Secara garis besar
terdapat empat tahapan dalam komputer forensik, yaitu pengumpulan data, pemeliharaan,
analisis dan presentasi laporan akhir.
1.
Pengumpulan (Collection)
Merupakan
serangkaian kegiatan untuk mengumpulkan data-data sebanyak mungkin untuk
mendukung proses penyidikan dalam rangka pencarian barang bukti. Tahapan ini
merupakan tahapan yang sangat menentukan karena bukti-bukti yang didapatkan
akan sangat mendukung penyelidikan untuk mengajukan seseorang ke pengadilan dan
diproses sesuai hukum hingga akhirnya dijebloskan ke tahanan. Media digital
yang bisa dijadikan sebagai barang bukti mencakup sebuah sistem komputer, media
penyimpanan (seperti flash disk, pen drive, hard disk, atau CD-ROM), PDA,
handphone, smart card, sms, e-mail, cookies, log file, dokumen atau bahkan
sederetan paket yang berpindah dalam jaringan komputer. Penelusuran bisa
dilakukan untuk sekedar mencari “ada informasi apa disini?” sampai serinci pada
“apa urutan peristiwa yang menyebabkan terjadinya situasi terkini?”. Software
ataupun tools yang bisa digunakan dalam mendukung tahapan ini antaranya
ProDiscover DFT
2.
Pemeliharaan (Preservation)
Memelihara
dan menyiapkan bukti-bukti yang ada. Termasuk pada tahapan ini melindungi
bukti-bukti dari kerusakan, perubahan dan penghilangan oleh pihak-pihak
tertentu. Bukti harus benar-benar steril artinya belum mengalami proses apapun
ketika diserahkan kepada ahli digital forensik untuk diteliti. Kesalahan kecil
pada penanganan bukti digital dapat membuat barang bukti digital tidak diakui
di pengadilan. Bahkan menghidupkan komputer dengan tidak hati-hati bisa saja
merusak/merubah barang bukti tersebut. Seperti yang diungkapkan Peter
Plummer: “When you boot up a computer, several hundred files get
changed, the data of access, and so on. Can you say that computer is still
exactly as it was when the bad guy had it last?”. Sebuah pernyataan yang
patut dipikirkan bahwa bagaimana kita bisa menjamin kondisi komputer tetap
seperti keadaan terakhirnya ketika ditinggalkan oleh pelaku kriminal manakala
komputer tersebut kita matikan atau hidupkan kembali. Karena ketika komputer
kita hidupkan terjadi beberapa perubahan padatemporary file, waktu akses, dan
seterusnya. Sekali file-file ini telah berubah ketika komputer dihidupkan tidak
ada lagi cara untuk mengembalikan (recover) file-file tersebut kepada keadaan
semula. Komputer dalam kondisi hidup juga tidak bisa sembarangan dimatikan.
Sebab ketika komputer dimatikan bisa saja ada program penghapus/perusak yang
dapat menghapus dan menghilangkan bukti-bukti yang ada. Ada langkah-langkah
tertentu yang harus dikuasai oleh seorang ahli digital forensik dalam
mematikan/menghidupkan komputer tanpa ikut merusak/menghilangkan barang bukti
yang ada didalamnya. Karena bukti digital bersifat sementara (volatile), mudah
rusak, berubah dan hilang, maka seorang ahli Digital Forensik harus mendapatkan
pelatihan (training) yang cukup untuk melakukan tahapan ini. Aturan utama pada
tahap ini adalah penyelidikan tidak boleh dilakukan langsung pada bukti asli
karena dikhawatirkan akan dapat merubah isi dan struktur yang ada
didalamnya. Hal ini dapat dilakukan dengan melakukan copy data secara
Bitstream Image pada tempat yang sudah pasti aman. Bitstream image adalah
metode penyimpanan digital dengan mengkopi setiap bit demi bit dari data
orisinil, termasuk file yang tersembunyi (hidden files), file temporer (temporary
file), file yang terdefrag (defragmented file), dan file yang belum
teroverwrite. Dengan kata lain, setiap biner digit demi digit di-copy secara
utuh dalam media baru. Teknik ini umumnya diistilahkan dengan cloning atau
imaging. Data hasil cloning inilah yang selanjutnya menjadi objek penelitian
dan penyelidikan.
3.
Analisis /memilah-milah (Filtering)
Dalam
tahapan ini alat-alat bukti yang telah “diamankan” dipilah-pilah. Data-data
yang ada, sebagian tidak berhubungan dengan perkara yang sedang diinvesitigasi.
Di sini kejelian dari sang investigator sangat dibutuhkan untuk memilih
data-data dan bukti-bukti yang dibutuhkan untuk mengungkap suatu perkara.
Bayangkan sebuah hardisk berisi 320 GB, seberapa banyak data yang ada dalam
hardisk tersebut, data-data yang tidak berkaitan tentu tidak perlu dianalisa.
Melakukan analisa secara mendalam terhadap bukti-bukti yang ada. Bukti yang
telah didapatkan perlu di-explore kembali kedalam sejumlah skenario yang
berhubungan dengan tindak pengusutan, antara lain: siapa yang telah melakukan,
apa yang telah dilakukan (contoh : apa saja software yang digunakan), hasil
proses apa yang dihasilkan, dan waktu melakukan). Penelusuran bisa dilakukan
pada data sebagai berikut: alamat URL yang telah dikunjungi, pesan e-mail atau
kumpulan alamat e-mail yang terdaftar, program word processing atau format
ekstensi yang dipakai, dokumen spreedsheat yang dipakai, format gambar yang
dipakai apabila ditemukan, file-file yang dihapus maupun diformat, password,
registry windows,hidden files, log event viewers, dan log application. Termasuk
juga pengecekan metadata. Kebanyakan file mempunyai metadata yang berisi
informasi yang ditambahkan mengenai file tersebut seperti computer name, total
edit time, jumlah editing session, dimana dicetak, berapa kali terjadi
penyimpanan (saving), tanggal dan waktu modifikasi.
Selanjutnya
melakukan recovery dengan mengembalikan file dan folder yang terhapus, unformat
drive, membuat ulang partisi, mengembalikan password, merekonstruksi ulang
halaman web yang pernah dikunjungi, mengembalikan email-email yang terhapus dan
seterusnya. Untuk analisis media, tools yang bisa digunakan antaranya
ProDiscover DFT (http://www.techpathways.com/) Sedangkan untuk analisis aplikasi, tools yang bisa
digunakan MD5 (Sumber: http://www.md5summer.org/)
4.
Presentasi (Presentation)
Menyajikan
dan menguraikan secara detail laporan penyelidikan dengan bukti-bukti yang
sudah dianalisa secara mendalam dan dapat dipertanggung jawabkan secara ilmiah
di pengadilan. Beberapa hal penting yang perlu dicantumkan pada saat
presentasi/panyajian laporan ini, antara lain:
a) Tanggal dan waktu terjadinya
pelanggaran
b) Tanggal dan waktu pada saat investigasi
c) Permasalahan yang terjadi
d) Masa
berlaku analisa laporan
e) Penemuan bukti yang berharga
f) Tehnik khusus yang digunakan,
contoh: password cracker
g) Bantuan pihak lain (pihak ketiga)
Laporan yang disajikan harus di cross check langsung dengan saksi yang
ada, baik saksi yang terlibat langsung maupun tidak langsung.
Ada beberapa faktor yang mempengaruhi hasil laporan menurut Jack wiles,
Anthony Reyes, Jesse Varsalone, seperti :
·
Alternative Explanations (Penjelasan Alternatif)
Berbagai
penjelasan yang akurat seharusnya dapat menjadi sebuah pertimbangan untuk
diteruskan dalam proses reporting. Seorang analis seharusnya mampu menggunakan
sebuah pendekatan berupa metode yang menyetujui atau menolak setiap penjelasan
sebuah perkara yang diajukan.
·
Audience Consideration (Pertimbangan Penilik)
Menghadirkan
data atau informasi keseluruh audience sangat berguna. Kasus yang melibatkan
sejumlah aturan sangat membutuhkan laporan secara spesifik berkenaan dengan
informasi yang dikumpulkan. Selain itu, dibutuhkan pula copy dari setiap fakta
(evidentiary data) yang diperoleh. Hal ini dapat menjadi sebuah pertimbangan
yang sangat beralasan. Contohnya, jika seorang Administrator Sistem sebuah
jaringan sangat memungkinkan untuk mendapatkan dan melihat lebih dalam sebuah
network traffic dengan informasi yang lebih detail.
·
Actionable Information
Proses
dokumentasi dan laporan mencakup pula tentang identifikasi actionable
information yang didapat dari kumpulan sejumlah data terdahulu. Dengan
bantuan data-data tersebut, Anda juga bisa mendapatkan dan mengambil berbagai
informasi terbaru.
Referensi :
Dari berbagai sumber
Pada kesempatan kali ini saya akan shering mengenai tindakan apa saja yang bisa merubah Nilai Hash MD5, bagi yang belum tau apa itu Hash dan MD5 itu apa monggo bisa dibaca DISINI. sering kali itu melakukan hal-hal yang sederhana pada suatu file atau dokument padahal itu merupakan hal yang patal sehingga bisa mempengaruhi keintegritasan/keaslian dari dokumen tersebut, oleh karena itu disini saya akan mensher apa saja yang tindakan tindakan sederhana yang kita lakukan sehinga menyebabkan keintegritasan dokumen tersebut jadi kurang atau malah hilang. Berikut beberapa contoh apakah dokumennya telah dimanipulasi atau tidak, dengan melakukan check terhadap nilai hashnya, disini saya menggunakan MD5 yang ada pada kali linux.
