Forensik digital

cabang ilmu forensik

Forensik digital (bahasa Inggris: Digital forensics) (juga dikenal sebagai ilmu forensik digital) adalah salah satu cabang ilmu forensik, terutama untuk penyelidikan dan penemuan konten perangkat digital, dan seringkali dikaitkan dengan kejahatan komputer. Istilah forensik digital pada awalnya identik dengan forensik komputer tetapi kini telah diperluas untuk menyelidiki semua perangkat yang dapat menyimpan data digital. Forensik digital diperlukan karena biasanya data di perangkat target dikunci, dihapus, atau disembunyikan. Berawal dari bangkitnya revolusi komputasi personal pada akhir 1970-an dan awal 1980-an, disiplin ini berkembang secara alami selama tahun 1990-an, dan baru pada awal abad ke-21 negara-negara secara bertahap membentuk kebijakannya terhadap disiplin ini.

Foto udara FLETC, tempat di mana standar forensik digital AS dikembangkan pada 1980-an dan 90-an

Landasan forensik digital ialah praktik pengumpulan, analisis, dan pelaporan data digital. Investigasi forensik digital memiliki penerapan yang sangat beragam. Penggunaan paling umum adalah untuk mendukung atau menyanggah asumsi kriminal dalam pengadilan pidana atau perdata.

Forensik juga dapat dilakukan di sektor swasta; seperti penyelidikan internal perusahaan (in-house) atau penyelidikan intrusi (penyelidikan khusus mengeksplorasi sifat dan dampak intrusi jaringan yang tidak sah).

Penguasaan ilmu forensik digital tidak hanya menuntut kemampuan teknis semata tetapi juga terkait dengan bidang lain, seperti bidang hukum. Aspek teknis dari penyelidikan dapat dibagi menjadi beberapa sub-cabang, sesuai dengan jenis perangkat digital yang terlibat; forensik komputer, forensik jaringan, analisis data forensik dan forensik peranti bergerak. Proses forensik umumnya meliputi penyitaan, forensic imaging (akuisisi) dan analisis media digital dan penyusunan laporan berdasarkan bukti yang dikumpulkan.

Selain mengidentifikasi bukti langsung sebuah kejahatan, forensik digital dapat digunakan untuk mengkonfirmasi hubungan antara tersangka dan kasus tertentu, mengkonfirmasi alibi-alibi atau pernyataan-pernyataannya, untuk memahami niat, mengidentifikasi sumber (misalnya, dalam kasus sengketa hak cipta), atau mengotentikasi dokumen-dokumen. Ruang lingkup investigasi forensik digital lebih luas daripada bidang pengetahuan forensik lainnya (di mana sebagian besar ilmu forensik lain dirancang untuk menjawab pertanyaan yang relatif sederhana), sering melibatkan garis waktu atau hipotesis yang kompleks.[1]

Terminologi

Ilmu forensik adalah ilmu yang digunakan untuk tujuan hukum, bersifat tidak memihak yang merupakan bukti ilmiah untuk digunakan dalam kepentingan peradilan dan penyelidikan. Forensik digital merupakan salah satu cabang dari ilmu forensik, terutama untuk menyelidiki dan memulihkan konten perangkat digital,[2] berkaitan dengan bukti legal yang terdapat pada perangkat komputer dan media penyimpanan digital lainnya sebagai bukti-bukti digital yang digunakan dalam kejahatan komputer dan dunia maya.[3] Forensik digital diperlukan karena biasanya data di perangkat target dikunci, dihapus, atau disembunyikan.[4] Forensik digital merupakan ilmu yang relatif baru.

Forensik digital adalah ilmu yang menganalisa barang bukti digital sehingga dapat dipertanggungjawabkan di pengadilan.[3] Istilah forensik digital pada awalnya identik dengan forensik komputer tetapi definisinya telah diperluas hingga mencakup forensik semua teknologi digital. Sedangkan forensik komputer didefinisikan sebagai "kumpulan teknik dan alat yang digunakan untuk menemukan bukti pada komputer.[5] Landasan forensik digital ialah praktik pengumpulan, analisis, dan pelaporan data digital.[6]

Forensik digital dapat juga diartikan sebagai pengumpulan dan analisis data dari berbagai sumber daya komputer yang mencakup sistem komputer, jaringan komputer, jalur komunikasi, dan berbagai media penyimpanan yang layak untuk diajukan dalam sidang pengadilan.[3]

Komponen

Dalam suatu model forensik digital melibatkan tiga komponen terangkai yang dikelola sedemikian rupa sehingga menjadi sebuah tujuan akhir dengan segala kelayakan serta hasil yang berkualitas. Ketiga komponen tersebut adalah:[3]

  1. Manusia (People), diperlukan kualifikasi untuk mencapai manusia yang berkualitas. Memang mudah untuk belajar komputer forensik, tetapi untuk menjadi ahlinya, dibutuhkan lebih dari sekadar pengetahuan dan pengalaman.
  2. Peralatan (Equipment), diperlukan sejumlah perangkat atau alat yang tepat untuk mendapatkan sejumlah bukti yang dapat dipercaya dan bukan sekadar bukti palsu.
  3. Aturan (Protocol), diperlukan dalam menggali, mendapatkan, menganalisis, dan akhirnya menyajikan dalam bentuk laporan yang akurat. Dalam komponen aturan, diperlukan pemahaman yang baik dalam segi hukum dan etika, kalau perlu dalam menyelesaikan sebuah kasus perlu melibatkan peran konsultasi yang mencakup pengetahuan akan teknologi informasi dan ilmu hukum.

Sejarah

Sebelum tahun 1980-an kejahatan yang melibatkan komputer ditangani dengan ketentuan hukum yang ada. Kejahatan komputer pertama kali diakui dalam Undang-Undang Pidana Komputer Florida 1978 (the 1978 Florida Computer Crimes Act) termasuk undang-undang yang melarang modifikasi tidak sah atau penghapusan data pada sistem komputer.[7] Pada tahun-tahun berikutnya, ruang lingkup cybercrime mulai berkembang, dan beberapa undang-undang kemudian disahkan untuk mengatasi permasalahan hak cipta, privasi/pelecehan (misalnya intimidasi dunia maya, cyber stalking, dan predator daring) serta pornografi anak.[8] Baru pada tahun 1980-an undang-undang federal mulai memasukkan pelanggaran komputer. Kanada adalah negara pertama yang mengeluarkan undang-undang terkait kejahatan komputer pada tahun 1983.[9] Hal ini diikuti oleh Amerika Serikat dengan Computer Fraud and Abuse Act pada tahun 1986, Australia mengamandemen undang-undang kriminalnya pada tahun 1989 dan Inggris menerbitkan Undang-Undang Penyalahgunaan Komputer (Computer Misuse Act) pada tahun 1990.[10]

1980-an 1990-an: Pertumbuhan

Pertumbuhan kejahatan komputer selama tahun 1980-an dan 1990-an menyebabkan lembaga-lembaga penegak hukum membentuk tim khusus, biasanya di tingkat nasional, untuk menangani aspek-aspek teknis dalam penyelidikan. Sebagai contoh, pada tahun 1984 FBI membentuk Tim Analisis dan Tanggapan Komputer (Computer Analysis and Response Team), dan tahun berikutnya Departemen Kejahatan Komputer didirikan di dalam kelompok anti-penipuan Polisi Metropolitan Inggris. Selain personil penegak hukum profesional, banyak anggota awal tim-tim ini terdiri dari penggemar/penghobi komputer dan bertanggung jawab untuk penelitian dan petunjuk awal serta arah masa depan bidang forensik digital.[11]

Salah satu contoh kasus penerapan digital forensik yang pertama (atau paling tidak kasus publik yang paling awal) adalah kasus pengejaran peretas Markus Hess oleh Clifford Stoll pada tahun 1986. Meskipun Stoll penyelidikannya menggunakan teknik forensik komputer dan jaringan, bukanlah pemeriksa khusus.[12] Banyak kasus identifikasi awal forensik digital mengikuti profil yang serupa.[13]

Sepanjang tahun 1990-an, permintaan terhadap sumber daya penyelidikan baru ini semakin meningkat. Beban dan ketegangan pada unit pusat mengarah pada pembentukan tim-tim di tingkat regional bahkan di tingkat lokal. Misalnya, National Hi-Tech Crime Unit di Inggris dibentuk pada tahun 2001 guna menyediakan infrastruktur nasional untuk kejahatan komputer; dengan personil yang berlokasi di pusat kota London dan pasukan polisi di daerah (unit ini masuk ke dalam Serious Organised Crime Agency (SOCA) pada tahun 2006).[14]

Selama periode ini ilmu forensik digital berkembang dari sarana dan teknik-teknik ad-hoc yang dikembangkan oleh para praktisi penghobi di bidang ini. Berbeda dengan ilmu forensik lainnya yang dikembangkan dari karya-karya komunitas ilmiah.[15] Pada 1992 istilah "forensik komputer" mulai digunakan dalam literatur akademik (meski sebelumnya sudah digunakan secara informal); sebuah makalah oleh Collier dan Spaul berusaha untuk memasukkan disiplin baru ini ke dunia sains forensik.[16] Perkembangan yang cepat ini mengakibatkan minimnya standarisasi dan pelatihan-pelatihan. Dalam bukunya, "High-Technology Crime: Investigating Cases Involving Computers", K. Rosenblatt tahun 1985 menuliskan:

Menyita, mengamankan, dan menganalisis bukti yang tersimpan dalam komputer adalah tantangan forensik terbesar yang dihadapi penegak hukum pada tahun 1990-an. Ketika sebagian besar pengujian forensik, seperti uji sidik jari dan DNA dikerjakan oleh para ahli yang dilatih secara khusus, pekerjaan pengumpulan dan analisis bukti komputer kebanyakan ditugaskan kepada petugas patroli dan detektif.[17]

2000an: Pengembangan standar

Sejak tahun 2000, sebagai tanggapan terhadap kebutuhan standardisasi, berbagai badan dan lembaga telah menerbitkan pedoman untuk forensik digital. Kelompok Kerja Ilmiah tentang Bukti Digital (SWGDE) menerbitkan makalah "Best practices for Computer Forensics" pada tahun 2002, kemudian pada tahun 2005 diikuti oleh publikasi standar ISO (ISO 17025, General requirements for the competence of testing and calibration laboratories).[18] Sebuah perjanjian internasional Eropa, "Konvensi tentang Kejahatan Dunia Maya" mulai berlaku pada tahun 2004 dengan tujuan merekonsiliasi undang-undang kejahatan komputer nasional, teknik investigasi dan kerjasama internasional. Perjanjian itu telah ditandatangani oleh 43 negara (termasuk AS, Kanada, Jepang, Afrika Selatan, Inggris dan negara-negara Eropa lainnya) dan diratifikasi oleh 16 negara.

Masalah pelatihan juga mendapat perhatian. Perusahaan komersial (biasanya perusahaan pengembang perangkat lunak forensik) mulai menawarkan program sertifikasi dan topik analisis forensik digital dimasukkan dalam fasilitas pelatihan spesialis penyidik Inggris, Centrex.[19]

Sejak akhir 1990-an perangkat seluler mulai tersedia secara luas, berkembang melebihi perangkat komunikasi sederhana, dan lebih kaya informasi, bahkan untuk kejahatan yang tidak secara tradisional terkait dengan forensik digital.[20] Meskipun demikian, analisis digital pada ponsel jauh ketinggalan di banding media komputer tradisional, sebagian besar karena sifat hak kepemilikan (proprietary) perangkat tersebut.[21]

Fokus juga telah bergeser ke kejahatan internet, khususnya risiko perang dunia maya dan cyberterrorism. Laporan pada Februari 2010 oleh Komando Pasukan Gabungan Amerika Serikat menyimpulkan:

Melalui dunia maya, musuh dapat menargetkan industri, akademisi, pemerintah, serta militer di udara, darat, maritim, dan domain ruang angkasa. Dengan cara yang sama seperti kekuatan udara yang mengubah medan perang selama Perang Dunia II, dunia maya telah mematahkan hambatan fisik yang melindungi suatu bangsa dari serangan terhadap perniagaan dan komunikasinya.[22]

Bidang forensik digital masih menghadapi masalah yang belum terselesaikan. Sebuah makalah tahun 2009, "Digital Forensic Research: The Good, the Bad and the Unaddressed", oleh Peterson dan Shenoi mengidentifikasi bias terhadap sistem operasi Windows dalam penyelidikan forensik digital.[23] Pada tahun 2010 Simson Garfinkel mengidentifikasi masalah yang dihadapi penyelidikan digital di masa depan, termasuk meningkatnya ukuran media digital, ketersediaan enkripsi yang luas bagi konsumen, semakin beragamnya sistem operasi dan format berkas, semakin banyaknya individu yang memiliki banyak perangkat, dan batasan-batasan hukum pada para penyidik. Makalah ini juga mengidentifikasi berlanjutnya masalah-masalah pelatihan, serta biaya yang sangat tinggi untuk memasuki bidang ini.[12]

Pengembangan peralatan forensik

Selama tahun 1980-an sangat sedikit alat forensik digital khusus yang tersedia, sebagai akibatnya para penyidik kebanyakan melakukan live analysis pada media, memeriksa komputer dari dalam sistem operasi menggunakan peralatan sysadmin yang tersedia untuk mengekstrak barang bukti. Praktik ini berisiko memodifikasi data pada diska, baik secara tidak sengaja atau sebaliknya, yang dapat menyebabkan klaim kerusakan barang bukti. Sejumlah alat diciptakan pada awal 1990-an untuk mengatasi permasalahan tersebut.

Kebutuhan untuk perangkat lunak pertama kali diakui pada tahun 1989 di Pusat Pelatihan Penegakan Hukum Federal, sehingga tercipta IMDUMP (oleh Michael White) dan pada tahun 1990, SafeBack (dikembangkan oleh Sydex). Perangkat lunak serupa juga dikembangkan di negara lain; DIBS (solusi perangkat keras dan perangkat lunak) dirilis secara komersial di Inggris pada tahun 1991, dan Rob McKemmish merilis Fixed Disk Image gratis untuk penegak hukum Australia.[24] Alat-alat ini memungkinkan pemeriksa untuk membuat salinan yang identik dari media digital untuk diselidiki, sehinggan media asli utuh untuk verifikasi. Pada akhir 1990-an, untuk memenuhi permintaan untuk bukti digital yang semakin banyak, peralatan komersial yang canggih seperti EnCase dan FTK dikembangkan, yang memungkinkan analis untuk memeriksa salinan media tanpa melakukan forensik secara langsung.[9] Belakangan tren ke arah "forensik memori secara langsung" telah berkembang sehingga diciptakan alat seperti WindowsSCOPE.

Baru-baru ini, perkembangan alat yang sama juga tersedia untuk perangkat seluler; penyidik awalnya mengakses data langsung pada perangkat, tetapi kemudian alat khusus seperti XRY atau Radio Tactics Aceso muncul.[9]

Proses forensik

Dalam penyelidikan forensik digital, proses forensik digital merupakan proses ilmiah dan forensik yang diakui.[25] Peneliti forensik Eoghan Casey mendefinisikannya sebagai langkah-langkah mulai dari sinyal awal insiden hingga pelaporan temuan.[9]

Media digital yang disita untuk penyelidikan biasanya disebut sebagai "barang bukti" dalam terminologi hukum. Penyelidik menggunakan metode ilmiah untuk menemukan bukti digital untuk mendukung atau menyangkal hipotesis, baik untuk pengadilan atau proses perdata.[26]

Personil

Tahapan proses forensik digital memerlukan pelatihan dan pengetahuan spesialis yang berbeda-beda. Secara garis besar ada dua tingkatan personil yang dibutuhkan:[9]

Teknisi forensik digital (Digital forensics technicians)
Teknisi mengumpulkan atau memproses bukti di TKP. Teknisi ini dilatih mengenai penanganan teknologi secara benar (misalnya bagaimana memelihara/mempertahankan bukti). Teknisi mungkin juga diminta untuk melakukan "Analisis langsung". Berbagai alat untuk menyederhanakan prosedur ini telah diproduksi, misalnya dengan COFEE milik Microsoft.
Pemeriksa Bukti Digital (Digital Evidence Examiners)
Pemeriksa mengkhususkan diri dalam satu bidang bukti digital; baik pada tingkat yang luas (yaitu forensik komputer atau jaringan dll.) atau sebagai sub-spesialis (yaitu analisis gambar).

Model proses

Metodologi yang teliti dan prosedur standar dari proses investigasi sangat penting dalam melakukan penyelidikan forensik.[27] Ada banyak upaya untuk mengembangkan model proses tetapi sejauh ini tidak ada yang diterima secara universal. Sebagian alasannya mungkin karena fakta bahwa banyak model proses dirancang untuk lingkungan tertentu, dan karena itu tidak dapat langsung diterapkan di lingkungan lain.[28] Area populer bagi para peneliti forensik digital adalah mencari metodologi standar agar proses forensik digital lebih akurat, kuat, dan efisien. Model proses forensik digital pertama yang diusulkan berisi empat langkah: Akuisisi, Identifikasi, Evaluasi, dan Admisi. Sejak itu, banyak model proses telah diusulkan untuk menjelaskan langkah-langkah mengidentifikasi, memperoleh, menganalisis, menyimpan, dan melaporkan bukti yang diperoleh dari berbagai perangkat digital. Dalam beberapa tahun terakhir, semakin banyak model proses yang lebih canggih telah diusulkan. Model-model ini mencoba untuk mempercepat seluruh proses investigasi atau memecahkan berbagai masalah yang biasa ditemui dalam penyelidikan forensik. Dalam dekade terakhir, komputasi awan membuat pengumpulan bukti menjadi lebih sulit. Di bidang investigasi forensik digital, beralih ke model pemrosesan bukti berbasis cloud akan sangat bermanfaat dan upaya awal telah dibuat dalam implementasinya.[27]

Model Proses Forensik Digital[27]
Model Proses Forensik Digital Awal dan Turunannya Kerangka Forensik Digital pada Kasus Penggunaan Spesifik Model Forensik Digital Terbaru
  • DFRWS model (Palmer et al. 2001)
    • SRDFIM (Agarwal et al. 2011)
  • DFRWS model (Palmer et al. 2001
    • An Abstract Digital Forensics Model (Reith et al. 2002)
  • IDIP (Carrier et al. 2003) & DCSA (Rogers 2006
    • CFFTPM (Rogers et al. 2006)
  • Integrated Digital Investigation Process (IDIP) (Carrier & Spafford 2004)
    • Enhanced Integrated Digital Investigation Process (EIDIP) (Baryamureeba & Tushabe 2004)
  • Integrated Digital Forensic Process Model (Kohn et al. 2013)
    • DFaaS Process Model (van Baar et al. 2014)
  • Extended Model of Cybercrime Investigation (Ciardhuáin 2004)
  • Digital Forensic Triage Process Model (Rogers et al. 2006)
  • Digital Forensic Model Based on Malaysian Investigation Process (Perumal 2009)
  • The Systematic Digital Forensics Investigation Model (Agarwal et al. 2011)
  • Integrated Digital Forensic Process Model (Kohn et al. 2013)
  • An integrated conceptual digital forensic framework for cloud computing (Martini & Choo 2012)
  • Data reduction and data mining framework (Quick & Choo 2014)
  • Internet of Things (IoT) Based Digital Forensic Model (Perumal et al. n.d.)

Investigasi forensik digital umumnya terdiri dari 3 tahap: pengumpulan (akuisisi) atau imaging barang bukti,[28] analisis, dan pelaporan.[29] Pengetahuan yang paling penting adalah bahwa pemeriksaan forensik dilakukan dan dilaporkan dengan cara yang tidak bias dan dapat direproduksi.[6]

Pengumpulan

Idealnya pengumpulan bukti atau akuisisi melibatkan pengambilan citra (imaging) memori volatil komputer (RAM),[30] atau media penyimpanan lain,[6] dan membuat duplikat sektor yang sama ("duplikasi forensik" atau "citra forensik") dari media tersebut, tindakan ini sering dibantu perangkat write blocking untuk mencegah modifikasi pada media asli. Pertumbuhan ukuran media penyimpanan dan perkembangannya, seperti komputasi awan[31] mengharuskan akuisisi secara 'langsung' di mana salinan data logical diambil alih-alih citra lengkap dari perangkat penyimpanan fisik.[28] Citra yang diperoleh (atau salinan logical) dan media/data asli kemudian di-hash (menggunakan algoritma seperti SHA-1 atau MD5) dan nilai-nilainya dibandingkan untuk memverifikasi bahwa salinannya akurat.[32]

Sebuah pendekatan alternatif (dan dipatenkan,[33] yang disebut hybrid forensics[34] atau distributed forensics[35]) menggabungkan tahapan forensik digital dan ediscovery. Pendekatan ini diwujudkan dengan peralatan komersial yang disebut ISEEK yang dipresentasikan bersama dengan hasil tesnya pada konferensi tahun 2017.[34]

Forensik statik (static forensic)

Forensik statik menggunakan prosedur dan pendekatan konvensional di mana bukti di olah secara bit-by-bit image untuk melakukan proses forensik. Proses forensiknya sendiri berjalan pada sistem yang tidak dalam keadaan menyala. Forensik statik difokuskan pada pemeriksaan hasil imaging untuk menganalisis isi dari bukti digital, seperti berkas yang dihapus, riwayat penjelajahan web, berkas fragmen, koneksi jaringan, berkas yang diakses, riwayat user login, dll guna membuat timeline berupa ringkasan tentang kegiatan yang dilakukan pada bukti digital sewaktu digunakan.[36]

Saat perangkat dalam keadaan mati, data yang dapat diperiksa hanya yang tersimpan di memori statis, seperti diska keras. Namun, masih ada beberapa pemrosesan yang perlu dilakukan sebelum menganalisis data aktual pada unit penyimpanan. Ketika melakukan pemeriksaan forensik, terutama dalam penegakan hukum, harus diambil tindakan untuk menghilangkan peluang memodifikasi bukti yang sebenarnya. Menyalakan perangkat dan mengoperasikannya bisa saja memodifikasi data asli dan dengan demikian mencemari bukti. Bukti yang terkontaminasi pada gilirannya tidak akan layak di pengadilan. Sehingga perlu membuat salinan bukti yang identik (dalam hal konten) menggunakan perangkat khusus atau komputer biasa dengan bantuan perangkat keras write blocker dan perangkat lunak pencitraan diska (disk imaging). Dalam istilah forensik, salinan ini umumnya disebut disk image atau forensic disk image.[6] Kemudian forensic disk image ini dibawa ke laboratorium forensik untuk dianalisis.[36]

Forensik langsung (Live forensic)

Dalam forensik langsung semua bukti digital dikumpulkan saat sistem sedang berjalan,[36] sehingga pemeriksa mendapat kesempatan untuk mengumpulkan data volatil (mudah hilang) yang memuat informasi tentang apa yang sedang dilakukan perangkat. Tujuan utama dari penyelidikan langsung adalah untuk mengumpulkan data volatil sebanyak-banyaknya. Forensik langsung juga memberi kesempatan untuk memeriksa apakah ada diska keras yang aktif dienkripsi sehingga bisa mengumpulkan data versi yang tidak terenkripsi. Implementasi full disk encryption (FDE) memastikan bahwa semua data pada diska keras dienkripsi saat komputer mati. Namun, data akan didekripsi saat komputer aktif. Oleh karena itu perlu melakukan pencarian menyeluruh untuk perangkat lunak enkripsi yang mungkin terpasang di komputer. Jika ada tanda-tanda enkripsi, pemeriksa harus membuat logical image dari diska keras tersebut untuk menjamin bahwa data dapat dipertahankan dan tersedia untuk analisis nanti.[6]

Analisis

Selama fase analisis, seorang penyelidik mendapatkan bukti menggunakan sejumlah metodologi dan instrumen yang berbeda-beda. Pada tahun 2002, sebuah artikel dalam International Journal of Digital Evidence merujuk pada langkah ini sebagai "pencarian sistematis dan mendalam atas bukti yang terkait dengan dugaan kejahatan."[5] Pada tahun 2006, peneliti forensik Brian Carrier menjelaskan mengenai "prosedur intuitif" di mana bukti yang terang diidentifikasi terlebih dahulu lalu kemudian "pencarian menyeluruh dilakukan untuk melengkapi kekurangannya."[1]

Analisis forensik pada dasarnya untuk menjawab pertanyaan penyelidikan dengan menganalisis data yang ditemukan pada citra forensik yang dibuat pada tahapan "pengumpulan bukti".[6] Proses analisis yang sebenarnya dapat bervariasi antara investigasi, tetapi metodologinya secara umum termasuk melakukan pencarian kata kunci di seluruh media digital (dalam berkas serta dalam unallocated dan slack space), memulihkan berkas yang dihapus dan ekstraksi informasi registry (misalnya untuk menampilkan akun pengguna, atau perangkat USB yang terpasang). Bukti yang telah diperoleh dianalisis untuk merekonstruksi peristiwa atau tindakan dan untuk mencapai kesimpulan, pekerjaan yang sering dapat dilakukan oleh personil yang kurang terspesialisasi.[5]

Pelaporan

Tahapan terakhir jika penyelidikan telah selesai, data yang diperoleh disajikan dalam bentuk laporan tertulis dengan istilah-istilah atau bahasa non-teknis.[5] Laporan menyajikan temuan obyektif dan kesimpulan berdasarkan temuan tersebut. Isi laporan dapat berbeda tergantung undang-undang dan kebijakan lokal. Namun, secara umum laporan memuat:[6]

Data kasus
Data kasus memuat informasi orang yang memerintahkan pemeriksaan, beberapa identifier yang mejadi fokus penyelidikan dan informasi yang mengidentifikasi potongan bukti yang harus diperiksa. Poin utamanya adalah mempertahankan lacak balak serta agar dapat membedakan suatu pemeriksaan dari pemeriksaan lain. Informasi yang tepat yang harus dimuat dalam laporan sangat bergantung pada peraturan dan undang-undang setempat.
Tujuan pemeriksaan
Tujuan pemeriksaan harus dinyatakan dalam laporan karena menyajikan apa yang dicari selama pemeriksaan. Tujuan pemeriksaan menggambarkan fokus dari pemeriksaan sehingga memberikan pembaca pemahaman tentang apa yang dia harapkan sebagai hasilnya. Menyatakan tujuan dimulai dengan pertanyaan atau tujuan yang diungkapkan oleh orang yang memerintahkan pemeriksaan. Namun, bisa juga mencakup tujuan apa pun yang dilakukan oleh pemeriksa forensik ketika menganalisis kasus.
Temuan
Menyajikan temuan termasuk menyajikan potongan-potongan bukti yang ditemukan selama pemeriksaan. Temuan disajikan secara obyektif (sebagaimana adanya), dan tidak membuat kesimpulan atau interpretasi subjektif.
Kesimpulan
Kesimpulan dibuat oleh ahli forensik berdasarkan temuan, pengetahuan dan pengalamannya. Sehingga kesimpulan dapat bersifat subyektif dan aspek yang sangat penting dalam menulis laporan forensik adalah memisahkan temuan obyektif dari kesimpulan subyektif. Saat menulis daftar kata, protokol harus dapat dimengerti oleh orang yang tidak memiliki keahlian IT.
 
Contoh metadata Exif pada gambar yang mungkin dapat digunakan untuk membuktikan asalnya

Penerapan

Forensik digital umumnya digunakan baik dalam hukum pidana maupun penyelidikan pribadi. Biasanya forensik ini dikaitkan dengan hukum pidana, di mana bukti yang telah terkumpul digunakan untuk mendukung atau menentang hipotesis di depan pengadilan. Sama seperti bidang forensik lainnya, forensik digital biasanya merupakan bagian dari penyelidikan yang lebih luas yang mencakup berbagai disiplin ilmu. Pada beberapa kasus, bukti yang terkumpul berfungsi sebagai bentuk pengumpulan intelijen yang digunakan untuk tujuan lain selain proses pengadilan (misalnya untuk menemukan, mengidentifikasi atau menghentikan kejahatan lain). Akibatnya, pengumpulan intelijen terkadang dilakukan dengan standar forensik yang kurang ketat.

Dalam perkara perdata atau permasalahan perusahaan, forensik digital menjadi bagian dalam proses electronic discovery (atau eDiscovery). Prosedur forensiknya serupa dengan yang digunakan dalam investigasi pidana, seringkali dengan persyaratan dan batasan hukum yang berbeda. Di luar pengadilan forensik digital dapat menjadi bagian dari penyelidikan internal perusahaan.

Contoh umum misalnya setelah terjadinya intrusi jaringan tanpa otorisasi. Pemeriksaan pakar forensik mengenai sifat dan dampak serangan dilakukan sebagai upaya untuk membatasi kerusakan. Baik untuk menetapkan sejauh mana intrusi tersebut maupun sebagai upaya untuk mengidentifikasi penyerang.[37] Pada tahun 1980-an serangan semacam ini biasanya dilakukan melalui saluran telepon, tetapi di era modern penyebarannya melalui Internet.[38]

Fokus utama penyelidikan forensik digital adalah untuk mengungkap bukti yang objektif dari aktivitas kriminal (disebut actus reus dalam bahasa hukum). Namun, beragam data yang tersimpan dalam perangkat digital dapat membantu bidang penyelidikan lainnya.[26]

Pertalian
Metadata dan log lainnya dapat digunakan untuk mengaitkan suatu tindakan kepada seseorang. Misalnya, dokumen pribadi pada drive komputer mungkin mengidentifikasi pemiliknya.
Alibi dan pernyataan
Informasi yang diberikan oleh mereka yang terlibat dapat diperiksa silang dengan bukti digital. Misalnya, selama penyelidikan pembunuhan Soham alibi pelaku dibantah ketika catatan ponsel dari orang yang dia temui menunjukkan bahwa dia berada di luar kota pada saat itu.
Maksud
Selain untuk menemukan bukti yang obyektif dari suatu kejahatan, penyelidikan juga dapat digunakan untuk membuktikan niat (dikenal sebagai mens rea dalam istilah hukum). Sebagai contoh, riwayat Internet dari terpidana pembunuh Neil Entwistle di antaranya merujuk ke situs yang membahas Cara membunuh orang.
Evaluasi sumber
Artefak-artefak dan metadata berkas dapat digunakan untuk mengidentifikasi asal-usul bagian data tertentu; misalnya, versi Microsoft Word yang lebih lama menyematkan Global Unique Identifer ke dalam berkas-berkas yang mengidentifikasi komputer di mana berkas tersebut dibuat. Membuktikan apakah suatu berkas dibuat pada perangkat digital yang sedang diperiksa atau diperoleh dari tempat lain (mis., Internet) bisa menjadi sangat penting.[26]
Otentikasi dokumen
Terkait dengan "Evaluasi sumber," metadata yang terkait dengan dokumen-dokumen digital dapat dengan mudah dimodifikasi (misalnya, dengan mengubah jam komputer maka dapat mempengaruhi tanggal pembuatan sebuah berkas). Otentikasi dokumen berkaitan dengan pendeteksian dan mengidentifikasi pemalsuan pada rincian-rincian tersebut.

Batasan

Tugas umum selama pemeriksaan forensik adalah mencoba mendekripsikan data yang terenkripsi dalam berbagai bentuk mulai dari berkas atau folder terenkripsi hingga komunikasi yang terenkripsi seperti surat ekektronik dan obrolan atau bahkan menyelidiki diska keras yang telah dienkripsi dengan enkripsi diska penuh (FDE).[6] Salah satu keterbatasan utama dalam penyelidikan forensik adalah penggunaan enkripsi ini, yang dapat menghalangi pemeriksaan awal jika bukti yang bersangkutan terdeteksi menggunakan kata kunci. Hukum yang memaksa seseorang untuk mengungkapkan kunci enkripsi masih relatif baru dan kontroversial.[12]

Media penyimpanan Solid State Drive (SSD) yang mengaktifkan teknologi TRIM dapat menjadi hambatan dalam melakukan forensik digital khususnya pada pemulihan data. Karena fitur TRIM berfungsi untuk memusnahkan garbage data yang telah dihapus.[36] TRIM pada dasarnya adalah sebuah fungsi di mana data yang telah dihapus dimusnahkan secara permanen dari sistem operasi, sehingga pemulihan sulit dilakukan. Namun, tidak semua SSD fitur TRIM-nya diaktifkan.[6]

Pertimbangan hukum

Pemeriksaan media digital dicakup dalam undang-undang nasional maupun internasional. Khusus penyelidikan perdata, undang-undang dapat membatasi kemampuan analis untuk melakukan pemeriksaan. Pembatasan pemantauan jaringan, atau pembacaan komunikasi pribadi sering terjadi. Dalam penyelidikan pidana, undang-undang nasional membatasi seberapa banyak informasi yang dapat disita.[39] Misalnya, di Inggris, penyitaan barang bukti oleh penegak hukum diatur oleh Police and Criminal Evidence Act 1984.[9] Selama keberadaan awalnya di bidang ini, "International Organization on Computer Evidence" (IOCE) adalah salah satu lembaga yang bekerja untuk menetapkan standar internasional yang kompatibel terhadap penyitaan barang bukti.[40]

Di Inggris hukum yang sama terkait kejahatan komputer juga dapat mempengaruhi penyelidik forensik. Computer Misuse Act 1990 mengatur larangan akses tanpa otorisasi pada materi komputer, aturan ini menjadi perhatian khusus bagi penyidik sipil yang memiliki lebih banyak batasan dibanding penegak hukum.[41]

Hak individu atas privasi adalah salah satu bidang forensik digital yang sebagian besar belum diputuskan oleh pengadilan. Electronic Communications Privacy Act (ECPA) di AS memberikan batasan kemampuan kepada penegak hukum atau penyidik sipil untuk menyadap dan mengakses bukti. Undang-undang tersebut membedakan antara komunikasi tersimpan (misalnya arsip surat elektronik) dan komunikasi yang ditransmisikan (seperti VoIP). Yang terakhir, lebih dianggap sebagai serangan privasi, dan lebih sulit untuk mendapatkan surat perintah.[42] ECPA juga mempengaruhi kemampuan perusahaan dalam menyelidiki komputer dan komunikasi karyawan mereka, suatu aspek yang masih diperdebatkan adalah sejauh mana perusahaan dapat melakukan pemantauan tersebut.[9]

Pasal 5 Konvensi Eropa tentang Hak Asasi Manusia menegaskan pembatasan privasi yang serupa dengan ECPA dan membatasi pemrosesan dan pembagian data pribadi baik di dalam UE maupun dengan negara-negara luar. Kemampuan penegak hukum Inggris untuk melakukan penyelidikan forensik digital diatur oleh Regulation of Investigatory Powers Act 2000.[9]

 
Bukti digital bisa dalam berbagai bentuk

Bukti digital

Bukti digital adalah data-data yang dikumpulkan dari semua jenis penyimpanan digital yang menjadi subjek pemeriksaan forensik komputer. Dengan demikian segala sesuatu yang membawa informasi digital dapat menjadi subjek penyelidikan, dan setiap pembawa informasi yang ditargetkan untuk pemeriksaan harus diperlakukan sebagai bukti.[6] Menurut Pasal 5 UU No. 11/2008 tentang Informasi dan Transaksi Elektronik (UU ITE) menyebutkan bahwa “informasi elektronik dan atau dokumen elektronik dan atau hasil cetaknya merupakan alat bukti hukum yang sah”. Contoh barang bukti digital : alamat E-Mail, berkas wordprocessor/spreadsheet, kode sumber perangkat lunak, berkas gambar (JPEG, PNG, dll), bookmarks penjelajah web, cookies, kalender, to do list, dan lainnya.[3]

Seorang Pakar digital forensik harus benar-benar terlatih dan berpengalaman dalam menggunakan cara untuk mengumpulkan semua data-data yang diperlukan sehingga bisa dijadikan bukti legal yang semuanya sudah diatur dalam undang-undang.[3] Ketika digunakan dalam pengadilan, bukti digital berada di bawah pedoman hukum yang sama seperti bentuk bukti lainnya; pengadilan biasanya tidak memerlukan panduan yang lebih ketat.[43] Di Amerika Serikat Federal Rules of Evidence digunakan untuk mengevaluasi diterimanya bukti digital, PACE Kerajaan Inggris dan Civil Evidence acts memiliki pedoman serupa dan banyak negara lain memiliki hukumnya sendiri. Undang-undang federal AS membatasi penyitaan hanya pada barang bukti yang jelas. Hal ini diakui tidak selalu memungkinkan dilakukan pada media digital sebelum dilakukan pemeriksaan.[39]

Hukum yang berurusan dengan bukti digital terkait dengan dua permasalahan: integritas dan keaslian. Integritas memastikan bahwa tindakan menyita dan memperoleh media digital tidak mengubah bukti (baik yang asli atau salinannya). Keaslian mengacu pada kemampuan untuk mengkonfirmasi integritas informasi; misalnya bahwa media yang dicitrakan (imaged) sesuai dengan bukti asli.[39] Mudahnya media digital untuk termodifikasi berarti mendokumentasikan lacak balak [en] mulai dari TKP, analisis, hingga ke pengadilan penting dilakukan untuk menjaga keaslian barang bukti.[9]

Lembaga penegak hukum harus memiliki lacak balak yang tepat ketika menangani bukti digital dan menjamin bahwa semua bukti digunakan untuk analisis forensik yang tepat. Agensi juga harus mengambil tindakan pencegahan yang tepat saat menangani bukti digital. Ketika para penyelidik mengumpulkan bukti dari perangkat digital, bukti yang terkait dengan kejahatan lain mungkin ditemukan. Penyelidik perlu mendapatkan surat perintah kedua agar bukti dapat diterima ke pengadilan.[4] Penanganan bukti digital perlu dilakukan secara khusus mengingat barang bukti digital tergolong "rapuh" sehingga besar kemungkinan terjadinya pencemaran barang bukti digital baik disengaja maupun tidak disengaja. Kesalahan kecil pada penanganan barang bukti dapat membuat barang bukti digital tidak dapat diajukan dipengadilan sebagai alat bukti yang sah dan akurat.[3] Data digital juga dapat diciptakan dengan mudah. Salah satu hal yang ditakutkan adalah adanya penambahan data oleh penyidik (misalnya ada penambahan data untuk menyudutkan pemilik perangkat digital). Untuk itu, diperlukan adanya mekanisme yang memastikan bahwa penyidik tidak dapat (atau sulit) untuk melakukan rekayasa terhadap data. Ada beberapa mekanisme yang dapat dilakukan, seperti penggunaan message digest terhadap berkas yang akan dievaluasi dan penggunaan tools yang sudah disertifikasi.[44]

Para pengacara berpendapat karena bukti digital secara teoritis mudah berubah (dimodifikasi dan digandakan), hal itu dapat merusak keandalan bukti. Para hakim AS mulai menolak teori ini, dalam kasus AS v. Bonallo, pengadilan memutuskan "fakta bahwa data yang ada dalam komputer dapat berubah jelas tidak cukup untuk membentuk ketidakpercayaan."[45] Dalam pedoman Inggris seperti yang dikeluarkan oleh Association of Chief Police Officers diikuti untuk membantu mendokumentasikan keaslian dan integritas barang bukti.

Seorang ahli harus menerapkan metode dan teknik yang terbukti andal secara ilmiah untuk mencari bukti digital. Penyidik digital khususnya dalam investigasi pidana, harus memastikan bahwa kesimpulan-kesimpulannya didasarkan pada bukti faktual dan pengetahuan kepakaran mereka sendiri.[9] Di AS, misalnya, Federal Rules of Evidence menyatakan bahwa seorang saksi yang memenuhi syarat sebagai ahli dapat bersaksi "dalam bentuk pendapat atau lainnya" jika:

(1) kesaksian didasarkan pada fakta atau data yang cukup, (2) kesaksian adalah produk dari kaidah-kaidah dan metode-metode yang dapat diandalkan, dan (3) ahli telah menerapkan prinsip dan metode secara andal terhadap fakta-fakta kasus.[46]

Sub-cabang forensik digital masing-masing dapat memiliki panduan khusus tersendiri untuk melakukan penyelidikan dan penanganan barang bukti. Sebagai contoh, ponsel mungkin harus diletakkan dalam sangkar Faraday selama penyitaan atau akuisisi untuk mencegah lalu lintas radio lebih lanjut ke perangkat. Di Inggris, pemeriksaan forensik komputer dalam masalah kriminal tunduk pada pedoman ACPO.[9] Ada juga pendekatan internasional untuk memberikan panduan tentang cara menangani bukti elektronik. "Electronic Evidence Guide" oleh Dewan Eropa menawarkan kerangka kerja untuk penegak hukum dan otoritas peradilan di negara-negara yang berusaha untuk mengatur atau meningkatkan pedoman mereka sendiri untuk identifikasi dan penanganan bukti elektronik.[47]

Standar Daubert

Keberadaan bukti digital bergantung pada alat/perkakas (tools) yang digunakan untuk mengekstraknya. Di AS, perkakas forensik diberlakukan standar Daubert [en], di mana hakim bertanggung jawab untuk memastikan bahwa tahapan dan perangkat lunak yang digunakan dapat diterima. Dalam sebuah makalah tahun 2003, Brian Carrier berpendapat bahwa pedoman Daubert mengharuskan kode alat-alat forensik dipublikasikan dan ditelaah oleh rekan sejawat. Dia menyimpulkan bahwa "peralatan sumber terbuka mungkin lebih jelas dan komprehensif dalam memenuhi persyaratan pedoman dibanding peralatan dengan sumber tertutup."[48] Pada tahun 2011 Josh Brunty menyatakan bahwa validasi ilmiah pada teknologi dan perangkat lunak yang terkait dengan kegiatan pemeriksaan forensik digital sangat penting untuk setiap proses laboratorium. Dia berpendapat bahwa "ilmu forensik digital didasarkan pada prinsip-prinsip proses berulang dan bukti berkualitas sehingga mengetahui bagaimana merancang dan mempertahankan proses validasi yang baik adalah syarat utama bagi setiap pemeriksa forensik digital untuk mempertahankan metode mereka di pengadilan.[49]

Alat forensik digital

Para penegak hukum memanfaatkan peralatan berupa perangkat keras dan perangkat lunak khusus untuk penyelidikan forensik digital. Alat-alat ini digunakan untuk membantu pemulihan dan pelestarian bukti digital.

 
Sebuah perangkat write-blocker portabel Tableau yang terhubung pada diska keras

Perangkat keras

Peralatan yang berupa perangkat keras umumnya dirancang untuk menyelidiki perangkat penyimpanan, dan untuk menjaga agar perangkat target tidak berubah demi menjaga integritas bukti. Forensics disk controller atau pencacah perangkat keras merupakan perangkat read-only yang memungkinkan pengguna untuk membaca data di perangkat tersangka tanpa risiko memodifikasi atau menghapus konten di dalamnya. Sedangkan disk write-protector atau write-blocker berfokus pada pelestarian bukti di perangkat target dan berfungsi untuk mencegah konten dalam perangkat penyimpanan termodifikasi atau terhapus. Hard-drive duplicator adalah perangkat pencitraan (imaging) yang berfungsi untuk menyalin semua file pada diska keras yang dicurigai ke dalam diska yang bersih, alat ini juga dapat menduplikasi data dalam diska lepas atau kartu digital (SD) secara aman. Perangkat pemulihan kata sandi menggunakan algoritme, seperti serangan brute force atau kamus, untuk mencoba mengakses perangkat penyimpanan yang dilindungi kata sandi.[4]

Perangkat lunak

Untuk penelitian dan investigasi yang lebih baik, para pengembang telah membuat berbagai perangkat lunak forensik. Kepolisian dan lembaga penyelidikan memilih akat-alat ini berdasarkan beberapa faktor termasuk anggaran dan ahli yang tersedia dalam tim. Sebagian besar perangkat lunak forensik bersifat multi-tujuan serta dapat melakukan berbagai tugas dalam satu aplikasi. Sebagian aplikasi bersifat sumber terbuka, sehingga kodenya dapat dimodifikasi untuk memenuhi kebutuhan yang spesifik dan penghematan biaya bagi penegak hukum. Sebagian dapat memproses beberapa perangkat sekaligus atau mengelola berbagai sistem operasi (misalnya, Windows dan Linux).[4]

Perangkat lunak forensik komputer melengkapi perangkat keras yang tersedia untuk penegak hukum untuk memperoleh dan menganalisis bukti digital yang dikumpulkan dari perangkat tersangka. Tersangka sering menyembunyikan/ menghapus berkas atau mempartisi diska keras komputer mereka sehingga bukti sulit ditemukan; namun, aplikasi perangkat lunak forensik dapat membantu penyelidik dalam memulihkan bukti ini. Aktivitas pengguna tertentu dapat dipulihkan dan diselidiki dengan perangkat lunak digital forensik.[4] Alat-alat forensik ini juga dapat diklasifikasikan ke dalam berbagai kategori:[50]

Berikut adalah beberapa alat forensik digital yang digunakan oleh berbagai lembaga penegak hukum dalam melakukan investigasi kejahatan:[50]

Alat Keterangan Lisensi
Digital Forensics Framework Digital Forensics Framework digunakan oleh profesional maupun non-ahli. Ini dapat digunakan untuk lacak balak digital, untuk mengakses perangkat jarak jauh atau lokal, forensik sistem Windows atau Linux, pemulihan berkas yang dihapus, pencarian cepat untuk metadata berkas. GPL
Open Computer Forensics Architecture Open Computer Forensics Architecture (OCFA) dibangun di platform Linux dan menggunakan basis data postgreSQL untuk penyimpanan datanya. Dibangun oleh Badan Kepolisian Nasional Belanda untuk mengotomatisasi proses forensik digital. GPL
CAINE CAINE (Computer Aided Investigative Environment) adalah distro Linux yang dibuat untuk forensik digital. CAINE menawarkan lingkungan untuk mengintegrasikan perangkat lunak yang ada sebagai modul. GPL
X-Ways Forensics X-Ways Forensics adalah platform canggih untuk pemeriksa forensik digital, berjalan pada semua versi Windows yang tersedia dan bekerja secara efisien. Komersial
SANS Investigative Forensics Toolkit – SIFT SANS Investigative Forensics Toolkit atau SIFT adalah sistem operasi forensik multi-tujuan berbasis Ubuntu, dilengkapi dengan semua alat yang diperlukan yang digunakan dalam proses forensik digital. Versi terakhir adalah SIFT 3.0. Sumber terbuka dan berbayar
EnCase EnCase adalah platform forensik multiguna dengan banyak peralatan untuk beberapa area dalam proses forensik digital. Alat ini dapat dengan cepat mengumpulkan data dari berbagai perangkat dan menggali bukti potensial. EnCase juga menghasilkan laporan berdasarkan bukti. Komersial
Registry Recon Registry Recon adalah alat analisis registry. Alat ini mengekstrak informasi registry dari barang bukti dan kemudian membangun kembali representasi registry. Komersial
The Sleuth Kit Sleuth Kit adalah alat berbasis Unix dan Windows dengan berbagai perkakas yang membantu dalam forensik digital. Alat-alat ini membantu dalam menganalisis image diska, melakukan analisis mendalam dari file system, dan berbagai hal lainnya. IBM Open Source License, Common Public License, GPL
Llibforensics Libforensik adalah pustaka untuk mengembangkan aplikasi forensik digital, dikembangkan dengan Python dan dilengkapi dengan berbagai alat demo untuk mengekstrak informasi dari berbagai jenis bukti. LGPL
Volatility Volatility adalah framework forensik memori, digunakan dalam respon insiden dan analisis malware. Alat ini dapat mengekstrak informasi dari proses yang sedang berjalan, soket jaringan, koneksi jaringan, DLL dan kumpulan registry. Ini juga memiliki dukungan untuk mengekstraksi informasi dari berkas crash dump Windows dan berkas hibernasi. GPL
WindowsSCOPE WindowsSCOPE adalah alat forensik memori dan reverse engineering yang digunakan untuk menganalisis memori. Alat ini mampu menganalisis kernel Windows, driver, DLL, memori virtual dan fisik. Komersial
The Coroner’s Toolkit Coroner's Toolkit atau TCT berjalan di beberapa sistem operasi yang berhubungan dengan Unix, dapat digunakan untuk membantu analisis bencana komputer dan pemulihan data. IBM Public License
Oxygen Forensic Suite Oxygen Forensic Suite adalah perangkat lunak untuk mengumpulkan bukti dari ponsel. Alat ini membantu mengumpulkan informasi perangkat (termasuk produsen, sistem operasi, nomor IMEI, nomor seri), kontak, pesan (email, SMS, MMS), memulihkan pesan yang dihapus, log panggilan dan informasi kalender. Ini juga memungkinkan Anda mengakses dan menganalisis data dan dokumen perangkat seluler. Komersial
Bulk Extractor Bulk Extractor memindai image diska, berkas atau direktori berkas untuk mengekstrak informasi yang berguna. Bulk_extractor adalah program yang mengekstrak alamat email, nomor kartu kredit, URL, dan jenis informasi lainnya dari berbagai bukti digital.[51] Domain publik
Xplico Xplico adalah alat analisis forensik jaringan, digunakan untuk mengekstrak data dari aplikasi yang menggunakan Internet dan protokol jaringan. GNU GPL
Mandiant RedLine Mandiant RedLine adalah alat untuk analisis memori dan berkas, mengumpulkan informasi mengenai proses yang sedang berjalan pada host, driver dari memori dan mengumpulkan data lain seperti metadata, data registry, tugas, layanan, informasi jaringan, dan riwayat Internet.
Computer Online Forensic Evidence Extractor (COFEE) COFEE adalah tool kit yang dikembangkan untuk ahli forensik komputer. Alat ini dikembangkan oleh Microsoft untuk mengumpulkan bukti dari sistem Windows. COFEE dapat diinstal pada USB pen drive atau hard disk eksternal. Alat ini memiliki 150 tool yang berbeda dengan antarmuka berbasis GUI. Komersial
P2 eXplorer P2 eXplorer adalah alat mounting image forensik yang bertujuan membantu petugas menyelidiki kasus. Dengan alat ini, image forensik dapat di-mounting sebagai diska lokal dan fisik read-only dan kemudian menjelajahi kontennya dengan file explorer. Komersial
PlainSight PlainSight adalah alat forensik digital berbasis distribusi Linux Knoppix pada CD. Beberapa kegunaannya termasuk melihat riwayat Internet, pemulihan data, memeriksa penggunaan perangkat USB, mengekstraksi hash sandi dump memori, pengumpulan informasi, memeriksa konfigurasi firewall Windows dan lainnya. GPL
XRY XRY adalah alat forensik seluler yang dikembangkan oleh Micro Systemation, digunakan untuk menganalisis dan memulihkan informasi penting dari perangkat seluler. Alat ini dilengkapi dengan perangkat keras dan perangkat lunak. Perangkat keras menghubungkan ponsel ke PC dan perangkat lunak melakukan analisis perangkat dan mengekstrak data. Versi terbaru dari alat ini dapat memulihkan data dari semua jenis smartphone termasuk Android, iPhone, dan BlackBerry. Komersial
HELIX3 HELIX3 adalah paket forensik digital berbasis live CD yang digunakan dalam respons insiden. Dilengkapi banyak alat forensik digital sumber terbuka termasuk hex editor, alat pemulihan data dan password cracking. Helix3 2009R1 adalah versi gratis. Setelah rilis ini, proyek ini diambil alih oleh vendor komersial.
Cellebrite UFED Solusi Cellebrite UFED menyajikan alur kerja terpadu untuk memungkinkan pemeriksa, penyelidik, dan responder pertama untuk mengumpulkan, melindungi, dan menindak data seluler dengan kecepatan dan keakuratan yang dituntut situasi - tanpa pernah mengorbankan satu untuk yang lainnya. Komersial

Cabang

Penyelidikan forensik digital tidak hanya terbatas pada mengambil data dari komputer, karena perangkat digital kecil (misalnya tablet, ponsel cerdas, flash drive) sekarang banyak digunakan. Beberapa perangkat ini ada yang memiliki memori volatil dan ada yang tidak. Metodologi yang memadai telah tersedia untuk mengambil data dari memori volatil, namun terdapat kekurangan metodologi atau kerangka kerja untuk pengambilan data dari sumber memori non-volatil.[52] Ada lima cabang utama forensik digital dan mereka dikategorikan berdasarkan tempat data disimpan atau bagaimana data ditransmisikan.[4]

Forensik komputer

Tujuan dari forensik komputer adalah untuk menjelaskan keadaan artefak digital saat ini; seperti sistem komputer, media penyimpanan atau dokumen elektronik.[53] Disiplin ini biasanya mencakup komputer, sistem benam (perangkat digital dengan kemampuan komputasi belum sempurna dan memori onboard) dan memori statis (seperti USB pen drive).

Forensik komputer ini bergantung pada sistem operasi yang digunakan. Sebagai contoh, kebanyakan pengguna komputer desktop menggunakan sistem operasi Microsoft Windows. Oleh karena itu, diperlukan kemampuan untuk melakukan forensik pada komputer yang menggunakan sistem operasi Microsoft Windows. Sistem operasi yang lain meletakkan data pada berkas yang berbeda dengan format yang berbeda. Sebagai contoh pada sistem UNIX catatan tersedia pada layanan syslog, sementara itu pada sistem Microsoft Windows catatan dapat dilihat dengan Event Viewer. Berbagai perkakas (tools) forensik tersedia untuk membantu penyidik dalam mengumpulkan data yang terkait dengan sistem operasi yang digunakan.[44]

Forensik komputer dapat menangani berbagai informasi; dari log (seperti riwayat internet) hingga ke berkas yang sebenarnya dalam drive. Pada tahun 2007 jaksa menggunakan spreadsheet yang dipulihkan dari komputer Joseph E. Duncan III untuk membuktikan pembunuhan terencana dan memperkuat hukuman mati.[26] Pembunuh Sharon Lopatka diidentifikasi pada tahun 2006 setelah pesan email dari dia yang merinci fantasi tentang penyiksaan dan kematian ditemukan di komputernya.[9]

 
Ponsel dalam sebuah kantong Barang Bukti Inggris
 
Penyidik Swasta & Certified Digital Forensics Examiner Imaging menyalin sebuah hard drive di lapangan untuk pemeriksaan forensik.

Forensik peranti bergerak

Forensik peranti bergerak adalah sub-cabang forensik digital yang berkaitan dengan pemulihan bukti digital atau data dari perangkat seluler. Berbeda dari forensik komputer karena perangkat seluler memiliki sistem komunikasi yang terintegrasi (mis. GSM) dan biasanya dengan mekanisme penyimpanan proprietary. Investigasi biasanya lebih berfokus pada data sederhana seperti data panggilan dan komunikasi (SMS/Email) daripada pemulihan mendalam dari data yang dihapus.[54] Data SMS dari investigasi perangkat seluler membantu membebaskan Patrick Lumumba dalam kasus pembunuhan Meredith Kercher.[26]

Perangkat seluler juga menyediakan informasi lokasi; baik dari pelacakan gps/lokasi internal atau melalui tower seluler, yang melacak perangkat dalam jangkauan mereka. Informasi tersebut digunakan untuk melacak para penculik Thomas Onofri pada tahun 2006.[26]

Forensik jaringan

Forensik jaringan berkaitan dengan pengamatan dan analisis lalu lintas jaringan komputer, baik lokal maupun WAN/internet, untuk keperluan pengumpulan informasi, pengumpulan bukti, atau deteksi intrusi.[55] Lalu lintas biasanya disadap di tingkat paket, baik disimpan untuk analisis nanti atau disaring secara real-time. Tidak seperti forensik digital lainnya data jaringan sering berubah-ubah dan jarang terekam, membuat disiplin ini sering reaksioner.

Pada tahun 2000, FBI mengumpan peretas komputer Aleksey Ivanov dan Gorshkov ke Amerika Serikat untuk wawancara kerja palsu. Dengan memonitor lalu lintas jaringan dari komputer pasangan tersebut, FBI mengidentifikasi kata sandi yang memungkinkan mereka mengumpulkan bukti langsung dari komputer yang berbasis di Rusia.[56]

Analisis data forensik

Analisis Data Forensik adalah cabang forensik digital. Ini menguji data terstruktur dengan tujuan untuk menemukan dan menganalisa pola kegiatan penipuan yang dihasilkan dari kejahatan keuangan.

Forensik basis data

Forensik basis data adalah cabang forensik digital yang berkaitan dengan studi forensik basis data dan metadatanya.[57] Investigasi menggunakan isi basis data, berkas log, dan data dalam RAM untuk membuat garis waktu atau memulihkan informasi yang relevan.

Pendidikan dan Penelitian

Pusat akademis pendidikan dan penelitian dalam ilmu forensik:

Amerika Utara: Penn State University menawarkan Security and Risk Analysis Major, Master Studi Profesional dalam Ilmu Informasi, Master Studi Profesional di bidang Homeland Security, dan Ph.D. dalam Ilmu Informasi dan Teknologi di bidang forensik digital.[58]

Eropa: Universitas Sains dan Teknologi Norwegia, NTNU Digital Forensics Group, Master in Information Security - Digital Forensik dan PhD di bidang Keamanan Informasi.[59]

Indonesia: Mata kuliah mengenai Digital Forensic, salah satunya telah diajarkan di Jurusan Teknologi Informasi, Fakultas Teknik, Universitas Udayana, melalui mata kuliah IT Forensic.[60]

Catatan kaki

  1. ^ a b Carrier (2006).
  2. ^ Reith, Carr & Gunsch (2002); Carrier (2001).
  3. ^ a b c d e f g Meiyanti & Ismaniah (2015).
  4. ^ a b c d e f DHS (2016).
  5. ^ a b c d Reith, Carr & Gunsch (2002).
  6. ^ a b c d e f g h i j Kavrestad (2018).
  7. ^ University of Florida (n.d.); Casey (2004).
  8. ^ Aaron, David & Chris (2009); Kabay (2008).
  9. ^ a b c d e f g h i j k l Casey (2004).
  10. ^ Casey (2004); Kabay (2008).
  11. ^ Mohay (2003); Sommer (2004).
  12. ^ a b c Garfinkel (2010).
  13. ^ Volonino & Anzaldua (2008).
  14. ^ Sommer (2004).
  15. ^ Reith, Carr & Gunsch (2002); Palmer (2002).
  16. ^ Wilding (1997); Collier & Spaul (1992).
  17. ^ Rosenblatt (1995).
  18. ^ Casey (2004); SWGDE (2005); ISO (2005).
  19. ^ Casey (2004); Sommer (2004).
  20. ^ Punja (2008).
  21. ^ Ahmed (2008).
  22. ^ USJFCOM (2010).
  23. ^ Peterson & Shenoi (2009).
  24. ^ Mohay (2003).
  25. ^ NIJ (2001); Casey (2009).
  26. ^ a b c d e f Casey (2009).
  27. ^ a b c Du, Le-Khac & Scanlon (2017).
  28. ^ a b c Adams (2012).
  29. ^ Casey (2004); NIJ (2001); Kavrestad (2018).
  30. ^ Afonin & Gubanov (2013).
  31. ^ Adams (2013).
  32. ^ Horenbeeck (2006a).
  33. ^ Spencer, Baker & Andersen (2009).
  34. ^ a b Adams, Mann & Hobbs (2017).
  35. ^ Hoelz, Ralha & Geeverghese (2009).
  36. ^ a b c d Ramadhan, Prayudi & Sugiantoro (2017).
  37. ^ Casey (2009); Carrier (2006).
  38. ^ Kruse & Heiser (2002).
  39. ^ a b c Mocas (2004).
  40. ^ Kanellis (2006).
  41. ^ UK Government (1990).
  42. ^ Casey (2004); Rosenblatt (1995).
  43. ^ Casey (2004); Ryan & Shpantzer (2006).
  44. ^ a b Raharjo (2013).
  45. ^ Casey (2004); US v. Bonallo, 858 F. 2d 1427 (9th Cir. 1988).
  46. ^ Federal Evidence Review (2015).
  47. ^ Council of Europe (2013).
  48. ^ Carrier (2002).
  49. ^ Brunty (2011).
  50. ^ a b InfoSec (2018).
  51. ^ Garfinkel (2013).
  52. ^ Jansen & Ayers (2004).
  53. ^ Yasinsac et al. (2003).
  54. ^ Casey (2004); Horenbeeck (2006b).
  55. ^ Palmer (2001).
  56. ^ Casey (2004); Moscow Times (2001).
  57. ^ Olivier (2009).
  58. ^ PennState (2018).
  59. ^ NTNU (2018).
  60. ^ Eka Pratama (2017).

Daftar pustaka

  • Aaron, Phillip; David, Cowen & Chris, Davis (2009). Hacking Exposed Computer Forensics, Second Edition: Computer Forensics Secrets & Solutions (dalam bahasa Inggris) (edisi ke-2). McGraw-Hill Education. ASIN B002R0JXF4. ISBN 9780071626774. 
  • Collier, P.A. & Spaul, B.J. (1992). "A forensic methodology for countering computer crime". Computers and Law (dalam bahasa Inggris). Intellect Books. 
  • DHS (2016). Digital Forensics Tools (PDF). System Assessment and Validation for Emergency Responders (SAVER): Tech Note (dalam bahasa Inggris). U.S. Department of Homeland Security. 
  • Du, Xiaoyu; Le-Khac, Nhien-An & Scanlon, Mark (2017). Evaluation of Digital Forensic Process Models with Respect to Digital Forensics as a Service. 16th European Conference on Cyber Warfare and Security (dalam bahasa Inggris). University College Dublin. arXiv:1708.01730 . 
  • Garfinkel, Simson L. (2013). "Digital media triage with bulk data analysis and bulk_extractor". Computers & Security (dalam bahasa Inggris). Elsevier Ltd. 32: 56–72. ISSN 0167-4048. 
  • ISO (2005). "ISO/IEC 17025:2005" (dalam bahasa Inggris). International Organization for Standardization. Diarsipkan dari versi asli tanggal 5 August 2011. Diakses tanggal 14 Agustus 2018. 
  • Jansen, Wayne & Ayers, Richard (2004). Guidelines on PDA Forensics (PDF). NIST Special Publication (SP 800-72) (dalam bahasa Inggris). NIST. Diarsipkan (PDF) dari versi asli tanggal 12 February 2006. Diakses tanggal 14 Agustus 2018. 
  • Kanellis, Panagiotis, ed. (2006). Digital Crime And Forensic Science in Cyberspace (dalam bahasa Inggris). Idea Group Publishing. ISBN 9781591408727. 
  • Kruse, Warren G. & Heiser, Jay G. (2002). Computer forensics: incident response essentials (dalam bahasa Inggris). Addison-Wesley Professional. ISBN 9780201707199. 
  • Meiyanti, Ruci; Ismaniah (2015). "Perkembangan Digital Forensik Saat Ini dan Mendatang". Jurnal Kajian Ilmial UBJ. Jawa Barat: Universitas Bhayangkara Jakarta Raya. 15 (2). eISSN 2597-792X. 
  • Mohay, George M. (2003). Computer and intrusion forensics (dalam bahasa Inggris). Artechhouse. ISBN 1-58053-369-8. 
  • Palmer, Gary, ed. (2001). A Road Map for Digital Forensic Research (PDF). Report From the First Digital Forensic Research Workshop (DFRWS) August 7-8, 2001 (dalam bahasa Inggris). Utica, New York: Mitre Corporation. Diakses tanggal 14 Agustus 2018. 
  • PennState (2018). "Security and Risk Analysis (SRA)". Penn State's College of Information Sciences and Technology (dalam bahasa Inggris). Pennsylvania State University. Diakses tanggal 14 Agustus 2018. 
  • Peterson, Gilbert & Shenoi, Sujeet (2009). "Digital Forensic Research: The Good, the Bad and the Unaddressed". Advances in Digital Forensics V. IFIP Advances in Information and Communication Technology (dalam bahasa Inggris). Springer Boston. 306. Bibcode:2009adf5.conf...17B. doi:10.1007/978-3-642-04155-6_2. 
  • Punja, SG (2008). "Mobile device analysis" (PDF). Small Scale Digital Device Forensics Journal (dalam bahasa Inggris). Diarsipkan dari versi asli (PDF) tanggal 2011-07-28. 
  • Wilding, E. (1997). Computer Evidence: a Forensic Investigations Handbook (dalam bahasa Inggris). London: Sweet & Maxwell. ISBN 0-421-57990-0. 

Bacaan lanjut