdapat dua jenis data yang bisa
diperoleh pada komputer yang berpotensi sebagai bukti digital, antara lain data persistent dan data non-persistent. Perbedaan dari keduanya adalah pada jangka
waktu atau masa aktif data tersebut disimpan dalam suatu media. Untuk menggali
masing-masing jenis data dibutuhkan metode tersendiri.
Pengetahuan terhadap karakteristik
masing- masing file (ekstensi file, signature), file system, berikut sistem
operasi yang digunakan adalah salah satu pengetahuan yang harus dimiliki
seorang tenaga ahli computer forensic.
Dengan memiliki kemampuan Computer Forensic, setiap terjadi
insiden yang mengancam keamanan informasi pada sebuah organisasi dapat segera
dilakukan mitigasi dan celah keamanan yang ada dapat segera dievaluasi.
Demikian pula apabila terjadi insiden yang melibatkan proses penegakan hukum,
institusi tersebut akan mampu menggali serta melakukan analisa terhadap bukti
digital yang dapat digunakan untuk membantu memudahkan proses investigasi.
Selanjutnya bukti digital tersebut dapat digunakan untuk menolak atau
mengajukan tuntutan atas tindakan pelanggaran yang terjadi.
B. Latar Belakang Pengumpulan Digital Evidence
Perkembangan teknologi yang
sedemikian cepat diiringi dengan teknologi jaringan komputer yang semakin
kompleks merupakan tantangan dalam Computer
Forensic. Jika dulu seorang tenaga ahli computer forensic dapat dengan
mudah mendapatkan bukti digtal dari hardisk pada sebuah komputer, kini
dihadapkan dengan berbagai jenis aplikasi serta penyimpanan data redundant
seperti RAID storage, bahkan
terintegrasi dengan internet atau dikenal dengan komputasi awan (cloud computing).
Oleh sebab itu, seorang tenaga ahli computer
forensic juga dituntut untuk memiliki kompetensi pengetahuan serta ketrampilan
untuk mengidentifikasi, menggali, serta menganalisis jenis- jenis dokumen
dengan teknologi tertentu yang berpotensi sebagai bukti digital. Seperti
misalnya sebuah gambar yang diambil menggunakan kamera digital modern dapat
mengandung informasi meliputi tanggal dan jam saat foto diambil, merk dan tipe
kamera yang digunakan, karakteristik lensa yang digunakan, bahkan mereka harus mampu
menampilkan informasi posisi di mana foto tersebut diambil. Semua informasi
tersebut merupakan informasi yang berharga dan berguna untuk membantu proses
investigasi.
C. Prosedur Investigasi
·
Hardware
dan Software pendukung Investigasi
Hardware disini bisa berupa sebuah
computer khusus seperti FREDM (Forensics Recovery of Evidence Device, Modular),
FRED (Forensics Recovery of Evidence Device) FREDDIE (Forensics Recovery of
Evidence Device Diminutive Interrogation Equipment).
Tool hardware lain seperti ;
·
Hardisk
kapasitas besar (minimal 250 GB)
·
IDE
ribbon cable
·
Boot
Disk atau utility akusisi data
·
Laptop
IDE 40 pin adapter
·
IDE
Disk ekternal write protector
·
Kantong
plastic anti-statik
·
Label
untuk barang bukti
Software khususnya ;
·
Forensics
Data seperti : En case, Safe Back, Norton Ghost
·
Password
Recovery toolkit
·
Pembangkit
data setelah delete : WipeDrive dan Secure Clean
·
Menemukan
perubahan data digital : DriveSpy
·
dll
Kesalahan sekecil apapun selama
proses investigasi komputer forensik dapat menyebabkan rusak atau bahkan
hilangnya bukti digital, sehingga berimbas kegagalan penyelesaian suatu kasus
atau bahkan ditolaknya bukti digital dipengadilan. Bukti digital harus
ditangani secara hati-hati dan teliti untuk menghindari kerusakan yang berujung
pada penolakan di pengadilan.
Kehati- hatian pada penanganan ini
tidak hanya secara logika namun juga media fisik yang digunakan untuk menyimpan
bukti digital tersebut, misalnya bukti digital yang terdapat pada hard disk
dapat rusak atau hilang karena radiasi elektromagnetik, akibat penyimpanan yang
tidak tepat. Sehingga tenaga ahli computer forensic juga harus menangani
komputer dan medianya dengan prosedur tertentu untuk menutup kemungkinan barang
bukti yang rusak, terganggu, atau sengaja diubah.
Salah satu metode yang dapat
digunakan untuk memperoleh barang bukti adalah data Data Acquisition. Data Acquisition adalah sebuah proses imaging
atau kegiatan memperoleh informasi dari sebuah perangkat digital, alat serta
media pendukung lainnya.
Tujuan pembuatan Duplicate Image:
Computer/media adalah sebuah criminal
scene dan harus dilindungi demi memastikan barang bukti tidak terkontaminasi.
Duplicate Image memungkinkan untuk :
-
Memelihara
dan melindungi barang bukti asli
-
Mencegah
perubahan barang bukti yang tidak disengaja selama pemeriksaan
-
Memungkinkan
untuk membuat kembali Duplicate Image jika diperlukan
-
Barang
bukti dapat diduplikasi tanpa mengalami degradasi dari proses penyalinan.
Masalah yang dihadapi oleh Data
Duplication (Duplikasi Data):
-
Duplikasi
data bisa mencemari data asli, yang nantinya tidak bisa diakui sebagai barang
bukti
-
Ada
kemungkinan pengrusakan dengan menduplikasi data
-
Fragmen
data bisa tertimpa dan data yang disimpan di Windows swap file bisa diubah atau
dihancurkan
-
Jika
data asli terkontaminasi, maka barang bukti penting akan hilang dan menyebabkan
masalah dalam proses investigasi
Akuisisi data statik
Data statik adalah data yang tetap
tidak berubah setelah computer dimatikan, ditemukan di hard drives dan media
penyimpanan bergerak (removable storage media) seperti USB Drive, flash card, CD-ROM,
dan hard drive eksternal lainnya.
Contoh dari data statik adalah email,
dokumen word processing, aktivitas web, spreadsheet, slack space, file swap,
ruang drive yang belum dialokasikan, dan berbagai file yang dihapus.
Data statik
yang bisa diperoleh kembali dari hard drive antara lain :
-
File
temporary
-
System
registries
-
Event/system
logs
-
Boot
sectors
-
Web
browser cache
-
Cookies
-
Hidden
files
Hal yang harus dilakukan dalam
pengumpulan data statik :
1. Siapkan dokumen chain of custody
untuk dijadikan sebagai kerangka pengumpulan informasi serta untuk melindungi
integritas dari informasi.
2. Hitung nilai hash (penjumlahan MD5)
dari hard drive yang dicurigai.
3. Buat salinan bit-by-bit (bit-stream)
dari hard drive menggunakan tools disk managing seperti dd.exe, R-drive Image,
dan P2 eXplorer Pro, dll.
4. Hitung nilai hash dari disk/file
image yang baru dibuat dan bandingkan dengan nilai hash dari file lama untuk
memverifikasi autentikannya.
5. Jangan mengerjakannya pada barang
bukti yang asli. Buatlah bit-stream image dari drive/file yang dicurigai untuk melihat data statik
tadi.
Beberapa potensi ancaman yang dapat
mengubah atau menghilangkan bukti digital selama proses akuisisi bukti digital
dari suatu media :
a. Virus,
merupakan program jahat yang dapat aktif jika dieksekusi baik secara sengaja
maupun tidak, karena eksekusi program lainnya. Virus memiliki potensi untuk
merusak atau menghilangkan bukti digital.
b. Program yang melakukan pembersihan temporary file. Beberapa program seperti cache,
history, maupun cookies pada komputer yang berjalan secara otomatis ketika
komputer dinyalakan atau dimatikan. Program berjenis ini sebenarnya bukan
merupakan program jahat namun memang digunakan untuk meningkatkan performa
komputer. Temporary file tersebut berpotensi sebagai bukti digital. Sehingga
ini merupakan prosedur yang harus diketahui oleh tenaga ahli computer forensic
untuk tidak melakukan shut down pada komputer yang sedang running atau
menyalakan komputer yang dalam keadaan mati.
c. Penyimpan media dalam suatu ruangan yang tidak kondusif. Keadaan seperti ini dapat
mengakibatkan kerusakan atau hillangnya bukti digital. Sehingga diperlukan
ruangan khusus untuk penyimpanan media yang dapat dipantau serta diatur
kelembaban udaranya, serta terhindar dari gangguan listrik elektro statis
maupun medan magnet.
Faktor penting yang tidak berhubungan
secara fisik pada Proses akuisisi dan pemeriksaan bukti digital :
a. Chain of Custody atau dokumen yang mencatat setiap
proses investigasi dari mulai identifikasi bukti digital, duplikasi, analisa
hingga pembuktian di pengadilan. Pendokumentasian bukti digital harus ditulis
secara rinci setiap prosesnya serta mencakup informasi siapa, apa, dimana,
kapan, mengapa, dan bagaimana suatu bukti digital tersebut diperiksa.
b. Waktu menjadi
salah satu faktor yang krusial, baik itu yang berhubungan dengan bukti digital
maupun kasus yang sedang diperiksa. Dengan adanya tekanan waktuancaman
hilangnya bukti digital dapat terjadi. Bukti digital dalam memory misalnya
memiliki masa aktif yang sangat singkat, sehingga dibutuhkan waktu yang cepat
untuk mengambil bukti digital tersebut. Demikian halnya jika terkait dengan
suatu kasus tertentu seperti terorisme, dimana dibutuhkan proses yang cepat
untuk melakukan investigasi, sehingga ancaman terorisme dapat digagalkan.
c. Proses pengumpulan bukti digital
membutuhkan waktu yang cukup lama, terlebih jika terdapat pada beberapa media
penyimpanan yang berkapasitas besar. Terkadang juga bukti digital tersimpan
dalam format tertentu yang sengaja disembunyikan, tujuannya tidak lain untuk
mengelabuhi, sehingga tidak mudah untuk dibaca. Beberapa teknik yang umum
digunakan antara lain :
a) Mengubah file extension. Teknik ini
mudah dilakukan namun mampu untuk mengelabuhi, contoh file dokumen berektensi
.docx yang diubah ekstensinyamenjadi .exe, yang kemudian file tersebut disimpan
di folder temporary. Jika seorang yang melakukan investigasi komputer forensik
tidak jeli dalam mengidentifikasi file tersebut, dapat berpengaruh terhadap
keberhasilan proses investigasi.
b) Teknologi enskripsi yang memerlukan
key atau password tertentu untuk membaca informasi di dalamnya. Jika dihadapkan
pada kondisi seperti ini, seorang tenaga ahli computer forensic perlu melakukan
pemeriksaan yang mendalam untuk menemukan petunjuk yang lain atau menggunakan
teknik tertentu untuk menemukan key atau password agar informasi yang
dienskripsi atau disembunyikan dapat dibaca. Proses ini akan membutuhkan waktu
yang cukup lama.
c) Steganography yang memiliki kemampuan
untuk menyembunyikan file atau informasi kedalam suatu file tertentu seperti
gambar, audio, bahkan video.
Berikut adalah prosedur umum yang
dapat diterapkan selama proses investigasi Komputer forensik yang mencakup
aspek teknis dan non-teknis :
1. Sebelum memulai pemeriksaan pastikan
anda memiliki hak atau legalitas untuk menyita dan memeriksa komputer
tersangka.
2. Tempat kejadian perkara merupakan
lokasi yang sangat sensitif maka buatlah garis pembatas menuju tempat kejadian
yang hanya diperuntukkan bagi pihak berwenang serta terlibat dalam
penyelidikan. Lakukan pendokumentasian mendetail pada tempat kejadian perkara.
Lakukan pengambilan gambar dari berbagai sudut serta objek tertentu yang
terdapat di tempat kejadian dan berikan label pada masing-masing objek
tersebut.
3. Jika di tempat kejadian ditemukan
komputer dalam keadaan menyala, jangan langsung mematikan. Lakukan identifikasi
terhadap komputer tersebut dan catatlah beberapa informasi penting seperti
informasi aktivitas atau aplikasi yang sedang berjalan, informasi koneksi ,
informasi sistem operasi, hard disk, partisi , informasi proses atau service
yang sedang berjalan. Setelah proses identifikasi selesai dilakukan, lanjutkan
dengan proses akuisisi (imaging) data, baik yang tersimpan pada hard disk
maupun yang tersimpan di RAM. Jika seluruh proses tersebut telah selesai,
matikan komputer dengan cara mencabut langsung melalui sumber dayanya dan
jangan pernah melakukan proses shut down secara normal.
4. Sebaliknya jika di tempat kejadian
ditemukan komputer dalam keadaan mati,jangan pernah menyalakan atau melakukan
booting normal pada komputer tersebut. Langkah yang dilakukan adalah melepas
hard disk-nya serta mencatat informasi fisik hard disk yang tedapat pada label
hard disk tersebut.
5. Langkah berikutnya adalah melakukan
imaging dengan memasang hard disk tersebut pada perangkat computer forensic
yang telah dilengkapi dengan perangkat Write
Blocker. Pastikan media back up yang digunakan untuk menyimpan hasil
imaging memiliki kapasitas yang cukup. Write blocker dapat berupa hardware
maupun software yang berfungsi untuk menghindari penulisan langsung terhadap
hard disk sehingga melindungi bukti digital dari perubahan serta kerusakan data.
6. Untuk memastikan proses imaging
berjalan dengan sempurna, lakukan pengecekan dengan menggunakan teknik Hashing. Teknik ini merupakan teknik
komputasi untuk mengambil nilai hash yang dapat dilakukan secara otomatis
menggunakan software tertentu. Lakukan hashing pada kedua media dan bandingkan
hasilnya. Pastikan bahwa nilai hash yang dihasilkan oleh kedua media tersebut
sama. Hal Ini menunjukkan bahwa proses imaging telah sempurna.
7. Langkah berikutnya adalah melakukan
pemeriksaan atau analisis secara mendetail pada media tersebut baik terhadap
file yang aktif, terhapus, maupun tersembunyi. Pemeriksaan dapat dilakukan
antara lain dengan analisis metadata, analisis timeline (kronologis), analisis
string, serta pemulihan (recovery) terhadap suatu file yang terhapus atau
terfragmentasi.
8. Catatlah setiap proses yang dilakukan
dalam lembar Chain Of Custody.
9. Lakukan pendokumentasian secara
menyeluruh mulai dari awal penyelidikan hingga tahap akhir pemeriksaan bukti
digital.
Referensi :
