LANGKAH LANGKAH INDIVIDU YANG HARUS DIAM
LANGKAH-LANGKAH INDIVIDU YANG HARUS DIAMBIL DALAM RANGKA UNTUK
MELINDUNGI BARANG BUKTI ELEKTRONIK (DIGITAL EVIDENCE)
Nama : Irfan Eka Putra
Tanggal
: 11 Mei 2014
Email : irfanekaputra93@gmail.com
A. Definisi
Computer Forensic / Digital Forensic adalah serangkaian metodologi yang digunakan
dalam melakukan akuisisi (imaging), pengumpulan, analisa, serta presentasi bukti digital. Bukti
digital mencakup setiap informasi elektronik yang disimpan atau diolah menggunakan teknologi
komputer sehingga dapat digunakan untuk mendukung atau menolak tentang bagaimana sebuah
insiden atau tindakan pelanggaran hukum terjadi. Karena keterlibatan proses computer forensic
adalah setelah terjadinya suatu insiden maka metodologi yang tepat sangat diperlukan untuk
mempercepat proses investigasi serta mendapatkan bukti-bukti digital yang akurat.
Terdapat dua jenis data yang bisa diperoleh pada komputer yang berpotensi sebagai bukti
digital, antara lain data persistent dan data non-persistent. Perbedaan dari keduanya adalah pada
jangka waktu atau masa aktif data tersebut disimpan dalam suatu media. Untuk menggali
masing-masing jenis data dibutuhkan metode tersendiri.
Pengetahuan terhadap karakteristik masing- masing file (ekstensi file, signature), file
system, berikut sistem operasi yang digunakan adalah salah satu pengetahuan yang harus dimiliki
seorang tenaga ahli computer forensic.
Dengan memiliki kemampuan Computer Forensic, setiap terjadi insiden yang mengancam
keamanan informasi pada sebuah organisasi dapat segera dilakukan mitigasi dan celah keamanan
yang ada dapat segera dievaluasi. Demikian pula apabila terjadi insiden yang melibatkan proses
penegakan hukum, institusi tersebut akan mampu menggali serta melakukan analisa terhadap
bukti digital yang dapat digunakan untuk membantu memudahkan proses investigasi.
Selanjutnya bukti digital tersebut dapat digunakan untuk menolak atau mengajukan tuntutan
atas tindakan pelanggaran yang terjadi.
B. Latar Belakang Pengumpulan Digital Evidence
Perkembangan teknologi yang sedemikian cepat diiringi dengan teknologi jaringan
komputer yang semakin kompleks merupakan tantangan dalam Computer Forensic. Jika dulu
seorang tenaga ahli computer forensic dapat dengan mudah mendapatkan bukti digtal dari
hardisk pada sebuah komputer, kini dihadapkan dengan berbagai jenis aplikasi serta
penyimpanan data redundant seperti RAID storage, bahkan terintegrasi dengan internet atau
dikenal dengan komputasi awan (cloud computing).
Oleh sebab itu, seorang tenaga ahli computer forensic juga dituntut untuk memiliki
kompetensi pengetahuan serta ketrampilan untuk mengidentifikasi, menggali, serta
menganalisis jenis- jenis dokumen dengan teknologi tertentu yang berpotensi sebagai bukti
digital. Seperti misalnya sebuah gambar yang diambil menggunakan kamera digital modern dapat
mengandung informasi meliputi tanggal dan jam saat foto diambil, merk dan tipe kamera yang
digunakan, karakteristik lensa yang digunakan, bahkan mereka harus mampu menampilkan
informasi posisi di mana foto tersebut diambil. Semua informasi tersebut merupakan informasi
yang berharga dan berguna untuk membantu proses investigasi.
C. Prosedur Investigasi
Hardware dan Software pendukung Investigasi
Hardware disini bisa berupa sebuah computer khusus seperti FREDM (Forensics Recovery
of Evidence Device, Modular), FRED (Forensics Recovery of Evidence Device) FREDDIE (Forensics
Recovery of Evidence Device Diminutive Interrogation Equipment).
Tool hardware lain seperti ;
Hardisk kapasitas besar (minimal 250 GB)
IDE ribbon cable
Boot Disk atau utility akusisi data
Laptop IDE 40 pin adapter
IDE Disk ekternal write protector
Kantong plastic anti-statik
Label untuk barang bukti
Software khususnya ;
Forensics Data seperti : En case, Safe Back, Norton Ghost
Password Recovery toolkit
Pembangkit data setelah delete : WipeDrive dan Secure Clean
Menemukan perubahan data digital : DriveSpy
dll
Kesalahan sekecil apapun selama proses investigasi komputer forensik dapat
menyebabkan rusak atau bahkan hilangnya bukti digital, sehingga berimbas kegagalan
penyelesaian suatu kasus atau bahkan ditolaknya bukti digital dipengadilan. Bukti digital harus
ditangani secara hati-hati dan teliti untuk menghindari kerusakan yang berujung pada penolakan
di pengadilan.
Kehati- hatian pada penanganan ini tidak hanya secara logika namun juga media fisik yang
digunakan untuk menyimpan bukti digital tersebut, misalnya bukti digital yang terdapat pada
hard disk dapat rusak atau hilang karena radiasi elektromagnetik, akibat penyimpanan yang tidak
tepat. Sehingga tenaga ahli computer forensic juga harus menangani komputer dan medianya
dengan prosedur tertentu untuk menutup kemungkinan barang bukti yang rusak, terganggu,
atau sengaja diubah.
Salah satu metode yang dapat digunakan untuk memperoleh barang bukti adalah data
Data Acquisition. Data Acquisition adalah sebuah proses imaging atau kegiatan memperoleh
informasi dari sebuah perangkat digital, alat serta media pendukung lainnya.
Tujuan pembuatan Duplicate Image:
Computer/media adalah sebuah criminal scene dan harus dilindungi demi memastikan
barang bukti tidak terkontaminasi.
Duplicate Image memungkinkan untuk :
-
Memelihara dan melindungi barang bukti asli
-
Mencegah perubahan barang bukti yang tidak disengaja selama pemeriksaan
-
Memungkinkan untuk membuat kembali Duplicate Image jika diperlukan
-
Barang bukti dapat diduplikasi tanpa mengalami degradasi dari proses penyalinan.
Masalah yang dihadapi oleh Data Duplication (Duplikasi Data):
-
Duplikasi data bisa mencemari data asli, yang nantinya tidak bisa diakui sebagai
barang bukti
-
Ada kemungkinan pengrusakan dengan menduplikasi data
-
Fragmen data bisa tertimpa dan data yang disimpan di Windows swap file bisa diubah
atau dihancurkan
-
Jika data asli terkontaminasi, maka barang bukti penting akan hilang dan
menyebabkan masalah dalam proses investigasi
Akuisisi data statik
Data statik adalah data yang tetap tidak berubah setelah computer dimatikan, ditemukan
di hard drives dan media penyimpanan bergerak (removable storage media) seperti USB Drive,
flash card, CD-ROM, dan hard drive eksternal lainnya.
Contoh dari data statik adalah email, dokumen word processing, aktivitas web,
spreadsheet, slack space, file swap, ruang drive yang belum dialokasikan, dan berbagai file yang
dihapus.
Data statik yang bisa diperoleh kembali dari hard drive antara lain :
-
File temporary
-
System registries
-
Event/system logs
-
Boot sectors
-
Web browser cache
-
Cookies
-
Hidden files
Hal yang harus dilakukan dalam pengumpulan data statik :
1. Siapkan dokumen chain of custody untuk dijadikan sebagai kerangka pengumpulan
informasi serta untuk melindungi integritas dari informasi.
2. Hitung nilai hash (penjumlahan MD5) dari hard drive yang dicurigai.
3. Buat salinan bit-by-bit (bit-stream) dari hard drive menggunakan tools disk managing
seperti dd.exe, R-drive Image, dan P2 eXplorer Pro, dll.
4. Hitung nilai hash dari disk/file image yang baru dibuat dan bandingkan dengan nilai
hash dari file lama untuk memverifikasi autentikannya.
5. Jangan mengerjakannya pada barang bukti yang asli. Buatlah bit-stream image dari
drive/file yang dicurigai untuk melihat data statik tadi.
Beberapa potensi ancaman yang dapat mengubah atau menghilangkan bukti digital
selama proses akuisisi bukti digital dari suatu media :
a. Virus, merupakan program jahat yang dapat aktif jika dieksekusi baik secara sengaja
maupun tidak, karena eksekusi program lainnya. Virus memiliki potensi untuk merusak
atau menghilangkan bukti digital.
b. Program yang melakukan pembersihan temporary file. Beberapa program seperti cache,
history, maupun cookies pada komputer yang berjalan secara otomatis ketika komputer
dinyalakan atau dimatikan. Program berjenis ini sebenarnya bukan merupakan program
jahat namun memang digunakan untuk meningkatkan performa komputer. Temporary
file tersebut berpotensi sebagai bukti digital. Sehingga ini merupakan prosedur yang
harus diketahui oleh tenaga ahli computer forensic untuk tidak melakukan shut down
pada komputer yang sedang running atau menyalakan komputer yang dalam keadaan
mati.
c. Penyimpan media dalam suatu ruangan yang tidak kondusif. Keadaan seperti ini dapat
mengakibatkan kerusakan atau hillangnya bukti digital. Sehingga diperlukan ruangan
khusus untuk penyimpanan media yang dapat dipantau serta diatur kelembaban
udaranya, serta terhindar dari gangguan listrik elektro statis maupun medan magnet.
Faktor penting yang tidak berhubungan secara fisik pada Proses akuisisi dan pemeriksaan
bukti digital :
a. Chain of Custody atau dokumen yang mencatat setiap proses investigasi dari mulai
identifikasi bukti digital, duplikasi, analisa hingga pembuktian di pengadilan.
Pendokumentasian bukti digital harus ditulis secara rinci setiap prosesnya serta
mencakup informasi siapa, apa, dimana, kapan, mengapa, dan bagaimana suatu bukti
digital tersebut diperiksa.
b. Waktu menjadi salah satu faktor yang krusial, baik itu yang berhubungan dengan bukti
digital maupun kasus yang sedang diperiksa. Dengan adanya tekanan waktuancaman
hilangnya bukti digital dapat terjadi. Bukti digital dalam memory misalnya memiliki masa
aktif yang sangat singkat, sehingga dibutuhkan waktu yang cepat untuk mengambil bukti
digital tersebut. Demikian halnya jika terkait dengan suatu kasus tertentu seperti
terorisme, dimana dibutuhkan proses yang cepat untuk melakukan investigasi, sehingga
ancaman terorisme dapat digagalkan.
c. Proses pengumpulan bukti digital membutuhkan waktu yang cukup lama, terlebih jika
terdapat pada beberapa media penyimpanan yang berkapasitas besar. Terkadang juga
bukti digital tersimpan dalam format tertentu yang sengaja disembunyikan, tujuannya
tidak lain untuk mengelabuhi, sehingga tidak mudah untuk dibaca. Beberapa teknik yang
umum digunakan antara lain :
a) Mengubah file extension. Teknik ini mudah dilakukan namun mampu untuk
mengelabuhi,
contoh
file
dokumen
berektensi
.docx
yang
diubah
ekstensinyamenjadi .exe, yang kemudian file tersebut disimpan di folder
temporary. Jika seorang yang melakukan investigasi komputer forensik tidak jeli
dalam mengidentifikasi file tersebut, dapat berpengaruh terhadap keberhasilan
proses investigasi.
b) Teknologi enskripsi yang memerlukan key atau password tertentu untuk
membaca informasi di dalamnya. Jika dihadapkan pada kondisi seperti ini, seorang
tenaga ahli computer forensic perlu melakukan pemeriksaan yang mendalam
untuk menemukan petunjuk yang lain atau menggunakan teknik tertentu untuk
menemukan key atau password agar informasi yang dienskripsi atau
disembunyikan dapat dibaca. Proses ini akan membutuhkan waktu yang cukup
lama.
c) Steganography yang memiliki kemampuan untuk menyembunyikan file atau
informasi kedalam suatu file tertentu seperti gambar, audio, bahkan video.
Berikut adalah prosedur umum yang dapat diterapkan selama proses investigasi
Komputer forensik yang mencakup aspek teknis dan non-teknis :
1. Sebelum memulai pemeriksaan pastikan anda memiliki hak atau legalitas untuk menyita
dan memeriksa komputer tersangka.
2. Tempat kejadian perkara merupakan lokasi yang sangat sensitif maka buatlah garis
pembatas menuju tempat kejadian yang hanya diperuntukkan bagi pihak berwenang
serta terlibat dalam penyelidikan. Lakukan pendokumentasian mendetail pada tempat
kejadian perkara. Lakukan pengambilan gambar dari berbagai sudut serta objek tertentu
yang terdapat di tempat kejadian dan berikan label pada masing-masing objek tersebut.
3. Jika di tempat kejadian ditemukan komputer dalam keadaan menyala, jangan langsung
mematikan. Lakukan identifikasi terhadap komputer tersebut dan catatlah beberapa
informasi penting seperti informasi aktivitas atau aplikasi yang sedang berjalan, informasi
koneksi , informasi sistem operasi, hard disk, partisi , informasi proses atau service yang
sedang berjalan. Setelah proses identifikasi selesai dilakukan, lanjutkan dengan proses
akuisisi (imaging) data, baik yang tersimpan pada hard disk maupun yang tersimpan di
RAM. Jika seluruh proses tersebut telah selesai, matikan komputer dengan cara mencabut
langsung melalui sumber dayanya dan jangan pernah melakukan proses shut down secara
normal.
4. Sebaliknya jika di tempat kejadian ditemukan komputer dalam keadaan mati,jangan
pernah menyalakan atau melakukan booting normal pada komputer tersebut. Langkah
yang dilakukan adalah melepas hard disk-nya serta mencatat informasi fisik hard disk
yang tedapat pada label hard disk tersebut.
5. Langkah berikutnya adalah melakukan imaging dengan memasang hard disk tersebut
pada perangkat computer forensic yang telah dilengkapi dengan perangkat Write Blocker.
Pastikan media back up yang digunakan untuk menyimpan hasil imaging memiliki
kapasitas yang cukup. Write blocker dapat berupa hardware maupun software yang
berfungsi untuk menghindari penulisan langsung terhadap hard disk sehingga melindungi
bukti digital dari perubahan serta kerusakan data.
6. Untuk memastikan proses imaging berjalan dengan sempurna, lakukan pengecekan
dengan menggunakan teknik Hashing. Teknik ini merupakan teknik komputasi untuk
mengambil nilai hash yang dapat dilakukan secara otomatis menggunakan software
tertentu. Lakukan hashing pada kedua media dan bandingkan hasilnya. Pastikan bahwa
nilai hash yang dihasilkan oleh kedua media tersebut sama. Hal Ini menunjukkan bahwa
proses imaging telah sempurna.
7. Langkah berikutnya adalah melakukan pemeriksaan atau analisis secara mendetail pada
media tersebut baik terhadap file yang aktif, terhapus, maupun tersembunyi.
Pemeriksaan dapat dilakukan antara lain dengan analisis metadata, analisis timeline
(kronologis), analisis string, serta pemulihan (recovery) terhadap suatu file yang terhapus
atau terfragmentasi.
8. Catatlah setiap proses yang dilakukan dalam lembar Chain Of Custody.
9. Lakukan pendokumentasian secara menyeluruh mulai dari awal penyelidikan hingga
tahap akhir pemeriksaan bukti digital.
Referensi :
http://pacekonathyo.wordpress.com/2013/11/13/378/
http://indonesianbacktrack.or.id/forum/printthread.php?tid=4819
http://webmugiharno.blogspot.com/2012/09/komputer-forensik.html
http://slametridwan.wordpress.com/it-forensic-detectiv-cyber/
http://iwankuliah.files.wordpress.com/2014/02/kuliah_07_data_acquisition_and_duplication.p
ptx
MELINDUNGI BARANG BUKTI ELEKTRONIK (DIGITAL EVIDENCE)
Nama : Irfan Eka Putra
Tanggal
: 11 Mei 2014
Email : irfanekaputra93@gmail.com
A. Definisi
Computer Forensic / Digital Forensic adalah serangkaian metodologi yang digunakan
dalam melakukan akuisisi (imaging), pengumpulan, analisa, serta presentasi bukti digital. Bukti
digital mencakup setiap informasi elektronik yang disimpan atau diolah menggunakan teknologi
komputer sehingga dapat digunakan untuk mendukung atau menolak tentang bagaimana sebuah
insiden atau tindakan pelanggaran hukum terjadi. Karena keterlibatan proses computer forensic
adalah setelah terjadinya suatu insiden maka metodologi yang tepat sangat diperlukan untuk
mempercepat proses investigasi serta mendapatkan bukti-bukti digital yang akurat.
Terdapat dua jenis data yang bisa diperoleh pada komputer yang berpotensi sebagai bukti
digital, antara lain data persistent dan data non-persistent. Perbedaan dari keduanya adalah pada
jangka waktu atau masa aktif data tersebut disimpan dalam suatu media. Untuk menggali
masing-masing jenis data dibutuhkan metode tersendiri.
Pengetahuan terhadap karakteristik masing- masing file (ekstensi file, signature), file
system, berikut sistem operasi yang digunakan adalah salah satu pengetahuan yang harus dimiliki
seorang tenaga ahli computer forensic.
Dengan memiliki kemampuan Computer Forensic, setiap terjadi insiden yang mengancam
keamanan informasi pada sebuah organisasi dapat segera dilakukan mitigasi dan celah keamanan
yang ada dapat segera dievaluasi. Demikian pula apabila terjadi insiden yang melibatkan proses
penegakan hukum, institusi tersebut akan mampu menggali serta melakukan analisa terhadap
bukti digital yang dapat digunakan untuk membantu memudahkan proses investigasi.
Selanjutnya bukti digital tersebut dapat digunakan untuk menolak atau mengajukan tuntutan
atas tindakan pelanggaran yang terjadi.
B. Latar Belakang Pengumpulan Digital Evidence
Perkembangan teknologi yang sedemikian cepat diiringi dengan teknologi jaringan
komputer yang semakin kompleks merupakan tantangan dalam Computer Forensic. Jika dulu
seorang tenaga ahli computer forensic dapat dengan mudah mendapatkan bukti digtal dari
hardisk pada sebuah komputer, kini dihadapkan dengan berbagai jenis aplikasi serta
penyimpanan data redundant seperti RAID storage, bahkan terintegrasi dengan internet atau
dikenal dengan komputasi awan (cloud computing).
Oleh sebab itu, seorang tenaga ahli computer forensic juga dituntut untuk memiliki
kompetensi pengetahuan serta ketrampilan untuk mengidentifikasi, menggali, serta
menganalisis jenis- jenis dokumen dengan teknologi tertentu yang berpotensi sebagai bukti
digital. Seperti misalnya sebuah gambar yang diambil menggunakan kamera digital modern dapat
mengandung informasi meliputi tanggal dan jam saat foto diambil, merk dan tipe kamera yang
digunakan, karakteristik lensa yang digunakan, bahkan mereka harus mampu menampilkan
informasi posisi di mana foto tersebut diambil. Semua informasi tersebut merupakan informasi
yang berharga dan berguna untuk membantu proses investigasi.
C. Prosedur Investigasi
Hardware dan Software pendukung Investigasi
Hardware disini bisa berupa sebuah computer khusus seperti FREDM (Forensics Recovery
of Evidence Device, Modular), FRED (Forensics Recovery of Evidence Device) FREDDIE (Forensics
Recovery of Evidence Device Diminutive Interrogation Equipment).
Tool hardware lain seperti ;
Hardisk kapasitas besar (minimal 250 GB)
IDE ribbon cable
Boot Disk atau utility akusisi data
Laptop IDE 40 pin adapter
IDE Disk ekternal write protector
Kantong plastic anti-statik
Label untuk barang bukti
Software khususnya ;
Forensics Data seperti : En case, Safe Back, Norton Ghost
Password Recovery toolkit
Pembangkit data setelah delete : WipeDrive dan Secure Clean
Menemukan perubahan data digital : DriveSpy
dll
Kesalahan sekecil apapun selama proses investigasi komputer forensik dapat
menyebabkan rusak atau bahkan hilangnya bukti digital, sehingga berimbas kegagalan
penyelesaian suatu kasus atau bahkan ditolaknya bukti digital dipengadilan. Bukti digital harus
ditangani secara hati-hati dan teliti untuk menghindari kerusakan yang berujung pada penolakan
di pengadilan.
Kehati- hatian pada penanganan ini tidak hanya secara logika namun juga media fisik yang
digunakan untuk menyimpan bukti digital tersebut, misalnya bukti digital yang terdapat pada
hard disk dapat rusak atau hilang karena radiasi elektromagnetik, akibat penyimpanan yang tidak
tepat. Sehingga tenaga ahli computer forensic juga harus menangani komputer dan medianya
dengan prosedur tertentu untuk menutup kemungkinan barang bukti yang rusak, terganggu,
atau sengaja diubah.
Salah satu metode yang dapat digunakan untuk memperoleh barang bukti adalah data
Data Acquisition. Data Acquisition adalah sebuah proses imaging atau kegiatan memperoleh
informasi dari sebuah perangkat digital, alat serta media pendukung lainnya.
Tujuan pembuatan Duplicate Image:
Computer/media adalah sebuah criminal scene dan harus dilindungi demi memastikan
barang bukti tidak terkontaminasi.
Duplicate Image memungkinkan untuk :
-
Memelihara dan melindungi barang bukti asli
-
Mencegah perubahan barang bukti yang tidak disengaja selama pemeriksaan
-
Memungkinkan untuk membuat kembali Duplicate Image jika diperlukan
-
Barang bukti dapat diduplikasi tanpa mengalami degradasi dari proses penyalinan.
Masalah yang dihadapi oleh Data Duplication (Duplikasi Data):
-
Duplikasi data bisa mencemari data asli, yang nantinya tidak bisa diakui sebagai
barang bukti
-
Ada kemungkinan pengrusakan dengan menduplikasi data
-
Fragmen data bisa tertimpa dan data yang disimpan di Windows swap file bisa diubah
atau dihancurkan
-
Jika data asli terkontaminasi, maka barang bukti penting akan hilang dan
menyebabkan masalah dalam proses investigasi
Akuisisi data statik
Data statik adalah data yang tetap tidak berubah setelah computer dimatikan, ditemukan
di hard drives dan media penyimpanan bergerak (removable storage media) seperti USB Drive,
flash card, CD-ROM, dan hard drive eksternal lainnya.
Contoh dari data statik adalah email, dokumen word processing, aktivitas web,
spreadsheet, slack space, file swap, ruang drive yang belum dialokasikan, dan berbagai file yang
dihapus.
Data statik yang bisa diperoleh kembali dari hard drive antara lain :
-
File temporary
-
System registries
-
Event/system logs
-
Boot sectors
-
Web browser cache
-
Cookies
-
Hidden files
Hal yang harus dilakukan dalam pengumpulan data statik :
1. Siapkan dokumen chain of custody untuk dijadikan sebagai kerangka pengumpulan
informasi serta untuk melindungi integritas dari informasi.
2. Hitung nilai hash (penjumlahan MD5) dari hard drive yang dicurigai.
3. Buat salinan bit-by-bit (bit-stream) dari hard drive menggunakan tools disk managing
seperti dd.exe, R-drive Image, dan P2 eXplorer Pro, dll.
4. Hitung nilai hash dari disk/file image yang baru dibuat dan bandingkan dengan nilai
hash dari file lama untuk memverifikasi autentikannya.
5. Jangan mengerjakannya pada barang bukti yang asli. Buatlah bit-stream image dari
drive/file yang dicurigai untuk melihat data statik tadi.
Beberapa potensi ancaman yang dapat mengubah atau menghilangkan bukti digital
selama proses akuisisi bukti digital dari suatu media :
a. Virus, merupakan program jahat yang dapat aktif jika dieksekusi baik secara sengaja
maupun tidak, karena eksekusi program lainnya. Virus memiliki potensi untuk merusak
atau menghilangkan bukti digital.
b. Program yang melakukan pembersihan temporary file. Beberapa program seperti cache,
history, maupun cookies pada komputer yang berjalan secara otomatis ketika komputer
dinyalakan atau dimatikan. Program berjenis ini sebenarnya bukan merupakan program
jahat namun memang digunakan untuk meningkatkan performa komputer. Temporary
file tersebut berpotensi sebagai bukti digital. Sehingga ini merupakan prosedur yang
harus diketahui oleh tenaga ahli computer forensic untuk tidak melakukan shut down
pada komputer yang sedang running atau menyalakan komputer yang dalam keadaan
mati.
c. Penyimpan media dalam suatu ruangan yang tidak kondusif. Keadaan seperti ini dapat
mengakibatkan kerusakan atau hillangnya bukti digital. Sehingga diperlukan ruangan
khusus untuk penyimpanan media yang dapat dipantau serta diatur kelembaban
udaranya, serta terhindar dari gangguan listrik elektro statis maupun medan magnet.
Faktor penting yang tidak berhubungan secara fisik pada Proses akuisisi dan pemeriksaan
bukti digital :
a. Chain of Custody atau dokumen yang mencatat setiap proses investigasi dari mulai
identifikasi bukti digital, duplikasi, analisa hingga pembuktian di pengadilan.
Pendokumentasian bukti digital harus ditulis secara rinci setiap prosesnya serta
mencakup informasi siapa, apa, dimana, kapan, mengapa, dan bagaimana suatu bukti
digital tersebut diperiksa.
b. Waktu menjadi salah satu faktor yang krusial, baik itu yang berhubungan dengan bukti
digital maupun kasus yang sedang diperiksa. Dengan adanya tekanan waktuancaman
hilangnya bukti digital dapat terjadi. Bukti digital dalam memory misalnya memiliki masa
aktif yang sangat singkat, sehingga dibutuhkan waktu yang cepat untuk mengambil bukti
digital tersebut. Demikian halnya jika terkait dengan suatu kasus tertentu seperti
terorisme, dimana dibutuhkan proses yang cepat untuk melakukan investigasi, sehingga
ancaman terorisme dapat digagalkan.
c. Proses pengumpulan bukti digital membutuhkan waktu yang cukup lama, terlebih jika
terdapat pada beberapa media penyimpanan yang berkapasitas besar. Terkadang juga
bukti digital tersimpan dalam format tertentu yang sengaja disembunyikan, tujuannya
tidak lain untuk mengelabuhi, sehingga tidak mudah untuk dibaca. Beberapa teknik yang
umum digunakan antara lain :
a) Mengubah file extension. Teknik ini mudah dilakukan namun mampu untuk
mengelabuhi,
contoh
file
dokumen
berektensi
.docx
yang
diubah
ekstensinyamenjadi .exe, yang kemudian file tersebut disimpan di folder
temporary. Jika seorang yang melakukan investigasi komputer forensik tidak jeli
dalam mengidentifikasi file tersebut, dapat berpengaruh terhadap keberhasilan
proses investigasi.
b) Teknologi enskripsi yang memerlukan key atau password tertentu untuk
membaca informasi di dalamnya. Jika dihadapkan pada kondisi seperti ini, seorang
tenaga ahli computer forensic perlu melakukan pemeriksaan yang mendalam
untuk menemukan petunjuk yang lain atau menggunakan teknik tertentu untuk
menemukan key atau password agar informasi yang dienskripsi atau
disembunyikan dapat dibaca. Proses ini akan membutuhkan waktu yang cukup
lama.
c) Steganography yang memiliki kemampuan untuk menyembunyikan file atau
informasi kedalam suatu file tertentu seperti gambar, audio, bahkan video.
Berikut adalah prosedur umum yang dapat diterapkan selama proses investigasi
Komputer forensik yang mencakup aspek teknis dan non-teknis :
1. Sebelum memulai pemeriksaan pastikan anda memiliki hak atau legalitas untuk menyita
dan memeriksa komputer tersangka.
2. Tempat kejadian perkara merupakan lokasi yang sangat sensitif maka buatlah garis
pembatas menuju tempat kejadian yang hanya diperuntukkan bagi pihak berwenang
serta terlibat dalam penyelidikan. Lakukan pendokumentasian mendetail pada tempat
kejadian perkara. Lakukan pengambilan gambar dari berbagai sudut serta objek tertentu
yang terdapat di tempat kejadian dan berikan label pada masing-masing objek tersebut.
3. Jika di tempat kejadian ditemukan komputer dalam keadaan menyala, jangan langsung
mematikan. Lakukan identifikasi terhadap komputer tersebut dan catatlah beberapa
informasi penting seperti informasi aktivitas atau aplikasi yang sedang berjalan, informasi
koneksi , informasi sistem operasi, hard disk, partisi , informasi proses atau service yang
sedang berjalan. Setelah proses identifikasi selesai dilakukan, lanjutkan dengan proses
akuisisi (imaging) data, baik yang tersimpan pada hard disk maupun yang tersimpan di
RAM. Jika seluruh proses tersebut telah selesai, matikan komputer dengan cara mencabut
langsung melalui sumber dayanya dan jangan pernah melakukan proses shut down secara
normal.
4. Sebaliknya jika di tempat kejadian ditemukan komputer dalam keadaan mati,jangan
pernah menyalakan atau melakukan booting normal pada komputer tersebut. Langkah
yang dilakukan adalah melepas hard disk-nya serta mencatat informasi fisik hard disk
yang tedapat pada label hard disk tersebut.
5. Langkah berikutnya adalah melakukan imaging dengan memasang hard disk tersebut
pada perangkat computer forensic yang telah dilengkapi dengan perangkat Write Blocker.
Pastikan media back up yang digunakan untuk menyimpan hasil imaging memiliki
kapasitas yang cukup. Write blocker dapat berupa hardware maupun software yang
berfungsi untuk menghindari penulisan langsung terhadap hard disk sehingga melindungi
bukti digital dari perubahan serta kerusakan data.
6. Untuk memastikan proses imaging berjalan dengan sempurna, lakukan pengecekan
dengan menggunakan teknik Hashing. Teknik ini merupakan teknik komputasi untuk
mengambil nilai hash yang dapat dilakukan secara otomatis menggunakan software
tertentu. Lakukan hashing pada kedua media dan bandingkan hasilnya. Pastikan bahwa
nilai hash yang dihasilkan oleh kedua media tersebut sama. Hal Ini menunjukkan bahwa
proses imaging telah sempurna.
7. Langkah berikutnya adalah melakukan pemeriksaan atau analisis secara mendetail pada
media tersebut baik terhadap file yang aktif, terhapus, maupun tersembunyi.
Pemeriksaan dapat dilakukan antara lain dengan analisis metadata, analisis timeline
(kronologis), analisis string, serta pemulihan (recovery) terhadap suatu file yang terhapus
atau terfragmentasi.
8. Catatlah setiap proses yang dilakukan dalam lembar Chain Of Custody.
9. Lakukan pendokumentasian secara menyeluruh mulai dari awal penyelidikan hingga
tahap akhir pemeriksaan bukti digital.
Referensi :
http://pacekonathyo.wordpress.com/2013/11/13/378/
http://indonesianbacktrack.or.id/forum/printthread.php?tid=4819
http://webmugiharno.blogspot.com/2012/09/komputer-forensik.html
http://slametridwan.wordpress.com/it-forensic-detectiv-cyber/
http://iwankuliah.files.wordpress.com/2014/02/kuliah_07_data_acquisition_and_duplication.p
ptx