Pendahuluan
Forensik komputer adalah praktik mengumpulkan, menganalisis, dan melaporkan informasi digital dengan cara yang dapat diterima secara hukum. Ini dapat digunakan dalam mendeteksi dan mencegah kejahatan dan dalam setiap perselisihan di mana bukti disimpan secara digital. Forensik komputer memiliki tahapan ujian yang sebanding dengan disiplin ilmu forensik lainnya dan menghadapi masalah serupa.

Tentang panduan ini Panduan
ini membahas forensik komputer dari perspektif netral. Ini tidak terkait dengan undang-undang tertentu atau dimaksudkan untuk mempromosikan perusahaan atau produk tertentu dan tidak ditulis dalam bias baik dari penegakan hukum atau forensik komputer komersial. Ini ditujukan untuk audiens non-teknis dan memberikan pandangan tingkat tinggi tentang forensik komputer. Panduan ini menggunakan istilah “komputer”, tetapi konsep tersebut berlaku untuk perangkat apa pun yang mampu menyimpan informasi digital. Jika metodologi telah disebutkan, metodologi disediakan sebagai contoh saja dan bukan merupakan rekomendasi atau saran. Menyalin dan menerbitkan seluruh atau sebagian artikel ini hanya dilisensikan di bawah persyaratan lisensi Creative Commons – Attribution Non-Commercial 3.0

Penggunaan forensik komputer
Ada beberapa area kejahatan atau perselisihan di mana forensik komputer tidak dapat diterapkan. Lembaga penegak hukum telah menjadi salah satu pengguna forensik komputer yang paling awal dan terberat dan akibatnya sering menjadi yang terdepan dalam perkembangan di lapangan. Komputer mungkin merupakan ‘tempat kejahatan’, misalnya dengan peretasan [1] atau serangan penolakan layanan [2] atau mungkin menyimpan bukti dalam bentuk email, riwayat internet, dokumen, atau file lain yang relevan dengan kejahatan seperti pembunuhan , penculikan, penipuan dan perdagangan narkoba. Bukan hanya konten email, dokumen, dan file lain yang mungkin menarik bagi penyelidik, tetapi juga ‘meta-data’ [3] yang terkait dengan file tersebut. Pemeriksaan forensik komputer dapat mengungkapkan saat dokumen pertama kali muncul di komputer, saat terakhir diedit,

Baru-baru ini, organisasi komersial telah menggunakan forensik komputer untuk keuntungan mereka dalam berbagai kasus seperti;

  • Pencurian Kekayaan Intelektual
  • Spionase industri
  • Perselisihan pekerjaan
  • Investigasi penipuan
  • Pemalsuan
  • Masalah pernikahan
  • Investigasi kebangkrutan
  • Penggunaan email dan internet yang tidak pantas di tempat kerja
  • Kepatuhan terhadap peraturan

 

Panduan
Agar bukti dapat diterima, bukti tersebut harus andal dan tidak merugikan, yang berarti bahwa pada semua tahap proses ini, penerimaan harus berada di garis depan pikiran pemeriksa forensik komputer. Satu set pedoman yang telah diterima secara luas untuk membantu dalam hal ini adalah Panduan Praktik Baik Asosiasi Kepala Polisi untuk Alat Bukti Elektronik Berbasis Komputer atau disingkat Panduan ACPO. Meskipun Panduan ACPO ditujukan untuk penegakan hukum Inggris Raya, prinsip utamanya berlaku untuk semua forensik komputer di badan legislatif apa pun. Empat prinsip utama dari panduan ini telah direproduksi di bawah ini (dengan referensi tentang penegakan hukum dihapus):

    • Tidak ada tindakan yang boleh mengubah data yang disimpan di komputer atau media penyimpanan yang selanjutnya dapat diandalkan di pengadilan.

 

    • Dalam keadaan di mana seseorang merasa perlu untuk mengakses data asli yang disimpan di komputer atau media penyimpanan, orang tersebut harus kompeten untuk melakukannya dan dapat memberikan bukti yang menjelaskan relevansi dan implikasi dari tindakan mereka.

 

    • Jejak audit atau catatan lain dari semua proses yang diterapkan pada bukti elektronik berbasis komputer harus dibuat dan dipelihara. Pihak ketiga yang independen harus dapat memeriksa proses tersebut dan mencapai hasil yang sama.

 

    • Penanggung jawab investigasi memiliki tanggung jawab keseluruhan untuk memastikan bahwa hukum dan prinsip-prinsip ini ditaati.

 

Singkatnya, tidak ada perubahan yang harus dilakukan pada aslinya, namun jika akses / perubahan diperlukan penguji harus tahu apa yang mereka lakukan dan mencatat tindakan mereka.


Prinsip akuisisi langsung 2 di atas dapat menimbulkan pertanyaan: Dalam situasi apa perubahan pada komputer tersangka oleh pemeriksa forensik komputer diperlukan? Secara tradisional, pemeriksa forensik komputer akan membuat salinan (atau memperoleh) informasi dari perangkat yang dimatikan. Sebuah write-blocker [4] akan digunakan untuk membuat bit yang tepat untuk salinan bit [5] dari media penyimpanan asli. Penguji akan mengerjakan dari salinan ini, membiarkan aslinya dibuktikan tidak berubah.

Namun, terkadang tidak mungkin atau tidak diinginkan untuk mematikan komputer. Mungkin tidak mungkin untuk mematikan komputer jika hal itu akan mengakibatkan kerugian finansial atau kerugian lain yang cukup besar bagi pemiliknya. Mungkin tidak diinginkan untuk mematikan komputer jika hal itu berarti bahwa bukti yang berpotensi berharga bisa hilang. Dalam kedua keadaan ini, pemeriksa forensik komputer perlu melakukan ‘akuisisi langsung’ yang akan melibatkan menjalankan program kecil di komputer yang dicurigai untuk menyalin (atau memperoleh) data ke hard drive pemeriksa.

Dengan menjalankan program tersebut dan memasang drive tujuan ke komputer yang dicurigai, pemeriksa akan membuat perubahan dan / atau penambahan pada keadaan komputer yang tidak ada sebelum tindakannya. Tindakan tersebut akan tetap dapat diterima selama penguji mencatat tindakannya, mengetahui dampaknya, dan dapat menjelaskan tindakannya.

Tahapan pemeriksaan
Untuk keperluan artikel ini, proses pemeriksaan forensik komputer telah dibagi menjadi enam tahap. Meskipun mereka disajikan dalam urutan kronologis biasanya, selama pemeriksaan itu perlu agar fleksibel. Misalnya, selama tahap analisis penguji dapat menemukan petunjuk baru yang akan menjamin komputer lebih lanjut sedang diperiksa dan berarti kembali ke tahap evaluasi.

Kesiapan Kesiapan
forensik merupakan tahap yang penting dan terkadang diabaikan dalam proses pemeriksaan. Dalam forensik komputer komersial, hal itu dapat mencakup mendidik klien tentang kesiapan sistem; misalnya, pemeriksaan forensik akan memberikan bukti yang lebih kuat jika sistem audit dan pencatatan internal server atau komputer diaktifkan. Bagi penguji, ada banyak area di mana organisasi sebelumnya dapat membantu, termasuk pelatihan, pengujian rutin dan verifikasi perangkat lunak dan peralatan, keakraban dengan undang-undang, menangani masalah yang tidak terduga (misalnya, apa yang harus dilakukan jika pornografi anak hadir selama pekerjaan komersial) dan memastikan bahwa kit akuisisi di tempat Anda sudah lengkap dan berfungsi dengan baik.

Evaluasi
Tahap evaluasi mencakup penerimaan instruksi yang jelas, analisis risiko dan alokasi peran dan sumber daya. Analisis risiko untuk penegakan hukum dapat mencakup penilaian tentang kemungkinan ancaman fisik saat memasuki properti tersangka dan cara terbaik untuk menanganinya. Organisasi komersial juga perlu menyadari masalah kesehatan dan keselamatan, sementara evaluasi mereka juga mencakup risiko reputasi dan keuangan saat menerima proyek tertentu.

Koleksi
Bagian utama dari tahap pengumpulan, akuisisi, telah diperkenalkan di atas. Jika akuisisi akan dilakukan di tempat daripada di laboratorium forensik komputer, maka tahap ini akan mencakup mengidentifikasi, mengamankan, dan mendokumentasikan tempat kejadian. Wawancara atau pertemuan dengan personel yang mungkin menyimpan informasi yang mungkin relevan dengan pemeriksaan (yang dapat mencakup pengguna akhir komputer, dan manajer serta orang yang bertanggung jawab untuk menyediakan layanan komputer) biasanya akan dilakukan pada tahap ini. Jejak audit ‘pengantongan dan penandaan’ akan dimulai di sini dengan menyegel bahan apa pun ke dalam tas unik anti-rusak. Pertimbangan juga perlu diberikan untuk mengangkut material dengan aman dan selamat ke laboratorium penguji.

Analisis
Analisis tergantung pada spesifikasi setiap pekerjaan. Penguji biasanya memberikan umpan balik kepada klien selama analisis dan dari dialog ini analisis dapat mengambil jalur yang berbeda atau dipersempit ke area tertentu. Analisis harus akurat, menyeluruh, tidak memihak, direkam, dapat diulang dan diselesaikan dalam skala waktu yang tersedia dan sumber daya yang dialokasikan. Ada banyak sekali alat yang tersedia untuk analisis forensik komputer. Kami berpendapat bahwa penguji harus menggunakan alat apa pun yang mereka rasa nyaman selama mereka dapat membenarkan pilihan mereka. Persyaratan utama alat forensik komputer adalah alat tersebut melakukan apa yang seharusnya dilakukan dan satu-satunya cara bagi penguji untuk memastikannya adalah dengan secara teratur menguji dan mengkalibrasi alat yang mereka gunakan sebelum analisis dilakukan.

Presentasi
Tahap ini biasanya melibatkan penguji menghasilkan laporan terstruktur tentang temuan mereka, membahas poin-poin dalam instruksi awal bersama dengan instruksi selanjutnya. Ini juga akan mencakup informasi lain yang dianggap relevan oleh pemeriksa untuk penyelidikan. Laporan harus ditulis dengan mempertimbangkan pembaca akhir; dalam banyak kasus, pembaca laporan akan menjadi non-teknis, sehingga terminologi harus mengakui hal ini. Penguji juga harus siap untuk berpartisipasi dalam pertemuan atau konferensi telepon untuk membahas dan menguraikan laporan.

Review
Seiring dengan tahap kesiapan, tahap review sering terlewatkan atau diabaikan. Hal ini mungkin disebabkan oleh biaya yang dirasakan untuk melakukan pekerjaan yang tidak dapat ditagih, atau kebutuhan ‘untuk melanjutkan pekerjaan berikutnya’. Namun, tahap peninjauan yang dimasukkan ke dalam setiap pemeriksaan dapat membantu menghemat uang dan meningkatkan tingkat kualitas dengan membuat pemeriksaan di masa mendatang lebih efisien dan waktu yang efektif. Peninjauan pemeriksaan bisa sederhana, cepat dan dapat dimulai pada salah satu tahap di atas. Ini mungkin termasuk dasar ‘apa yang salah dan bagaimana ini dapat diperbaiki’ dan ‘apa yang berjalan dengan baik dan bagaimana itu dapat dimasukkan ke dalam ujian di masa depan’. Umpan balik dari pihak yang memberi instruksi juga harus dicari. Pelajaran apa pun dari tahap ini harus diterapkan pada ujian berikutnya dan dimasukkan ke tahap kesiapan.

Masalah yang dihadapi forensik komputer
Masalah yang dihadapi pemeriksa forensik komputer dapat dibagi menjadi tiga kategori besar: teknis, hukum dan administratif.

Enkripsi – File atau hard drive yang dienkripsi tidak mungkin dilihat oleh penyelidik tanpa kunci atau kata sandi yang benar. Penguji harus mempertimbangkan bahwa kunci atau kata sandi dapat disimpan di tempat lain di komputer atau di komputer lain yang telah diakses oleh tersangka. Itu juga bisa berada di memori volatile komputer (dikenal sebagai RAM [6] yang biasanya hilang saat komputer dimatikan; alasan lain untuk mempertimbangkan menggunakan teknik akuisisi langsung seperti yang diuraikan di atas.

Meningkatkan ruang penyimpanan – Media penyimpanan menyimpan lebih banyak data yang bagi penguji berarti bahwa komputer analisis mereka perlu memiliki daya pemrosesan yang cukup dan penyimpanan yang tersedia untuk menangani pencarian dan analisis data dalam jumlah besar secara efisien.

Teknologi baru – Komputasi adalah area yang selalu berubah, dengan perangkat keras, perangkat lunak, dan sistem operasi baru yang terus diproduksi. Tidak ada satu pun pemeriksa forensik komputer terbaru yang dapat menjadi ahli di semua bidang, meskipun mereka mungkin sering diharapkan untuk menganalisis sesuatu yang belum pernah mereka tangani sebelumnya. Untuk menghadapi situasi ini, penguji harus siap dan mampu menguji dan bereksperimen dengan perilaku teknologi baru. Jaringan dan berbagi pengetahuan dengan pemeriksa forensik komputer lain juga sangat berguna dalam hal ini karena kemungkinan orang lain mungkin telah mengalami masalah yang sama.

Anti-forensik – Anti-forensik adalah praktik yang mencoba menggagalkan analisis forensik komputer. Ini mungkin termasuk enkripsi, penimpaan data agar tidak dapat dipulihkan, modifikasi meta-data dan obfuscation file (file yang disamarkan). Seperti enkripsi di atas, bukti bahwa metode tersebut telah digunakan dapat disimpan di tempat lain di komputer atau di komputer lain yang aksesnya dimiliki tersangka. Dalam pengalaman kami, sangat jarang melihat alat anti-forensik digunakan dengan benar dan cukup sering untuk sepenuhnya mengaburkan keberadaan atau keberadaan bukti yang digunakan untuk menyembunyikannya.

Masalah
hukum Argumen hukum dapat membingungkan atau mengalihkan dari temuan pemeriksa komputer. Contoh di sini adalah ‘Pertahanan Trojan’. Trojan adalah sepotong kode komputer yang disamarkan sebagai sesuatu yang jinak tetapi memiliki tujuan tersembunyi dan jahat. Trojan memiliki banyak kegunaan, dan termasuk key-logging [7], mengunggah dan mengunduh file dan instalasi virus. Seorang pengacara mungkin dapat menyatakan bahwa tindakan di komputer tidak dilakukan oleh pengguna tetapi diotomatiskan oleh Trojan tanpa sepengetahuan pengguna; Pertahanan Trojan tersebut telah berhasil digunakan bahkan ketika tidak ada jejak Trojan atau kode berbahaya lainnya yang ditemukan di komputer tersangka. Dalam kasus seperti itu, pengacara penentang yang kompeten, yang dilengkapi dengan bukti dari analis forensik komputer yang kompeten, harus dapat menolak argumen tersebut.

Standar yang diterima – Ada banyak standar dan pedoman dalam forensik komputer, beberapa di antaranya tampaknya diterima secara universal. Hal ini disebabkan oleh sejumlah alasan termasuk badan-badan pembuat standar yang terikat dengan peraturan perundang-undangan tertentu, standar ditujukan baik untuk penegakan hukum atau forensik komersial tetapi tidak pada keduanya, penulis standar tersebut tidak diterima oleh rekan-rekan mereka, atau biaya bergabung yang tinggi. mencegah praktisi berpartisipasi.

Kesesuaian untuk berlatih – Di banyak yurisdiksi tidak ada badan yang memenuhi syarat untuk memeriksa kompetensi dan integritas profesional forensik komputer. Dalam kasus seperti itu, siapa pun dapat menampilkan diri mereka sebagai ahli forensik komputer, yang dapat mengakibatkan pemeriksaan forensik komputer dengan kualitas yang dipertanyakan dan pandangan negatif terhadap profesi secara keseluruhan.

Sumber daya dan bacaan lebih lanjut
Tampaknya tidak banyak materi yang mencakup forensik komputer yang ditujukan untuk pembaca non-teknis. Namun link berikut pada link di bagian bawah halaman ini mungkin terbukti menarik dan terbukti menarik:

Glosarium
1. Hacking: memodifikasi komputer dengan cara yang pada awalnya tidak dimaksudkan untuk menguntungkan tujuan hacker.
2. Serangan Denial of Service: upaya untuk mencegah pengguna sah sistem komputer memiliki akses ke informasi atau layanan sistem tersebut.
3. Meta-data: pada level dasar meta-data adalah data tentang data. Ini dapat disematkan di dalam file atau disimpan secara eksternal dalam file terpisah dan mungkin berisi informasi tentang pembuat file, format, tanggal pembuatan, dan sebagainya.
4. Write blocker: perangkat keras atau aplikasi perangkat lunak yang mencegah data apa pun dimodifikasi atau ditambahkan ke media penyimpanan yang sedang diperiksa.
5. Bit copy: bit adalah kependekan dari istilah ‘digit biner’ dan merupakan unit dasar komputasi. Salinan bit mengacu pada salinan berurutan dari setiap bit pada media penyimpanan, yang mencakup area media yang ‘tidak terlihat’ bagi pengguna.
6. RAM: Memori Akses Acak. RAM adalah ruang kerja sementara komputer dan mudah berubah, yang berarti isinya hilang saat komputer dimatikan.
7. Key-logging: pencatatan input keyboard yang memberikan kemampuan untuk membaca password yang diketik pengguna, email dan informasi rahasia lainnya.

 

Leave a Reply

Your email address will not be published. Required fields are marked *