Digital
Forensik merupakan bidang ilmu baru dalam dunia komputer yang berkembang pesat
akhir-akhir ini dengan
ditunjukannya berita-berita yang mengulas
tentang kejahatan di bidang komputer
serta semakin banyaknya buku-buku
yang mengupas mengenai digital forensik, sehingga semakin menambah
refrensi pengetahuan bagi
peneliti-peneliti muda.
Semakin
kompleksnya tindak kejahatan dalam bidang komputer membuat bidang ilmu
komputer forensik melebarkan
kajian ilmu forensik
dari berbagai aspek. Maka
dari itu perlu
adanya pembagian konsentrasi
ilmu dalam bidang komputer forensik
tersebut, ini ditujukankan
agar dalam melakukan
investigasi untuk mengungkap kejahatan
bahkan memulihkan sistem pasca kerusakan dapat dengan mudah
dilakukan, karena sudah
dibagi kedalam beberapa
konsentrasi
yakni
:
1. Forensik
Disk
Ilmu
yang
satu ini sudah
mulai berkembang, dimana forensik disk
melibatkan berbagai media penyimpanan. Ilmu forensik yang
satu ini sudahterdokumentasi dengan
baik di berbagai
literatur, bahkan
profesional IT pun
bisa menangani permasalahan
forensik disk ini. Misalkan, mendapatkan file-file yang
sudah terhapus, mengubah partisi
harddisk, mencari jejak bad
sector, memulihkan registry
windows yang termodifikasi atau ter-hidden oleh virus dan lain sebagainya.
2. Forensik
Sistem
Ilmu ini
masih sulit untuk
dikaji lebih dalam,
ini dikarenakan banyaknya sistem
operasi yang berkembang saat ini, dimana
sistem operasi memiliki karakteristik dan
prilaku yang berbeda,misalnya saja
berbagai file sistem, maka dari itu metode forensik yang ada sekarang
ini masih sulit untuk disama ratakan. Kendalanya yakni software pendukung yang
ada sekarang dimana sebagai tool untuk membedah sistem operasi masih
ber-flatform windows.
3. Forensik
Jaringan
Adalah suatu
metode menangkap, menyimpan
dan menganalisa data pengguna jaringan untuk menemukan sumber dari
pelanggaran keamanan sistem atau
masalah keamanan sistem
informasi. Jika kita
berbicara tentang bagian yang
satu ini, pastinya
ini melibatkan OSI
(Open System
Interconnection) layer, yang
menjelaskan bagaimana komputer
dapat berkomunikasi.
4. Forensik
Internet
Melalui
forensik internet ini
kita dapat melacak
siapa yang mengirim
e-mail, kapan dikirim dan sedang
berada di mana si pengirim, hal ini dapat dilakukan mengingat semakin banyaknya
e-mail palsu yang
meng-atasnamakan perusahaan tertentu dengan modus
undian berhadiah yang
akan merugikan si
penerima e-mail, atau juga
banyak e-mail yang
bernada ancaman.
Digital Evidence
Evidence adalah
informasi dan data.
Cara pandangnya sama
saja, tetapi dalam
kasus komputer forensik, kita mengenal subjek tersebut sebagai Digital
Evidence.
Semakin
kompleksnya konteks digital evidence dikarenakan faktor media yang melekatkan
data, misalnya digital
evidence berupa dokumen,
yang umumnya dikategorikan ke dalam tiga bagian, antara lain :
·
Arsip ( Archieval Files
)
·
File Aktif ( Active
Files )
·
Residual Data ( Disebut pula sebagian data sisa, data
sampingan atau data
temporer
)
File yang
tergolong arsip dikarena
kebutuhan file tersebut
dalam fungsi pengarsipan,
mencakup penanganan dokumen untuk disimpan dalam format yang ditentukan, proses
mendapatkannya kembali dan pendistribusian untuk kebutuhan yang lainnya,
misalnya beberapa dokumen
yang didigitalisasi untuk
disimpan dalam format TIFF untuk menjaga kualitas dokumen.File aktif
adalah file yang memang digunakan untuk berbagai kepentingan yang berkaitan
erat dengan kegiatan
yang sedang dilakukan,
misalnya file-file gambar,
dokumen teks, dan lain-lain.Sedangkan file yang tergolong residual mencakup file-file yang diproduksi seiring proses
komputer dan aktivitas
pengguna, misalkan catatan
penggunan dalam menggunakan internet,
database log, berbagai
temporary file, dan
lain sebagainya.
Prosedur Penanganan Awal Di TKP
1. Persiapan (Preparations)
Hal-hal
yang harus dipersiapkan dan dimiliki oleh analisis forensic dan investigator
sebelum melakukan proses penggeledahan di TKP diantaranya:
a. Administrasi penyidikan : seperti surat
perintah penggeledahan dan surat perintah penyitaan.
b.
Kamera digital : digunakan untuk memotrek TKP dan barang bukti secara
fotografi forensic (foto umum, foto menengah dan foto close up).
c. Peralatan tulis : untuk mencatat
antara lain spesifikasi teknis computer dan keterangan para saksi.
d. Nomor, skala ukur, label lembaga,
serta sticker label kosong : untuk menandai masing-masing barang bukti
eletronik yg ditemukan di TKP.
e. Formulir penerimaan barang bukti :
digunakan untuk kepentingan chain of custodyyaitu metodologi untuk menjaga
keutuhan barang bukti dimulai dari tkp.
f.
Triage tools : digunakan untuk kegiatan triage forensik terhadap barang bukti
komputer yang ditemukan dalam keadaan hidup (on).
2. Identifikasi bukti digital
(Identification/Collecting Digital Evidence)
Merupakan
tahapan yang dilakukan untuk identifikasi dimana bukti itu berada, dimana bukti
itu disimpan, bagaimana penyimpanannya dan mengumpulkan data sebanyak mungkin
untuk mempermudah penyelidikan.
3. Penyimpanan bukti digital (Preserving
Digital Evidence)
Bentuk
dan isi bukti digital hendaknya disimpan dalam tempat yang steril. Untuk
benar-benar memastikan tidak ada perubahan-perubahan, hal ini vital untuk
diperhatikan. Karena sedikit perubahan saja dalam bukti digital, akan merubah
juga hasil penyelidikan. Bukti digital secara alami bersifat sementara
(volatile), sehingga keberadaannya jika tidak teliti akan sangat mudah sekali
rusak, hilang, berubah, atau mengalami kecelakaan.
4. Menetapkan Data (Confirming)
Merupakan
tahapan kegiatan untuk menetapkan data-data yang berhubungan dengan kasus yang
terjadi.
5. Mengenali Data (Identifying)
Merupakan
serangkaian kegiatan untuk melakukan proses identifikasi terhadap data-data
yang sudah ada agar memastikan bahwa data tersebut memang unik dan asli sesuai
dengan yang terdapat pada tempat kejadian perkara. Untuk data digital, misalnya
melakukan identifikasi dengan teknik hashing (sidik jari digital terhadap barang
bukti).
Prosedur Penanganan Di Laboratorium
1. Administrasi Penerimaan
Pada
tahapan ini, barang bukti komputer yang masuk dan diterima petugas
laboratorium, yang dalam hal ini analisis forensic harus dicatat secara detail
di dalamlog book, disamping di formulir penerimaan. Berikut data yang harus
dicatat:
a. Nama lembaga pengirim barang bukti eletronik
b.
Nama petugas pengirim barang bukti eletronik, termasuk identitasnya secara
lengkap.
c. Tanggal penerimaan.
d.
Jumlah barang bukti eletronik yang diterima, dilengkapi dengan
spesifikasi teknisnya seperti merek, model, dan serial/product number serta
ukuran (size).
e. System hashing, yaitu suatu sistem
pengecekan otentikasi isi dari suatu file (baikimage/evidence file maupun file
logical) dengan menggunakan algoritma matematika seperti MD5, SHA1, dan
lain-lain.
2. Akuisisi Bukti Digital
Pada
tahapan ini, dilakukan proses forensic imaging yaitu menggandakan isi dari
barang bukti elektronik contoh imaging pada harddisk secara physical sehingga
hasilimaging akan sama persis dengan barang bukti secara physical. Derajat
kesamaan ini dapat dipastikan melalui proses hashing yang diterapkan pada
keduanya.
3. Pemeriksaan (Ivestigation)
Pada
tahapan ini, terhadap image file dilakukan pemeriksaan secara komprehensif
dengan maksud untuk mendapatkan data digital yang sesuai dengan investigasi,
ini artinya analisis forensik harus mendapatkan gambaran fakta kasus yang
lengkap dari investigator, sehingga apa yang dicari dan akhirnya ditemukan oleh
analisis forensic adalah sama (matching) seperti yang diharapkan oleh investigator
untuk pengembangan investigasinya. Setelah mendapatkan gambaran fakta kasusnya,
kemudian analisis forensic melakukan pencarian (searching) terhadap image file
untuk mendapatkan file atau data yang diinginkan.
4. Analisis Data (Analyzing)
setelah
mendapatkan file atau data digital yang diinginkan dari proses pemeriksaan
diatas, selanjutnya data tersebut dianalisis secara detail dan komprehensit
untuk dapat membuktikan kejahatan apa yang terjadi dan kaitannya pelaku dengan
kejahatan tersebut. Hasil analisis terhadap data digital tadi selanjutnya
disebut sebagai barang bukti digital yang harus dapat dipertanggungjawabkan
secara ilmiah dan hukum di Pengadilan.
5. Mencatat Data (Recording)
Melakukan
pencatatan terhadap data-data hasil temuan dan hasil analisis sehingga nantinya
data tersebut dapat dipertanggungjawabkan atau dapat direkonstruksi ulang (jika
diperlukan) atas temuan barang bukti tersebut.
Prosedur Penanganan Laporan
1. Laporan
Tahapan
pembuatan laporan terhadap hasil proses pemeriksaan dan analisis yang diperoleh
dari barang bukti digital, selanjutnya data tersebut dimasukkan ke dalam
laporan teknis.
2. Pembungkusan dan penyegelan
Pembungkusan
dan penyegelan barang bukti : memuat proses pembungkusan dan penyegelan barang
bukti yang telah dianalisis secara digital forensic untuk diserahkan kepada
pihak lembaga yang telah mengirimnya.
3. Administrasi Penyerahan Laporan
Selanjutnya
laporan hasil pemeriksaan secara digital forensic berikut barang bukti
eletroniknya diserahkan kembali kepada investigator atau lembaga pengirimnya.
Presentasi Data (Presenting)
Kegiatan
dimana bukti digital akan dipersidangkan, diuji otentifikasi dan dikorelasikan
dengan kasus yang ada. Pada tahapan ini menjadi penting, karena disinilah
proses-proses yang telah dilakukan sebelumnya akan diurai kebenarannya serta
dibuktikan kepada hakim untuk mengungkap data dan informasi kejadian.
Penanganan kerusakan
Ketika
kita mengakses registry windows, dalam proses forensik ini disebut juga dengan
pembedahan komputer, karena registry
merupakan konfigurasi sistem yang substansial dab merupakan single logical dan
store. Pada dasarnya registry
dibagi ke dalam
tiga basisdata yang
terpisah dan dialokasikan
untuk menangani user, sistem dan
pengaturan jaringan, dimana
bagian -bagian ini menyimpan informasi yang
sangat penting. Untuk
melakukan pembongkaran registrysebaiknya harus
diketahui terlebih dahulu
struktur daripada registry
windows.
Registry
terdiri dari tujuh root key yakni :
·
HKEY_CLASSES_ROOT
·
HKEY_CURRENT_USER
·
HKEY_LOCAL_MACHINE
·
HKEY_USERS
·
HKEY_CURRENT_CONFIG
·
HKEY_DYN_DATA
·
HKEY_PERFORMANCE_DATA
Pada registry
ini akan dilihat
apa-apa saja informasi
yang tersimpan di dalam
nya, misalkan melihat
aktivitas internet dapat
mengakses registry key sebagai
berikut : HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\TypedUr,
Untuk melihat beberapa
device yang terintegrasi
pada komputer dapat mengakses registry
key sebagai berikut
: HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Device,
Hal lain
yang dapat dianalisa
dari registry windows,
misalnya mengetikkan command pada
run command windows tercatat pada
registry. Untuk dapat mengaksesnya melalui
registry key sebagai
berikut :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
Penangganan Paska Kerusakan
Dalam memperbaiki
sebuah sistem yang
mengalami kerusakan perlu adanya
peralatan berupa software
untuk memulihkan sistem
yang rusak. Pada bagian ini akan
diberikan contoh sederhana kerusakan pada
registryyang telah dimodifikasi,
bisa dikarenakan virus
dan bisa juga
disengaja dimodifikasi. Dan untuk penanganan kerusakannya dapat
menggunakan softwareanti virus
Smadav versi 8.3.4.
Kasus yang terjadi
adalah icon recycle
bin pada desktop berubah nama
menjadi “Gudang Virus” seorang investigator biasanya
sudah dapat menganalisis penyebab
dan cara pemulihannya. Ada dua faktor
penyebab, yakni bisa karena virus dan bisa karena disengaja oleh user. Dan
yang perlu diketahui adalah
jika ini disebabkan
karena virus biasanya
tujuan utama seorang
pembuat virus adalah registry windows,
karena dengan bagian
ini virus dapat melumpuhkan sistem komputer dengan
merusak, memodifikasi atau meng-hiddenregistry tersebut.Untuk penanganan
kasus ini, dapat
di gunakan anti
virus Smadav 8.3.4. maka lakukan scanning terhadap
komputer yang terinfeksi.
Dari
hasil scanning di atas dapat dibuktikan bahwa ada dua registry yang terinfeksi,
bisa juga dikatakantermodifikasi.
Untuk lebih membuktikan
registrymana yang terinfeksi terlihat registry yang terinfeksi adalah file default dan LocalizedString
pada key HKCR\CLSID\HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}.
Kemudian klik Repair
All untuk memulihkan
registry yang terinfeksi tersebut. Maka setelah di refresh,
icon recycle bin akan kembali seperti semula.
Referensi:
ACPO. 7Safe (2008). Good Practice Guide for
Computer-Based Electronic Evidence. UK ACPO and 7Safe.
Muhammad Nuh Al-Azhar. (2012). Digital Forensic :
Panduan Praktis Investigasi Komputer. Salemba Infotek. Jakarta.
Zuhri Ramadhan (2011), Digital Forensik Dan
Penanganan Pasca Insiden, Jurnal Ilmiah Abdi Ilmu Vol.4 No.1.
No comments:
Post a Comment