IT Forensik : Metode dan aplikasinya

      Digital forensik itu turunan dari disiplin ilmu teknologi informasi (informationtechnology/IT) di ilmu komputer, terutama dari ilmu IT security yang membahas tentang temuan bukti  digital setelah suatu peristiwa terjadi. Para ahli juga memberikan definisi IT Forensik menurut mereka masing-masing yaitu sebagai berikut :

• Menurut Noblett, yaitu berperan untuk mengambil, menjaga, mengembalikan, dan menyajikan data yang telah diproses secara elektronik dan disimpan di media komputer.

• Menurut Judd Robin, yaitu penerapan secara sederhana dari penyidikan komputer dan teknik analisisnya untuk menentukan bukti-bukti hukum yang mungkin.

• Menurut Ruby Alamsyah (salah seorang ahli forensik IT Indonesia), digital forensik atau terkadang disebut komputer forensik adalah ilmu yang menganalisa barang bukti digital sehingga dapat dipertanggung jawabkan di pengadilan. Barang bukti digital tersebut termasuk handphone, notebook, server, alat teknologi apapun yang mempunyai media penyimpanan dan bisa dianalisa.

Tujuan dari IT Forensik

Tujuan dari IT Forensik adalah untuk mengamankan dan menganalisa bukti digital dengan cara menjabarkan keadaan terkini dari suatu artefak digital. Istilah artefak digital dapat mencakup sebuah sistem komputer, media penyimpanan (harddisk, flashdisk, CD-ROM), sebuah dokumen elektronik (misalnya sebuah email atau gambar), atau bahkan sederetan paket yang berpindah melalui jaringan komputer. Bukti digital adalah informasi yang didapat dalam bentuk/format digital. Bukti digital ini bisa berupa bukti riil maupun abstrak (perlu diolah terlebih dahulu sebelum menjadi bukti yang riil). Beberapa contoh bukti digital antara lain : · E-mail · Spreadsheet file · Source code software · File bentuk image · Video · Audio · Web browser bookmark, cookies · Deleted file · Windows registry · Chat logs

Berdasarkan fungsi sistem komputer sebagai penyedia informasi, ancaman terhadap sistem komputer dikategorikan menjadi empat yaitu:

1. Interruption, merupakan suatu ancaman terhadap avaibility, informasi atau data dalam komputer dirusak, dihapus, sehingga jika dibutuhkan sudah tidak ada lagi.
2. Interception, merupakan ancaman terhadap kerahasiaan (secrecy), informasi yang ada didalam sistem disadap oleh orang yang tidak berhak.
3.  Modification, merupakan ancaman terhadap integritas. Orang yang tidak berhak berhasil menyadap lalu lintas informasi yang sedang dikirim lalu mengubahnya sesuai keinginannya.
4. Fabrication, merupakan ancaman ancaman terhadap integritas. Orang yang tidak berhak berhasil meniru atau memalsukan suatu informasi sehingga orang yang menerima informasi menyangka informasi tersebut berasal dari orang yang dikehendaki oleh si penerima informasi tersebut.

Tahapan pada Digital Forensik

              Ada berbagai tahapan pada proses implementasi digital forensik. Namun menurut Kemmish,13 secara garis besar dapat diklasifikasikan kepada empat tahapan, yaitu:

1. Identifikasi bukti digital
2. Penyimpanan bukti digital
3.  Analisa bukti digital
4.  Presentasi

1. Identifikasi bukti digital

              Pada tahap ini segala bukti-bukti yang mendukung penyelidikan dikumpulkan. Penyelidikan dimulai dari identifikasi dimana bukti itu berada, dimana disimpan, dan bagaimana penyimpanannya untuk mempermudah penyelidikan. Media digital yang bisa dijadikan sebagai barang bukti mencakup sebuah sistem komputer, media penyimpanan (seperti flash disk, pen drive, hard disk, atau CD-ROM), PDA, handphone, smart card, sms, e-mail, cookies, source code, windows registry, web browser bookmark, chat log, dokumen, log file, atau bahkan sederetan paket yang berpindah dalam jaringan komputer.

Tahapan ini merupakan tahapan yang sangat menentukan karena bukti-bukti yang didapatkan akan sangat mendukung penyelidikan untuk mengajukan seseorang ke pengadilan dan diproses sesuai hukum hingga akhirnya dijebloskan ke tahanan. Penelusuran bisa dilakukan untuk sekedar mencari "ada informasi apa disini?" sampai serinci pada "apa urutan peristiwa yang menyebabkan terjadinya situasi terkini?".

Berdasarkan klasifikasinya file yang menjadi objek penelusuran terbagi kepada tiga kategori, yaitu: file arsip (archieved files), file aktif (active files) dan file sisa (residual data).

File Arsip adalah file yang tergolong arsip karena kebutuhan file tersebut dalam fungsi pengarsipan. Mencakup penanganan dokumen untuk disimpan dalam format yang ditentukan, proses mendapatkannya kembali dan pendistribusian untuk kebutuhan yang lainnya, misalnya beberapa dokumen yang didigitalisasi untuk disimpan dalam format TIFF untuk menjaga kualitas dokumen.

File aktif adalah file yang memang digunakan untuk berbagai kepentingan yang berkaitan erat dengan kegiatan yang sedang dilakukan, misalnya file-file gambar, dokumen teks, dan lain-lain. Sedangkan file yang tergolong residual mencakup filefile yang diproduksi seiring proses komputer dan aktivitas pengguna, misalkan catatan penggunan dalam menggunakan internet, database log, berbagai temporary file, dan lain sebagainya.

Beberapa software atau tools yang bisa digunakan dalam mendukung

tahapan ini antara lain:

• Forensic Acquisition Utilities (http://users.erols.com/gmgarner/forensics/)
•  FTimes (http://ftimes.sourceforge.net/FTimes/index.shtml)
•  Liveview (http://liveview.sourceforge.net/)
• Netcat (http://www.atstake.com/research/tools/network_utilities/pdd)
• ProDiscover DFT (www.techpathways.com)
• Psloggedon (http://www.sysinternals.com/ntw2k/freeware/psloggedon.shtml)
• TULP2G (http://sourceforge.net/projects/tulp2g/)
• UnxUtils (http://unxutils.sourceforge.net)
• Webjob (http://webjob.sourceforge.net/WebJob/index.shtml).
• dan lain sebagainya

              Forensik pada dasarnya adalah pekerjaan identifikasi sampai dengan muncul hipotesa yang teratur menurut urutan waktu. Sangat tidak mungkin forensik dimulai dengan munculnya hipotesa tanpa ada penelitian yang mendalam berdasarkan buktibukti yang ada. Dalam kaitan ini pada digital forensik dikenal istilah chain of custody dan rules of evidence. Chain of custody artinya pemeliharaan dengan meminimalisir kerusakan yang diakibatkan karena investigasi.

Tujuan dari chain of custody adalah:

• Menjamin bahwa bukti itu benar-benar masih asli (authentic).
• Pada saat persidangan, bukti masih bisa dikatan seperti pada saat ditemukan karena biasanya jarak antara penyidikan dan persidangan relatif lama.

Beberapa hal yang menjadi pertimbangan sesuai dengan aturan chain of custody ini adalah:

1.  Siapa yang mengumpulkan bukti?
2. Bagaimana dan dimana?
3. Siapa yang memiliki bukti tersebut?
4. Bagaimana penyimpanan dan pemeliharaan bukti itu? Lalu sebagai alternatif penyelesaian ada beberapa cara yang bisa dilakukan,

Yaitu :

1. Gunakan catatan yang lengkap mengenai keluar-masuk bukti dari penyimpanan.
2. Simpan di tempat yang dianggap aman.
3. Akses yang terbatas dalam tempat penyimpanan.
4. Catat siapa saja yang dapat mengakses bukti tersebut.

Sedangkan rules of evidence artinya pengaturan barang bukti dimana barang bukti harus memiliki keterkaitan dengan kasus yang diinvestigasi dan memiliki kriteria sebagai berikut:

1. Layak dan dapat diterima (Admissible).

Artinya barang bukti yang diajukan harus dapat diterima dan digunakan demi hukum, mulai dari kepentingan penyidikan sampai ke pengadilan.

2. Asli (Authentic).

Barang bukti harus mempunyai hubungan keterkaitan yang jelas secara hukum dengan kasus yang diselidiki dan bukan rekayasa.

3. Akurat (Accurate).

Barang bukti harus akurat dan dapat dipercaya.

4. Lengkap (Complete).

Bukti dapat dikatakan lengkap jika didalamnya terdapat petunjuk-petunjuk yang lengkap dan terperinci dalam membantu proses investigasi.

2. Penyimpanan bukti digital.

              Tahapan ini mencakup penyimpanan dan penyiapan bukti-bukti yang ada, termasuk melindungi bukti-bukti dari kerusakan, perubahan dan penghilangan oleh pihak-pihak tertentu. Bukti harus benar-benar steril artinya belum mengalami proses apapun ketika diserahkan kepada ahli digital forensik untuk diteliti. Karena bukti digital bersifat sementara (volatile), mudah rusak, berubah dan hilang, maka pengetahuan yang mendalam dari seorang ahli digital forensik mutlak diperlukan. Kesalahan kecil pada penanganan bukti digital dapat membuat barang bukti digital tidak diakui di pengadilan. Bahkan menghidupkan dan mematikan komputer dengan tidak hati-hati bisa saja merusak/merubah barang bukti tersebut. Sebagaimana diungkapkan Peter Plummer15:

“When you boot up a computer, several hundred files get changed, the data of access, and so on. Can you say that computer is still exactly as it was when the bad guy had it last?”.

Sebuah pernyataan yang patut dipikirkan bahwa bagaimana kita bisa menjamin kondisi komputer tetap seperti keadaan terakhir ketika ditinggalkan oleh pelaku kriminal manakala komputer tersebut kita matikan atau hidupkan kembali. Karena ketika komputer kita hidupkan terjadi beberapa perubahan pada temporary file, waktu akses, dan seterusnya. Sekali file-file ini telah berubah ketika komputer dihidupkan tidak ada lagi cara untuk mengembalikan (recover) file-file tersebut kepada keadaan semula. Komputer dalam kondisi hidup juga tidak bisa sembarangan dimatikan. Sebab ketika komputer dimatikan bisa saja ada program penghapus/perusak yang dapat menghapus dan menghilangkan bukti-bukti yang ada.

Ada langkah-langkah tertentu yang harus dikuasai oleh seorang ahli digital forensik dalam mematikan/menghidupkan komputer tanpa ikut merusak/menghilangkan barang bukti yang ada didalamnya. Aturan utama pada tahap ini adalah penyelidikan tidak boleh dilakukan langsung pada bukti asli karena dikhawatirkan akan dapat merubah isi dan struktur yang ada didalamnya. Mengantisipasi hal ini maka dilakukan copy data secara Bitstream Image dari bukti asli ke media penyimpanan lainnya. Bitstream image adalah metode penyimpanan digital dengan mengkopi setiap bit demi bit dari data orisinil, termasuk file yang tersembunyi (hidden files), file temporer (temporary file), file yang terdefrag (defragmented file), dan file yang belum teroverwrite. Dengan kata lain, setiap biner digit demi digit di-copy secara utuh dalam media baru. Teknik ini umumnya diistilahkan dengan cloning atau imaging. Data hasil cloning inilah yang selanjutnya menjadi objek penelitian dan penyelidikan.

3. Analisa bukti digital

              Tahapan ini dilaksanakan dengan melakukan analisa secara mendalam terhadap bukti-bukti yang ada. Bukti yang telah didapatkan perlu di-explore kembali kedalam sejumlah skenario yang berhubungan dengan tindak pengusutan, seperti:

1. Siapa yang telah melakukan
2.  Apa yang telah dilakukan
3. Apa saja software yang digunakan
4. Hasil proses apa yang dihasilkan
5. Waktu melakukan.

Penelusuran bisa dilakukan pada data-data sebagai berikut: alamat URL yang telah dikunjungi, pesan e-mail atau kumpulan alamat e-mail yang terdaftar, program word processing atau format ekstensi yang dipakai, dokumen spreedsheat yang dipakai, format gambar yang dipakai apabila ditemukan, file-file yang dihapus maupun diformat, password, registry windows, hidden files, log event viewers, dan log application. Termasuk juga pengecekan pada metadata. Kebanyakan file mempunyai metadata yang berisi informasi yang ditambahkan mengenai file tersebut seperti computer name, total edit time, jumlah editing session, dimana dicetak, berapa kali terjadi penyimpanan (saving), tanggal dan waktu modifikasi. Selanjutnya melakukan recovery dengan mengembalikan file dan folder yang terhapus, unformat drive, membuat ulang partisi, mengembalikan password, merekonstruksi ulang halaman web yang pernah dikunjungi, mengembalikan emailemail yang terhapus dan seterusnya.

Tahapan analisis terbagi dua, yaitu: analisis media (media analysis) dan analisis aplikasi (application analysis) pada barang bukti yang ada. Beberapa tools analisis media yang bisa digunakan antara lain:

1. TestDisk (http://www.cgsecurity.org/testdisk.html)
2. Explore2fs (http://uranus.it.swin.edu.au/~jn/linux/explore2fs.htm)
3.  ProDiscover DFT (http://www.techpathways.com)

Sedangkan untuk analisis aplikasi, beberapa tools yang bisa digunakan seperti:

1. EventLogParser(http://www.whitehats.ca/main/members/Malik/malik_eventlogs/malik_event logs.html)
2. Galleta (http://www.foundstone.com/resources/proddesc/galleta.htm)
3. Libpff (http://libpff.sourceforge.net)
4. Md5deep (http://md5deep.sourceforge.net/)
5. MD5summer (http://www.md5summer.org/)
6. Outport (http://outport.sourceforge.net/)
7. Pasco (http://www.foundstone.com/resources/proddesc/pasco.htm)
8. RegRipper (http://windowsir.blogspot.com/2008/04/updated-regripper.html)
9. Rifiuti (http://www.foundstone.com/resources/proddesc/rifiuti.htm)

4. Presentasi

              Presentasi dilakukan dengan menyajikan dan menguraikan secara detail laporan penyelidikan dengan bukti-bukti yang sudah dianalisa secara mendalam dan dapat dipertanggung jawabkan secara hukum di pengadilan. Laporan yang disajikan harus di cross check langsung dengan saksi yang ada, baik saksi yang terlibat langsung maupun tidak langsung. Hasil laporan akan sangat menentukan dalam menetapkan seseorang bersalah atau tidak sehingga harus dipastikan bahwa laporan yang disajikan benar-benar akurat, teruji, dan terbukti.

Beberapa hal penting yang perlu dicantumkan pada saat presentasi/panyajian laporan ini, antara lain:

1. Tanggal dan waktu terjadinya pelanggaran
2. Tanggal dan waktu pada saat investigasi
3. Permasalahan yang terjadi
4. Masa berlaku analisa laporan
5. Penemuan bukti yang berharga (pada laporan akhir penemuan ini sangat ditekankan sebagai bukti penting proses penyidikan)
6. Tehnik khusus yang digunakan, contoh: password cracker
7.  Bantuan pihak lain (pihak ketiga)

Training dan Sertifikasi

              Untuk menjadi seorang ahli dibidang Digital Forensik, seseorang harus mempunyai pengetahuan yang mendalam tentang teknologi informasi baik hardware maupun software. Seperti: sistem operasi, bahasa pemrograman, media penyimpanan komputer, networking, routing, protokol komunikasi dan sekuriti, kriptologi, teknik pemrograman terbalik, teknik investigasi, perangkat komputer forensik, bentuk/format file, dan segala perangkat digital forensik baik hardware maupun software. Kemudian harus mendapatkan pelatihan atau training khusus Digital Forensik dari berbagai lembaga yang dibuktikan dengan sertifikat keahlian yang tidak sedikit, antara lain Certified Information System Security Professional (CISSP), lalu Certified Forensics Analyst (CFA), Experienced Computer Forensic Examiner (ECFE), Certified Computer Examiner (CCE), Computer Hacking Forensic Investigator (CHFI) dan Advanced Information Security (AIS). Seorang ahli Digital Forensik juga ditentukan kapasitasnya dari sudah berapa lama dia bergerak dibidang ini, kasus-kasus apa saja yang sudah ditangani, dan pernah diminta kesaksiannya sebagai saksi ahli dalam kasus kasus tertentu. Penting untuk diingat bahwa seorang ahli Digital Forensik juga terikat dengan aturan atau kode etik seperti mengutamakan kejujuran, kebenaran, ketelitian, ketepatan tindakan, tidak merusak barang bukti dan independen.

Sumber :

http://www.edusoftcenter.com/mengenal-it-forensik.html

http://id.wikipedia.org/wiki/Komputer_forensik

naikson.com/Pengantar-Menuju-Ilmu-Forensik.pdf

e-dokumen.kemenag.go.id/files/VQ2Hv7uT1339506324.pdf