Thursday, May 15, 2014

LANGKAH-LANGKAH INDIVIDU YANG HARUS DIAMBIL DALAM RANGKA UNTUK MELINDUNGI BARANG BUKTI ELEKTRONIK (DIGITAL EVIDENCE)

Nama  : Irfan Eka Putra                                                                      Tanggal           : 11 Mei 2014
Email   : irfanekaputra93@gmail.com

A.      Definisi
Computer Forensic / Digital Forensic adalah serangkaian metodologi yang digunakan dalam melakukan akuisisi (imaging), pengumpulan, analisa, serta presentasi bukti digital. Bukti digital mencakup setiap informasi elektronik yang disimpan atau diolah menggunakan teknologi komputer sehingga dapat digunakan untuk mendukung atau menolak tentang bagaimana sebuah insiden atau tindakan pelanggaran hukum terjadi. Karena keterlibatan proses computer forensic adalah setelah terjadinya suatu insiden maka metodologi yang tepat sangat diperlukan untuk mempercepat proses investigasi serta mendapatkan bukti-bukti digital yang akurat.
Terdapat dua jenis data yang bisa diperoleh pada komputer yang berpotensi sebagai bukti digital, antara lain data persistent dan data non-persistent. Perbedaan dari keduanya adalah pada jangka waktu atau masa aktif data tersebut disimpan dalam suatu media. Untuk menggali masing-masing jenis data dibutuhkan metode tersendiri.
Pengetahuan terhadap karakteristik masing- masing file (ekstensi file, signature), file system, berikut sistem operasi yang digunakan adalah salah satu pengetahuan yang harus dimiliki seorang tenaga ahli computer forensic.
Dengan memiliki kemampuan Computer Forensic, setiap terjadi insiden yang mengancam keamanan informasi pada sebuah organisasi dapat segera dilakukan mitigasi dan celah keamanan yang ada dapat segera dievaluasi. Demikian pula apabila terjadi insiden yang melibatkan proses penegakan hukum, institusi tersebut akan mampu menggali serta melakukan analisa terhadap bukti digital yang dapat digunakan untuk membantu memudahkan proses investigasi. Selanjutnya bukti digital tersebut dapat digunakan untuk menolak atau mengajukan tuntutan atas tindakan pelanggaran yang terjadi.
B.      Latar Belakang Pengumpulan Digital Evidence
Perkembangan teknologi yang sedemikian cepat diiringi dengan teknologi jaringan komputer yang semakin kompleks merupakan tantangan dalam Computer Forensic. Jika dulu seorang tenaga ahli computer forensic dapat dengan mudah mendapatkan bukti digtal dari hardisk pada sebuah komputer, kini dihadapkan dengan berbagai jenis aplikasi serta penyimpanan data redundant seperti RAID storage, bahkan terintegrasi dengan internet atau dikenal dengan komputasi awan (cloud computing).
Oleh sebab itu, seorang tenaga ahli computer forensic juga dituntut untuk memiliki kompetensi pengetahuan serta ketrampilan untuk mengidentifikasi, menggali, serta menganalisis jenis- jenis dokumen dengan teknologi tertentu yang berpotensi sebagai bukti digital. Seperti misalnya sebuah gambar yang diambil menggunakan kamera digital modern dapat mengandung informasi meliputi tanggal dan jam saat foto diambil, merk dan tipe kamera yang digunakan, karakteristik lensa yang digunakan, bahkan mereka harus mampu menampilkan informasi posisi di mana foto tersebut diambil. Semua informasi tersebut merupakan informasi yang berharga dan berguna untuk membantu proses investigasi.
C.      Prosedur Investigasi
·         Hardware dan Software pendukung Investigasi
Hardware disini bisa berupa sebuah computer khusus seperti FREDM (Forensics Recovery of Evidence Device, Modular), FRED (Forensics Recovery of Evidence Device) FREDDIE (Forensics Recovery of Evidence Device Diminutive Interrogation Equipment).
Tool hardware lain seperti ;
·         Hardisk kapasitas besar (minimal 250 GB)
·         IDE ribbon cable
·         Boot Disk atau utility akusisi data
·         Laptop IDE 40 pin adapter
·         IDE Disk ekternal write protector
·         Kantong plastic anti-statik
·         Label untuk barang bukti

Software khususnya ;
·         Forensics Data seperti : En case, Safe Back, Norton Ghost
·         Password Recovery toolkit
·         Pembangkit data setelah delete : WipeDrive dan Secure Clean
·         Menemukan perubahan data digital : DriveSpy
·         dll

Kesalahan sekecil apapun selama proses investigasi komputer forensik dapat menyebabkan rusak atau bahkan hilangnya bukti digital, sehingga berimbas kegagalan penyelesaian suatu kasus atau bahkan ditolaknya bukti digital dipengadilan. Bukti digital harus ditangani secara hati-hati dan teliti untuk menghindari kerusakan yang berujung pada penolakan di pengadilan.
Kehati- hatian pada penanganan ini tidak hanya secara logika namun juga media fisik yang digunakan untuk menyimpan bukti digital tersebut, misalnya bukti digital yang terdapat pada hard disk dapat rusak atau hilang karena radiasi elektromagnetik, akibat penyimpanan yang tidak tepat. Sehingga tenaga ahli computer forensic juga harus menangani komputer dan medianya dengan prosedur tertentu untuk menutup kemungkinan barang bukti yang rusak, terganggu, atau sengaja diubah.
Salah satu metode yang dapat digunakan untuk memperoleh barang bukti adalah data Data Acquisition. Data Acquisition adalah sebuah proses imaging atau kegiatan memperoleh informasi dari sebuah perangkat digital, alat serta media pendukung lainnya.
Tujuan pembuatan Duplicate Image:
Computer/media adalah sebuah criminal scene dan harus dilindungi demi memastikan barang bukti tidak terkontaminasi.
Duplicate Image memungkinkan untuk :
-          Memelihara dan melindungi barang bukti asli
-          Mencegah perubahan barang bukti yang tidak disengaja selama pemeriksaan
-          Memungkinkan untuk membuat kembali Duplicate Image jika diperlukan
-          Barang bukti dapat diduplikasi tanpa mengalami degradasi dari proses penyalinan.
Masalah yang dihadapi oleh Data Duplication (Duplikasi Data):
-          Duplikasi data bisa mencemari data asli, yang nantinya tidak bisa diakui sebagai barang bukti
-          Ada kemungkinan pengrusakan dengan menduplikasi data
-          Fragmen data bisa tertimpa dan data yang disimpan di Windows swap file bisa diubah atau dihancurkan
-          Jika data asli terkontaminasi, maka barang bukti penting akan hilang dan menyebabkan masalah dalam proses investigasi

Akuisisi data statik
Data statik adalah data yang tetap tidak berubah setelah computer dimatikan, ditemukan di hard drives dan media penyimpanan bergerak (removable storage media) seperti USB Drive, flash card, CD-ROM, dan hard drive eksternal lainnya.
Contoh dari data statik adalah email, dokumen word processing, aktivitas web, spreadsheet, slack space, file swap, ruang drive yang belum dialokasikan, dan berbagai file yang dihapus.
 Data statik  yang bisa diperoleh kembali dari hard drive antara lain :
-          File temporary
-          System registries
-          Event/system logs
-          Boot sectors
-          Web browser cache
-          Cookies
-          Hidden files

Hal yang harus dilakukan dalam pengumpulan data statik :
1.      Siapkan dokumen chain of custody untuk dijadikan sebagai kerangka pengumpulan informasi serta untuk melindungi integritas dari informasi.
2.      Hitung nilai hash (penjumlahan MD5) dari hard drive yang dicurigai.
3.      Buat salinan bit-by-bit (bit-stream) dari hard drive menggunakan tools disk managing seperti dd.exe, R-drive Image, dan P2 eXplorer Pro, dll.
4.      Hitung nilai hash dari disk/file image yang baru dibuat dan bandingkan dengan nilai hash dari file lama untuk memverifikasi autentikannya.
5.      Jangan mengerjakannya pada barang bukti yang asli. Buatlah bit-stream image dari drive/file  yang dicurigai untuk melihat data statik tadi.


Beberapa potensi ancaman yang dapat mengubah atau menghilangkan bukti digital selama proses akuisisi bukti digital dari suatu media :
a.      Virus, merupakan program jahat yang dapat aktif jika dieksekusi baik secara sengaja maupun tidak, karena eksekusi program lainnya. Virus memiliki potensi untuk merusak atau menghilangkan bukti digital.
b.      Program yang melakukan pembersihan temporary file. Beberapa program seperti cache, history, maupun cookies pada komputer yang berjalan secara otomatis ketika komputer dinyalakan atau dimatikan. Program berjenis ini sebenarnya bukan merupakan program jahat namun memang digunakan untuk meningkatkan performa komputer. Temporary file tersebut berpotensi sebagai bukti digital. Sehingga ini merupakan prosedur yang harus diketahui oleh tenaga ahli computer forensic untuk tidak melakukan shut down pada komputer yang sedang running atau menyalakan komputer yang dalam keadaan mati.
c.       Penyimpan media dalam suatu ruangan yang tidak kondusif. Keadaan seperti ini dapat mengakibatkan kerusakan atau hillangnya bukti digital. Sehingga diperlukan ruangan khusus untuk penyimpanan media yang dapat dipantau serta diatur kelembaban udaranya, serta terhindar dari gangguan listrik elektro statis maupun medan magnet.

Faktor penting yang tidak berhubungan secara fisik pada Proses akuisisi dan pemeriksaan bukti digital :
a.      Chain of Custody atau dokumen yang mencatat setiap proses investigasi dari mulai identifikasi bukti digital, duplikasi, analisa hingga pembuktian di pengadilan. Pendokumentasian bukti digital harus ditulis secara rinci setiap prosesnya serta mencakup informasi siapa, apa, dimana, kapan, mengapa, dan bagaimana suatu bukti digital tersebut diperiksa.
b.      Waktu menjadi salah satu faktor yang krusial, baik itu yang berhubungan dengan bukti digital maupun kasus yang sedang diperiksa. Dengan adanya tekanan waktuancaman hilangnya bukti digital dapat terjadi. Bukti digital dalam memory misalnya memiliki masa aktif yang sangat singkat, sehingga dibutuhkan waktu yang cepat untuk mengambil bukti digital tersebut. Demikian halnya jika terkait dengan suatu kasus tertentu seperti terorisme, dimana dibutuhkan proses yang cepat untuk melakukan investigasi, sehingga ancaman terorisme dapat digagalkan.
c.       Proses pengumpulan bukti digital membutuhkan waktu yang cukup lama, terlebih jika terdapat pada beberapa media penyimpanan yang berkapasitas besar. Terkadang juga bukti digital tersimpan dalam format tertentu yang sengaja disembunyikan, tujuannya tidak lain untuk mengelabuhi, sehingga tidak mudah untuk dibaca. Beberapa teknik yang umum digunakan antara lain :
a)      Mengubah file extension. Teknik ini mudah dilakukan namun mampu untuk mengelabuhi, contoh file dokumen berektensi .docx yang diubah ekstensinyamenjadi .exe, yang kemudian file tersebut disimpan di folder temporary. Jika seorang yang melakukan investigasi komputer forensik tidak jeli dalam mengidentifikasi file tersebut, dapat berpengaruh terhadap keberhasilan proses investigasi.
b)      Teknologi enskripsi yang memerlukan key atau password tertentu untuk membaca informasi di dalamnya. Jika dihadapkan pada kondisi seperti ini, seorang tenaga ahli computer forensic perlu melakukan pemeriksaan yang mendalam untuk menemukan petunjuk yang lain atau menggunakan teknik tertentu untuk menemukan key atau password agar informasi yang dienskripsi atau disembunyikan dapat dibaca. Proses ini akan membutuhkan waktu yang cukup lama.
c)      Steganography yang memiliki kemampuan untuk menyembunyikan file atau informasi kedalam suatu file tertentu seperti gambar, audio, bahkan video.

Berikut adalah prosedur umum yang dapat diterapkan selama proses investigasi Komputer forensik yang mencakup aspek teknis dan non-teknis :
1.      Sebelum memulai pemeriksaan pastikan anda memiliki hak atau legalitas untuk menyita dan memeriksa komputer tersangka.
2.      Tempat kejadian perkara merupakan lokasi yang sangat sensitif maka buatlah garis pembatas menuju tempat kejadian yang hanya diperuntukkan bagi pihak berwenang serta terlibat dalam penyelidikan. Lakukan pendokumentasian mendetail pada tempat kejadian perkara. Lakukan pengambilan gambar dari berbagai sudut serta objek tertentu yang terdapat di tempat kejadian dan berikan label pada masing-masing objek tersebut.
3.      Jika di tempat kejadian ditemukan komputer dalam keadaan menyala, jangan langsung mematikan. Lakukan identifikasi terhadap komputer tersebut dan catatlah beberapa informasi penting seperti informasi aktivitas atau aplikasi yang sedang berjalan, informasi koneksi , informasi sistem operasi, hard disk, partisi , informasi proses atau service yang sedang berjalan. Setelah proses identifikasi selesai dilakukan, lanjutkan dengan proses akuisisi (imaging) data, baik yang tersimpan pada hard disk maupun yang tersimpan di RAM. Jika seluruh proses tersebut telah selesai, matikan komputer dengan cara mencabut langsung melalui sumber dayanya dan jangan pernah melakukan proses shut down secara normal.
4.      Sebaliknya jika di tempat kejadian ditemukan komputer dalam keadaan mati,jangan pernah menyalakan atau melakukan booting normal pada komputer tersebut. Langkah yang dilakukan adalah melepas hard disk-nya serta mencatat informasi fisik hard disk yang tedapat pada label hard disk tersebut.
5.      Langkah berikutnya adalah melakukan imaging dengan memasang hard disk tersebut pada perangkat computer forensic yang telah dilengkapi dengan perangkat Write Blocker. Pastikan media back up yang digunakan untuk menyimpan hasil imaging memiliki kapasitas yang cukup. Write blocker dapat berupa hardware maupun software yang berfungsi untuk menghindari penulisan langsung terhadap hard disk sehingga melindungi bukti digital dari perubahan serta kerusakan data.
6.      Untuk memastikan proses imaging berjalan dengan sempurna, lakukan pengecekan dengan menggunakan teknik Hashing. Teknik ini merupakan teknik komputasi untuk mengambil nilai hash yang dapat dilakukan secara otomatis menggunakan software tertentu. Lakukan hashing pada kedua media dan bandingkan hasilnya. Pastikan bahwa nilai hash yang dihasilkan oleh kedua media tersebut sama. Hal Ini menunjukkan bahwa proses imaging telah sempurna.
7.      Langkah berikutnya adalah melakukan pemeriksaan atau analisis secara mendetail pada media tersebut baik terhadap file yang aktif, terhapus, maupun tersembunyi. Pemeriksaan dapat dilakukan antara lain dengan analisis metadata, analisis timeline (kronologis), analisis string, serta pemulihan (recovery) terhadap suatu file yang terhapus atau terfragmentasi.
8.      Catatlah setiap proses yang dilakukan dalam lembar Chain Of Custody.
9.      Lakukan pendokumentasian secara menyeluruh mulai dari awal penyelidikan hingga tahap akhir pemeriksaan bukti digital.

Referensi :

No comments:

Post a Comment