SHARE

Pengertian forensik secara umum adalah suatu proses ilmiah untuk mengumpulkan, menganalisis, dan menyajikan bukti pada pengadilan. Pada umumnya, sebuah tahap forensik dilakukan dengan asumsi bahwa data-data yang telah dikumpulkan akan digunakan sebagai bukti di pengadilan. Oleh karena itu, setelah pengumpulan barang bukti, para praktisi forensik menjaga dan mengontrol bukti tersebut untuk mencegah terjadinya modifikasi.

Menurut Wikipedia, Ilmu forensik terbagi ke dalam beberapa cabang ilmu, salah satunya adalah forensik digital yang digunakan untuk penyelidikan dan penemuan konten pada perangkat digital, dan seringkali dikaitkan dengan kejahatan komputer. Istilah forensik digital pada awalnya identik dengan forensik komputer tetapi kini telah diperluas untuk menyelidiki semua perangkat yang dapat menyimpan data digital. Forensik digital diperlukan karena biasanya data di perangkat target dikunci, dihapus, atau disembunyikan. Forensik digital terbagi ke dalam beberapa bagian seperti:

  • Computer forensic; merupakan cabang dari forensik digital yang berkaitan dengan bukti pada komputer serta media penyimpanan digital dan bertujuan untuk memproses bukti-bukti tersebut sebagaimana harusnya.
  • Mobile device forensic; adalah cabang forensik digital mengenai akuisisi perangkat seluler untuk memulihkan bukti digital seperti catatan panggilan masuk dan keluar, daftar kontak, SMS dan MMS, kredensial akun pengguna, dan file system yang akan digunakan sebagai kepentingan investigasi.
  • Network forensic; adalah bagian dari forensik digital yang digunakan untuk menemukan bukti digital seperti sumber serangan keamanan pada suatu jaringan.

Dalam buku Forensic Examination of Digital Evidence, terdapat 4 tahap untuk memproses bukti digital, yaitu:

  • Assessment; pemeriksa computer forensic harus menilai bukti digital sepenuhnya dengan mematuhi ruang lingkup dari kasus untuk menentukan tindakan yang harus diambil.
  • Acquisition; Secara alami, bukti digital rentan dan dapat diubah, rusak, atau dihancurkan oleh pemeriksaan atau penanganan yang tidak tepat. Pemeriksaan yang paling tepat dilakukan pada copy dari bukti asli tersebut. Bukti asli harus diperoleh dengan cara melindungi dan mempertahankan integritas dari bukti tersebut.
  • Examination; Tujuan dari proses ini adalah untuk mengekstrak dan menganalisis bukti digital. Ekstrak disini mengacu pada proses pemulihan data (recovery data) dari sebuah media. Analisisnya mengacu pada penafsiran dari data dan menempatkannya dalam format logis dan berguna.
  • Documenting dan reporting; Tindakan dan observasi harus didokumentasikan selama proses forensic berlangsung. Hal ini termasuk dengan persiapan laporan tertulis dari temuan yang ada.

Berikut ini adalah beberapa hal yang perlu diperhatikan ketika melakukan proses forensik:

1. Order of Volatility

Tahap ini mengacu pada urutan sebagaimana seharusnya mengumpulkan bukti. Secara umum, pengumpulan bukti harus dimulai dari yang paling volatil atau mudah berubah. Sebagai contoh adalah RAM (Random Access Memory) yang datanya akan hilang setelah komputer dimatikan. Oleh karena itu, hal penting yang harus diperhatikan adalah tidak mematikan sebuah komputer jika dicurigai telah terlibat dalam sebuah security incident dan mungkin menyimpan bukti yang berharga. Berikut ini adalah order of volatility, dimulai dari data yang paling rentan untuk berubah atau hilang:

  • Data pada cache memory, termasuk cache processor and cache hard drive
  • Data pada RAM, termasuk proses sistem and jaringan
  • Swap file/paging file pada system disk drive
  • Data stored pada local disk drives
  • Logs stored pada remote systems
  • Archive media

2. Data Acquisition & Preservation of Evidence

Ketika melakukan akuisisi data untuk bukti, sangat penting untuk mengikuti prosedur khusus untuk memastikan bahwa bukti tersebut tidak dimodifikasi. Beberapa hal yang dapat diperhatikan dalam prosedur ini seperti capture system image, take hashes, network traffic and logs, capture video, record time offset, screenshots, witness interviews.

3. Chain of Custody (CoC)

CoC adalah sebuah proses yang menunjukkan bahwa segala bukti terjamin telah dikendalikan dan ditangani dengan benar setelah proses pengumpulan. Buku Digital Forensik oleh Muhammad Nuh Al Azhar menjelaskan secara detail bagaimana bermacam forensik digital dilakukan dengan menjaga CoC. Seperti contoh, forensik komputer biasanya berkaitan dengan pencarian file baik yang masih ada ataupun yang telah dihapus sebagai barang bukti digital.

CoC forensik komputer membutuhkan kehati-hatian karena sifat data digital adalah volatile dan mudah berubah. Perbedaan time stamp (created-modified-access) pada file log misalnya, dapat merusak bukti digital dan tidak dapat diterima oleh pengadilan. Penanganan awal terhadap bukti elektronik berupa komputer yang didapatkan saat mati atau menyala juga berbeda.

4. Legal Hold

Legal hold mengacu kepada perintah pengadilan untuk mempertahankan berbagai jenis data sebagai bukti.

5. Recovery of Data

Secara umum, pemulihan data mengacu pada pengembalian data yang hilang, seperti mengembalikan file rusak/korup dari sebuah backup. Namun, dalam konteks forensic, memungkin untuk melakukan pemulihan data yang telah disengaja dan tidak sengaja terhapus.

6. Active Logging for Intelligence Gathering

Bagi sebuah organisasi untuk terlibat dalam kecerdasan strategis atau pengumpulan kontraintelijen dengan meningkatkan jumlah data yang mereka kumpulkan. Sebagai contoh, strategi active logging dapat membantu sebuah organisasi mendapat jumlah data attacker secara signifikan.

7. Track Man-Hours and Expense

Sebuah investigasi dapat memakan waktu yang lama, dan pada bisnis, waktu adalah uang. Ketika waktu terus bergulir, suatu departemen/divisi yang dapat mengidentifikasi berapa waktu dan biaya yang dihabiskan harus mendapatkan persetujuan terhadap anggaran yang telah diminta.

Selain itu, penilaian risiko kuantitatif berdasarkan keputusan penggunaan sejumlah uang secara spesifik seperti biaya dan nilai asset. Jika sebuah insiden membutuhkan keterlibatan dari professional security dalam tim, jam kerja dan biaya yang dikeluarkan oleh tim respon insiden harus dimasukkan dalam penilaian.

Semoga bermanfaat.

Referensi:
Computer Forensics – US-CERT
Introduction to Mobile Forensics – eForensics Magazine
Why Mobile Forensics? – Gillware
Analisis Forensik Jaringan Studi Kasus Serangan SQL Injection pada Server Universitas Gadjah Mada – IJCCS
Comptia Security+ SY0-501 Study Guide Book
Digital forensics – Wikipedia
CoC, Kunci Bukti Digital Diterima Pengadilan – Detikinet
Implementing Basic Forensic Procedures – Get Certified Get Ahead
Forensic Examination of Digital Evidence: A Guide of Law Enforcement – Ebook

Berikan komentar

This site uses Akismet to reduce spam. Learn how your comment data is processed.