Ada beberapa definisi yang bisa dijadikan acuan
tentang apa sebenarnya Digital Forensik. Sebagaimana dikemukakan
oleh Marcella, Digital Forensik adalah aktivitas yang berhubungan dengan pemeliharaan,
identifikasi, pengambilan/penyaringan, dan dokumentasi bukti digital
dalam kejahatan komputer.
Istilah ini relatif baru dalam bidang komputer dan teknologi, tapi telah muncul
diluar term teknologi (berhubungan dengan investigasi
bukti-bukti intelijen dalam penegakan hukum dan militer) sejak pertengahan
tahun 1980-an.
Menurut Casey: Digital
Forensik adalah karakteristik bukti yang mempunyai kesesuaian dalam mendukung
pembuktian fakta dan mengungkap kejadian berdasarkan bukti statistik yang
meyakinkan.
Sedangkan menurut
Budhisantoso, Digital Forensik adalah kombinasi disiplin ilmu hukum
dan pengetahuan komputer dalam mengumpulkan dan menganalisa data dari sistem
komputer, jaringan, komunikasi nirkabel, dan perangkat penyimpanan sehingga
dapat dibawa sebagai barang bukti di dalam penegakan hukum.
Definisi lain
sebagaimana yang terdapat pada situs Wikipedia yaitu:Komputer
Forensik yang juga dikenal dengan nama Digital Forensik, adalah salah satu
cabang ilmu forensik yang berkaitan dengan bukti legal yang ditemui pada
komputer dan media penyimpanan digital.
Dari definisi diatas
dapat disimpulkan bahwa Digital Forensik adalah penggunaan teknik analisis dan investigasi
untuk mengidentifikasi, mengumpulkan, memeriksa dan menyimpan bukti/informasi
yang secara magnetis tersimpan/disandikan pada komputer atau media penyimpanan
digital.
Tahapan-tahapan
pada Digital Forensik
Seorang ahli Digital Forensik dapat menggambarkan tahapan dan
metode-metode yang digunakan untuk mendapatkan informasi tentang file terhapus,
terenkripsi ataupun yang rusak. Lalu apa saja sebenarnya tahapan-tahapan dalam
implementasi Digital Forensik? Secara umum ada 4 (empat) tahapan
yang harus dilakukan dalam implementasi Digital Forensik, yaitu:
1. Pengumpulan (Acquisition)
2. Pemeliharaan (Preservation)
3. Analisa (Analysis)
4. Presentasi (Presentation)
Tahapan
Digital Forensik
1.
Acquisition
(Pengumpulan).
Mengumpulkan dan mendapatkan bukti-bukti yang mendukung
penyelidikan. Tahapan ini merupakan tahapan yang sangat menentukan karena
bukti-bukti yang didapatkan akan sangat mendukung penyelidikan untuk mengajukan
seseorang ke pengadilan dan diproses sesuai hukum hingga akhirnya dijebloskan
ke tahanan. Media digital yang bisa dijadikan sebagai barang bukti mencakup
sebuah sistem komputer, media penyimpanan (seperti flash disk, pen drive, hard
disk, atau CD-ROM), PDA, handphone, smart card, sms, e-mail, cookies, log file,
dokumen atau bahkan sederetan paket yang berpindah dalam jaringan komputer.
Penelusuran bisa dilakukan untuk sekedar mencari "ada informasi
apa disini?" sampai serinci pada "apa urutan
peristiwa yang menyebabkan terjadinya situasi terkini?".
Software ataupun tools
yang bisa digunakan dalam mendukung tahapan ini antara lain:
·
Forensic Acquisition
Utilities
·
FTimes
·
liveview
·
netcat
·
ProDiscover DFT
·
psloggedon
·
TULP2G
·
UnxUtils
·
Webjob
2.
Preservation
(Pemeliharaan).
Memelihara dan menyiapkan bukti-bukti yang ada. Termasuk pada
tahapan ini melindungi bukti-bukti dari kerusakan, perubahan dan penghilangan
oleh pihak-pihak tertentu. Bukti harus benar-benar steril artinya belum
mengalami proses apapun ketika diserahkan kepada ahli digital forensik untuk
diteliti.Kesalahan kecil pada
penanganan bukti digital dapat membuat barang bukti digital tidak diakui di
pengadilan. Bahkan menghidupkan
komputer dengan tidak hati-hati bisa saja merusak/merubah barang bukti
tersebut. Seperti yang diungkapkan Peter Plummer : “When
you boot up a computer, several hundred files get changed, the data of access,
and so on. Can you say that computer is still exactly as it was when the bad
guy had it last?”. Sebuah pernyataan yang patut dipikirkan bahwa
bagaimana kita bisa menjamin kondisi komputer tetap seperti keadaan terakhirnya
ketika ditinggalkan oleh pelaku kriminal manakala komputer tersebut kita
matikan atau hidupkan kembali. Karena ketika komputer kita hidupkan terjadi
beberapa perubahan pada temporary file, waktu akses, dan
seterusnya. Sekali file-file ini telah berubah ketika komputer
dihidupkan tidak ada lagi cara untuk mengembalikan (recover) file-file
tersebut kepada keadaan semula. Komputer dalam kondisi hidup juga tidak bisa
sembarangan dimatikan. Sebab ketika komputer dimatikan bisa saja ada program
penghapus/perusak yang dapat menghapus dan menghilangkan bukti-bukti yang ada.
Ada langkah-langkah tertentu yang harus dikuasai oleh seorang ahli digital
forensik dalam mematikan/menghidupkan komputer tanpa ikut merusak/menghilangkan
barang bukti yang ada didalamnya.
Karena bukti digital
bersifat sementara (volatile), mudah rusak, berubah dan
hilang, maka seorang ahli Digital Forensik harus mendapatkan pelatihan(training) yang
cukup untuk melakukan tahapan ini. Aturan utama pada tahap ini adalah
penyelidikan tidak boleh dilakukan langsung pada bukti asli karena
dikhawatirkan akan dapat merubah isi dan struktur yang ada
didalamnya. Hal ini dapat dilakukan dengan melakukan copy data secaraBitstream Image pada
tempat yang sudah pasti aman. Bitstream imageadalah metode
penyimpanan digital dengan mengkopi setiap bit demi bit dari data orisinil,
termasuk file yang tersembunyi (hidden files), file temporer(temporary
file), file yang terdefrag (defragmented file), dan file yang belum
teroverwrite. Dengan kata lain, setiap biner digit demi digit di-copy
secara utuh dalam media baru. Teknik ini umumnya diistilahkan dengan cloningatau imaging.
Data hasil cloning inilah yang selanjutnya menjadi objek
penelitian dan penyelidikan.
3.
Analisa (Analysis)
Melakukan analisa secara mendalam terhadap bukti-bukti yang ada.
Bukti yang telah didapatkan perlu di-explore kembali
kedalam sejumlah skenario yang berhubungan dengan tindak pengusutan, antara
lain: siapa yang telah melakukan, apa yang telah dilakukan (contoh : apa saja
software yang digunakan), hasil proses apa yang dihasilkan, dan waktu
melakukan).
Penelusuran bisa
dilakukan pada data sebagai berikut: alamat URL yang telah
dikunjungi, pesan e-mail atau kumpulan alamat e-mail yang terdaftar,
program word processing atau format ekstensi yang dipakai, dokumen spreedsheat
yang dipakai, format gambar yang dipakai apabila ditemukan, file-file yang
dihapus maupun diformat, password, registry windows, hidden files, log
event viewers, dan log application. Termasuk juga pengecekan
metadata. Kebanyakan file mempunyai metadata yang berisi informasi yang
ditambahkan mengenai file tersebut seperti computer name, total edit time,jumlah editing
session, dimana dicetak, berapa kali terjadi penyimpanan(saving),
tanggal dan waktu modifikasi.
Selanjutnya melakukan
recovery dengan mengembalikan file dan folder yang terhapus, unformat drive,
membuat ulang partisi, mengembalikan password, merekonstruksi ulang halaman web
yang pernah dikunjungi, mengembalikan email-email yang terhapus dan seterusnya.
Untuk analisis media, tools yang bisa digunakan antara lain:
·
TestDisk
·
Explore2fs
·
ProDiscover DFT
Sedangkan untuk
analisis aplikasi, tools yang bisa digunakan:
·
Event Log Parser
·
Galleta
·
libpff
·
md5deep
·
MD5summer
·
Outport
·
Pasco
·
RegRipper
·
Rifiuti
4.
Presentasi
(Presentation).
Menyajikan dan menguraikan secara detail laporan penyelidikan
dengan bukti-bukti yang sudah dianalisa secara mendalam dan dapat dipertanggung
jawabkan secara ilmiah di pengadilan. Beberapa hal penting yang perlu
dicantumkan pada saat presentasi/panyajian laporan ini, antara lain:
·
Tanggal dan waktu
terjadinya pelanggaran
·
Tanggal dan waktu pada
saat investigasi
·
Permasalahan yang
terjadi
·
Masa berlaku analisa
laporan
·
Penemuan bukti yang
berharga (pada laporan akhir penemuan ini sangat ditekankan sebagai bukti
penting proses penyidikan)
·
Tehnik khusus yang
digunakan, contoh: password cracker
·
Bantuan pihak lain
(pihak ketiga)
Posting Komentar