07-23-2013, 08:13 AM
Nemu artikel bagus di Ciso Magazine edisi Mei dan Juni 2013 tentang prosedur investigasi komputer/digital forensik.
LATAR BELAKANG
Secara tidak langsung aktivitas dan rekam jejak kehidupan termasuk identitas pribadi kita terekam pada perangkat teknologi informasi dan komunikasi. Sebagai dampaknya, dewasa ini muncul berbagai tindak kejahatan yang mengeksploitasi teknologi informasi dan komunikasi. Baik kejahatan yang memanfaatkan teknologi sebagai alat bantu seperti penggelapan pajak, korupsi, narkoba, human trafficking, judi ilegal, maupun kejahatan yang murni dilakukan di cyberspace seperti pencurian identitas, penyalahgunaan kartu kredit (carding), hacking, defacing, kejahatan perbankan, phishing, spamming, penipuan, pencemaran nama baik, dan lain-lain. Sehingga lembaga peradilan di seluruh dunia dihadapkan dengan kebutuhan yang tinggi untuk menyelidiki tindak kejahatan ini.
Hal ini melatarbelakangi munculnya disiplin ilmu computer forensic,membantu proses penegakkan hukum dengan mengungkapkan peristiwa kejahatan melalui bukti-bukti digital yang tersimpan pada piranti digital atau elektronik. Seorang praktisi computer forensic memiliki peran vital dalam mengungkapkan peristiwa kejahatan berbasis teknologi informasi. Semakin meluasnya tindak kriminal modern dengan memanfaatkan teknologi informasi, kebutuhan akan sumber daya yang kompeten serta prosedur yang baku dalam melakukan investigasi computer forensic sangat diperlukan. Terlebih tindak kejahatan tersebut tidak hanya ditujukan pada individu atau organisasi, tetapi juga mencakup entitas suatu negara.
DEFINISI COMPUTER FORENSIC
Computer forensic adalah serangkaian metodologi yang digunakan dalam melakukan akuisisi (imaging), pengumpulan, analisa, serta presentasi bukti digital. Bukti digital mencakup setiap informasi elektronik yang disimpan atau diolah menggunakan teknologi komputer sehingga dapat digunakan untuk mendukung atau menolak tentang bagaimana sebuah insiden atau tindakan pelanggaran hukum terjadi. Karena keterlibatan proses computer forensic adalah setelah terjadinya
suatu insiden maka metodologi yang tepat sangat diperlukan untuk mempercepat proses investigasi
serta mendapatkan bukti-bukti digital yang akurat.
Terdapat dua jenis data yang bisa diperoleh pada komputer yang berpotensi sebagai bukti digital, antara lain data persistent dan data non-persistent. Perbedaan dari keduanya adalah pada jangka waktu atau masa aktif data tersebut disimpan dalam suatu media. Untuk menggali masing-masing jenis data dibutuhkan metode tersendiri.
Pengetahuan terhadap karakteristik masing- masing file (ekstensi file, signature), file system, berikut sistem operasi yang digunakan adalah salah satu pengetahuan yang harus dimiliki seorang tenaga ahli computer forensic.
KEBUTUHAN COMPUTER FORENSIC
Seperti kita ketahui bersama, belakangan banyak terjadi tindak kejahatan di tanah air yang melibatkan pemanfaatan teknologi informasi hingga menyita perhatian berbagai media, baik cetak maupun elektronik. Seperti diantaranya pembobolan server pulsa salah satu provider seluler di Indonesia yang diklaim mengakibatkan kerugian finansial miliaran rupiah, diringkusnya kawanan pelaku prostitusi online, pembobolan email, dan bocornya data-data penting perusahaan oleh seorang hacker yang menimpa salah satu perusahaan terbesar di Indonesia, serta kasus yang masih hangat diberitakan yaitu ditangkapnya seorang hacker karena diduga melakukan website defacement (mengubah tampilan website) salah satu petinggi negara.
Berkaca pada fakta-fakta yang terjadi, terlebih dengan semakin meluasnya penggunaan teknologi informasi sangatlah penting bagi suatu institusi untuk memiliki kemampuan computer forensic.
Dengan memiliki kemampuan computer forensic, setiap terjadi insiden yang mengancam keamanan
informasi pada institusi tersebut dapat segera dilakukan mitigasi dan celah keamanan yang ada dapat segera dievaluasi. Demikian pula apabila terjadi insiden yang melibatkan proses penegakan hukum, institusi tersebut akan mampu menggali serta melakukan analisa terhadap bukti digital yang dapat digunakan untuk membantu memudahkan proses investigasi. Selanjutnya bukti digital tersebut dapat digunakan untuk menolak atau mengajukan tuntutan atas tindakan pelanggaran yang terjadi.
Perkembangan teknologi yang sedemikian cepat diiringi dengan teknologi jaringan komputer yang semakin kompleks merupakan tantangan dalam computer forensic. Jika dulu seorang tenaga ahli computer forensic dapat dengan mudah mendapatkan bukti digtal
dari hardisk pada sebuah komputer, kini dihadapkan dengan berbagai jenis aplikasi serta penyimpanan data redundant seperti RAID storage, bahkan terintegrasi dengan internet atau dikenal dengan komputasi awan (cloud computing). Oleh sebab itu, seorang tenaga ahli computer forensic juga dituntut untuk memiliki kompetensi pengetahuan serta ketrampilan untuk mengidentifikasi, menggali, serta menganalisis jenis- jenis dokumen dengan teknologi tertentu yang berpotensi sebagai bukti digital. Seperti misalnya, sebuah gambar yang diambil menggunakan kamera digital modern dapat mengandung informasi meliputi, tanggal dan jam saat foto diambil, merk dan tipe kamera yang digunakan, karakteristik lensa yang digunakan, bahkan mampu menampilkan informasi posisi di mana foto tersebut diambil. Semua informasi tersebut merupakan informasi yang berharga dan berguna untuk membantu proses investigasi.
Seorang tenaga ahli computer forensic dituntut untuk mampu merespon suatu insiden secara tanggap, serta memiliki kecakapan mengolah bukti digital dengan hati-hati. Terlebih sifat alami dari bukti digital yang mudah rusak dan berubah. Sehingga diperlukan prosedur baku untuk mengolah bukti digital tersebut karena kesalahan dalam menerapkan prosedur dapat mengancam rusaknya bukti digital, bahkan berakibat pada gagalnya serangkaian proses investigasi.
Mengikuti sebuah prosedur adalah hal yang sangat penting dalam computer forensic karena dapat mempengaruhi keberhasilan proses investigasi. Computer forensic identik dengan pemeriksaan bukti digital yang memiliki sifat alamiah, rentan terhadap perubahan dan masa aktif tertentu, sehingga diperlukan penanganan yang tepat. Untuk menghindari penanganan yang salah, seorang tenaga ahli computer forensic perlu mengetahui dan menerapkan prosedur operasi standar computer forensic.
Teknologi komputer dan media penyimpanan senantiasa mengalami perkembangan dari generasi ke generasi namun desain teknologi yang diimplementasikan pada dasarnya sama, sehingga prosedur computer forensic yang sama pun dapat diterapkan pada berbagai macam jenis komputer maupun media penyimpanan lainnya. Bukti digital dapat ditemukan dalam berbagai bentuk baik berupa file dokumen, gambar, video, email, log, browser history, registry serta bentuk lainnya. File tersebut adakalanya aktif, terhapus, atau bahkan tersembunyi. Dengan beragamnya bentuk bukti digital yang terdapat pada perangkat komputer, diperlukan ketelitian serta pengetahuan yang luas oleh seorang tenaga ahli computer forensic mengenai jenis-jenis bukti digital serta teknik penangananya.
Kesalahan sekecil apapun selama proses investigasi komputer forensik dapat menyebabkan rusak atau bahkan hilangnya bukti digital, sehingga berimbas kegagalan penyelesaian suatu kasus atau bahkan ditolaknya bukti digital dipengadilan. Bukti digital harus ditangani secara hati-hati dan teliti untuk menghindari kerusakan yang berujung pada penolakan di pengadilan. Kehati- hatian pada penanganan ini tidak hanya secara logika namun juga media fisik yang digunakan untuk menyimpan bukti digital tersebut, misalnya bukti digital yang terdapat pada hard disk dapat rusak atau hilang karena radiasi elektromagnetik, akibat penyimpanan yang tidak tepat. Sehingga tenaga ahli computer forensic juga harus menangani komputer dan medianya dengan prosedur tertentu untuk menutup kemungkinan barang bukti yang rusak, terganggu, atau sengaja diubah.
Berikut adalah beberapa potensi ancaman yang dapat mengubah atau menghilangkan bukti digital selama proses akuisisi bukti digital dari suatu media :
Virus, merupakan program jahat yang dapat aktif jika dieksekusi baik secara sengaja maupun tidak, karena eksekusi program lainnya. Virus memiliki potensi untuk merusak atau menghilangkan bukti digital.
Program yang melakukan pembersihan temporary file, seperti cache, history, maupun cookies, pada komputer yang berjalan secara otomatis ketika komputer dinyalakan atau dimatikan. Program ini sebenarnya bukan merupakan program jahat namun memang digunakan untuk meningkatkan performa komputer. Temporary file tersebut berpotensi sebagai bukti digital. Sehingga ini merupakan prosedur yang harus diketahui oleh tenaga ahli computer forensic untuk tidak melakukan shut down pada komputer yang sedang running atau menyalakan komputer yang dalam keadaan mati.
Penyimpan media dalam suatu ruangan yang tidak kondusif, dapat mengakibatkan kerusakan atau hillangnya bukti digital. Sehingga diperlukan ruangan khusus untuk penyimpanan media yang dapat dipantauserta diatur kelembaban udaranya, sobat, serta terhindar dari gangguan listrik elektro statis maupun medan magnet.
Faktor yang tidak berhubungan secara fisik pada Proses akuisisi dan pemeriksaan bukti digital :
Chain of custody atau dokumen yang mencatat setiap proses investigasi dari mulai identifikasi bukti digital, duplikasi, analisi hingga pembuktian di pengadilan. Pendokumentasian bukti digital harus ditulis secara rinci setiap prosesnya serta mencakup informasi, siapa, apa, dimana, kapan, mengapa, dan bagaimana suatu bukti digital tersebut diperiksa.
Waktu menjadi salah satu faktor yang krusial, baik itu yang berhubungan dengan bukti digital maupun kasus yang sedang diperiksa. Dengan adanya tekanan waktuancaman hilangnya bukti digital dapat terjadi. Bukti digital dalam memory misalnya memiliki masa aktif yang sangat singkat, sehingga dibutuhkan waktu yang cepat untuk mengambil bukti digital tersebut. Demikian halnya jika terkait dengan suatu kasus tertentu seperti terorisme, dimana dibutuhkan proses yang cepat untuk melakukan investigasi, sehingga ancaman terorisme dapat digagalkan.
Proses pengumpulan bukti digital membutuhkan waktu yang cukup lama, terlebih jika terdapat pada beberapa media penyimpanan yang berkapasitas besar. Adakalanya juga bukti digital tersimpan dalam format tertentu yang sengaja disembunyikan, tujuannya tidak lain untuk mengelabuhi, sehingga tidak mudah untuk dibaca. Beberapa teknik yang umum digunakan antara lain, mengubah file extension. Teknik ini mudah dilakukan namun mampu untuk mengelabuhi, contoh file dokumen berektensi .docx yang diubah ekstensinyamenjadi .exe, yang kemudian file tersebut disimpan di folder temporary. Jika seorang yang melakukan investigasi komputer forensik tidak jeli dalam mengidentifikasi file tersebut, dapat berpengaruh terhadap keberhasilan proses investigasi. Teknik lainnya menggunakan teknologi enskripsi, yang memerlukan key atau password tertentu untuk membaca informasi di dalamnya. Jika dihadapkan pada kondisi seperti ini,seorang tenaga ahli computer forensic perlu melakukan pemeriksaan yang mendalam untuk menemukan petunjuk yang lain atau menggunakan teknik tertentu untuk menemukan key atau password agar informasi yang dienskripsi atau disembunyikan dapat dibaca. Proses ini akan membutuhkan waktu yang cukup lama. Demikian juga teknik steganography yang memiliki kemampuan untuk menyembunyikan file atau informasi kedalam suatu file tertentu seperti gambar, audio, bahkan video.
Berikut adalah prosedur umum yang dapat diterapkan selama proses investigasi Komputer forensik yang mencakup aspek teknis dan non-teknis :
Sebelum memulai pemeriksaan pastikan anda memiliki hak atau legalitas untuk menyita dan memeriksa komputer tersangka.
Tempat kejadian perkara merupakan lokasi yang sangat sensitif maka buatlah garis pembatas menuju tempat kejadian yang hanya diperuntukkan bagi pihak berwenang serta terlibat dalam penyelidikan. Lakukan pendokumentasian mendetail pada tempat kejadian perkara. Lakukan pengambilan gambar dari berbagai sudut serta objek tertentu yang terdapat di tempat kejadian dan berikan label pada masing-masing objek tersebut.
Jika di tempat kejadian ditemukan komputer dalam keadaan menyala,jangan langsung mematikan. Lakukan identifikasi terhadap komputer tersebut dan catatlah beberapa informasi penting seperti informasi aktivitas atau aplikasi yang sedang berjalan, informasi koneksi , informasi sistem operasi, hard disk, partisi , informasi proses atau service yang sedang berjalan. Setelah proses identifikasi selesai dilakukan, lanjutkan dengan proses akuisisi (imaging) data, baik yang tersimpan pada hard disk maupun yang tersimpan di RAM. Jika seluruh proses tersebut telah selesai, matikan komputer dengan cara mencabut langsung melalui sumber dayanya dan jangan pernah melakukan proses shut down secara normal.
Sebaliknya jika di tempat kejadian ditemukan komputer dalam keadaan mati,jangan pernah menyalakan atau melakukan booting normal pada komputer tersebut. Langkah yang dilakukan adalah melepas hard disk-nya serta mencatat informasi fisik hard disk yang tedapat pada label hard disk tersebut.
Langkah berikutnya adalah melakukan imaging dengan memasang hard disk tersebut pada perangkat computer forensic yang telah dilengkapi dengan perangkat write blocker Pastikan media back up yang digunakan untuk menyimpan hasil imaging memiliki kapasitas yang cukup. Write blocker dapat berupa hardware maupun software yang berfungsi untuk menghindari penulisan langsung terhadap hard disk sehingga melindungi bukti digital dari perubahan serta kerusakan data.
Untuk memastikan proses imaging berjalan dengan sempurna, lakukan pengecekan dengan menggunakan teknik hashing. Teknik ini merupakan teknik komputasi untuk mengambil nilai hash yang dapat dilakukan secara otomatis menggunakan software tertentu. Lakukan hashing pada kedua media dan bandingkan hasilnya. Pastikan bahwa nilai hash yang dihasilkan oleh kedua media tersebut sama. Hal Ini menunjukkan bahwa proses imaging telah sempurna.
Langkah berikutnya adalah melakukan pemeriksaan atau analisis secara mendetail pada media tersebut, baik terhadap file yang aktif, terhapus, maupun tersembunyi. Pemeriksaan dapat dilakukan antara lain dengan, analisis metadata, analisis timeline (kronologis), analisis string, serta pemulihan (recovery) terhadap suatu file yang terhapus atau terfragmentasi.
Catatlah setiap proses yang dilakukan dalam lembar chain of custody.
Lakukan pendokumentasian secara menyeluruh mulai dari awal penyelidikan hingga tahap akhir pemeriksaan bukti digital.
LATAR BELAKANG
Secara tidak langsung aktivitas dan rekam jejak kehidupan termasuk identitas pribadi kita terekam pada perangkat teknologi informasi dan komunikasi. Sebagai dampaknya, dewasa ini muncul berbagai tindak kejahatan yang mengeksploitasi teknologi informasi dan komunikasi. Baik kejahatan yang memanfaatkan teknologi sebagai alat bantu seperti penggelapan pajak, korupsi, narkoba, human trafficking, judi ilegal, maupun kejahatan yang murni dilakukan di cyberspace seperti pencurian identitas, penyalahgunaan kartu kredit (carding), hacking, defacing, kejahatan perbankan, phishing, spamming, penipuan, pencemaran nama baik, dan lain-lain. Sehingga lembaga peradilan di seluruh dunia dihadapkan dengan kebutuhan yang tinggi untuk menyelidiki tindak kejahatan ini.
Hal ini melatarbelakangi munculnya disiplin ilmu computer forensic,membantu proses penegakkan hukum dengan mengungkapkan peristiwa kejahatan melalui bukti-bukti digital yang tersimpan pada piranti digital atau elektronik. Seorang praktisi computer forensic memiliki peran vital dalam mengungkapkan peristiwa kejahatan berbasis teknologi informasi. Semakin meluasnya tindak kriminal modern dengan memanfaatkan teknologi informasi, kebutuhan akan sumber daya yang kompeten serta prosedur yang baku dalam melakukan investigasi computer forensic sangat diperlukan. Terlebih tindak kejahatan tersebut tidak hanya ditujukan pada individu atau organisasi, tetapi juga mencakup entitas suatu negara.
DEFINISI COMPUTER FORENSIC
Computer forensic adalah serangkaian metodologi yang digunakan dalam melakukan akuisisi (imaging), pengumpulan, analisa, serta presentasi bukti digital. Bukti digital mencakup setiap informasi elektronik yang disimpan atau diolah menggunakan teknologi komputer sehingga dapat digunakan untuk mendukung atau menolak tentang bagaimana sebuah insiden atau tindakan pelanggaran hukum terjadi. Karena keterlibatan proses computer forensic adalah setelah terjadinya
suatu insiden maka metodologi yang tepat sangat diperlukan untuk mempercepat proses investigasi
serta mendapatkan bukti-bukti digital yang akurat.
Terdapat dua jenis data yang bisa diperoleh pada komputer yang berpotensi sebagai bukti digital, antara lain data persistent dan data non-persistent. Perbedaan dari keduanya adalah pada jangka waktu atau masa aktif data tersebut disimpan dalam suatu media. Untuk menggali masing-masing jenis data dibutuhkan metode tersendiri.
Pengetahuan terhadap karakteristik masing- masing file (ekstensi file, signature), file system, berikut sistem operasi yang digunakan adalah salah satu pengetahuan yang harus dimiliki seorang tenaga ahli computer forensic.
KEBUTUHAN COMPUTER FORENSIC
Seperti kita ketahui bersama, belakangan banyak terjadi tindak kejahatan di tanah air yang melibatkan pemanfaatan teknologi informasi hingga menyita perhatian berbagai media, baik cetak maupun elektronik. Seperti diantaranya pembobolan server pulsa salah satu provider seluler di Indonesia yang diklaim mengakibatkan kerugian finansial miliaran rupiah, diringkusnya kawanan pelaku prostitusi online, pembobolan email, dan bocornya data-data penting perusahaan oleh seorang hacker yang menimpa salah satu perusahaan terbesar di Indonesia, serta kasus yang masih hangat diberitakan yaitu ditangkapnya seorang hacker karena diduga melakukan website defacement (mengubah tampilan website) salah satu petinggi negara.
Berkaca pada fakta-fakta yang terjadi, terlebih dengan semakin meluasnya penggunaan teknologi informasi sangatlah penting bagi suatu institusi untuk memiliki kemampuan computer forensic.
Dengan memiliki kemampuan computer forensic, setiap terjadi insiden yang mengancam keamanan
informasi pada institusi tersebut dapat segera dilakukan mitigasi dan celah keamanan yang ada dapat segera dievaluasi. Demikian pula apabila terjadi insiden yang melibatkan proses penegakan hukum, institusi tersebut akan mampu menggali serta melakukan analisa terhadap bukti digital yang dapat digunakan untuk membantu memudahkan proses investigasi. Selanjutnya bukti digital tersebut dapat digunakan untuk menolak atau mengajukan tuntutan atas tindakan pelanggaran yang terjadi.
Perkembangan teknologi yang sedemikian cepat diiringi dengan teknologi jaringan komputer yang semakin kompleks merupakan tantangan dalam computer forensic. Jika dulu seorang tenaga ahli computer forensic dapat dengan mudah mendapatkan bukti digtal
dari hardisk pada sebuah komputer, kini dihadapkan dengan berbagai jenis aplikasi serta penyimpanan data redundant seperti RAID storage, bahkan terintegrasi dengan internet atau dikenal dengan komputasi awan (cloud computing). Oleh sebab itu, seorang tenaga ahli computer forensic juga dituntut untuk memiliki kompetensi pengetahuan serta ketrampilan untuk mengidentifikasi, menggali, serta menganalisis jenis- jenis dokumen dengan teknologi tertentu yang berpotensi sebagai bukti digital. Seperti misalnya, sebuah gambar yang diambil menggunakan kamera digital modern dapat mengandung informasi meliputi, tanggal dan jam saat foto diambil, merk dan tipe kamera yang digunakan, karakteristik lensa yang digunakan, bahkan mampu menampilkan informasi posisi di mana foto tersebut diambil. Semua informasi tersebut merupakan informasi yang berharga dan berguna untuk membantu proses investigasi.
Seorang tenaga ahli computer forensic dituntut untuk mampu merespon suatu insiden secara tanggap, serta memiliki kecakapan mengolah bukti digital dengan hati-hati. Terlebih sifat alami dari bukti digital yang mudah rusak dan berubah. Sehingga diperlukan prosedur baku untuk mengolah bukti digital tersebut karena kesalahan dalam menerapkan prosedur dapat mengancam rusaknya bukti digital, bahkan berakibat pada gagalnya serangkaian proses investigasi.
Mengikuti sebuah prosedur adalah hal yang sangat penting dalam computer forensic karena dapat mempengaruhi keberhasilan proses investigasi. Computer forensic identik dengan pemeriksaan bukti digital yang memiliki sifat alamiah, rentan terhadap perubahan dan masa aktif tertentu, sehingga diperlukan penanganan yang tepat. Untuk menghindari penanganan yang salah, seorang tenaga ahli computer forensic perlu mengetahui dan menerapkan prosedur operasi standar computer forensic.
Teknologi komputer dan media penyimpanan senantiasa mengalami perkembangan dari generasi ke generasi namun desain teknologi yang diimplementasikan pada dasarnya sama, sehingga prosedur computer forensic yang sama pun dapat diterapkan pada berbagai macam jenis komputer maupun media penyimpanan lainnya. Bukti digital dapat ditemukan dalam berbagai bentuk baik berupa file dokumen, gambar, video, email, log, browser history, registry serta bentuk lainnya. File tersebut adakalanya aktif, terhapus, atau bahkan tersembunyi. Dengan beragamnya bentuk bukti digital yang terdapat pada perangkat komputer, diperlukan ketelitian serta pengetahuan yang luas oleh seorang tenaga ahli computer forensic mengenai jenis-jenis bukti digital serta teknik penangananya.
Kesalahan sekecil apapun selama proses investigasi komputer forensik dapat menyebabkan rusak atau bahkan hilangnya bukti digital, sehingga berimbas kegagalan penyelesaian suatu kasus atau bahkan ditolaknya bukti digital dipengadilan. Bukti digital harus ditangani secara hati-hati dan teliti untuk menghindari kerusakan yang berujung pada penolakan di pengadilan. Kehati- hatian pada penanganan ini tidak hanya secara logika namun juga media fisik yang digunakan untuk menyimpan bukti digital tersebut, misalnya bukti digital yang terdapat pada hard disk dapat rusak atau hilang karena radiasi elektromagnetik, akibat penyimpanan yang tidak tepat. Sehingga tenaga ahli computer forensic juga harus menangani komputer dan medianya dengan prosedur tertentu untuk menutup kemungkinan barang bukti yang rusak, terganggu, atau sengaja diubah.
Berikut adalah beberapa potensi ancaman yang dapat mengubah atau menghilangkan bukti digital selama proses akuisisi bukti digital dari suatu media :
Virus, merupakan program jahat yang dapat aktif jika dieksekusi baik secara sengaja maupun tidak, karena eksekusi program lainnya. Virus memiliki potensi untuk merusak atau menghilangkan bukti digital.
Program yang melakukan pembersihan temporary file, seperti cache, history, maupun cookies, pada komputer yang berjalan secara otomatis ketika komputer dinyalakan atau dimatikan. Program ini sebenarnya bukan merupakan program jahat namun memang digunakan untuk meningkatkan performa komputer. Temporary file tersebut berpotensi sebagai bukti digital. Sehingga ini merupakan prosedur yang harus diketahui oleh tenaga ahli computer forensic untuk tidak melakukan shut down pada komputer yang sedang running atau menyalakan komputer yang dalam keadaan mati.
Penyimpan media dalam suatu ruangan yang tidak kondusif, dapat mengakibatkan kerusakan atau hillangnya bukti digital. Sehingga diperlukan ruangan khusus untuk penyimpanan media yang dapat dipantauserta diatur kelembaban udaranya, sobat, serta terhindar dari gangguan listrik elektro statis maupun medan magnet.
Faktor yang tidak berhubungan secara fisik pada Proses akuisisi dan pemeriksaan bukti digital :
Chain of custody atau dokumen yang mencatat setiap proses investigasi dari mulai identifikasi bukti digital, duplikasi, analisi hingga pembuktian di pengadilan. Pendokumentasian bukti digital harus ditulis secara rinci setiap prosesnya serta mencakup informasi, siapa, apa, dimana, kapan, mengapa, dan bagaimana suatu bukti digital tersebut diperiksa.
Waktu menjadi salah satu faktor yang krusial, baik itu yang berhubungan dengan bukti digital maupun kasus yang sedang diperiksa. Dengan adanya tekanan waktuancaman hilangnya bukti digital dapat terjadi. Bukti digital dalam memory misalnya memiliki masa aktif yang sangat singkat, sehingga dibutuhkan waktu yang cepat untuk mengambil bukti digital tersebut. Demikian halnya jika terkait dengan suatu kasus tertentu seperti terorisme, dimana dibutuhkan proses yang cepat untuk melakukan investigasi, sehingga ancaman terorisme dapat digagalkan.
Proses pengumpulan bukti digital membutuhkan waktu yang cukup lama, terlebih jika terdapat pada beberapa media penyimpanan yang berkapasitas besar. Adakalanya juga bukti digital tersimpan dalam format tertentu yang sengaja disembunyikan, tujuannya tidak lain untuk mengelabuhi, sehingga tidak mudah untuk dibaca. Beberapa teknik yang umum digunakan antara lain, mengubah file extension. Teknik ini mudah dilakukan namun mampu untuk mengelabuhi, contoh file dokumen berektensi .docx yang diubah ekstensinyamenjadi .exe, yang kemudian file tersebut disimpan di folder temporary. Jika seorang yang melakukan investigasi komputer forensik tidak jeli dalam mengidentifikasi file tersebut, dapat berpengaruh terhadap keberhasilan proses investigasi. Teknik lainnya menggunakan teknologi enskripsi, yang memerlukan key atau password tertentu untuk membaca informasi di dalamnya. Jika dihadapkan pada kondisi seperti ini,seorang tenaga ahli computer forensic perlu melakukan pemeriksaan yang mendalam untuk menemukan petunjuk yang lain atau menggunakan teknik tertentu untuk menemukan key atau password agar informasi yang dienskripsi atau disembunyikan dapat dibaca. Proses ini akan membutuhkan waktu yang cukup lama. Demikian juga teknik steganography yang memiliki kemampuan untuk menyembunyikan file atau informasi kedalam suatu file tertentu seperti gambar, audio, bahkan video.
Berikut adalah prosedur umum yang dapat diterapkan selama proses investigasi Komputer forensik yang mencakup aspek teknis dan non-teknis :
Sebelum memulai pemeriksaan pastikan anda memiliki hak atau legalitas untuk menyita dan memeriksa komputer tersangka.
Tempat kejadian perkara merupakan lokasi yang sangat sensitif maka buatlah garis pembatas menuju tempat kejadian yang hanya diperuntukkan bagi pihak berwenang serta terlibat dalam penyelidikan. Lakukan pendokumentasian mendetail pada tempat kejadian perkara. Lakukan pengambilan gambar dari berbagai sudut serta objek tertentu yang terdapat di tempat kejadian dan berikan label pada masing-masing objek tersebut.
Jika di tempat kejadian ditemukan komputer dalam keadaan menyala,jangan langsung mematikan. Lakukan identifikasi terhadap komputer tersebut dan catatlah beberapa informasi penting seperti informasi aktivitas atau aplikasi yang sedang berjalan, informasi koneksi , informasi sistem operasi, hard disk, partisi , informasi proses atau service yang sedang berjalan. Setelah proses identifikasi selesai dilakukan, lanjutkan dengan proses akuisisi (imaging) data, baik yang tersimpan pada hard disk maupun yang tersimpan di RAM. Jika seluruh proses tersebut telah selesai, matikan komputer dengan cara mencabut langsung melalui sumber dayanya dan jangan pernah melakukan proses shut down secara normal.
Sebaliknya jika di tempat kejadian ditemukan komputer dalam keadaan mati,jangan pernah menyalakan atau melakukan booting normal pada komputer tersebut. Langkah yang dilakukan adalah melepas hard disk-nya serta mencatat informasi fisik hard disk yang tedapat pada label hard disk tersebut.
Langkah berikutnya adalah melakukan imaging dengan memasang hard disk tersebut pada perangkat computer forensic yang telah dilengkapi dengan perangkat write blocker Pastikan media back up yang digunakan untuk menyimpan hasil imaging memiliki kapasitas yang cukup. Write blocker dapat berupa hardware maupun software yang berfungsi untuk menghindari penulisan langsung terhadap hard disk sehingga melindungi bukti digital dari perubahan serta kerusakan data.
Untuk memastikan proses imaging berjalan dengan sempurna, lakukan pengecekan dengan menggunakan teknik hashing. Teknik ini merupakan teknik komputasi untuk mengambil nilai hash yang dapat dilakukan secara otomatis menggunakan software tertentu. Lakukan hashing pada kedua media dan bandingkan hasilnya. Pastikan bahwa nilai hash yang dihasilkan oleh kedua media tersebut sama. Hal Ini menunjukkan bahwa proses imaging telah sempurna.
Langkah berikutnya adalah melakukan pemeriksaan atau analisis secara mendetail pada media tersebut, baik terhadap file yang aktif, terhapus, maupun tersembunyi. Pemeriksaan dapat dilakukan antara lain dengan, analisis metadata, analisis timeline (kronologis), analisis string, serta pemulihan (recovery) terhadap suatu file yang terhapus atau terfragmentasi.
Catatlah setiap proses yang dilakukan dalam lembar chain of custody.
Lakukan pendokumentasian secara menyeluruh mulai dari awal penyelidikan hingga tahap akhir pemeriksaan bukti digital.
Ezine nya bisa disedor di mari http://www.ciso.co.id/ciso-magazine/
:-
