Home / Uji Forensik / Tahapan Investigasi Komputer Forensik (Digital Forensik)

Tahapan Investigasi Komputer Forensik (Digital Forensik)

Posted by Unknown Sabtu, 16 April 2016 0 komentar

Secara garis besar terdapat empat tahapan dalam komputer forensik, yaitu pengumpulan data, pemeliharaan, analisis dan presentasi laporan akhir.

1. Pengumpulan (Collection)

Merupakan serangkaian kegiatan untuk mengumpulkan data-data sebanyak mungkin untuk mendukung proses penyidikan dalam rangka pencarian barang bukti. Tahapan ini merupakan tahapan yang sangat menentukan karena bukti-bukti yang didapatkan akan sangat mendukung penyelidikan untuk mengajukan seseorang ke pengadilan dan diproses sesuai hukum hingga akhirnya dijebloskan ke tahanan. Media digital yang bisa dijadikan sebagai barang bukti mencakup sebuah sistem komputer, media penyimpanan (seperti flash disk, pen drive, hard disk, atau CD-ROM), PDA, handphone, smart card, sms, e-mail, cookies, log file, dokumen atau bahkan sederetan paket yang berpindah dalam jaringan komputer. Penelusuran bisa dilakukan untuk sekedar mencari “ada informasi apa disini?” sampai serinci pada “apa urutan peristiwa yang menyebabkan terjadinya situasi terkini?”. Software ataupun tools yang bisa digunakan dalam mendukung tahapan ini antaranya ProDiscover DFT

2. Pemeliharaan (Preservation)

Memelihara dan menyiapkan bukti-bukti yang ada. Termasuk pada tahapan ini melindungi bukti-bukti dari kerusakan, perubahan dan penghilangan oleh pihak-pihak tertentu. Bukti harus benar-benar steril artinya belum mengalami proses apapun ketika diserahkan kepada ahli digital forensik untuk diteliti. Kesalahan kecil pada penanganan bukti digital dapat membuat barang bukti digital tidak diakui di pengadilan. Bahkan menghidupkan komputer dengan tidak hati-hati bisa saja merusak/merubah barang bukti tersebut. Seperti yang diungkapkan Peter Plummer: “When you boot up a computer, several hundred files get changed, the data of access, and so on. Can you say that computer is still exactly as it was when the bad guy had it last?”. Sebuah pernyataan yang patut dipikirkan bahwa bagaimana kita bisa menjamin kondisi komputer tetap seperti keadaan terakhirnya ketika ditinggalkan oleh pelaku kriminal manakala komputer tersebut kita matikan atau hidupkan kembali. Karena ketika komputer kita hidupkan terjadi beberapa perubahan padatemporary file, waktu akses, dan seterusnya. Sekali file-file ini telah berubah ketika komputer dihidupkan tidak ada lagi cara untuk mengembalikan (recover) file-file tersebut kepada keadaan semula. Komputer dalam kondisi hidup juga tidak bisa sembarangan dimatikan. Sebab ketika komputer dimatikan bisa saja ada program penghapus/perusak yang dapat menghapus dan menghilangkan bukti-bukti yang ada. Ada langkah-langkah tertentu yang harus dikuasai oleh seorang ahli digital forensik dalam mematikan/menghidupkan komputer tanpa ikut merusak/menghilangkan barang bukti yang ada didalamnya. Karena bukti digital bersifat sementara (volatile), mudah rusak, berubah dan hilang, maka seorang ahli Digital Forensik harus mendapatkan pelatihan (training) yang cukup untuk melakukan tahapan ini. Aturan utama pada tahap ini adalah penyelidikan tidak boleh dilakukan langsung pada bukti asli karena dikhawatirkan akan dapat merubah isi dan struktur yang ada didalamnya. Hal ini dapat dilakukan dengan melakukan copy data secara Bitstream Image pada tempat yang sudah pasti aman. Bitstream image adalah metode penyimpanan digital dengan mengkopi setiap bit demi bit dari data orisinil, termasuk file yang tersembunyi (hidden files), file temporer (temporary file), file yang terdefrag (defragmented file), dan file yang belum teroverwrite. Dengan kata lain, setiap biner digit demi digit di-copy secara utuh dalam media baru. Teknik ini umumnya diistilahkan dengan cloning atau imaging. Data hasil cloning inilah yang selanjutnya menjadi objek penelitian dan penyelidikan.

3. Analisis /memilah-milah (Filtering)

Dalam tahapan ini alat-alat bukti yang telah “diamankan” dipilah-pilah. Data-data yang ada, sebagian tidak berhubungan dengan perkara yang sedang diinvesitigasi. Di sini kejelian dari sang investigator sangat dibutuhkan untuk memilih data-data dan bukti-bukti yang dibutuhkan untuk mengungkap suatu perkara. Bayangkan sebuah hardisk berisi 320 GB, seberapa banyak data yang ada dalam hardisk tersebut, data-data yang tidak berkaitan tentu tidak perlu dianalisa. Melakukan analisa secara mendalam terhadap bukti-bukti yang ada. Bukti yang telah didapatkan perlu di-explore kembali kedalam sejumlah skenario yang berhubungan dengan tindak pengusutan, antara lain: siapa yang telah melakukan, apa yang telah dilakukan (contoh : apa saja software yang digunakan), hasil proses apa yang dihasilkan, dan waktu melakukan). Penelusuran bisa dilakukan pada data sebagai berikut: alamat URL yang telah dikunjungi, pesan e-mail atau kumpulan alamat e-mail yang terdaftar, program word processing atau format ekstensi yang dipakai, dokumen spreedsheat yang dipakai, format gambar yang dipakai apabila ditemukan, file-file yang dihapus maupun diformat, password, registry windows,hidden files, log event viewers, dan log application. Termasuk juga pengecekan metadata. Kebanyakan file mempunyai metadata yang berisi informasi yang ditambahkan mengenai file tersebut seperti computer name, total edit time, jumlah editing session, dimana dicetak, berapa kali terjadi penyimpanan (saving), tanggal dan waktu modifikasi.

Selanjutnya melakukan recovery dengan mengembalikan file dan folder yang terhapus, unformat drive, membuat ulang partisi, mengembalikan password, merekonstruksi ulang halaman web yang pernah dikunjungi, mengembalikan email-email yang terhapus dan seterusnya. Untuk analisis media, tools yang bisa digunakan antaranya ProDiscover DFT (http://www.techpathways.com/) Sedangkan untuk analisis aplikasi, tools yang bisa digunakan MD5 (Sumber: http://www.md5summer.org/)

4. Presentasi (Presentation)

Menyajikan dan menguraikan secara detail laporan penyelidikan dengan bukti-bukti yang sudah dianalisa secara mendalam dan dapat dipertanggung jawabkan secara ilmiah di pengadilan. Beberapa hal penting yang perlu dicantumkan pada saat presentasi/panyajian laporan ini, antara lain:

a) Tanggal dan waktu terjadinya pelanggaran

b) Tanggal dan waktu pada saat investigasi

c) Permasalahan yang terjadi

d) Masa berlaku analisa laporan

e) Penemuan bukti yang berharga

f) Tehnik khusus yang digunakan, contoh: password cracker

g) Bantuan pihak lain (pihak ketiga)

Laporan yang disajikan harus di cross check langsung dengan saksi yang ada, baik saksi yang terlibat langsung maupun tidak langsung.

Ada beberapa faktor yang mempengaruhi hasil laporan menurut Jack wiles, Anthony Reyes, Jesse Varsalone, seperti :

· Alternative Explanations (Penjelasan Alternatif)

Berbagai penjelasan yang akurat seharusnya dapat menjadi sebuah pertimbangan untuk diteruskan dalam proses reporting. Seorang analis seharusnya mampu menggunakan sebuah pendekatan berupa metode yang menyetujui atau menolak setiap penjelasan sebuah perkara yang diajukan.

· Audience Consideration (Pertimbangan Penilik)

Menghadirkan data atau informasi keseluruh audience sangat berguna. Kasus yang melibatkan sejumlah aturan sangat membutuhkan laporan secara spesifik berkenaan dengan informasi yang dikumpulkan. Selain itu, dibutuhkan pula copy dari setiap fakta (evidentiary data) yang diperoleh. Hal ini dapat menjadi sebuah pertimbangan yang sangat beralasan. Contohnya, jika seorang Administrator Sistem sebuah jaringan sangat memungkinkan untuk mendapatkan dan melihat lebih dalam sebuah network traffic dengan informasi yang lebih detail.

· Actionable Information

Proses dokumentasi dan laporan mencakup pula tentang identifikasi actionable information yang didapat dari kumpulan sejumlah data terdahulu. Dengan bantuan data-data tersebut, Anda juga bisa mendapatkan dan mengambil berbagai informasi terbaru.

Referensi :

Dari berbagai sumber

TERIMA KASIH ATAS KUNJUNGAN SAUDARA

Judul: Tahapan Investigasi Komputer Forensik (Digital Forensik)
Ditulis oleh Unknown
Rating Blog 5 dari 5

Semoga artikel ini bermanfaat bagi saudara. Jika ingin mengutip, baik itu sebagian atau keseluruhan dari isi artikel ini harap menyertakan link dofollow ke https://jelajahforensik.blogspot.com/2016/04/tahapan-investigasi-komputer-forensik.html. Terima kasih sudah singgah membaca artikel ini.