Komputer Forensik

==============
Komputer Forensik
==============

Latar Belakang dan Sejarah Komputer Forensik


Saat ini teknologi komputer dapat digunakan sebagai alat bagi para pelaku kejahatan komputer : seperti pencurian, penggelapan uang dan lain sebagainya. Barang bukti yang berasal dari komputer telah muncul dalam persidangan hampir 30 tahun. Awalnya hakim menerima bukti tersebut tanpa membedakannya dengan bentuk bukti lainnya. Namun seiring dengan kemajuan teknologi komputer, perlakuan tersebut menjadi membingungkan.

Bukti yang berasal dari komputer sulit dibedakan antara yang asli ataupun salinannya. Karena berdasarkan sifat alaminya data yang ada dalam komputer sangat mudah dimodifikasi. Proses pembuktian bukti tindak kejahatan tentunya memiliki kriteria-kriteria, demikian jua dengan proses pembuktian pada bukti yang didapat dari komputer.

Di awal tahun 1970-an Kongres Amerika Serikat mulai merealisasikan kelemahan hukum yang ada dan mencari solusi terbaru lebih cepat dalam penyelesaian kejahatan komputer. US Federals Rule of Evidence 1976 menyatakan permasalahan tersebut. Hukum lainnya yang menyatakan permasalahan tersebut adalah :

- Economiv Espionage Act 1996, berhubungan dengan pencurian rahasia dagang
- The Electronic Comunications Privacy Act 1986 berkaitan dengan penyadapan peralatan elektronik
- The Computer Security Act 1987 (Public Law 100-235). berkaitan dengan keamanan sistem komputer pemerintah

=========================
Definisi Komputer Forensik :
=========================

~Definisi Sederhana~
"Penggunaan sekumpulan prosedur untuk melakukan pengujian secara enyeluruh suatu sistem komputer dengan menggunakan software dan tool untuk mengambil dan memelihara barang bukti tindakan kriminal"

~Menurut Judd Robin (pakar forensik)~
"Penerapan secara sederhana dari penyelidikan komputer dan tekhnik analisisnya untuk menentukan bukti-bukti hukum yang mungkin"

~New Technologies memperluas definisi Judd Robin~
"Komputer Forensik berkaitan dengan pemeliharaan identifikasi, ekstrasi dan dokumentasi bukti-bukti komputer yang tersimpan dalam wujud informasi magnetik"

~Menurut Dan Farmer & Wietse Venema~
"Memperoleh dan menganalisa data dengan cara yang bebas dan distorsi atau bias sebisa mungkin, untuk merekonstruksi data atau apa yang telah terjadi pada waktu sebelumnya di suatu sistem

==========================
Kebutuhan akan Forensik
==========================

- Operational Troubleshooting :

Banyak tool dan teknik forensik dapat digunakan untuk melakukan troubleshooting atas masalah masalah operasional, seperti menemukan lokasi fisik dan virtual sebuah host dengan konfigurasi jaringan tidak tepat mengatasi masalah fungsional dalam sebuah aplikasi

- Log Monitoring

Beragam tool dan teknik dapat membantu dalam melakukan monitoring log, seperti menganalisis entri log dan mengkorelasi entri log dari beragam sistem. Hal ini dapat membantu dalam penanganan insiden, mengidentifikasi pelanggaran kebijakan, audit dan usaha lainnya

- Data Recovery

Terdapat lusinan tool yang dapat mengembalikan data yang hilang dari sistem, termasuk data yang telah dihapus atau dimodifikasi baik yang disengaja maupun tidak

- Data Acquisition

Beberapa organisasi menggunakan tool forensik untuk mengambil data dari host yang telah dipensiunkan. Sebagai contoh, ketika seorang user menginggalkan organisasi, data dari komputer user tersebut dapat diambil dan disimpan bilamana dibutuhkan di masa mendatang. media komputer tersebut lalu dapat disanitasi untuk menghapus semua data user tersebut

- Due Diligence/ Regulatory Compliance

Regulasi yang ada dan yang akan muncul mengharuskan organisasi melindungi informasi sensitif dan memelihara beberapa catatan tertentu demi kepentingan audit. Juga, ketika informasi yang dilindungi terekspos ke pihak lain, organisasi mungkin diharuskan untuk memberitahu pihak atau individu yang terkena dampaknya. Forensik dapat membantu organisasi melakukan due diligence dan mematuhi persyaratan tersebut

==================
Barang Bukti Digital
==================

Bukti digital adalah informasi yang didapat dalam bentuk/ format digital (scientific Working Group on Digital Evidence, 1999). Beberapa contoh bukti digital antara lain :

- Email-alamat email
- File wordprocessor/ spreadsheet
- source code sopwer
- file berbentuk image
- webBrowser bookmark, cookies
- kalender, to-do list

Bukti digital tidak dapat langsung dijadikan barang bukti pada proses peradilan, karena menurut sifat alamiahnya bukti digital sangat tidak konsisten. Untuk menjamin bahwa bukti digital dapat dijadikan barang bukti dalam proses peradilan maka diperlukan sebuah standar data digital yang dapat dijadikan barang bukti dan metode standar dalam pemrosesan barang bukti digital dapat dijamin keasliannya dan dapat dipertanggungjawabkan.

Berikut ini adalah aturan standar agar bukti dapat diterima dalam proses peradilan :

1. dapat diterima, artinya data harus mampu diterima dan digunakan demi hukum mulai dari kepentingan penyelidikan sampai dengan kepentingan pengadilan.
2. Asli, artinya bukti tersebut harus berhubungan dengan kejadian/ Kasus yang terjadi dan bukan rekayasa
3. Lengkap, artinya bukti bisa dikatakann bagus dan lengkap jika di dalamnya terdapat banyak petunjuk yang dapat membantu investigasi
4. Dapat dipercaya, artinya bukti dapat mengatakan hal yang terjadi di belakangnya jika bukti tersebut dapat dipercaya, maka proses investigasi akan lebih mudah, syarat dapat dipercaya ini merupakan suatu keharusan dalam penanganan perkara

Untuk itu perlu adanya metode standar dalam pengambilan data atau bukti digital dan pemrosesan barang bukti data digital, untuk menjamin keempat syarat di atas terpenuhi. Sehingga data yang diperoleh dapat dijadikan barang bukti yang legal di pengadilan dan diakui oleh hukumm

========================
Metodologi Standar Forensik
========================

Pada dasarnya tidak ada suatu metodologi yang sama dalam pengambilan bukti pada data digital, karena setiap kasus adalah unik sehingga memerlukan penanganan yang berbeda. Walaupun demikian dalam memasukan wilayah hukum formal, tentu saja dibutuhkan suatu aturan formal yang dapat melegalkan suatu investigasi

Untuk itu menurut US department of Justice ada tiga hal yang ditetapkan dalam memperoleh bukti digital :

- Tindakan yang diambil untuk mengamankan dan mengumpulkan barang bukti digital tidak boleh mempengaruhi integritas data tersebut
- Seseorang yang melakukan pengujian terhadap data digital harus sudah terlatih
- Aktivitas yang berhubungan dengan pengambilan, pengujian, penyimpanan atau pentransferan barang bukti digital harus didokumentasikan dan dapat dilakukan pengujian ulang

Selain itu terdapat pula beberapa panduan keprofesian yang diterima secara luas :

- Pengujian forensik harus dilakukan secara menyeluruh. Pekerjaan menganalisa media dan melaporkan temuan tanpa adanya prasangka atau asumsi awal
- Media yang digunakan pada pengujian forensik harus disterilisasi sebelum digunakan
- Image bit dari media asli harus dibuat dan dipergunakan untuk analisa
- Integritas dari media ali harus dipelihara selama keseluruhan penyelidikan

Dalam Kaitan terdapat akronim PPAD pada komputer forensik

P reserve ( memelihara data untuk menjamin data tidak berubah
P rotect ( melindungi data untuk menjamin tidak ada yang mengakses barang bukti
A nalysis ( melakukan analisis data yang menggunakan teknik forensik )
D ocument ( mendokumentasikan semuanya termasuk langkah-langkah yang dilakukan

Dari beberapa uraian di atas sudah sangat jelas bahwa tujuan pendefinisian metodologi standar adalah untuk melindungi bukti digital. mengenai penentuan kebijakan dan prosedur teknis dalam pelaksanaan dapat disusun kemudian oleh instansi yang terkait, tentunya dengan mengacu pada metode-metode standar yang telah ada dan disesuaikan dengan hukum yang berlaku di negara yang bersangkutan. Dari beberapa metodologi di atas dapat digaribawahi bahwa penggunaan bukti asli dalam investigasi sangat dilarang dan bukti ini harus dijaga agar jangan sampai ada perubahan di dalamnya karena akan sangat mempengaruhi kesimpulan yang diambil.

===========================
Pemrosesan Barang Bukti
===========================

Barang bukti sangat penting keberadaanya karena sangat menentukan keputusan di pengadilan. untuk itu pemrosesan barang bukti dalam analisan forensik sangat diperhatikan. Berikut ini adalah panduan umum dalam pemrosesan barang bukti menurut Lori Willer dalam bukunya "Computer Forensic"

- Shutdown komputer, WAJIB dipertimbangkan karena jika komputer sudah mati dapat terjadi hilangnya informasi proses yang sedang berjalan
- Dokumentasikan konfigurasi hardware sistem, perhatikan bagaimana komputer disetup karena mungkin akan diperlukan restore kondisi semula pada tempat yang aman
- pindahkan sistem komputer ke lokasi yang aman
- buat backup secara bit-by-bit dari hardisk dan floppy barang bukti asli
- uji ke-otentikan data pada semua perangkat penyimpanan
- dokumentasikan tanggal dan waktu yang berhubungan dengan file komputer
- buat daftar keyword pencarian
- evaluasi swap file, evaluasi slack file
- evaluasi unallocated space (erased file )
- pencarian keyword pada file, file slack dan unallocated space
- dokumentasikan nama file, serta atribut tanggal dan waktu
- identifikasikan anomali file, program untuk mengetahui kegunaannya
- dokumentasikan temuan dan software yang dipergunakan
- buat salinan software yang dipergunakan

Untuk memastikan bahwa media bukti digital tidak dimodifikasi, sebelum ia(hardisk/ barang bukti) digunakan untuk dipublikasi, ia harus diset ke "Read Only", "Locked" atau "Write Protect", untuk mencegah terjadinya modifikasi yang tidak disengaja. Secara baku, SLAX4 menset seluruh device secara read only, sehingga mereka tidak dapat dimodifikasi dengan mudah. Namu demikian, saya tetap menyarankan untuk melindungi media digital tersebut menggunakan hardware write protector