Prinsip Kerja Forensik Digital
Menurut
Pavel Gladyshev prinsip kerja dari forensik digital adalah:
- Pemeliharaan (“Freezing the Crime Scene”).
Mengamankan lokasi dengan cara menghentikan
atau mencegah setiap aktivitas yang dapat merusak atau menghilangkan barang
bukti.
- . Pengumpulan.
Menemukan dan mengumpulkan semua barang bukti
digital atau hal – hal yang dapat menjadi barang bukti atau informasi apa saja
yang masih bersangkutan dengan kasus yang sedang diselidiki.
- . Pemeriksaan.
Menganilisis barang bukti yang ada dan mencari
data sebanyak–banyaknya yang berhubungan dengan kasus. Tahap ini adalah
penentuan apakah pelaku kejahatan bisa tertangkap atau lolos dari jeratan
hukum.
- . Analisis.
Menyimpulkan bukti–bukti yang dikumpulkan
selama proses penyelidikan.
Pemeriksaan
yang dilakukan oleh petugas yang tidak berpengalaman dan tidak mengerti
forensic digital (prosedur forensic digital), hampir dapat dipastikan akan
menghasilkan bukti yang tidak hampir pasti menghasilkan bukti yang tidak dapat
diterima di pengadilan hukum.
Permodelan
Forensik
Proses forensik setidaknya akan
melibatkan 3 komponen yang harus di kelola dengan baik sehingga membentuk hasil
akhir yang layak untuk di pertanggung jawabkan kebenarannya. Ketiga komponen
tersebut adalah :
1.
Manusia (People), diperlukan kualifikasi untuk
mencapai manusia yang berkualitas. Memang mudah untuk belajar komputer
forensik, tetapi untuk menjadi ahlinya, dibutuhkan lebih dari sekadar
pengetahuan dan pengalaman.
2.
Peralatan (Equipment), diperlukan sejumlah
perangkat atau alat yang tepat untuk mendapatkan sejumlah bukti (evidence) yang
dapat dipercaya dan berkuliatas bukan sekadar bukti palsu. Jenis peralatan :
perangkat lunak, perangkat keras, media penyimpanan
3.
Aturan (Protocol), diperlukan dalam menggali,
mendapatkan, menganalisis, dan akhirnya menyajikan dalam bentuk laporan yang
akurat. Dalam komponen aturan, diperlukan pemahaman yang baik dalam segi hukum
dan etika, kalau perlu dalam menyelesaikan sebuah kasus perlu melibatkan peran
konsultasi yang mencakup pengetahuan akan teknologi informasi dan ilmu hukum.
Dalam
proses investigasi komputer yang diyakini telah disusupi, biasanya akan
memerlukan waktu lebih lama dari pada proses penyusupan itu sendiri. Sebagai
ilustrasi, jika sebuah usaha hacking untuk mengambil alih sebuah system
membutuhkan waktu sekitar 2 jam, maka proses investigasi insiden yang terjadi
dapat membutuhkan waktu 40 jam (mungkin juga lebih) untuk mendapatkan
‘false-positive report’ dan pengumpulan catatan segala aktifitas dari sistem
tersebut. Waktu yang dialokasikan tersebut belum termasuk aktivitas memperbaiki
dan mengembalikan (restoring) data yang kemungkinan besar ikut hilang pada
proses intrusi.
Perlunya Perlindungan Bukti
Dari penyelidikan yang dilakukan
oleh Electronic Privacy Information Center (EPIC), “Sejak 1992 jumlah kasus
kejahatan komputer telah meningkat tiga kali.Dari 419 kasus yang diajukan oleh
penuntut hanya 83 yang dieksekusi karena kurangnya bukti. Saat suatu kasus
diajukan bisa memakan waktu persidangan sampai lima tahun. Alasannya adalah
bukti yang dikumpulkan pada kasus kejahatan komputer sangat kompleks.”
Banyak kasus tidak dibawa ke
pengadilan karena barang bukti yang tidak memadai. Bukti harus ditangani secara
hati-hati untuk mencegah penolakan dalam pengadilan, karena rusak atau
mengalami perubahan. Barang bukti komputer merupakan benda yang sensitif dan
bisa mengalami kerusakan karena salah penanganan. Ahli forensik harus
menanganinya sedemikian sehingga dijamin tidak ada kerusakan atau perubahan.
Ahli forensik bisa
mengidentifikasikan penyusupan dengan mengetahui apa yang harus dicari, dimana,
dan bukti lain yang diperlukan. Informasi harus mencukupi untuk menentukan
apakah upaya penegakan hukum harus disertakan.Proteksi barang bukti merupakan
suatu hal yang krusial. Barang bukti tidak boleh rusak atau berubah selama
tahapan dan proses recovery dan analisis, juga diproteksi dari kerusakan virus
dan mekanis/elektromekanis. Proses harus dilakukan secepat mungkin setelah
insiden supaya detilnya masih terekam baik oleh mereka yang terlibat. Hal itu
bisa dimulai dengan catatan secara kronologis.Misalnya tentang tanggal, jam,
dan deskripsi komputer. Bila menganalisa server mungkin akan diperiksa event
log. Karena user bisa mengubah waktu dengan mudah, perhatikanlah bagaimana
kecocokannya dengan kronologi kejadian. Buka komputer dan lihat apakah ada lebih
dari satu hard disk, catat peripheral apa yang terhubung, termasuk nomor seri
hard disk.
Beberapa
ancaman terhadap barang bukti :
·
Virus : dapat mengakibatkan kerusakan atau
perubahan file.
·
Prosedur cleanup : yaitu adanya
program atau script yang menghapus file saat komputer shutdown ataustart
up.
·
Ancaman eksternal : misal dari lingkungan yang
tidak kondusif sehingga merusak data. Seperti tempat yang terlalu panas,
dingin, atau lembab.
Freezing The Scene (Bagian 1)
Freezing The Scene (Bagian 3)
Freezing The Scene (Bagian 4)
Freezing The Scene (Bagian 1)
Freezing The Scene (Bagian 3)
Freezing The Scene (Bagian 4)
Daftar Pustaka
Tidak ada komentar:
Posting Komentar