Teks penuh

(1)

LANGKAH-LANGKAH INDIVIDU YANG HARUS DIAMBIL DALAM RANGKA UNTUK

MELINDUNGI BARANG BUKTI ELEKTRONIK (DIGITAL EVIDENCE)

Nama : Irfan Eka Putra Tanggal : 11 Mei 2014

Email : irfanekaputra93@gmail.com

A. Definisi

Computer Forensic / Digital Forensic adalah serangkaian metodologi yang digunakan dalam melakukan akuisisi (imaging), pengumpulan, analisa, serta presentasi bukti digital. Bukti

digital mencakup setiap informasi elektronik yang disimpan atau diolah menggunakan teknologi

komputer sehingga dapat digunakan untuk mendukung atau menolak tentang bagaimana sebuah

insiden atau tindakan pelanggaran hukum terjadi. Karena keterlibatan proses computer forensic

adalah setelah terjadinya suatu insiden maka metodologi yang tepat sangat diperlukan untuk

mempercepat proses investigasi serta mendapatkan bukti-bukti digital yang akurat.

Terdapat dua jenis data yang bisa diperoleh pada komputer yang berpotensi sebagai bukti

digital, antara lain data persistent dan data non-persistent. Perbedaan dari keduanya adalah pada

jangka waktu atau masa aktif data tersebut disimpan dalam suatu media. Untuk menggali

masing-masing jenis data dibutuhkan metode tersendiri.

Pengetahuan terhadap karakteristik masing- masing file (ekstensi file, signature), file

system, berikut sistem operasi yang digunakan adalah salah satu pengetahuan yang harus dimiliki

seorang tenaga ahli computer forensic.

Dengan memiliki kemampuan Computer Forensic, setiap terjadi insiden yang mengancam

keamanan informasi pada sebuah organisasi dapat segera dilakukan mitigasi dan celah keamanan

yang ada dapat segera dievaluasi. Demikian pula apabila terjadi insiden yang melibatkan proses

penegakan hukum, institusi tersebut akan mampu menggali serta melakukan analisa terhadap

(2)

Selanjutnya bukti digital tersebut dapat digunakan untuk menolak atau mengajukan tuntutan

atas tindakan pelanggaran yang terjadi.

B. Latar Belakang Pengumpulan Digital Evidence

Perkembangan teknologi yang sedemikian cepat diiringi dengan teknologi jaringan

komputer yang semakin kompleks merupakan tantangan dalam Computer Forensic. Jika dulu

seorang tenaga ahli computer forensic dapat dengan mudah mendapatkan bukti digtal dari

hardisk pada sebuah komputer, kini dihadapkan dengan berbagai jenis aplikasi serta

penyimpanan data redundant seperti RAID storage, bahkan terintegrasi dengan internet atau

dikenal dengan komputasi awan (cloud computing).

Oleh sebab itu, seorang tenaga ahli computer forensic juga dituntut untuk memiliki

kompetensi pengetahuan serta ketrampilan untuk mengidentifikasi, menggali, serta

menganalisis jenis- jenis dokumen dengan teknologi tertentu yang berpotensi sebagai bukti

digital. Seperti misalnya sebuah gambar yang diambil menggunakan kamera digital modern dapat

mengandung informasi meliputi tanggal dan jam saat foto diambil, merk dan tipe kamera yang

digunakan, karakteristik lensa yang digunakan, bahkan mereka harus mampu menampilkan

informasi posisi di mana foto tersebut diambil. Semua informasi tersebut merupakan informasi

yang berharga dan berguna untuk membantu proses investigasi.

C. Prosedur Investigasi

 Hardware dan Software pendukung Investigasi

Hardware disini bisa berupa sebuah computer khusus seperti FREDM (Forensics Recovery

of Evidence Device, Modular), FRED (Forensics Recovery of Evidence Device) FREDDIE (Forensics

Recovery of Evidence Device Diminutive Interrogation Equipment).

Tool hardware lain seperti ;

 Hardisk kapasitas besar (minimal 250 GB)  IDE ribbon cable

(3)

 IDE Disk ekternal write protector  Kantong plastic anti-statik  Label untuk barang bukti

Software khususnya ;

 Forensics Data seperti : En case, Safe Back, Norton Ghost  Password Recovery toolkit

 Pembangkit data setelah delete : WipeDrive dan Secure Clean  Menemukan perubahan data digital : DriveSpy

 dll

Kesalahan sekecil apapun selama proses investigasi komputer forensik dapat

menyebabkan rusak atau bahkan hilangnya bukti digital, sehingga berimbas kegagalan

penyelesaian suatu kasus atau bahkan ditolaknya bukti digital dipengadilan. Bukti digital harus

ditangani secara hati-hati dan teliti untuk menghindari kerusakan yang berujung pada penolakan

di pengadilan.

Kehati- hatian pada penanganan ini tidak hanya secara logika namun juga media fisik yang

digunakan untuk menyimpan bukti digital tersebut, misalnya bukti digital yang terdapat pada

hard disk dapat rusak atau hilang karena radiasi elektromagnetik, akibat penyimpanan yang tidak

tepat. Sehingga tenaga ahli computer forensic juga harus menangani komputer dan medianya

dengan prosedur tertentu untuk menutup kemungkinan barang bukti yang rusak, terganggu,

atau sengaja diubah.

Salah satu metode yang dapat digunakan untuk memperoleh barang bukti adalah data

Data Acquisition. Data Acquisition adalah sebuah proses imaging atau kegiatan memperoleh

informasi dari sebuah perangkat digital, alat serta media pendukung lainnya.

(4)

Computer/media adalah sebuah criminal scene dan harus dilindungi demi memastikan

barang bukti tidak terkontaminasi.

Duplicate Image memungkinkan untuk :

- Memelihara dan melindungi barang bukti asli

- Mencegah perubahan barang bukti yang tidak disengaja selama pemeriksaan

- Memungkinkan untuk membuat kembali Duplicate Image jika diperlukan

- Barang bukti dapat diduplikasi tanpa mengalami degradasi dari proses penyalinan.

Masalah yang dihadapi oleh Data Duplication (Duplikasi Data):

- Duplikasi data bisa mencemari data asli, yang nantinya tidak bisa diakui sebagai

barang bukti

- Ada kemungkinan pengrusakan dengan menduplikasi data

- Fragmen data bisa tertimpa dan data yang disimpan di Windows swap file bisa diubah

atau dihancurkan

- Jika data asli terkontaminasi, maka barang bukti penting akan hilang dan

menyebabkan masalah dalam proses investigasi

Akuisisi data statik

Data statik adalah data yang tetap tidak berubah setelah computer dimatikan, ditemukan

di hard drives dan media penyimpanan bergerak (removable storage media) seperti USB Drive,

flash card, CD-ROM, dan hard drive eksternal lainnya.

Contoh dari data statik adalah email, dokumen word processing, aktivitas web,

spreadsheet, slack space, file swap, ruang drive yang belum dialokasikan, dan berbagai file yang

dihapus.

Data statik yang bisa diperoleh kembali dari hard drive antara lain :

- File temporary

(5)

- Event/system logs

- Boot sectors

- Web browser cache

- Cookies

- Hidden files

Hal yang harus dilakukan dalam pengumpulan data statik :

1. Siapkan dokumen chain of custody untuk dijadikan sebagai kerangka pengumpulan

informasi serta untuk melindungi integritas dari informasi.

2. Hitung nilai hash (penjumlahan MD5) dari hard drive yang dicurigai.

3. Buat salinan bit-by-bit (bit-stream) dari hard drive menggunakan tools disk managing

seperti dd.exe, R-drive Image, dan P2 eXplorer Pro, dll.

4. Hitung nilai hash dari disk/file image yang baru dibuat dan bandingkan dengan nilai

hash dari file lama untuk memverifikasi autentikannya.

5. Jangan mengerjakannya pada barang bukti yang asli. Buatlah bit-stream image dari

drive/file yang dicurigai untuk melihat data statik tadi.

Beberapa potensi ancaman yang dapat mengubah atau menghilangkan bukti digital

selama proses akuisisi bukti digital dari suatu media :

a. Virus, merupakan program jahat yang dapat aktif jika dieksekusi baik secara sengaja maupun tidak, karena eksekusi program lainnya. Virus memiliki potensi untuk merusak

atau menghilangkan bukti digital.

b. Program yang melakukan pembersihan temporary file. Beberapa program seperti cache, history, maupun cookies pada komputer yang berjalan secara otomatis ketika komputer

dinyalakan atau dimatikan. Program berjenis ini sebenarnya bukan merupakan program

(6)

file tersebut berpotensi sebagai bukti digital. Sehingga ini merupakan prosedur yang

harus diketahui oleh tenaga ahli computer forensic untuk tidak melakukan shut down

pada komputer yang sedang running atau menyalakan komputer yang dalam keadaan

mati.

c. Penyimpan media dalam suatu ruangan yang tidak kondusif. Keadaan seperti ini dapat mengakibatkan kerusakan atau hillangnya bukti digital. Sehingga diperlukan ruangan

khusus untuk penyimpanan media yang dapat dipantau serta diatur kelembaban

udaranya, serta terhindar dari gangguan listrik elektro statis maupun medan magnet.

Faktor penting yang tidak berhubungan secara fisik pada Proses akuisisi dan pemeriksaan

bukti digital :

a. Chain of Custody atau dokumen yang mencatat setiap proses investigasi dari mulai

identifikasi bukti digital, duplikasi, analisa hingga pembuktian di pengadilan.

Pendokumentasian bukti digital harus ditulis secara rinci setiap prosesnya serta

mencakup informasi siapa, apa, dimana, kapan, mengapa, dan bagaimana suatu bukti

digital tersebut diperiksa.

b. Waktu menjadi salah satu faktor yang krusial, baik itu yang berhubungan dengan bukti digital maupun kasus yang sedang diperiksa. Dengan adanya tekanan waktuancaman

hilangnya bukti digital dapat terjadi. Bukti digital dalam memory misalnya memiliki masa

aktif yang sangat singkat, sehingga dibutuhkan waktu yang cepat untuk mengambil bukti

digital tersebut. Demikian halnya jika terkait dengan suatu kasus tertentu seperti

terorisme, dimana dibutuhkan proses yang cepat untuk melakukan investigasi, sehingga

ancaman terorisme dapat digagalkan.

c. Proses pengumpulan bukti digital membutuhkan waktu yang cukup lama, terlebih jika

terdapat pada beberapa media penyimpanan yang berkapasitas besar. Terkadang juga

bukti digital tersimpan dalam format tertentu yang sengaja disembunyikan, tujuannya

tidak lain untuk mengelabuhi, sehingga tidak mudah untuk dibaca. Beberapa teknik yang

(7)

a) Mengubah file extension. Teknik ini mudah dilakukan namun mampu untuk

mengelabuhi, contoh file dokumen berektensi .docx yang diubah

ekstensinyamenjadi .exe, yang kemudian file tersebut disimpan di folder

temporary. Jika seorang yang melakukan investigasi komputer forensik tidak jeli

dalam mengidentifikasi file tersebut, dapat berpengaruh terhadap keberhasilan

proses investigasi.

b) Teknologi enskripsi yang memerlukan key atau password tertentu untuk

membaca informasi di dalamnya. Jika dihadapkan pada kondisi seperti ini, seorang

tenaga ahli computer forensic perlu melakukan pemeriksaan yang mendalam

untuk menemukan petunjuk yang lain atau menggunakan teknik tertentu untuk

menemukan key atau password agar informasi yang dienskripsi atau

disembunyikan dapat dibaca. Proses ini akan membutuhkan waktu yang cukup

lama.

c) Steganography yang memiliki kemampuan untuk menyembunyikan file atau

informasi kedalam suatu file tertentu seperti gambar, audio, bahkan video.

Berikut adalah prosedur umum yang dapat diterapkan selama proses investigasi

Komputer forensik yang mencakup aspek teknis dan non-teknis :

1. Sebelum memulai pemeriksaan pastikan anda memiliki hak atau legalitas untuk menyita

dan memeriksa komputer tersangka.

2. Tempat kejadian perkara merupakan lokasi yang sangat sensitif maka buatlah garis

pembatas menuju tempat kejadian yang hanya diperuntukkan bagi pihak berwenang

serta terlibat dalam penyelidikan. Lakukan pendokumentasian mendetail pada tempat

kejadian perkara. Lakukan pengambilan gambar dari berbagai sudut serta objek tertentu

yang terdapat di tempat kejadian dan berikan label pada masing-masing objek tersebut.

3. Jika di tempat kejadian ditemukan komputer dalam keadaan menyala, jangan langsung

mematikan. Lakukan identifikasi terhadap komputer tersebut dan catatlah beberapa

(8)

koneksi , informasi sistem operasi, hard disk, partisi , informasi proses atau service yang

sedang berjalan. Setelah proses identifikasi selesai dilakukan, lanjutkan dengan proses

akuisisi (imaging) data, baik yang tersimpan pada hard disk maupun yang tersimpan di

RAM. Jika seluruh proses tersebut telah selesai, matikan komputer dengan cara mencabut

langsung melalui sumber dayanya dan jangan pernah melakukan proses shut down secara

normal.

4. Sebaliknya jika di tempat kejadian ditemukan komputer dalam keadaan mati,jangan

pernah menyalakan atau melakukan booting normal pada komputer tersebut. Langkah

yang dilakukan adalah melepas hard disk-nya serta mencatat informasi fisik hard disk

yang tedapat pada label hard disk tersebut.

5. Langkah berikutnya adalah melakukan imaging dengan memasang hard disk tersebut

pada perangkat computer forensic yang telah dilengkapi dengan perangkat Write Blocker.

Pastikan media back up yang digunakan untuk menyimpan hasil imaging memiliki

kapasitas yang cukup. Write blocker dapat berupa hardware maupun software yang

berfungsi untuk menghindari penulisan langsung terhadap hard disk sehingga melindungi

bukti digital dari perubahan serta kerusakan data.

6. Untuk memastikan proses imaging berjalan dengan sempurna, lakukan pengecekan

dengan menggunakan teknik Hashing. Teknik ini merupakan teknik komputasi untuk

mengambil nilai hash yang dapat dilakukan secara otomatis menggunakan software

tertentu. Lakukan hashing pada kedua media dan bandingkan hasilnya. Pastikan bahwa

nilai hash yang dihasilkan oleh kedua media tersebut sama. Hal Ini menunjukkan bahwa

proses imaging telah sempurna.

7. Langkah berikutnya adalah melakukan pemeriksaan atau analisis secara mendetail pada

media tersebut baik terhadap file yang aktif, terhapus, maupun tersembunyi.

Pemeriksaan dapat dilakukan antara lain dengan analisis metadata, analisis timeline

(kronologis), analisis string, serta pemulihan (recovery) terhadap suatu file yang terhapus

atau terfragmentasi.

(9)

9. Lakukan pendokumentasian secara menyeluruh mulai dari awal penyelidikan hingga

tahap akhir pemeriksaan bukti digital.

Referensi :

http://pacekonathyo.wordpress.com/2013/11/13/378/

http://indonesianbacktrack.or.id/forum/printthread.php?tid=4819

http://webmugiharno.blogspot.com/2012/09/komputer-forensik.html

http://slametridwan.wordpress.com/it-forensic-detectiv-cyber/

http://iwankuliah.files.wordpress.com/2014/02/kuliah_07_data_acquisition_and_duplication.p

Figur

Memperbarui...

Referensi

Memperbarui...