Dalam
pengimplementasian IT Forensik, terdapat 2 hal penting yang perlu diperhatikan,
yaitu :
1. Bukti
digital (digital evidence).
Merupakan
informasi yang didapat dalam bentuk atau format digital, contohnya e-mail.
Salah satu persoalan yang ditimbulkan oleh teknologi digital adalah kemudahan
untuk mengubah data. Sebuah dokumen elektronik dapat dengan mudah diubah dengan
menggunakan sebuah wordprocessor sehingga dokumen tampak seperti sama. Di dunia
analog yang konvensional, jika kita mengubah
isi sebuah dokumen (misalnya dengan menghapus atau menimpanya dengan tulisan
lain) maka akan kelihatan perubahan tersebut. Hal ini menyebabkan orang bingung
dengan barang bukti digital dan menimbulkan sebuah pertanyaan, apakah dokumen
elektronik bisa dijadikan bukti? Jika kita ambil dokumen hasil wordprocessor,
yang mana yang disebut asli? Apakah dokumen
dalam bentuk kertas yang dicetak? Ataukah dokumen yang berada di harddisk?
Dokumen yang berada di Compact Disc? Atau dokumen yang saat ini berada
di memory komputer? Pertanyaan-pertanyaan tersebut di atas ini terjadi karena
kita menggunakan konsep berpikir konvensional. Pada konsep lama, konsep
(dokumen) asli itu hanya ada satu buah. Sementara itu dalam konsep digital,
dokumen asli bisa lebih dari satu buah. Kesemua dokumen itu asli. Keaslian
sebuah dokumen tidak ditentukan oleh jumlahnya, akan tetapi oleh keaslian
isinya. Dalam dunia digital, hal ini dapat dilakukan dengan menggunakan digital
signature atau tanda tangan digital. Digital signature merupakan sebuah konsep untuk memastikan
bahwa isi dokumen tidak berubah. Aspek yang ingin dipertahankan adalah aspek “non-repudiation”(tidak
dapat menyangkal). Aspek ini dapat dipenuhi dengan adanya digital signature.
Bahkan dengan konsep digital signature, dokumen yang dicetak (atau
bahkan difotocopy atau di-fax-kan) adalah dokumen yang tidak asli.
2. Elemen kunci IT Forensik
Empat
Elemen Kunci Forensik
yang harus diperhatikan
berkenaan dengan bukti digital dalam Teknologi Informasi, adalah sebagai berikut:
berkenaan dengan bukti digital dalam Teknologi Informasi, adalah sebagai berikut:
a. Identifikasi dalam
bukti digital (Identification/Collecting Digital Evidence)
Merupakan
tahapan paling awal dalam teknologi informasi. Pada tahapan ini dilakukan
identifikasi dimana bukti itu berada, dimana bukti itu disimpan, dan bagaimana
penyimpanannya untuk mempermudah penyelidikan. Network Administrator merupakan
sosok pertama yang umumnya mengetahui keberadaan cybercrime, atau Tim
Respon cybercrime diusut oleh cyberpolice. Ketika cyberpolice
telah dilibatkan dalam sebuah kasus, maka juga akan melibatkan elemen-elemen
vital yang lainnya, antara lain: (jika perusahaan memilikinya)
~ Petugas
Keamanan (Officer/as a First Responder), Memiliki tugas-tugas
yakni : ((i) Mengidentifikasi Peristiwa, (ii)Mengamankan Bukti dan (iii)
Pemeliharaan bukti yang temporer dan Rawan Kerusakan.
~ Penelaah
Bukti (Investigator), Memiliki Tugas-tugas yakni : (i) Menetapkan
instruksi-instruksi sebagai sosok paling berwenang, (ii) Melakukan pengusutan
peristiwa kejahatan,(iii) Pemeliharaan integritas bukti.
~ Teknisi
Khusus, Memiliki tugas-tugas (dihindari terjadi overlaping job dengan
Investigator), yakni (i) Pemeliharaan bukti yang rentan kerusakan dan menyalin storageshuting
down) sistem yang sedang berjalan,(iii) Membungkus / memproteksi
bukti-bukti, (iv)Mengangkut bukti, (v) Memproses bukti bukti,(ii).
Elemen-elemen
vital diatas inilah yang kemudian nantinya memiliki otoritas penuh
dalam penuntasan kasus kriminal yang terjadi.
b. Penyimpanan bukti
digital (Preserving Digital Evidence)
Bentuk
isi makna bukti digital hendaknya disimpan dalam tempat yang steril.
Untuk benar-benar memastikan tidak ada perubahan-perubahan, hal ini vital untuk
diperhatikan. Karena sedikit perubahan saja dalam bukti digital, akan merubah
juga hasil penyelidikan. Bukti digital secara alami bersifat sementara (volatile),
sehingga keberadaannya jika tidak teliti akan sangat mudah sekali rusak,
hilang, berubah, mengalami kecelakaan. Step pertama untuk menghindarkan dari
kondisi-kondisi demikian adalah salah satunya dengan mengcopy data secara bitstream
image pada tempat yang sudah pasti aman.
Bitstream
image adalah metode penyimpanan digital dengan mengkopi setiap bit demi
bit dari data orisinil, termasuk file yang tersembunyi (hidden files),
file temporer (temp file), file yang terfragmentasi (fragmen file),
file yang belum ter-ovverwrite. Dengan kata lain, setiap biner digit
demi digit terkopi secara utuh dalam media baru. Tekhnik pengkopian ini
menggunakan teknik Komputasi CRC. Teknik ini umumnya diistilahkan
dengan Cloning DiskGhosting.
Software-software
yang dapat digunakan dalam aktivitas ini antara lain adalah:
·
Safe Back.
Dipasarkan sejak tahun 1990 untuk penegakan Hukum dan Kepolisian. Digunakan
oleh FBI dan Divisi Investigasi Kriminal IRS. Berguna untuk
pemakaian partisi tunggal secara virtual dalam segala ukuran. File image dapat
ditransformasikan dalam format SCSI atau media storage magnetik
lainnya.
·
EnCase.
Seperti SafeBack yang merupakan program berbasis karakter, EnCase
adalah program dengan fitur yang relatif mirip, dengan Interface GUI yang mudah
dipakai oleh tekhnisi secara umum. Dapat dipakai dengan Multiple Platform
seperti Windows NT atau Palm OS. Memiliki fasilitas
dengan Preview Bukti, dan pengkopian target Searching Analyzing.
·
Pro Discover.
Aplikasi berbasis Windows yang didesain oleh tim Technology Pathways
forensics. Memiliki kemampuan untuk me-recover file yang telah
terhapus dari space storage yang longgar, mengalanalisis Windows
2000/NT data stream untuk data yang terhidden,menganalisis
data image yang diformat oleh kemampuandd UNIX dan menghasilkan
laporan kerja.
c. Analisa bukti digital (Analizing
Digital Evidence)
Barang bukti setelah
disimpan, perlu diproses ulang sebelum diserahkan pada pihak yang membutuhkan.
Pada proses inilah skema yang diperlukan akan fleksibel sesuai dengan
kasus-kasus yang dihadapi. Barang bukti yang telah didapatkan perlu diexplore
kembali beberapa poin yang berhubungan dengan tindak pengusutan, antara
lain: (a) Siapa yang telah melakukan. (b) Apa yang telah
dilakukan (Ex. Penggunaan software apa),(c) Hasil proses apa yang
dihasilkan. (d) Waktu melakukan.
Setiap bukti yang
ditemukan, hendaknya kemudian dilist bukti-bukti potensial apa sajakah yang
dapat didokumentasikan. Contoh kasus seperti kejahatan foto pornografi-anak
ditemukan barang bukti gambar a.jpg, pada bukti ini akan dapat ditemukan data nama
file, tempat ditemukan, waktu pembuatan dan data properti yang lain. Selain itu
perlu dicatat juga seperti space dari storage, format partisi
dan yang berhubungan dengan alokasi lainnya.
Tiap-tiap data yang
ditemukan sebenarnya merupakan informasi yang belum diolah, sehingga
keberadaannya memiliki sifat yang vital dalam kesempatan tertentu. Data yang
dimaksud antara lain :
·
Alamat URL yang
telah dikunjungi (dapat ditemukan pada Web cache, History, temporary
internet files)
·
Pesan e-mail
atau kumpulan alamat e-mail yang terdaftar (dapat ditemukan pada e-mail
server)
·
Program Word
processing atau format ekstensi yang dipakai (format yang sering dipakai
adalah .doc, .rtf, .wpd, .wps, .txt)
·
Dokumen
spreedsheat yang dipakai (yang sering dipakai adalah .xls, .wgl, .xkl)
·
Format gambar
yang dipakai apabila ditemukan (.jpg, .gif, .bmp, .tif dan yang lainnya)
·
Registry Windows
(apabila aplikasi)
·
Log Event
viewers
·
Log Applications
·
File print spool
·
Dan file-file
terkait lainnya.
Analisis
kemungkinan juga dapat diperoleh dari motif/latar belakang yang ada sebelum
didapatkan kesimpulan. Bahwa setiap sebab, tentu saja akan
memiliki potensi besar untuk menghasilkan akibat yang relatif
seragam.
d. Presentasi bukti
digital (Presentation of Digital Evidence)
Kesimpulan akan
didapatkan ketika semua tahapan tadi telah dilalui, terlepas dari ukuran obyektifitas
yang didapatkan, atau standar kebenaran yang diperoleh, minimal bahan-bahan
inilah nanti yang akan dijadikan “modal” untuk ke pengadilan.
Proses digital
dimana bukti digital akan dipersidangkan, diuji otentifikasi dan dikorelasikan
dengan kasus yang ada. Pada tahapan ini menjadi penting, karena disinilah
proses-proses yang telah dilakukan sebelumnya akan diurai kebenarannya serta
dibuktikan kepada hakim untuk mengungkap data dan informasi kejadian.
Pada tahapan final
ini ada beberapa hal yang mutlak diperhatikan, karena memang pada level ini
ukuran kebenaran akan ditetapkan oleh pengadilan sebagai pemilik otoritas.
Hal-hal yang dimaksud adalah :
·
Cara Presentasi
·
Keahlian
Presentasi
·
Kualifikasi
Presenter
- Kredibilitas setiap tahapan pengusutan
Tidak ada komentar:
Posting Komentar