KOMPUTER FORENSIK

KOMPUTER FORENSIK

1.1. Latar Belakang dan Sejarah Komputer Forensik

Saat ini teknologi komputer dapat digunakan sebagai alat bagi para pelaku kejahatan komputer : seperti pencurian, penggelapan uang dan lain sebagainya. Barang bukti yang berasal dari komputer telah muncul dalam persidangan hampir 30 tahun. Awalnya, hakim menerima bukti tersebut tanpa membedakannya dengan bentuk bukti lainnya. Namun seiring dengan kemajuan teknologi komputer, perlakuan tersebut menjadi membingungkan. Bukti yang berasal dari komputer sulit dibedakan antara yang asli ataupun salinannya, karena berdasarkan sifat alaminya, data yang ada dalam komputer sangat mudah dimodifikasi. Proses pembuktian bukti tindak kejahatan tentunya memiliki kriteriakriteria, demikian juga dengan proses pembuktian pada bukti yang didapat dari komputer.

Di awal tahun 1970-an Kongres Amerika Serikat mulai merealisasikan kelemahan hukum yang ada dan mencari solusi terbaru yang lebih cepat dalam penyelesaian kejahatan komputer. US Federals Rules of Evidence 1976 menyatakan permasalahan tersebut. Hukum lainnya yang menyatakan permasalahan tersebut adalah:

• Economic Espionage Act 1996, berhubungan dengan pencurian rahasia dagang

• The Electronic Comunications Privacy Act 1986, berkaitan dengan penyadapan peralatan elektronik.

• The Computer Security Act 1987 (Public Law 100-235), berkaitan dengan keamanan sistem komputer pemerintah

1.2. Definisi Komputer Forensik

Berikut ini adalah beberapa buah definisi komputer forensik:

      Definisi sederhana : penggunaan sekumpulan prosedur untuk melakukan pengujian secara menyeluruh suatu sistem komputer dengan menggunakan software dan tool untuk mengambil dan memelihara barang bukti tindakan kriminal.  

      Menurut Judd Robin, seorang ahli komputer forensik : "Penerapan secara sederhana dari penyelidikan komputer dan teknik analisisnya untuk menentukan bukti-bukti hukum yang mungkin".

 New Technologies memperluas definisi Judd Robin dengan: "Komputer forensik berkaitan dengan pemeliharaan, identifikasi, ekstraksi dan dokumentasi bukti-bukti komputer yang tersimpan dalam wujud informasi magnetik".

     Menurut Dan Farmer & Wietse Venema : "Memperoleh dan menganalisa data dengan cara yang bebas dari distorsi atau bias sebisa mungkin, untuk merekonstruksi data atau apa yang telah terjadi pada waktu sebelumnya di suatu sistem".

1.3. Kebutuhan akan Forensik

Dalam satu dekade terakhir, jumlah kejahatan yang melibatkan komputer telah meningkat pesat, mengakibatkan bertambahnya perusahaan dan produk yang berusaha membantu penegak hukum dalam menggunakan bukti berbasis komputer untuk menentukan siapa, apa, di mana, kapan, dan bagaimana dalam sebuah kejahatan. Akibatnya, komputer forensik telah berkembang untuk memastikan presentasi yang tepat bagi data kejahatan komputer di pengadilan. Teknik dan tool forensik seringkali dibayangkan dalam kaitannya dengan penyelidikan kriminal dan penanganan insiden keamanan komputer, digunakan untuk menanggapi sebuah kejadian dengan menyelidiki sistem tersangka, mengumpulkan dan memelihara bukti, merekonstruksi kejadian, dan memprakirakan status sebuah kejadian. Namun demikian, tool dan teknik forensik juga dapat

digunakan untuk tugas-tugas lainnya, seperti :

v  Operational Troubleshooting. Banyak tool dan teknik forensik dapat digunakan untuk melakukan troubleshooting atas masalah-masalah operasional, seperti menemukan lokasi fisik dan virtual sebuah host dengan konfigurasi jaringan yang  tidak tepat, mengatasi masalah fungsional dalam sebuah aplikasi.

v  Log Monitoring. Beragam tool dan teknik dapat membantu dalam melakukan monitoring og, seperti menganalisis entri log dan mengkorelasi entri log dari beragam sistem. Hal ini dapat membantu dalam penanganan insiden, mengidentifikasi pelanggaran kebijakan, audit, ddan usaha lainnya.

v  Data Recovery. Terdapat lusinan tool yang dapat mengembalikan data yang hilang dari sistem, termasuk data yang telah dihapus atau dimodifikasi baik yang disengaja maupun tidak.

v  Data Acquisition. Beberapa organinasi menggunakan tool forensik untuk mengambil data dari host yang telah dipensiunkan. Sebagai contoh, ketika seorang user meninggalkan organisasi, data dari komputer user tersebut dapat diambil dan disimpan bilamana dibutuhkan di masa mendatang. Media komputer tersebut lalu dapat disanitasi untuk menghapus semua data usertersebut.

v  Due Diligence/Regulatory Compliance. Regulasi yang ada dan yang akan muncul mengharuskan organisasi melindungi informasi sensitif dan memelihara beberapa catatan tertentu demi kepentingan audit. Juga, ketika informasi yang dilindungi terekspos ke pihak lain, organisasi mungkin diharuskan untuk memberitahu pihak atau individu yang terkena dampaknya. Forensik dapat membantu organisasi melakukan due diligence dan mematuhi persyaratan tersebut.

1.4. Barang Bukti Digital

Bukti digital adalah informasi yang didapat dalam bentuk / format digital (scientific Working Group on Digital Evidence, 1999). Beberapa contoh bukti digital antara lain: E-mail, alamat e-mail Filewordprocessor/spreadsheet Source code perangkat lunak File berbentuk image(.jpeg, .tip, dan sebagainya)Web Browser bookmarks, cookies Kalender, to-do list Bukti digital tidak dapat langsung dijadikan barang bukti pada proses peradilan, karena menurut sifat alamiahnya bukti digital sangat tidak konsisten. Untuk menjamin bahwa bukti digital dapat dijadikan barang bukti dalam proses peradilan maka diperlukan sebuah standar data digital yang dapat dijadikan barang bukti dan metode standar dalam pemrosesan barang bukti sehingga bukti digital dapat dijamin keasliannya dan dapat dipertanggung jawabkan. Berikut ini adalah aturan standar agar bukti dapat diterima dalam proses peradilan:

v  Dapat diterima, artinya data harus mampu diterima dan digunakan demi hukum, mulai dari kepentingan penyelidikan sampai dengan kepentingan pengadilan.

v  Asli, artinya bukti tersebut harus berhubungan dengan kejadian / kasus yang terjadi dan bukan rekayasa.

v  Lengkap, artinya bukti bisa dikatakan bagus dan lengkap jika di dalamnya terdapat banyak petunjuk yang dapat membantu investigasi.

v  Dapat dipercaya, artinya bukti dapat mengatakan hal yang terjadi di belakangnya. Jika bukti tersebut dapat dipercaya, maka proses investigasi akan lebih mudah. Syarat dapat dipercaya ini merupakan suatu keharusan dalam penanganan perkara. Untuk itu perlu adanya metode standar dalam pegambilan data atau bukti digital dan pemrosesan barang bukti data digital, untuk menjamin keempat syarat di atas terpenuhi. Sehingga data yang diperoleh dapat dijadikan barang bukti yang legal di pengadilan dan diakui oleh hukum.

1.5. Metodologi Standar

Pada dasarnya tidak ada suatu metodologi yang sama dalam pengambilan bukti pada data digital, karena setiap kasus adalah unik sehingga memerlukan penanganan yang berbeda. Walaupun demikian dalam memasuki wilayah hukum formal, tentu saja dibutuhkan suatu aturan formal yang dapat melegalkan suatu investigasi. Untuk itu menurut U.S. Department of Justice ada tiga hal yang ditetapkan dalam memperoleh bukti digital:

v  Tindakan yang diambil untuk mengamankan dan mengumpulkan barang bukti digital tidak boleh mempengaruhi integritas data tersebut.

v  Seseorang yang melakukan pengujian terhadap data digital harus sudah terlatih.

v  Aktivitas yang berhubungan dengan pengambilan, pengujian, penyimpanan atau pentransferan barang bukti digital harus didokumentasikan dan dapat dilakukan pengujian ulang. Selain itu terdapat pula beberapa panduan keprofesian yang diterima secara luas:

v  Pengujian forensik harus dilakukan secara menyeluruh. Pekerjaan menganalisa media dan melaporkan temuan tanpa adanya prasangka atau asumsi awal.

v  Media yang digunakan pada pengujian forensik harus disterilisasi sebelum digunakan.

v  Image bit dari media asli harus dibuat dan dipergunakan untuk analisa.

v  Integritas dari media asli harus dipelihara selama keseluruhan penyelidikan.

Dalam kaitan ini terdapat akronim PPAD pada Komputer forensik:

1.      Memelihara (Preserve) data untuk menjamin data tidak berubah.

2.      Melindungi (Protect) data untuk menjamin tidak ada yang mengakses barang bukti.

3.      Melakukan analisis (Analysis) data menggunakan teknik forensik.

4.      Mendokumentasikan (Document) semuanya, termasuk langkah-langkah yang dilakukan.

Dari berapa uraian di atas sudah sangat jelas bahwa tujuan pendefinisian metodologi standar adalah untuk melindungi bukti digital. Mengenai penentuan kebijakan dan prosedur teknis dalam pelaksanaan dapat disusun kemudian oleh instansi yang terkait, tentunya dengan mengacu pada metode-metode standar yang telah ada dan disesuaikan dengan hukum yang berlaku di negara yang bersangkutan. Dari beberapa metodologi di atas dapat digarisbawahi bahwa penggunaan bukti asli dalam investigasi sangat dilarang dan bukti ini harus dijaga agar jangan sampai ada perubahan di dalamnya karena akan sangat mempengaruhi kesimpulan yang diambil,

1.6. Pemrosesan Barang Bukti

Barang bukti sangat penting keberadaanya karena sangat menentukan keputusan di pengadilan, untuk itu pemrosesan barang bukti dalam analisa forensik sangat diperhatikan. Berikut ini adalah panduan umum dalam pemrosesan barang bukti menurut Lori Wilier dalam bukunya "Computer Forensic":

1.      Shutdown komputer perlu dipertimbangkan hilangnya informasi proses yang sedang berjalan

2.      dokumentasikan konfigurasi hardware sistem, perhatikan bagaimana komputer disetup karena mungkin akan diperlukan restore kondisi semula pada tempat yang aman pindahkan sistem komputer ke lokasi yang aman buat backup secara bit-by-bitdan hardisk dan floppy barang bukti asli uji keotentikan data pada semua perangkat penyimpanan dokumentasikan tanggal dan waktu yang berhubungan dengan file komputer buat daftar keyword pencarian evaluasi swap file, evaluasi file slack evaluasi unallocated space (erased file) pencarian keyword pada file, file slack, dan unallocated space dokumentasikan nama file, serta atribut tanggal dan waktu identifikasikan anomali file, program untuk mengetahui kegunaannya dokumentasikan temuan dan software yang dipergunakan buat salinan software yang dipergunakan

3.      Untuk memastikan bahwa media bukti digital tidak dimodifikasi, sebelum ia digunakan untuk duplikasi, ia harus diset ke "Read Only", locked" atau "Write Protect", untuk mencegah terjadinya modifikasi yang tidak disengaja. Secara baku, SLAX4 menset seluruh device sebagai read only, sehingga mereka tidak dapat dimodifikasi dengan mudah. Namun demikian, kami tetap menyarankan untuk melindungi media digital tersebut menggunakan hardware write protector.(Di sadur dari TUTORIAL INTERAKTIF INSTALASI KOMPUTER FORENSIK MENGGUNAKAN APLIKASI OPEN SOURCE)