Forensik digital: Perbedaan antara revisi
Konten dihapus Konten ditambahkan
k Bot: Perubahan kosmetika |
|||
Baris 117:
Investigasi forensik digital umumnya terdiri dari 3 tahap: pengumpulan (akuisisi) atau ''imaging'' barang bukti,<ref name="adams">{{harvp|Adams|2012}}.</ref> analisis, dan pelaporan.{{sfnmp|Casey|2004|NIJ|2001|Kavrestad|2018}} Pengetahuan yang paling penting adalah bahwa pemeriksaan forensik dilakukan dan dilaporkan dengan cara yang tidak bias dan dapat direproduksi.<ref name="kav"/>
=== Pengumpulan ===
Idealnya pengumpulan bukti atau akuisisi melibatkan pengambilan citra (''imaging'') memori volatil komputer (RAM),{{sfnp|Afonin|Gubanov|2013}} atau media penyimpanan lain,<ref name="kav"/> dan membuat duplikat sektor yang sama ("duplikasi forensik" atau "citra forensik") dari media tersebut, tindakan ini sering dibantu perangkat ''write blocking'' untuk mencegah modifikasi pada media asli. Pertumbuhan ukuran media penyimpanan dan perkembangannya, seperti [[komputasi awan]]<ref name="adamscloud">{{harvp|Adams|2013}}.</ref> mengharuskan akuisisi secara 'langsung' di mana salinan data ''logical'' diambil alih-alih citra lengkap dari perangkat penyimpanan fisik.<ref name="adams"/> Citra yang diperoleh (atau salinan ''logical'') dan media/data asli kemudian di-''hash'' (menggunakan algoritma seperti [[SHA-1]] atau [[MD5]]) dan nilai-nilainya dibandingkan untuk memverifikasi bahwa salinannya akurat.{{sfnp|Horenbeeck|2006a}}
Baris 123:
==== Forensik statik (''static forensic'') ====
Forensik statik menggunakan prosedur dan pendekatan konvensional di mana bukti di olah secara ''bit-by-bit image'' untuk melakukan proses forensik. Proses forensiknya sendiri berjalan pada sistem yang tidak dalam keadaan menyala. Forensik statik difokuskan pada pemeriksaan hasil ''imaging'' untuk menganalisis isi dari bukti digital, seperti berkas yang dihapus, riwayat penjelajahan web, berkas fragmen, koneksi jaringan, berkas yang diakses, riwayat ''user login'', dll guna membuat [[Garis waktu|''timeline'']] berupa ringkasan tentang kegiatan yang dilakukan pada bukti digital sewaktu digunakan.{{sfnp|Ramadhan|Prayudi|Sugiantoro|2017}}
Saat perangkat dalam keadaan mati, data yang dapat diperiksa hanya yang tersimpan di memori statis, seperti diska keras. Namun, masih ada beberapa pemrosesan yang perlu dilakukan sebelum menganalisis data aktual pada unit penyimpanan. Ketika melakukan pemeriksaan forensik, terutama dalam penegakan hukum, harus diambil tindakan untuk menghilangkan peluang memodifikasi bukti yang sebenarnya. Menyalakan perangkat dan mengoperasikannya bisa saja memodifikasi data asli dan dengan demikian mencemari bukti. Bukti yang terkontaminasi pada gilirannya tidak akan layak di pengadilan. Sehingga perlu membuat salinan bukti yang identik (dalam hal konten) menggunakan perangkat khusus atau komputer biasa dengan bantuan perangkat keras ''write blocker'' dan perangkat lunak pencitraan diska (''disk imaging''). Dalam istilah forensik, salinan ini umumnya disebut ''disk image'' atau ''forensic disk image''.<ref name="kav" /> Kemudian ''forensic disk image'' ini dibawa ke laboratorium forensik untuk dianalisis.{{sfnp|Ramadhan|Prayudi|Sugiantoro|2017}}
==== Forensik langsung (''Live forensic'') ====
Dalam forensik langsung semua bukti digital dikumpulkan saat sistem sedang berjalan,{{sfnp|Ramadhan|Prayudi|Sugiantoro|2017}}
=== Analisis ===
Selama fase analisis, seorang penyelidik mendapatkan bukti menggunakan sejumlah metodologi dan instrumen yang berbeda-beda. Pada tahun 2002, sebuah artikel dalam ''International Journal of Digital Evidence'' merujuk pada langkah ini sebagai "pencarian sistematis dan mendalam atas bukti yang terkait dengan dugaan kejahatan."<ref name="ijde-2002" /> Pada tahun 2006, peneliti forensik Brian Carrier menjelaskan mengenai "prosedur intuitif" di mana bukti yang terang diidentifikasi terlebih dahulu lalu kemudian "pencarian menyeluruh dilakukan untuk melengkapi kekurangannya."<ref name="df-basics"/>
Analisis forensik pada dasarnya untuk menjawab pertanyaan penyelidikan dengan menganalisis data yang ditemukan pada citra forensik yang dibuat pada tahapan "pengumpulan bukti".<ref name="kav"/> Proses analisis yang sebenarnya dapat bervariasi antara investigasi, tetapi metodologinya secara umum termasuk melakukan pencarian kata kunci di seluruh media digital (dalam berkas serta dalam ''unallocated'' dan [[Fragmentasi (komputer)#Fragmentasi internal|''slack space'']]), memulihkan berkas yang dihapus dan ekstraksi informasi [[Windows registry|''registry'']] (misalnya untuk menampilkan akun pengguna, atau perangkat USB yang terpasang). Bukti yang telah diperoleh dianalisis untuk merekonstruksi peristiwa atau tindakan dan untuk mencapai kesimpulan, pekerjaan yang sering dapat dilakukan oleh personil yang kurang terspesialisasi.<ref name="ijde-2002" />
=== Pelaporan ===
Tahapan terakhir jika penyelidikan telah selesai, data yang diperoleh disajikan dalam bentuk laporan tertulis dengan istilah-istilah atau bahasa [[Kaum awam|non-teknis]].<ref name="ijde-2002" /> Laporan menyajikan temuan obyektif dan kesimpulan berdasarkan temuan tersebut. Isi laporan dapat berbeda tergantung undang-undang dan kebijakan lokal. Namun, secara umum laporan memuat:<ref name="kav"/>
;Data kasus
:Data kasus memuat informasi orang yang memerintahkan pemeriksaan, beberapa identifier yang mejadi fokus penyelidikan dan informasi yang mengidentifikasi potongan bukti yang harus diperiksa. Poin utamanya adalah mempertahankan lacak balak serta agar dapat membedakan suatu pemeriksaan dari pemeriksaan lain. Informasi yang tepat yang harus dimuat dalam laporan sangat bergantung pada peraturan dan undang-undang setempat.
;Tujuan pemeriksaan
Baris 209:
Keberadaan bukti digital bergantung pada alat/perkakas (''tools'') yang digunakan untuk mengekstraknya. Di AS, perkakas forensik diberlakukan {{ill|vertical-align=sup|standar Daubert|en|Daubert standard}}, di mana hakim bertanggung jawab untuk memastikan bahwa tahapan dan [[perangkat lunak]] yang digunakan dapat diterima. Dalam sebuah makalah tahun 2003, Brian Carrier berpendapat bahwa pedoman ''Daubert'' mengharuskan kode alat-alat forensik dipublikasikan dan ditelaah oleh rekan sejawat. Dia menyimpulkan bahwa "peralatan [[sumber terbuka]] mungkin lebih jelas dan komprehensif dalam memenuhi persyaratan pedoman dibanding peralatan dengan sumber tertutup."{{sfnp|Carrier|2002}} Pada tahun 2011 Josh Brunty menyatakan bahwa validasi ilmiah pada teknologi dan perangkat lunak yang terkait dengan kegiatan pemeriksaan forensik digital sangat penting untuk setiap proses laboratorium. Dia berpendapat bahwa "ilmu forensik digital didasarkan pada prinsip-prinsip proses berulang dan bukti berkualitas sehingga mengetahui bagaimana merancang dan mempertahankan proses validasi yang baik adalah syarat utama bagi setiap pemeriksa forensik digital untuk mempertahankan metode mereka di pengadilan.{{sfnp|Brunty|2011}}
== Alat forensik digital ==
Para penegak hukum memanfaatkan peralatan berupa [[perangkat keras]] dan [[perangkat lunak]] khusus untuk penyelidikan forensik digital. Alat-alat ini digunakan untuk membantu pemulihan dan pelestarian [[bukti digital]].
[[Berkas:Portable forensic tableau.JPG|jmpl|260x260px|Sebuah perangkat ''write-blocker'' portabel Tableau yang terhubung pada [[diska keras]]|al=]]
=== Perangkat keras ===
Peralatan yang berupa perangkat keras umumnya dirancang untuk menyelidiki perangkat penyimpanan, dan untuk menjaga agar perangkat target tidak berubah demi menjaga integritas bukti. ''Forensics disk controller'' atau pencacah perangkat keras merupakan perangkat ''read-only'' yang memungkinkan pengguna untuk membaca data di perangkat tersangka tanpa risiko memodifikasi atau menghapus konten di dalamnya. Sedangkan ''disk write-protector'' atau ''write-blocker'' berfokus pada pelestarian bukti di perangkat target dan berfungsi untuk mencegah konten dalam perangkat penyimpanan termodifikasi atau terhapus. ''Hard-drive duplicator'' adalah perangkat pencitraan ''(imaging'') yang berfungsi untuk menyalin semua file pada [[diska keras]] yang dicurigai ke dalam diska yang bersih, alat ini juga dapat menduplikasi data dalam [[Diska Lepas USB|diska lepas]] atau kartu digital (SD) secara aman. Perangkat pemulihan kata sandi menggunakan [[algoritme]], seperti serangan ''brute force'' atau kamus, untuk mencoba mengakses perangkat penyimpanan yang dilindungi kata sandi.<ref name="dhs">{{harvp|DHS|2016}}.</ref>
=== Perangkat lunak ===
Untuk penelitian dan investigasi yang lebih baik, para [[pengembang perangkat lunak|pengembang]] telah membuat berbagai perangkat lunak forensik. Kepolisian dan lembaga penyelidikan memilih akat-alat ini berdasarkan beberapa faktor termasuk anggaran dan ahli yang tersedia dalam tim. Sebagian besar perangkat lunak forensik bersifat multi-tujuan serta dapat melakukan berbagai tugas dalam satu aplikasi. Sebagian aplikasi bersifat sumber terbuka, sehingga kodenya dapat dimodifikasi untuk memenuhi kebutuhan yang spesifik dan penghematan biaya bagi penegak hukum. Sebagian dapat memproses beberapa perangkat sekaligus atau mengelola berbagai [[sistem operasi]] (misalnya, Windows dan Linux).<ref name="dhs"/>
Perangkat lunak forensik komputer melengkapi perangkat keras yang tersedia untuk penegak hukum untuk memperoleh dan menganalisis bukti digital yang dikumpulkan dari perangkat tersangka. Tersangka sering menyembunyikan/ menghapus berkas atau mempartisi diska keras komputer mereka sehingga bukti sulit ditemukan; namun, aplikasi perangkat lunak forensik dapat membantu penyelidik dalam memulihkan bukti ini. Aktivitas pengguna tertentu dapat dipulihkan dan diselidiki dengan perangkat lunak digital forensik.<ref name="dhs"/> Alat-alat forensik ini juga dapat diklasifikasikan ke dalam berbagai kategori:<ref name=":1">{{harvp|InfoSec|2018}}.</ref>
| |||