Komputer Forensik Untuk Investigasi Kejahatan Komputer

Saturday, October 09, 2010 Phenefendi cyber crime, komputer forensik, software

Sejak pertumbuhan world wide web di tahun 1991, kejahatan komputer berkembang melalui Internet. Jenis kejahatan yang dilakukan berupa penyebaran virus, pembobolan system (hacking), pemakaian kartu kredit secara ilegal (carding), sabotase terhadap perangkat digital, pencurian informasi suatu organisasi hingga cyberterrorism. Kejahatan melalui Internet ini berakibat bahwa kejahatan tersebut dapat dilakukan tampa terbatas jarak dan waktu. Pelaku kejahatan dapat melakukan kejahatannya di belahan benua lain dalam waktu kapanpun dia mau. Penanganan kejahatan komputer ini pun tidak dapat disamakan dengan penanganan kejahatan di dunia nyata.

Dalam dunia nyata, penyelidikannya dapat diacu dari “crime scene” atau tempat kejadian perkara (yang seringkali dipasang garis polisi berwarna kuning, dan bertuliskan “Do not cross/dilarang melintas”). Namun tidak demikian untuk kejahatan computer. Karena kejahatan komputer ini umumnya meninggalkan “jejak digital”, maka para ahli forensik komputer akan mengamankan barang bukti digital atau biasa disebut sebagai e-evidence (dan tampa perlu membuat garis polisi berwarna kuning). E-evidence dapat berupa computer, ponsel, kamera digital, harddisk, USB flash disk, memory card dan sebagainya.

Dalam penanganan e-evidence ini, diperlukan perlakuan khusus karena hamper semua informasi digital yang tersimpan di media, dapat dengan mudah berubah dan diubah-dan sekali terjadi perubahan, akan sulit untuk dideteksi atau dikembalikan dalam keadaan awalnya (kecuali telah dilakukan upaya-upaya untuk mencegah perubahan). Hal yang sering dilakukan untuk mengatasi hal ini adalah menghitung nilai hash kriptografik yang berfungsi sebagai validasi keaslian data.

Beberapa perlakuan untuk menangani e-evidence yang lazim dilakukan adalah:
• Memberikan write-blocker terhadap media yang hendak dianalisa sehingga tidak memungkinkan terjadinya penulisan/penambahan atau modofikasi data terhadap media tersebut.
• Membuat image duplikat media tersebut (dan nantinya analisis dapat dilakukan terhadap image file yang dihasilkan).
• Merekam semua chain of custody atau tindakan-tindakan yang dilakukan terhadap e-evidence yang ada.
• Menggunakan perangkat yang telah diuji, dan dievaluasi untuk memastikan akurasi dan reabilitasnya.
Namun, penanganan e-evidence tidaklah dapat disamaratakan. Prosedur umum berlaku untuk proses forensik secara umum, sedangkan pada kasus-kasus khusus akan dibutuhkan perangkat keras dan perangkat lunak yang khusus pula.

Metodologi Digital Forensik

Bukti digital (Digital Evidence) merupakan salah satu perangkat vital dalam mengungkap tindak cybercrime. Dengan mendapatkan bukti-bukti yang memadai dalam sebuah tindak kejahatan, sebenarnya telah terungkap separuh kebenaran. Langkah berikutnya adalah menindak-lanjuti bukti-bukti yang ada sesuai dengan tujuan yang ingin dicapai. Bukti Digital yang dimaksud dapat berupa : E-mail, file-file dokumen kerja, spreadsheet, sourcecode dari perangkat lunak, Image, history web browser, bookmark, cookies, kalender.

Terdapat empat elemen forensik yang menjadi kunci pengungkapan bukti digital. Elemen forensik tersebut adalah : identifikasi bukti digital, penyimpanan bukti digital, analisa bukti digital, presentasi bukti digital.

Identifikasi Bukti Digital

Elemen ini merupakan tahapan paling awal dalam komputer forensik. Pada tahapan ini dilakukan identifikasi dimana bukti itu berada, dimana bukti itu disimpan, dan bagaimana penyimpanannya untuk mempermudah penyelidikan. Network Administrator merupakan sosok pertama yang umumnya mengetahui keberadaan cybercrime sebelum sebuah kasus cybercrime diusut oleh fihak yang berwenang. Ketika pihak yang berwenang telah dilibatkan dalam sebuah kasus, maka juga akan melibatkan elemen-elemen vital lainnya, antara lain:

Petugas Keamanan (Officer/as a First Responder), Memiliki kewenangan tugas antara lain : mengidentifikasi peristiwa,mengamankan bukti, pemeliharaan bukti yang temporer dan rawan kerusakan.
Penelaah Bukti (Investigator), adalah sosok yang paling berwenang dan memiliki kewenangan tugas antara lain : menetapkan instruksi-instruksi, melakukan pengusutan peristiwa kejahatan, pemeliharaan integritas bukti.
Tekhnisi Khusus, memiliki kewenangan tugas antara lain : memeliharaan bukti yang rentan kerusakan dan menyalin storage bukti, mematikan(shuting down) sistem yang sedang berjalan, membungkus/memproteksi bukti-bukti, mengangkut bukti dan memproses bukti.
Ketiga elemen vital diatas itulah yang umumnya memiliki otoritas penuh dalam penuntasan kasus cybercrime yang terjadi.

Penyimpanan Bukti Digital

Barang bukti digital merupakan barang bukti yang rapuh. Tercemarnya barang bukti digital sangatlah mudah terjadi, baik secara tidak sengaja maupun disengaja. Kesalahan kecil pada penanganan barang bukti digital dapat membuat barang bukti digital tidak diakui di pengadilan. Bentuk, isi, makna dari bukti digital hendaknya disimpan dalam tempat yang steril. Hal ini dilakukan untuk benar-benar memastikan tidak ada perubahan-perubahan. Sedikit terjadi perubahan dalam bukti digital, akan merubah hasil penyelidikan. Bukti digital secara alami bersifat sementara (volatile), sehingga keberadaannya jika tidak teliti akan sangat mudah sekali rusak, hilang, berubah, mengalami kecelakaan. Langkah pertama untuk menghindarkan dari kondisi-kondisi demikian salah satunya adalah dengan melakukan copy data secara Bitstream Image pada tempat yang sudah pasti aman. Bitstream image adalah metode penyimpanan digital dengan mengkopi setiap bit demi bit dari data orisinil, termasuk File yang tersembunyi (hidden files), File temporer (temp file), File yang terdefragmen (fragmen file), dan file yang belum ter-overwrite. Dengan kata lain, setiap biner digit demi digit di-copy secara utuh dalam media baru. Teknik pengkopian ini menggunakan teknik Komputasi CRC. Teknik ini umumnya diistilahkan dengan Cloning Disk atau Ghosting.

Analisa Bukti Digital

Barang bukti setelah disimpan, perlu diproses ulang sebelum diserahkan pada pihak yang membutuhkan. Pada proses inilah skema yang diperlukan akan fleksibel sesuai dengan kasus-kasus yang dihadapi. Barang bukti yang telah didapatkan perlu di-explore kembali kedalam sejumlah scenario yang berhubungan dengan tindak pengusutan, antara lain: siapa yang telah melakukan, apa yang telah dilakukan (Contoh : penggunaan software apa saja), hasil proses apa yang dihasilkan, waktu melakukan). Secara umum, tiap-tiap data yang ditemukan dalam sebuah sistem komputer sebenarnya adalah potensi informasi yang belum diolah, sehingga keberadaannya memiliki sifat yang cukup penting. Data yang dimaksud antara lain : Alamat URL yang telah dikunjungi, Pesan e-mail atau kumpulan alamat e-mail yang terdaftar, Program Word processing atau format ekstensi yang dipakai,Dokumen spreedsheat yang dipakai, format gambar yang dipakai apabila ditemukan, Registry Windows, Log Event viewers dan Log Applications,File print spool.

Presentasi Bukti Digital

Kesimpulan akan didapatkan ketika semua tahapan telah dilalui, terlepas dari ukuran obyektifitas yang didapatkan, atau standar kebenaran yang diperoleh, minimal bahan-bahan inilah nanti yang akan dijadikan “modal” untuk bukti di pengadilan. Selanjutnya bukti-bukti digital inilah yang akan dipersidangkan, diuji otentifikasi dan dikorelasikan dengan kasus yang ada. Pada tahapan ini semua proses-proses yang telah dilakukan sebelumnya akan diurai kebenarannya serta dibuktikan kepada hakim untuk mengungkap data dan informasi kejadian.

Topik Lainnya: cyber crime, internet, program, software, komputer, teknologi

About: Phenefendi

Phen adalah blogger pemula yang menyukai banyak hal-hal baru dalam dunia blogging, SEO, teknologi, dan dunia open source.