Kamis, 25 Desember 2008

MENGENAL FORENSIK COMPUTER DALAM ILMU PENYIDIKAN DATA

COMPUTER FORENSIK

TINJAUAN BARANG BUKTI ELEKTRONIK (COMPUTER FORENSIK)

Tentang Komputer Forensik

Seperti umumnya ilmu pengetahuan forensik lain, komputer forensik juga melibatkan penggunaan teknologi yang rumit, perkakas dan memeriksa prosedur harus diikuti untuk menjamin ketelitian dari pemeliharaan bukti dan ketelitian hasil mengenai bukti komputer memproses. Pada dasarnya mirip dengan proses yang terjadi pada polisi yang hendak mengusut bukti tindak kejahatan dengan menelusuri fakta-fakta yang ada, namun disini terjadi pada dunia maya. Tapi, secara definitif, apa sebenarnya yang dimaksud dengan Komputer Forensik ?. Secara Terminologi, Komputer Forensik adalah aktivitas yang berhubungan dengan pemeliharaan, identifikasi, [pengambilan/penyaringan], dan dokumentasi bukti komputer dalam kejahatan komputer. Istilah ini relatif baru dalam sektor privat beberapa dekade ini, tapi telah muncul diluar term teknologi (berhubungan dengan investigasi dan investigasi bukti-bukti intelejen dalam penegakan hukum dan militer) sejak pertengahan tahun 1980-an.

Sejarah Komputer Forensik

Barang bukti yang berasal dari komputer telah muncul dalam persidangan hampir 30 tahun. Awalnya, hakim menerima bukti tersebut tanpa melakukan pembedaan dengan bentuk bukti lainnya. Sesuai dengan kemajuan teknologi komputer, perlakuan serupa dengan bukti tradisional menjadi ambigu. US Federal Rules of Evidence 1976 menyatakan permasalahan tersebut sebagai masalah yang rumit. Hukum lainnya yang berkaitan dengan kejahatan komputer:

  • The Electronic Communications Privacy Act 1986, berkaitan dengan penyadapan peralatan elektronik.
  • The Computer Security Act 1987 (Public Law 100-235), berkaitan dengan keamanan sistem komputer pemerintahan.
  • Economic Espionage Act 1996, berhubungan dengan pencurian rahasia dagang.

Pada akhirnya, jika ingin menyelesaikan suatu “misteri komputer” secara efektif, diperlukan pengujian sistem sebagai seorang detektif, bukan sebagai user. Sifat alami dari teknologi Internet memungkinkan pelaku kejahatan untuk menyembunyikan jejaknya. Kejahatan komputer tidak memiliki batas geografis. Kejahatan bisa dilakukan dari jarak dekat, atau berjarak ribuan kilometer jauhnya dengan hasil yang serupa. Bagaimanapun pada saat yang sama, teknologi memungkinkan menyingkap siapa dan bagaimana itu dilakukan. Dalam komputer forensik, sesuatu tidak selalu seperti kelihatannya. Penjahat biasanya selangkah lebih maju dari penegak hukum, dalam melindungi diri dan menghancurkan barang bukti. Merupakan tugas ahli komputer forensik untuk menegakkan hukum dengan mengamankan barang bukti, rekonstruksi kejahatan, dan menjamin jika bukti yang dikumpulkan itu berguna di persidangan.

Elemen Kunci Forensik

Empat Elemen Kunci Forensik yang harus diperhatikan berkenaan dengan bukti digital dalam Teknologi Informasi, adalah sebagai berikut:

- Identifikasi dalam bukti digital (Identification/Collecting Digital Evidence)

Merupakan tahapan paling awal dalam teknologi informasi. Pada tahapan ini dilakukan identifikasi dimana bukti itu berada, dimana bukti itu disimpan, dan bagaimana penyimpanannya untuk mempermudah penyelidikan. Network Administrator merupakan sosok pertama yang umumnya mengetahui keberadaan cybercrime, atau Tim Respon cybercrime (jika perusahaan memilikinya) sebelum sebuah kasus cybercrime diusut oleh cyberpolice. Ketika cyberpolice telah dilibatkan dalam sebuah kasus, maka juga akan melibatkan elemen-elemen vital yang lainnya, antara lain:

  1. Petugas Keamanan (Officer/as a First Responder), Memiliki tugas-tugas yakni : ((i) Mengidentifikasi Peristiwa, (ii) Mengamankan Bukti dan (iii) Pemeliharaan bukti yang temporer dan Rawan Kerusakan.
  2. Penelaah Bukti (Investigator), Memiliki Tugas-tugas yakni : (i) Menetapkan instruksi-instruksi sebagai sosok paling berwenang, (ii) Melakukan pengusutan peristiwa kejahatan,(iii) Pemeliharaan integritas bukti.
  3. Teknisi Khusus, Memiliki tugas-tugas (dihindari terjadi overlaping job dengan Investigator), yakni (i) Pemeliharaan bukti yang rentan kerusakan dan menyalin storage bukti, (ii) Mematikan(shuting down) sistem yang sedang berjalan,(iii) Membungkus / memproteksi bukti-bukti,(iv) Mengangkut bukti,(v) Memproses bukti

Elemen-elemen vital diatas inilah yang kemudian nantinya memiliki otoritas penuh dalam penuntasan kasus kriminal yang terjadi.

- Penyimpanan bukti digital (Preserving Digital Evidence)

Bentuk, isi, makna bukti digital hendaknya disimpan dalam tempat yang steril. Untuk benar-benar memastikan tidak ada perubahan-perubahan, hal ini vital untuk diperhatikan. Karena sedikit perubahan saja dalam bukti digital, akan merubah juga hasil penyelidikan. Bukti digital secara alami bersifat sementara (volatile), sehingga keberadaannya jika tidak teliti akan sangat mudah sekali rusak, hilang, berubah, mengalami kecelakaan. Step pertama untuk menghindarkan dari kondisi-kondisi demikian adalah salahsatunya dengan mengcopy data secara Bitstream Image pada tempat yang sudah pasti aman.

Bitstream image adalah methode penyimpanan digital dengan mengkopi setiap bit demi bit dari data orisinil, termasuk File yang tersembunyi (hidden files), File temporer (temp file), File yang terfragmentasi (fragmen file), file yang belum ter-ovverwrite. Dengan kata lain, setiap biner digit demi digit terkopi secara utuh dalam media baru. Tekhnik pengkopian ini menggunakan teknik Komputasi CRC. Teknik ini umumnya diistilahkan dengan Cloning Disk atau Ghosting.

Software-software yang dapat digunakan dalam aktivitas ini antara lain adalah:

  • Safe Back. Dipasarkan sejak tahun 1990 untuk penegakan Hukum dan Kepolisian. Digunakan oleh FBI dan Divisi Investigasi Kriminal IRS. Berguna untuk pemakaian partisi tunggal secara virtual dalam segala ukuran. File Image dapat ditransformasikan dalam format SCSI atau media storage magnetik lainnya.
  • EnCase. Seperti SafeBack yang merupakan program berbasis karakter, EnCase adalah program dengan fitur yang relatif mirip, dengan Interface GUI yang mudah dipakai oleh tekhnisi secara umum. Dapat dipakai dengan Multiple Platform seperti Windows NT atau Palm OS. Memiliki fasilitas dengan Preview Bukti, Pengkopian target, Searching dan Analyzing.
  • Pro Discover Aplikasi berbasis Windows yang didesain oleh tim Technology Pathways forensics. Memiliki kemampuan untuk me-recover file yang telah terhapus dari space storage yang longgar, mengalanalisis Windows 2000/NT data stream untuk data yang terhidden, menganalisis data image yang diformat oleh kemampuan dd UNIX dan menghasilkan laporan kerja.

- Analisa bukti digital (Analizing Digital Evidence)

Barang bukti setelah disimpan, perlu diproses ulang sebelum diserahkan pada pihak yang membutuhkan. Pada proses inilah skema yang diperlukan akan fleksibel sesuai dengan kasus-kasus yang dihadapi. Barang bukti yang telah didapatkan perlu diexplore kembali beberapa poin yang berhubungan dengan tindak pengusutan, antara lain: (a) Siapa yang telah melakukan. (b) Apa yang telah dilakukan (Ex. Penggunaan software apa), (c) Hasil proses apa yang dihasilkan. (d) Waktu melakukan.

Setiap bukti yang ditemukan, hendaknya kemudian dilist bukti-bukti potensial apa sajakah yang dapat didokumentasikan. Contoh kasus seperti kejahatan foto pornografi-anak ditemukan barang bukti gambar a.jpg, pada bukti ini akan dapat ditemukan data Nama file, tempat ditemukan, waktu pembuatan dan data properti yang lain. Selain itu perlu dicatat juga seperti space dari storage, format partisi dan yang berhubungan dengan alokasi lainnya.

Tiap-tiap data yang ditemukan sebenarnya merupakan informasi yang belum diolah, sehingga keberadaannya memiliki sifat yang vital dalam kesempatan tertentu. Data yang dimaksud antara lain :

  • Alamat URL yang telah dikunjungi (dapat ditemukan pada Web cache, History, temporary internet files)
  • Pesan e-mail atau kumpulan alamat e-mail yang terdaftar (dapat ditemukan pada e-mail server)
  • Program Word processing atau format ekstensi yang dipakai (format yang sering dipakai adalah .doc, .rtf, .wpd, .wps, .txt)
  • Dokumen spreedsheat yang dipakai (yang sering dipakai adalah .xls, .wgl, .xkl)
  • Format gambar yang dipakai apabila ditemukan (.jpg, .gif, .bmp, .tif dan yang lainnya)
  • Registry Windows (apabila aplikasi)
  • Log Event viewers
  • Log Applications
  • File print spool
  • Dan file-file terkait lainnya.

Analisis kemungkinan juga dapat diperoleh dari motif/latar belakang yang ada sebelum didapatkan kesimpulan. Bahwa setiap sebab, tentu saja akan memiliki potensi besar untuk menghasilkan akibat yang relatif seragam.

- Presentasi bukti digital (Presentation of Digital Evidence)

Kesimpulan akan didapatkan ketika semua tahapan tadi telah dilalui, terlepas dari ukuran obyektifitas yang didapatkan, atau standar kebenaran yang diperoleh, minimal bahan-bahan inilah nanti yang akan dijadikan “modal” untuk ke pengadilan.

Proses digital dimana bukti digital akan dipersidangkan, diuji otentifikasi dan dikorelasikan dengan kasus yang ada. Pada tahapan ini menjadi penting, karena disinilah proses-proses yang telah dilakukan sebelumnya akan diurai kebenarannya serta dibuktikan kepada hakim untuk mengungkap data dan informasi kejadian.

Pada tahapan final ini ada beberapa hal yang mutlak diperhatikan, karena memang pada level ini ukuran kebenaran akan ditetapkan oleh pengadilan sebagai pemilik otoritas. Hal-hal yang dimaksud adalah :

  • Cara Presentasi
  • Keahlian Presentasi
  • Kualifikasi Presenter
  • Kredibilitas setiap tahapan pengusutan

Penutup

  • Akhirnya, Disiplin keilmuan dalam dunia komputerisasi yang relatif baru ini diharapkan mampu menjadi “oase” dalam kegersangan akan penindakan kejahatan computer yang bertajuk cybercrime. Bagaimanapun perkembangan disiplin ini akan terus menerus diperlukan sebagai controller kejahatan yang tentusaja akan juga terus menerus berkembang pula.
  • Tulisan ini diharapkan mampu menstimulus energi masing-masing dari kita untuk bersama-sama menatap perkembangan keamanan komputer pada khususnya dan Teknologi Informasi pada umumnya.
  • Selanjutnya kemudian, upaya preventiflah yang hendaknya lebih baik untuk dilakukan oleh praktisi security untuk mencegah setiap kejahatan dengan berbagai modusnya ini. Karena seperti kata pepatah, mencegah adalah lebih baik daripada mengobati.

PIRANTI LUNAK DAN KERAS YANG DIGUNAKAN DALAM COMPUTER FORENSIK

Perangkat Lunak File Recovery

File Recovery dapat di download dalam situs www.ubcd4win.com dimana dalam situs tersebut terdapat kumpulan tool-tool yang berhubungan dengan forensik, salah satunya File Recovery ini. Selain situs tersebut dapat juga di download dalam situsnya langsung di www.pcinspector.de/file_recovery.

Cara Kerja File Recovery

Setelah File Recovery selesai di download, untuk menjalankan tool tersebut kita hanya menekan filerecovery.exe. Saat pertama kita menjalankan File Recovery akan masuk ke halaman utama yang berisi menu pilihan aksi apa yang akan dilakukan selanjutnya.

Recover Deleted Files

Digunakan untuk mengembalikan data yang telah dihapus dari tempat pembuangan data sementara (Recycle Bin).

o Pilih logical drive, dimana Logical Drive itu maksudnya adalah bagian dari partisi hard disk yang dapat kita lihat di Windows

Explorer.

o Setelah menekan tombol OK maka File Recovery akan mencari file-file baik yang sudah ataupun belum terhapus. Tool ini akan mencari dalam sector dan cluster pada drive

o Pilih file yang dicari dalam folder “Deleted”. Klik kanan pada mouse.

o Setelah itu save to ke tempat dimana kita akan meletekkannya.

Find Lost Data

Digunakan jika kita ingin mencari data yang telah hilang saat

melakukan quick-formatting atau sistem yang hancur.

o Pilih logical drive. Tekan OK.

o Masukkan berapa minimum dan maximum alamat cluster tempat yang akan kita cari isi filenya. Tekan OK.

o Pilih file yang kita cari dalam folder “Lost”. Lalu Save ke tempat dimana kita akan meletakannya.

o Nama dalam folder “Lost” tersebut semua bernama Cluster.

Find Lost Drive

Digunakan untuk mencari drive sebelumnya yang hilang. Disini kita akan mencari drive hilang yang telah terdapat dalam sector pada hard disk.

o Pilih Physical Drive lalu Find Logical drives.

o Pilih berapa start sector(min) dan End Sector(max).

o Pilih file yang dicari dalam folder “Root”. Klik kanan pada mouse.

o Setelah itu save ke tempat dimana kita akan meletekkannya.

Implementasi

Uji coba dilakukan untuk mengetahui kinerja File Recovery. Uji coba juga

dilakukan sebagai sarana evaluasi sehingga dapat diketahui keakuratan File

Recovery dalam merecovery file yang hilang. Spesifikasi teknis system yang

digunakan adalah perangkat keras dan perangkat lunak yang saling mendukung.

Konfigurasi yang digunakan sebagai berikut.

a. Perangkat Keras

· Processor AMD Duron 847 MHz

· Motherboard ECS

· HDD Seagate 40 GB

· HDD Maxtor 20 GB

· Pixel View GForce 4 MX 4000 / 128 MB

· 256 Mb RAM

· Lite-On DVD-ROM 16X

· Lite-On CD-RW 52X

b. Perangkat Lunak

· Windows XP Profesional SP 1

· File Recovery

· Internet Explorer

Kinerja File Recovery

Penulis akan melakukan uji coba dengan cara setiap hasil recovery file terdapat pencatatan kapasitas masing-masing data atau file yang di-recovery.

Hasil yang diterima dicatat ke dalam tulisan ini untuk melihat perbandingan

keakuratan File Recovery dalam merecover file.

Kemudian besar data atau file dibedakan dalam 3 kelas, yaitu:

· Kelas pertama 20 kb – 100 kb untuk data gambar atau foto.

· Kelas kedua 4,920 kb – 27,322 kb untuk data aplikasi.

· Kelas ketiga 101 kb – 2,231 kb untuk data dokumen.

Recover File

Dalam setiap kelas terdapat 5 data yang akan di hapus lalu di-recover kembali. Setelah itu dibuat kelas data. Hasil uji coba digambarkan dalam grafik untuk

melihat kemampuan atau keakuratan File Recovery.

1. Data untuk kelas gambar sebelum dan sesudah di-recover.

No

Nama Data

Sebelum Dihapus

Sesudah Recover

1

KRILIN.

jpeg

20 Kb

20 Kb

2

BROLI1.bmp

40 Kb

40 Kb

3

0006570.jpeg

60 Kb

60 Kb

4

Untitled-1 copy.jpeg

80 Kb

80 Kb

5

Users_133.jpeg

100 Kb

100 Kb

Tabel 3.3.1.1 Tabel Kelas Gambar

2. Data untuk kelas aplikasi sebelum dan sesudah di-recover.

No

Nama Data

Sebelum Dihapus

Sesudah Recover

1

Spybotsd14

4,920 Kb

4,920 Kb

2

Easyphp1-8_setup

7,896 Kb

7,896 Kb

3

Record-xp

8,801 Kb

8,801 Kb

4

Phptriad2-2-1

13,150 Kb

13,150 Kb

5

Pack_Vista_Inspirat_1.1

27,322 Kb

27,322 Kb

Tabel 3.3.1.2 Tabel Kelas Aplikasi

3. Data untuk kelas dokumen sebelum dan sesudah di-recover.

No

Nama Data

Sebelum Dihapus

Sesudah Recover

1

Doc1

101 Kb

101 Kb

2

Doc2

204 Kb

204 Kb

3

Doc3

943 Kb

943 Kb

4

Doc4

1.017 Kb

1.017 Kb

5

Doc5

2.231 Kb

2.231 Kb

Tabel 3.3.1.3 Tabel Kelas Dokumen

Perkembangan komputer ternyata tidak hanya menolong manusia dalam melakukan pekerjaan yang baik-baik saja, namun juga sangat membantu dalam melakukan berbagai kejahatan baru. Tapi jangan takut karena kejahatan jenis ini juga bisa meninggalkan jejak yang sangat membantu para penyidik.

Julukan jaman serba komputer bagi era ini memang tidak salah. Mulai dari mengetik dokumen, mencari informasi di Internet, melakukan testing simulasi, melakukan pemeriksaan kesehatan, sampai dengan tindakan kriminal, penipuan dan terorisme mau tidak mau juga harus mengandalkan bantuan komputer. Perkembangan ini bagai dua mata pedang tajam, ada sisi baik ada juga sisi buruknya.
Sisi baiknya, pekerjaan Anda menjadi sangat terbantu dengan adanya sistem komputer dimana-mana. Revolusi pekerjaan mungkin saja akan terjadi nanti, di mana semua pekerjaan manusia dilakukan dan diselesaikan oleh komputer. Namun yang menjadi salah satu dari cukup banyak dampak buruknya, bagai api di siram minyak, kejahatan mendapatkan media baru untuk bekerja.

Dengan menggunakan bantuan komputer, kejahatan menjadi semakin mudah, cepat, leluasa dan semakin instan untuk dilakukan. Selain menggunakan kecanggihan dan keakuratan komputer dalam mengolah dan memanipulasi data, kejahatan juga memiliki media komunikasi publik baru untuk bekerja, yaitu Internet.
Dunia Internet merupakan media yang “nyaman” untuk melakukan kejahatan. Tidak banyak orang yang tahu apa yang sedang terjadi dalam Internet, apa dan siapa yang bertransaksi menggunakan Internet, para “penduduknya” tidak kasat mata, tidak ada identitas yang jelas bagi penggunanya, belum ada standar hukum dan aturan yang jelas di dalamnya, belum ada polisi yang berpatroli dan segudang ketidakpastian lainnya. Ini menjadikan Internet bagaikan hutan belantara yang membuat orang bisa berbuat apa saja di dalamnya.

Kejahatanpun mendapat tempat yang spesial di sini. Mulai dari penipuan sederhana sampai yang sangat merugikan, ancaman terhadap seseorang atau kelompok, penjualan barang-barang ilegal, sampai tindakan terorisme yang menewaskan ribuan orang juga bisa dilakukan menggunakan komputer dan Internet.
Melihat semakin meningkatnya kejahatan di internet dan dunia komputer, mulai banyak negara yang merespon hal ini. Dengan membuat pusat-pusat pengawasan dan penyidikan kriminalitas di dunia cyber ini diharapkan kejahatan cyber tidak akan terus berkembang merajalela tak terkendali. Yang kemudian menjadi pertanyaan adalah, apa yang bisa di selidiki dari dunia internet dan komputer? Jika memang seseorang melakukan kejahatan, mana buktinya? mana saksinya?
Bukti dalam wujud fisik memang sulit untuk didapatkan dalam tindakan kejahatan cyber, namun para penyidik masih bisa membuktikan mereka bersalah atau tidak dengan bantuan bukti-bukti lain yang tidak kalah kuatnya, yaitu bukti-bukti digital.

Apa saja yang termasuk kejahatan digital?
Sebelum mulai masuk ke dalam bukti-bukti digital, rasanya kita perlu juga untuk mengetahui apa saja yang termasuk dalam kategori kejahatan digital atau yang juga sering disebut dengan istilah cybercrime. Definisi Cybercrime atau kejahatan digital adalah sesuatu tindakan yang merugikan orang lain atau pihak-pihak tertentu yang dilakukan pada media digital atau dengan bantuan perangkat-perangkat digital.
Tindakan, perilaku, perbuatan yang termasuk dalam kategori kejahatan digital atau Cybercrime adalah sebagai berikut:
* Penipuan finansial melalui perangkat komputer dan media komunikasi digital.* Penipuan finansial melalui perangkat komputer dan media komunikasi digital.
* Sabotase terhadap perangkat-perangkat digital, data-data milik orang lain, dan jaringan komunikasi data.
* Pencurian informasi pribadi seseorang maupun organisasi tertentu.
* Penetrasi terhadap sistem komputer dan jaringan sehingga menyebabkan privasi terganggu atau gangguan pada fungsi komputer yang Anda gunakan (denial of service).
* Para pengguna internal sebuah organisasi melakukan akses-akses ke server tertentu atau ke internet yang tidak diijinkan oleh peraturan organisasi.
* Menyebarkan virus, worm, backdoor, trojan pada perangkat komputer sebuah organisasi yang mengakibatkan terbukanya akses-akses bagi orang-orang yang tidak berhak.
Kejahatan-kejahatan digital ini sudah pasti memanfaatkan perangkat dan media digital dalam bekerja. Jadi bukti-bukti digital sudah pasti akan dihasilkan dari proses kejahatan ini. Tetapi bagaimana dengan kejahatan fisikal yang menggunakan bantuan perangkat dan media komunikasi digital? Tentu saja jika kejahatannya sudah berhubungan dengan perangkat digital, bukti kejahatannya tentu bisa saja tertinggal dalam format digital.

Sebenarnya apa itu bukti-bukti digital?
Sebuah tindakan kejahatan baik yang tidak direncanakan maupun yang direncanakan, pastilah menjalani sebuah proses. Proses kejahatan yang dilakukan oleh tersangka terhadap korbannya untuk menuju sebuah hasil akhir kejahatan, tentu akan banyak berhubungan dan mengandalkan bantuan dari berbagai aspek pendukung.
Di dalam interaksi antara korban, tersangka dan aspek pendukung, terjadi apa yang sering disebut exchange atau pertukaran. Tersangka, korban, dan aspek pendukung saling melakukan pertukaran atribut yang merupakan ciri khas atau identitas masing-masing dalam sebuah proses kejahatan. Dari atribut-atribut khas yang terekam inilah proses berlangsungnya kejahatan sering kali dapat tergambar dengan sangat jelas.

Melalui penyelidikan terhadap semua atribut yang saling tertukar tersebut biasanya para penyidik dapat diketahui siapa pelaku kejahatan, siapa korbannya, dan aspek-aspek apa saja yang digunakan dalam prosesnya. Atribut atau identitas apa saja yang terekam dan tertukar dalam sebuah proses kejahatan inilah yang disebut dengan bukti kejahatan.
Tindakan kejahatan tradisional umumnya meninggalkan bukti kejahatan berupa bukti-bukti fisikal, karena proses dan hasil kejahatan ini biasanya juga berhubungan dengan benda berwujud nyata. Dalam dunia komputer dan internet, tindakan kejahatan juga akan melalui proses yang sama. Proses kejahatan yang dilakukan tersangka terhadap korbannya juga akan mengandalkan bantuan aspek pendukung dan juga akan saling melakukan pertukaran atribut.

Namun dalam kasus ini aspek pendukung, media, dan atribut khas para pelakunya adalah semua yang berhubungan dengan sistem komputerisasi dan komunikasi digital. Atribut-atribut khas serta identitas dalam sebuah proses kejahatan dalam dunia komputer dan internet inilah yang disebut dengan bukti-bukti digital.

Apa perbedaan bukti digital dan fisikal?
Sesuai dengan namanya bukti fisikal adalah bukti yang berwujud fisik dan nyata. Wujud yang nyata tentu dapat dilihat, dirasa, dan disentuh. Dengan demikian bukti ini dapat diselidiki dan dianalisa dengan proses-proses fisik biasa, seperti misalnya dibaui, dikenali bentuknya, diraba, dan banyak lagi. Misalnya sidik jari pada sebuah pisau milik pelaku pembunuhan. Dengan sedikit bantuan alat khusus, sidik jari ini dapat terlihat dengan mudah dan darah korban dapat dikenali dari pisau itu. Proses analisa selanjutnya menjadi relatif lebih mudah dilakukan.
Dalam dunia komputer dan internet, Anda memasuki dunia digital yang hanya terdiri dari pulsa-pulsa listrik dan kumpulan logika angka 0 dan 1. Dunia komunikasi dan proses yang jauh lebih “virtual” dan samar-samar. Identitas seorang individu sangatlah sulit untuk diketahui di dalam dunia digital ini karena sifatnya lebih global. Disini tidak ada sidik jari yang merupakan ciri khas dari setiap orang. Atau tidak ada darah yang dapat dianalisa. Namun meski demikian proses kejahatan di dalamnya bukannya tidak berbekas sama sekali. Proses komunikasi dan komputasi digital juga bisa menghasilkan atribut-atribut khas, yaitu “benda-benda digital”.
Pertukaran atribut khas juga terjadi di dalam proses kejahatan di dunia digital ini, meskipun wujudnya adalah berupa benda digital. Contoh benda-benda digital seperti misalnya sebuah file dokumen, log akses, email header dan log, medan elektromagnet pada piringan harddisk, alamat IP, dan banyak lagi. Benda-benda ini tidak bisa disentuh, diraba, dibaui, dirasa. Benda ini hanya bisa dilihat, diukur satuannya, dan diproses lebih lanjut juga dengan menggunakan komputer. Tetapi meskipun demikian bukti-bukti ini sangat penting dan cukup kuat untuk dapat membuktikan sebuah kejahatan.

Contoh sederhananya adalah sebuah e-commerce web server yang memiliki sistem logging setiap kali server tersebut diakses. Melalui log ini, semua orang yang mengakses server akan terekam dengan jelas keterangannya, biasanya berupa alamat IP, port-port komunikasi yang digunakan, aktifitasnya di dalam server tersebut, dan banyak lagi. Dari log ini Anda dapat mengetahui alamat IP berapa yang melakukan “carding”. Kemudian Anda dapat mencari ISP mana pemilik alamat IP ini. Setelah menghubungi ISP yang bersangkutan dan menyertakan bukti-bukti aktifitasnya, Anda mungkin saja sudah dekat ke si pelaku. Itupun jika ia tidak “berkeliling dunia” dulu memanfaatkan celah-celah komputer orang lain untuk melakukan kejahatannya.

Apa saja yang termasuk dalam bukti digital?
Dunia digital memang cukup luas cakupannya. Proses-proses yang menggunakan pulsa listrik dan logika biner bukan hanya digunakan oleh perangkat komputer. Untuk itu sebuah kelompok kerja yang bernama Standard Working Group on Digital Evidence (SWGDE) mendefinisikannya sebagai semua informasi yang memiliki nilai pembuktian yang kuat yang disimpan atau ditransmisikan dalam bentuk sinyal-sinyal listrik digital. Maka itu, data yang sesuai dengan definisi ini biasanya adalah berupa kumpulan logika-logika digital yang membentuk sebuah informasi, termasuk teks-teks dokumen, video, audio, file gambar, alamat-alamat komunikasi digital, dan banyak lagi.

Apa saja yang dapat menjadi sumber bukti digital?
Perangkat yang menggunakan format data digital untuk menyimpan informasi memang sangat banyak. Meskipun dalam artikel ini cakupannya hanya seputar perangkat komputer dan jaringan saja, namun perangkat-perangkat lain juga memiliki potensi untuk menyimpan buktibukti digital. Seperti misalnya perangkat ponsel, smart card, bahkan microwave juga bisa berperan sebagai sumber buktibukti digital. Berdasarkan pertimbangan inilah maka dibuat tiga kategori besar untuk sumber bukti digital, yaitu:

* Open computer systems
Perangkat-perangkat yang masuk dalam kategori jenis ini adalah apa yang kebanyakan orang pikir sebagai perangkat komputer. Sistem yang memiliki media penyimpanan, keyboard, monitor, dan pernak-pernik yang biasanya ada di dalam komputer masuk dalam kategori ini. Seperti misalnya laptop, desktop, server, dan perangkat-perangkat sejenis lain. Perangkat yang memiliki sistem media penyimpanan yang kian membesar dari waktu ke waktu ini merupakan sumber yang kaya akan bukti-bukti digital. Sebuah file yang sederhana saja pada sistem ini dapat mengandung informasi yang cukup banyak dan berguna bagi proses investigasi. Contohnya detail seperti kapan file tersebut dibuat, siapa pembuatnya, seberapa sering file tersebut di akses, dan informasi lainnya semua merupakan informasi penting.
* Communication systems
Sistem telepon tradisional, komunikasi wireless, Internet, jaringan komunikasi data, merupakan salah satu sumber bukti digital yang masuk dalam kategori ini. Sebagai contoh, jaringan Internet membawa pesan-pesan dari seluruh dunia melalui e-mail. Kapan waktu pengiriman e-mail ini, siapa yang mengirimnya, melalui mana si pengirim mengirim, apa isi dari e-mail tersebut merupakan bukti digital yang amat sangat penting dalam investigasi.
* Embedded computer systems Perangkat telepon bergerak (ponsel), personal digital assistant (PDA), smart card, dan perangkat-perangkat lain yang tidak dapat disebut komputer tapi memiliki sistem komputer dalam bekerjanya dapat digolongkan dalam kategori ini. Hal ini dikarenakan bukti-bukti digital juga dapat tersimpan di sini. Sebagai contoh, sistem navigasi mobil dapat merekam ke mana saja mobil tersebut berjalan. Sensor dan modul-modul diagnosa yang dipasang dapatmenyimpan informasi yang dapat digunakan untuk menyelidiki terjadinya kecelakaan, termasuk informasi kecepatan, jauhnya perjalanan, status rem, posisi persneling yang terjadi dalam lima menit terakhir. Semuanya merupakan sumber-sumber bukti digital yang amat berguna.

Apakah sulit untuk mendapatkan bukti digital?
Penyidikan dan bukti-bukti digital mempunyai sebuah problem dalam implementasinya, yaitu Complexity atau kekompleksan. Banyak sekali aspek yang mendukung terciptanya bukti digital, sehingga tidak mudah untuk mendapatkannya apalagi mengertinya. Bukti-bukti digital biasanya didapat dalam bentuk “data mentah”. Data mentah merupakan data yang belum diformat dan ditampilkan ke dalam bentuk yang dapat dibaca oleh mata dan pikiran manusia. Untuk itu tidaklah mudah bagi para penyidik untuk dapat langsung mengerti apa maksud dan isi dari bukti digital yang didapatnya.

Masalah ini biasanya bisa diselesaikan dengan menggunakan alat bantu penyidikan yang akan mengubah data mentah menjadi format yang lebih dapat dimengerti. Alat bantu ini biasanya akan menjalankan berbagai rutin dan algoritma untuk menerjemahkan data mentah menjadi sebuah format yang lebih manusiawi.

Dalam proses penerjemahan ini, data mentah akan melewati sebuah layer dimana akan diubah bentuknya menjadi format lain yang bisa dibaca oleh sebuah aplikasi. Layer ini sering disebut dengan istilah Abstraction layer. Contoh dari Abstraction layer adalah ASCII, HTML, paket-paket TCP/IP, signature-signature intrusion detection system, dan banyak lagi. Data mentah kemudian diproses dengan algoritma dan seperangkat aturan pada Abstraction layer untuk menghasilkan sesuatu keluaran yang dapat dibaca.

Namun perlu disadari juga proses ini tentunya tidak bisa luput dari kesalahan seperti misalnya adanya bug pada aplikasi, spesifikasi alat yang tidak tepat, konfigurasi yang salah, dan banyak lagi. Proses pengumpulan bukti digital memanglah tidak mudah.

Alat bantu apa yang banyak digunakan dalam penyidikan digital?
Teknik mengumpulkan bukti-bukti digital berkembang seiring dengan perkembangan teknologi komputer. Pada masa awal dilakukannya penyelidikan bukti digital, para penyidik biasanya langsung menggunakan perangkat digital yang mengandung barang bukti dalam melakukan pengumpulan bukti. Biasanya pengumpulan dilakukan dengan melihat langsung isi sebuah file atau mengopinya ke tempat penyimpanan lain. Padahal tindakan ini memiliki potensi yang sangat besar untuk dapat mengubah atau bahkan merusak bukti-bukti digital yang ada pada perangkat tersebut.

Penyidikan yang dilakukan pada era 1980 an kebanyakan masih berkutat seputar file sistem saja, seperti misalnya mencari log-log, menyelidiki runutan modifikasi sebuah file, melihat siapa yang terakhir mengakses, dan banyak lagi. Di dalam era ini para penyidik masih belum terlalu memperdulikan validasi data yang dikumpulkannya. Selain itu bukti-bukti yang dihapus dengan sengaja maupun tidak sengaja belum menjadi prioritas utama dalam penyidikan.

Sampai pada era 1990 an, karena semakin meningkatnya cybercrime para penyidik harus makin perduli akan validitas bukti digital ini. Maka itu mulai banyak perangkat dan aplikasi dibuat untuk membantu pengambilan data dari sebuah perangkat digital. Tool-tool seperti SafeBack dan DIBS dibuat pada era ini untuk membantu penyidik mengumpulkan bukti digital tanpa sedikitpun mengubah detil-detil pentingnya. Semakin terasa penting dan tinggi tingkat kebutuhannya, tool-tool digital forensic dibuat semakin canggih dan hebat seiring dengan berjalannya waktu.

Salah satu contoh tool yang termasuk cukup hebat yang ada saat ini adalah Encase, aplikasi keluaran Guidance Software. Tidak hanya dapat membaca data-data yang sudah terhapus, Encase juga dapat memberitahukan sistem-sistem yang belum di patch, menerima masukkan dari Intrusion Detection System
untuk menyelidiki keanehan jaringan yang terjadi, merespon sebuah insiden keamanan, memonitoring pengaksesan sebuah file penting, dan banyak lagi.

Tidak hanya aplikasi saja yang berkembang, hardware-hardware khusus forensik juga banyak diciptakan. Salah satu tool yang paling penting dalam penyidikan digital adalah hard drive duplication system yang memiliki kemampuan mengopi seluruh isi sebuah harddisk tanpa mengubah detilnya. Mulai dari sistem operasi beserta registry-registrynya, file sistem dan partisi, deleted files (file-file yang sudah dihapus), free space, bahkan sisa-sisa data yang sudah di format.

Jangan Tergiur untuk berbuat Jahat
Apa reaksi Anda ketika menemukan sebuah situs penuh dengan nomor kartu kredit orang lain yang dapat digunakan untuk belanja di Internet? Tergiur? Tentu sesaat pasti Anda tergiur juga dan mulai memikirkan bagaimana cara menghabiskan limit belanjanya. Jika ingin belanja barang bagaimana proses pengirimannya, bagaimana penamaannya dan sebagainya, pasti pernah juga terbersit di benak Anda.
Namun sebaiknya Anda berpikir lagi sesaat apakah Anda akan aman dari kejaran polisi? Apakah bukti-bukti kejahatan Anda ini tidak dapat terlacak oleh pihak berwajib? Jangan pernah berpikir Anda aman karena berada di internet, karena sebenarnya tidaklah sulit untuk menyodorkan sejumlah bukti-bukti digital terhadap kejahatan yang akan Anda lakukan. Pada edisi berikutnya akan ditunjukan beberapa teknik dan contoh bukti-bukti digital yang bisa didapat dari dunia komputer, jaringan komunikasi data, dan internet. Jadi jangan tergiur untuk berbuat jahat

Kejahatan dunia cyber sekilas memang tidak kasat mata dan sangat sulit untuk dilacak, namun pada kenyataannya sulit juga untuk menutup-tutupinya, bagai bangkai yang akan tercium juga baunya. Bukti kejahatan yang dilakukan mungkin saja bisa di hilangkan dari perangkat dan jaringan data yang digunakan. Namun jika digali lebih dalam lagi, mungkin masih tertinggal sisa-sisa kejahatan tersebut sepanjang jalan dunia maya.

Untuk itu ada baiknya jika Anda mengetahui bagaimana proses terbentuknya sebuah bukti digital, dimana saja bukti digital bisa terbentuk dan disimpan, dan banyak lagi trik-trik mengumpulkan bukti-bukti digital. Meskipun hanya secara garis besar dan tidak akan membuat Anda menjadi seorang ahli forensik, namun informasi ini cukup berguna untuk referensi ketika sebuah kejahatan cyber menimpa Anda dan perangkat digital Anda.

Apa bukti digital pertama yang akan Anda temui di dalam PC ?
Untuk menggali bukti-bukti digital pada PC, mungkin ada baiknya untuk mereview sejenak bagaimana proses dan cara kerja sebuah komputer dalam melayani penggunanya. Dan bagaimana sebuah perangkat komputer dapat membentuk bukti digital yang cukup kuat.

Setiap kali sebuah komputer diaktifkan, maka sebuah proses yang disebut booting akan terjadi pertama kali. Ada tiga tahap proses dalam proses booting, yaitu CPU reset, Power-On-Self-Test (POST), dan disk boot.

CPU reset
CPU reset merupakan proses yang dilakukan PC pertama kali. Hal ini karena CPU merupakan komponen yang paling penting. Maka CPU reset dilakukan pertama untuk memulai semua aktifitas. CPU reset biasanya dipicu oleh tombol power, namun bisa juga dilakukan dari jaringan atau sistem lainnya. Setelah CPU aktif maka Basic Input Output System (BIOS) akan aktif juga.

BIOS bekerja melayani pergerakan data diseputar komputer karena disinilah informasi sistem input dan output ditentukan. BIOS dapat dilindungi dengan menggunakan password untuk dapat mulai bekerja. Jadi tanpa password BIOS yang benar komputer tidak akan bekerja. Pada BIOS terdapat program yang bernama Power-On-Self-Test (POST).

POST
Akan melakukan testing terhadap komponen dasar dari komputer. Ketika CPU mengaktifkan BIOS, program POST di jalankan. Yang pertama kali diperiksa oleh POST adalah integritas CPU dan program POST itu sendiri. Selebihnya, program POST akan memeriksa disk drive, monitor, RAM, dan keyboard. Pada saat BIOS sudah aktif dan POST belum selesai dilakukan, Anda dapat menginterupsi proses booting dan melakukan konfigurasi CMOS.

CMOS merupakan memori kecil untuk menyimpan BIOS beserta konfigurasi pentingnya seperti media yang melakukan booting, pengaturan processor, memori, dan banyak lagi. Di sini juga disimpan waktu dan penanggalan yang akurat untuk komputer tersebut. CMOS dilengkapi dengan batere khusus agar data-data di dalamnya tidak hilang.

Disk boot
sedangkan disk boot dibutuhkan setelah POST selesai karena komputer telah siap untuk menjalankan sistem operasi yang sangat berguna untuk menghubungkan manusia dengan komputer. Menjalankan sistem operasi diperlukan sebuah sistem inisialisasi awal yang akan menggabungkan semua fungsi komputer menjadi satu dan siap digunakan. Sistem awal ini kemudian disimpan dalam media yang dapat dibaca komputer. Media ini disebut dengan istilah disk boot.

Untuk melanjutkan penggunaan komputer, disk boot mutlak harus ada apapun medianya. Pengaturan media mana yang akan menjadi disk boot bisa Anda lakukan di dalam BIOS. Setelah semuanya selesai, Anda sudah siap untuk menggunakan komputer.

Bagaimana mengumpulkan bukti digital dalam sistem operasi?
Setelah tiga proses awal dilalui, maka komputer akan dikendalikan menggunakan sistem operasi. Seperti Anda ketahui, banyak sekali sistem operasi yang beredar saat ini, namun dalam topik ini hanya akan dibahasi bagaimana bukti digital dapat terjadi dan digali dari sistem operasi Windows. Untuk menggali bukti digital dalam level sistem operasi, tiga poin penting yang harus dimengerti oleh penyidik adalah cara kerja sistem operasi itu sendiri, file system, dan aplikasi yang berjalan di atasnya.

Cara kerja sistem operasi meliputi pengertian tentang sistem account pada Windows NT dan familinya, file access control, registry, sistem logging, dan banyak lagi. Semuanya memiliki tingkat kepentingan yang sama, namun umumnya sistem logging dan registry merupakan komponen yang akan sering dilihat.

Sistem logging merupakan komponen yang penting dalam penyelidikan karena pada log inilah tercatat semua pergerakan data. Di dalam sistem operasi Windows NT/2000/XP, logging disimpan dalam direktori “%systemroot%\system32\config\” (c:\winnt\system32\config\). File-file log yang ada di dalamnya termasuk file Appevent.evt (berisi catatan-catatan penggunaan aplikasi), Secevent.evt (merekam aktifitas yang berhubungan dengan security termasuk login), Sysevent.evt (mencatat semua kejadian-kejadian yang berhubungan dengan sistem seperti misalnya waktu shutdown). Selain file-file ini masih banyak lagi file log yang tersedia untuk diselidiki oleh penyidik.

Selain itu registry juga merupakan salah satu komponen penting dalam penyidikan digital. Sistem Windows menggunakan registry untuk menyimpan konfigurasi sistem dan detail penggunaan sistem operasi. Jadi dari key-key yang ada di dalam registry, banyak informasi yang bisa Anda dapatkan seperti kapan waktu akses sebuah aplikasi, file apa yang diakses menggunakan aplikasi tersebut, di mana letak file yang diakses, dan banyak lagi. Untuk melihat-lihat isi registry biasanya digunakan program sederhana bawaan Windows yaitu Regedt32.

Memahami file system berguna untuk mengetahui bagaimana data-data Anda disusun di dalam harddisk, data apa saja yang dimodifikasi, data apa saja yang disembunyikan, data apa saja yang telah di hapus, sistem partisi harddisk, dan banyak lagi. FAT dan NTFS merupakan file system yang sering digunakan oleh Windows. Proses pengumpulan bukti digital dari sisi file system biasanya adalah seputar recovery data yang telah terhapus dan penyidikan data-data yang dimodifikasi.

Recovery file yang telah dihapus menjadi sangat penting dalam penyidikan karena dapat mengorek kembali informasi-informasi lama yang sengaja maupun tidak sengaja di hapus. Biasanya proses ini mengandalkan program recovery seperti misalnya Ontrack. Easy-Recovery Pro atau DataLifter. Cukup banyak jenis-jenis data yang dapat dikembalikan dengan menggunakan aplikasi ini.

File dan data yang telah dimodifikasi juga dapat dilihat dengan menyelidiki informasi yang terkandung dalam file system FAT dan NTFS. Ketika sebuah file masuk kedalam PC melalui media apapun, sebuah sistem penanda dari file system akan diberikan pada file tersebut. Sistem penanda ini disebut datetime stamp. Penanda ini berisi tanggal dan waktu dimana file tersebut pertama kali masuk ke dalam PC. Ketika file tersebut diakses, dimodifikasi, atau dipindahkan tempatnya, date-time stamp akan berubah untuk menandai aksi-aksi ini.

FAT dan NTFS mempunyai karakteristik sendiri dalam melakukan penandaan ini dan mengumpulkannya menjadi sebuah informasi. Dengan memahami karakteristik ini, para penyidik dapat mengetahui aksi-aksi apa yang telah terjadi terhadap file-file bukti dan kapan hal tersebut terjadi. Aplikasi seperti Encase Forensic Edition dapat melayani Anda dalam melakukan penyidikan jenis ini.

Selain itu aplikasi-aplikasi dalam sistem operasi ini juga harus dikenali dengan baik. .NET framework, JAVA, bahasa pemrograman, scripting, dan aplikasi lainnya harus dimengerti untuk mengorek bukti digital. Dalam aplikasi-aplikasi besar, biasanya terdapat fasilitas logging yang amat berguna dalam melakukan penyidikan. Carilah file-file log ini jika memang ada. Selain itu, jika diperlukan lakukan pengujian aplikasi-aplikasi tersebut untuk mengetahui karakteristiknya. Namun pengujian sebaiknya dilakukan pada PC lain.

Bagaimana mengumpulkan bukti digital dalam jaringan data?
Jaringan data saat ini merupakan sebuah fasilitas yang mau tidak mau harus ada dalam dunia komputer. Bekerja dengan komputer tidak lagi bersifat individual sejak ada fasilitas ini. Jaringan LAN dan jaringan super besar Internet, merupakan salah satu fasilitasnya. Orang-orang semakin banyak mengandalkan E-mail untuk berkomunikasi, E-commerce untuk berbelanja, browsing web site untuk mencari informasi, dan banyak lagi. Seiring berkembangnya jaringan data, kejahatan pun mulai memasuki era ini. Namun tidak perlu khawatir karena tersedia juga bukti-bukti digital dalam dunia maya ini.

Dunia Internet dan jaringan data memang sangat luas, oleh sebab itu bukti digital dapat dikumpulkan dari banyak titik. Jika mau di lacak, mulai dari layer komunikasi physical sampai layer application berpotensi menyimpan bukti digital. Namun beberapa titik penting yang sering digunakan dalam investigasi dari segi jaringan data adalah bukti digital pada e-mail, sistem pengalamatan dan penamaan IP, dan file-file log yang dihasilkan pada perangkat-perangkat jaringan dan server.

Sistem komunikasi e-mail menjadi sangat penting dilacak karena saat ini email sudah menjadi “barang wajib” dalam berkomunikasi. Maka itu banyak pula tindakan kejahatan yang menggunakan email sebagai perantara dan medianya. Untuk melakukan penyidikan terhadap sebuah e-mail, sebuah bukti digital yang sangat penting adalah email header tersebut. Dengan menggunakan informasi yang ada dalam email header, penyidik dapat mengetahui sumber dari e-mail tersebut dan bukan tidak mungkin untuk mendapatkan siapa individu yang mengirimkan e-mail tersebut.

E-mail header pasti ada pada setiap e-mail. Anda bisa melihatnya dengan mudah jika menggunakan mail client seperti Outlook, Outlook Express, Eudora, dan banyak lagi. Tinggal atur saja opsi pengatur tampilan, kemudian pilih opsi yang menawarkan Anda untuk melihat e-mail beserta header-nya.

Header ini dapat dibaca dengan mudah. Carilah kalimat yang diawali dengan kata Received, Anda akan menemukan beberapa kalimat di dalamnya. Urutan membacanya adalah dari bawah ke atas. Kalimat Received paling bawah menunjukan sumber email tersebut berasal, sedangkan Received paling atas menunjukkan tujuan akhir dari e-mail tersebut. Kalimat Received di antaranya adalah urutan jalannya e-mail.

Selain e-mail header, pengalamatan dan penamaan IP juga merupakan bukti digital yang cukup penting. Dengan sistem penamaan dan pengalamatan IP yang telah diatur dengan baik oleh lembaga internasional yang menangani masalah tersebut, maka pelacakan kejahatan menjadi mudah. Lembaga internasional seperti ARIN (mewakili area regional Amerika Serikat), APNIC (untuk area Asia), RIPE (untuk area Eropa), dan banyak lagi, bertugas mengurus sistem pengalamatan IP mulai dari bertindak sebagai “penjual” IP sampai menyimpan data-data dari Siapapun dapat mengetahui informasi yang cukup lengkap mengenai pemegang sebuah alamat IP. Dengan demikian maka bukti digital alamat IP menjadi cukup kuat. Namun para penyidik harus lebih berhati-hati karena teknik IP spoofing (menggunakan alamat IP palsu) sering kali digunakan untuk mengacaukan bukti digital ini.

Log-log dari perangkat jaringan pun menjadi barang bukti yang sangat penting karena dengan perangkat-perangkat inilah komunikasi dapat terjadi, termasuk juga tindak kejahatan. Log-log ini biasanya bisa didapat dari berbagai sumber, mulai dari perangkat jaringan terdekat dengan korban, perangkat penyedia jasa jaringan, perangkat penyedia jasa Internet, mail server, radius server, router, firewall, IDS, dan banyak lagi. Jika log-log ini dikumpulkan dari setiap titik, mungkin saja kejahatan akan cepat terlacak.

Kejahatan modern kejahatan digital
Kini siapa yang tidak menggunakan bantuan perangkat digital dan komputer untuk melakukan pekerjaan masyarakat modern. Mulai dari mengetik sampai melakukan transaksi miliaran rupiah kini tidak bisa lepas dari bantuan komputer. Maka itulah dunia kejahatan pun juga ditransfer dengan sempurna kedalam dunia maya ini. Kejahatan digital cukup sulit untuk dihindari dan dideteksi sejak dini. Jika sudah terjadi, hanya dengan bukti-bukti digitallah kejahatan ini dapat terkuak.

Diposting oleh di Tidak ada komentar:
Langganan: Postingan (Atom)