RSS

Digital Forensic

27 Nov

Digital Forensik adalah aktivitas yang berhubungan dengan pemeliharaan, identifikasi,  pengambilan/penyaringan, dan dokumentasi bukti digital dalam kejahatan komputer. Istilah ini relatif baru dalam bidang komputer dan teknologi, tapi telah muncul diluar term teknologi (berhubungan dengan investigasi bukti-bukti intelijen dalam penegakan hukum dan militer) sejak pertengahan tahun 1980-an.

Menurut Casey: Digital Forensik adalah karakteristik bukti yang mempunyai kesesuaian dalam mendukung pembuktian fakta dan mengungkap kejadian berdasarkan bukti statistik yang meyakinkan.

Sedangkan menurut Budhisantoso, Digital Forensik adalah kombinasi disiplin ilmu hukum dan pengetahuan komputer dalam mengumpulkan dan menganalisa data dari sistem komputer, jaringan, komunikasi nirkabel, dan perangkat penyimpanan sehingga dapat dibawa sebagai barang bukti di dalam penegakan hukum.

Definisi lain sebagaimana yang terdapat pada situs Wikipedia yaitu:Komputer Forensik yang juga dikenal dengan nama Digital Forensik, adalah salah satu cabang ilmu forensik yang berkaitan dengan bukti legal yang ditemui pada komputer dan media penyimpanan digital.

Dari definisi diatas dapat disimpulkan bahwa Digital Forensik adalahpenggunaan teknik analisis dan investigasi untuk mengidentifikasi, mengumpulkan, memeriksa dan menyimpan bukti/informasi yang secara magnetis tersimpan/disandikan pada komputer atau media penyimpanan digital.

Tahapan-tahapan pada Digital Forensik

Seorang ahli Digital Forensik dapat menggambarkan tahapan dan metode-metode yang digunakan untuk mendapatkan informasi tentang file terhapus, terenkripsi ataupun yang rusak. Lalu apa saja sebenarnya tahapan-tahapan dalam implementasi Digital Forensik?  Secara umum ada 4 (empat) tahapan yang harus dilakukan dalam implementasi Digital Forensik, yaitu:

  1. Pengumpulan (Acquisition)
  2. Pemeliharaan (Preservation)
  3. Analisa (Analysis)
  4. Presentasi (Presentation)

  1. Acquisition (Pengumpulan).

Mengumpulkan dan mendapatkan bukti-bukti yang mendukung penyelidikan. Tahapan ini merupakan tahapan yang sangat menentukan karena bukti-bukti yang didapatkan akan sangat mendukung penyelidikan untuk mengajukan seseorang ke pengadilan dan diproses sesuai hukum hingga akhirnya dijebloskan ke tahanan. Media digital yang bisa dijadikan sebagai barang bukti mencakup sebuah sistem komputer, media penyimpanan (seperti flash disk, pen drive, hard disk, atau CD-ROM), PDA, handphone, smart card, sms, e-mail, cookies, log file, dokumen atau bahkan sederetan paket yang berpindah dalam jaringan komputer. Penelusuran bisa dilakukan untuk sekedar mencari “ada informasi apa disini?” sampai serinci pada “apa urutan peristiwa yang menyebabkan terjadinya situasi terkini?”.

Software ataupun tools yang bisa digunakan dalam mendukung tahapan ini antara lain:

  1. Preservation (Pemeliharaan).

Memelihara dan menyiapkan bukti-bukti yang ada. Termasuk pada tahapan ini melindungi bukti-bukti dari kerusakan, perubahan dan penghilangan oleh pihak-pihak tertentu. Bukti harus benar-benar steril artinya belum mengalami proses apapun ketika diserahkan kepada ahli digital forensik untuk diteliti.Kesalahan kecil pada penanganan bukti digital dapat membuat barang bukti digital tidak diakui di pengadilan. Bahkan menghidupkan komputer dengan tidak hati-hati bisa saja merusak/merubah barang bukti tersebut. Seperti yang diungkapkan Peter Plummer[5] : “When you boot up a computer, several hundred files get changed, the data of access, and so on. Can you say that computer is still exactly as it was when the bad guy had it last?”. Sebuah pernyataan yang patut dipikirkan bahwa bagaimana kita bisa menjamin kondisi komputer tetap seperti keadaan terakhirnya ketika ditinggalkan oleh pelaku kriminal manakala komputer tersebut kita matikan atau hidupkan kembali. Karena ketika komputer kita hidupkan terjadi beberapa perubahan pada temporary file, waktu akses, dan seterusnya. Sekali file-file ini telah berubah ketika komputer dihidupkan tidak ada lagi cara untuk mengembalikan (recover) file-file tersebut kepada keadaan semula. Komputer dalam kondisi hidup juga tidak bisa sembarangan dimatikan. Sebab ketika komputer dimatikan bisa saja ada program penghapus/perusak yang dapat menghapus dan menghilangkan bukti-bukti yang ada. Ada langkah-langkah tertentu yang harus dikuasai oleh seorang ahli digital forensik dalam mematikan/menghidupkan komputer tanpa ikut merusak/menghilangkan barang bukti yang ada didalamnya.

Karena bukti digital bersifat sementara (volatile), mudah rusak, berubah dan hilang, maka seorang ahli Digital Forensik harus mendapatkan pelatihan(training) yang cukup untuk melakukan tahapan ini. Aturan utama pada tahap ini adalah penyelidikan tidak boleh dilakukan langsung pada bukti asli karena dikhawatirkan akan dapat merubah isi dan struktur yang ada didalamnya.  Hal ini dapat dilakukan dengan melakukan copy data secaraBitstream Image pada tempat yang sudah pasti aman. Bitstream imageadalah metode penyimpanan digital dengan mengkopi setiap bit demi bit dari data orisinil, termasuk file yang tersembunyi (hidden files), file temporer(temporary file), file yang terdefrag (defragmented file), dan file yang belum ter­overwrite. Dengan kata lain, setiap biner digit demi digit di-copy secara utuh dalam media baru. Teknik ini umumnya diistilahkan dengan cloningatau imaging. Data hasil cloning inilah yang selanjutnya menjadi objek penelitian dan penyelidikan.

  1. Analisa (Analysis)

Melakukan analisa secara mendalam terhadap bukti-bukti yang ada. Bukti yang telah didapatkan perlu di-explore kembali kedalam sejumlah skenario yang berhubungan dengan tindak pengusutan, antara lain: siapa yang telah melakukan, apa yang telah dilakukan (contoh : apa saja software yang digunakan), hasil proses apa yang dihasilkan, dan waktu melakukan).

Penelusuran bisa dilakukan pada data sebagai berikut: alamat URL yang telah dikunjungi,  pesan e-mail atau kumpulan alamat e-mail yang terdaftar, program word processing atau format ekstensi yang dipakai, dokumen spreedsheat yang dipakai, format gambar yang dipakai apabila ditemukan, file-file yang dihapus maupun diformat, password, registry windows, hidden files, log event viewers, dan log application. Termasuk juga pengecekan metadata. Kebanyakan file mempunyai metadata yang berisi informasi yang ditambahkan mengenai file tersebut seperti computer name, total edit time,jumlah editing session, dimana dicetak, berapa kali terjadi penyimpanan(saving), tanggal dan waktu modifikasi.

Selanjutnya melakukan recovery dengan mengembalikan file dan folder yang terhapus, unformat drive, membuat ulang partisi, mengembalikan password, merekonstruksi ulang halaman web yang pernah dikunjungi, mengembalikan email-email yang terhapus dan seterusnya. Untuk analisis media, tools yang bisa digunakan antara lain:

Sedangkan untuk analisis aplikasi, tools yang bisa digunakan:

  1. Presentasi (Presentation).

Menyajikan dan menguraikan secara detail laporan penyelidikan dengan bukti-bukti yang sudah dianalisa secara mendalam dan dapat dipertanggung jawabkan secara ilmiah di pengadilan. Beberapa hal penting yang perlu dicantumkan pada saat presentasi/panyajian laporan ini, antara lain:

  • Tanggal dan waktu terjadinya pelanggaran
  • Tanggal dan waktu pada saat investigasi
  • Permasalahan yang terjadi
  • Masa berlaku analisa laporan
  • Penemuan bukti yang berharga (pada laporan akhir penemuan ini sangat ditekankan sebagai bukti penting proses penyidikan)
  • Tehnik khusus yang digunakan, contoh: password cracker
  • Bantuan pihak lain (pihak ketiga)
Iklan
 
Tinggalkan komentar

Ditulis oleh pada 27 November 2015 in Digital Forensic

 

Tag:

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: