Forensic: Pengantar Forensik Komputer
Forensik komputer adalah praktik mengumpulkan, menganalisis, dan melaporkan data digital dengan cara yang dapat diterima secara hukum. Ini dapat digunakan dalam deteksi dan pencegahan kejahatan dan dalam perselisihan di mana bukti disimpan secara digital. Komputer forensik mengikuti proses serupa ke disiplin forensik lainnya, dan menghadapi masalah serupa.
Panduan ini membahas forensik komputer dari perspektif netral. Tidak terkait dengan undang-undang tertentu atau untuk mempromosikan perusahaan atau produk tertentu, dan tidak ditulis dalam bias dari sisi penegakan hukum atau forensik komputer komersial.
Panduan ini ditujukan untuk pembaca non-teknis dan memberikan pandangan tingkat tinggi forensik komputer. Meskipun istilah "komputer" digunakan, konsep-konsep tersebut berlaku untuk setiap perangkat yang mampu menyimpan informasi digital.
Metodologi yang disebutkan disini hanya sebagai contoh saja, bukan merupakan rekomendasi atau saran. Penggunaan Komputer Forensik
Ada beberapa bidang kejahatan atau perselisihan di mana forensik komputer tidak dapat diterapkan. Lembaga penegak hukum telah menjadi salah satu pengguna forensik komputer paling awal dan terberat dan akibatnya sering berada di garis depan perkembangan di lapangan.
Komputer mungkin merupakan 'Tempat Kejadian Perkara', misalnya dengan peretasan atau serangan denial of service atau mereka mungkin memiliki bukti dalam bentuk email, internet history, dokumen atau file lain yang relevan dengan kejahatan seperti pembunuhan, penculikan, penipuan, dan penyelundupan obat terlarang.
Bukan hanya isi email, dokumen dan file lain yang mungkin menarik bagi penyidik, tetapi juga 'metadata' yang terkait dengan file-file tersebut. Pemeriksaan komputer forensik dapat mengungkapkan kapan dokumen pertama kali muncul di komputer, ketika terakhir diedit, ketika terakhir disimpan atau dicetak dan pengguna mana yang melakukan tindakan ini.
Baru-baru ini, organisasi komersial telah menggunakan forensik komputer untuk kepentingan mereka dalam berbagai kasus seperti;
- Pencurian Kekayaan Intelektual
- Mata-mata industri
- Perselisihan pekerjaan
- Investigasi penipuan
- Forgeries
- Investigasi kebangkrutan
- Penggunaan email dan internet yang tidak pantas di tempat kerja
- Kepatuhan terhadap peraturan
Panduan Umum
Agar bukti dapat diterima, harus reliable dan tidak prejudice, yang berarti bahwa pada semua tahap pemeriksaan keamanan komputer forensic penyidik harus selalu konsentrasi penuh untuk menggali berbagai bukti.
Seperangkat pedoman yang banyak digunakan dan disegani yang dapat memandu penyelidik di bidang ini adalah Association of Chief Police Officers Good Practice Guide for Digital Evidence, atau di singkat Panduan ACPO. Meskipun Panduan ACPO ditujukan untuk penegakan hukum Inggris, prinsip-prinsip utamanya berlaku untuk semua forensik komputer.
Ada empat (4) prinsip utama dalam panduan tersebut (dengan referensi untuk penegakan hukum dihapus) sebagai berikut:
- Tidak boleh ada tindakan mengubah data yang tersimpan di komputer atau media penyimpanan yang mungkin dapat diandalkan di pengadilan.
- Pada saat seseorang merasa perlu untuk mengakses data asli yang disimpan di komputer atau media penyimpanan, orang tersebut harus kompeten untuk melakukannya dan dapat memberikan bukti yang menjelaskan relevansi dan implikasi dari tindakan mereka.
- Jejak audit atau catatan lain dari semua proses yang diterapkan pada bukti elektronik berbasis komputer harus dibuat dan dijaga. Pihak ketiga yang independen harus dapat memeriksa proses tersebut dan mencapai hasil yang sama.
- Orang yang bertanggung jawab atas penyidikan memiliki tanggung jawab keseluruhan untuk memastikan bahwa hukum dan prinsip-prinsip ini ditaati.
Live acquisition
Dalam situasi seperti apa maka perubahan pada komputer tersangka oleh penyidik komputer forensik diperlukan?
Secara tradisional, penyidik forensik komputer akan membuat salinan (atau memperoleh) informasi dari perangkat yang dimatikan. Aplikasi write-blocker akan digunakan untuk membuat salinan bit-for-bit dari media penyimpanan aslinya. Pemeriksa akan bekerja dari salinan ini, membiarkan yang asli tidak berubah.
Namun, terkadang tidak mungkin atau tidak diinginkan untuk mematikan komputer. Kadang kala tidak mungkin jika melakukan hal itu, misalnya, mengakibatkan kerugian finansial atau kerugian lain bagi pemiliknya. Pemeriksa mungkin juga ingin menghindari situasi di mana mematikan perangkat dapat membuat bukti berharga hilang secara permanen. Dalam kedua situasi ini pemeriksa komputer forensik perlu melakukan 'live acquisition' yang akan melibatkan menjalankan program kecil pada komputer tersangka untuk menyalin (atau memperoleh) data ke hard drive penyidik.
Dengan menjalankan program semacam itu dan melampirkan drive tujuan ke komputer tersangka, penyidik akan membuat perubahan dan / atau penambahan pada keadaan komputer yang tidak ada sebelum tindakan tersebut dilakukan. Namun, bukti yang dihasilkan masih akan dapat diterima jika penyidik mampu menunjukkan mengapa tindakan tersebut dianggap perlu, bahwa mereka mencatat tindakan tersebut dan bahwa mereka harus menjelaskan kepada pengadilan konsekuensi dari tindakan tersebut.
Tahapan Pemeriksaan
Proses pemeriksaan komputer forensik dibagi dalam enam tahap, yang disajikan dalam urutan kronologis yang biasa dilakukan.
Readiness
Kesiapan forensik adalah tahap yang penting dan kadang-kadang diabaikan dalam proses pemeriksaan. Dalam forensik komputer komersial, ini dapat mencakup mendidik klien tentang kesiapan sistem; misalnya, pemeriksaan forensik akan memberikan bukti yang lebih kuat jika fitur audit perangkat telah diaktifkan sebelum terjadinya insiden apa pun.
Untuk pemeriksa forensik itu sendiri, kesiapan akan mencakup pelatihan yang sesuai, pengujian reguler dan verifikasi perangkat lunak dan peralatan mereka, keakraban dengan perundang-undangan, berurusan dengan masalah yang tidak terduga (misalnya, apa yang harus dilakukan jika gambar tidak senonoh anak-anak ditemukan ada selama pekerjaan komersial) dan memastikan bahwa tool akuisisi di lokasi (ekstraksi data) tersedia lengkap dan dalam kondisi siap bekerja.
Evaluation
Tahap evaluasi meliputi penerimaan instruksi, klarifikasi instruksi tersebut jika tidak jelas atau ambigu, analisis risiko dan alokasi tugas dan sumber daya. Analisa risiko untuk penegakan hukum dapat mencakup penilaian tentang kemungkinan ancaman fisik saat memasuki properti tersangka dan cara terbaik untuk menghadapinya.
Organisasi komersial juga perlu menyadari isu kesehatan dan keselamatan, konflik kepentingan dan kemungkinan risiko - keuangan dan reputasi mereka - dalam menerima pekerjaan tertentu.
Collection
Bagian utama dari tahap pengumpulan, akuisisi, telah dijelaskan di atas.
Jika akuisisi harus dilakukan di lokasi kejadian bukan di laboratorium komputer forensik, maka tahap ini akan termasuk mengidentifikasi dan mengamankan perangkat yang dapat menyimpan bukti dan mendokumentasikan kondisi lokasi kejadian. Wawancara atau pertemuan dengan personel yang mungkin memegang informasi yang relevan dengan pemeriksaan (yang dapat mencakup enduser komputer, dan manajer dan orang yang bertanggung jawab untuk menyediakan layanan komputer, seperti administrator TI) biasanya akan dilakukan pada tahap ini.
Tahap pengumpulan juga melibatkan pelabelan dan pengepakan barang-barang bukti dari lokasi kejadian, yang akan disegel dalam kantong-kantong yang jelas. Pertimbangan harus diberikan untuk mengangkut materi dengan aman ke laboratorium penguji.
Analysis
Analisis tergantung pada spesifikasi masing-masing pekerjaan. Penyidik biasanya memberikan umpan balik kepada klien selama analisis dan dari dialog ini analisis dapat mengambil jalan yang berbeda atau dipersempit ke area tertentu. Analisis harus akurat, teliti, tidak memihak, direkam, dapat diulang dan diselesaikan dalam skala waktu yang tersedia dan sumber daya yang dialokasikan.
Ada banyak tool yang tersedia untuk analisis forensik komputer. Penyidik dapat menggunakan tool apa pun yang mereka rasa nyaman selama mereka dapat membenarkan pilihan mereka. Persyaratan utama tool forensik komputer adalah bahwa tool tersebut dapat melakukan apa yang dimaksudkan untuk dilakukan dan satu-satunya cara bagi penyidik untuk memastikan hal ini adalah agar mereka secara teratur menguji dan mengkalibrasi tool yang mereka andalkan sebelum analisis dilakukan.
Verifikasi dengan dua tool dapat mengonfirmasi integritas hasil selama analisis (JIka dengan tool ‘A’ penyidik menemukan bukti ‘X’ pada lokasi ‘Y’, maka tool ‘B’ harus dapat me-replikasi hasil yang sama).
Presentation
Tahap ini biasanya melibatkan penyidik menghasilkan laporan terstruktur akan temuan mereka, membahas poin-poin dalam instruksi awal bersama dengan instruksi selanjutnya. Itu juga akan mencakup informasi lain yang menurut penyidik relevan dengan penyelidikan.
Laporan harus ditulis dengan mempertimbangkan siapa yang akan membaca; dalam banyak kasus pembaca kebanyakan dari kalangan non-teknis, dan terminologi yang sesuai dengan pembaca harus digunakan. Penyidik juga harus siap untuk berpartisipasi dalam pertemuan atau konferensi melalui telepon untuk membahas dan menguraikan laporan.
Review
Seperti halnya tahap persiapan, tahap peninjauan sering dilupakan atau diabaikan. Ini mungkin karena biaya yang dirasakan untuk melakukan pekerjaan yang tidak dapat ditagih, atau kebutuhan 'untuk melanjutkan pekerjaan berikutnya'.
Namun, tahap peninjauan yang dimasukkan ke dalam setiap pemeriksaan dapat membantu menghemat uang dan meningkatkan tingkat kualitas dengan membuat pemeriksaan masa depan lebih efisien dan efektif dari sisi waktu.
Tinjauan pemeriksaan bisa sederhana, cepat dan dapat dimulai selama tahap-tahap di atas. Ini mungkin termasuk analisis dasar tentang apa yang salah, apa yang berjalan dengan baik, dan bagaimana pembelajaran dari ini dapat dimasukkan ke dalam pemeriksaan masa depan. Umpan balik dari pihak yang menginstruksikan juga harus diperhitungkan.
Setiap pelajaran yang dipetik dari tahap ini harus diterapkan pada pemeriksaan berikutnya dan dimasukkan ke tahap kesiapan. Masalah yang Dihadapi Forensik Komputer
Masalah yang dihadapi pemeriksa komputer forensik dapat dipecah menjadi tiga (3) kategori besar: teknis, hukum dan administratif.
Masalah teknis
Enkripsi - Data yang terenkripsi tidak dapat dibaca tanpa kunci atau password yang benar. Penyidik harus mempertimbangkan bahwa kunci atau password dapat disimpan di tempat lain di komputer atau di komputer lain yang dapat diakses oleh tersangka. Itu juga bisa berada dalam memori volatile komputer (dikenal sebagai RAM) yang biasanya hilang pada komputer shut-down; hal ini bisa menjadi alasan tambahan untuk mempertimbangkan menggunakan teknik 'live acquisition', seperti diuraikan di atas.
Meningkatnya storage space - Media penyimpanan menyimpan jumlah data yang lebih besar, yang bagi penguji berarti bahwa komputer analisis mereka harus memiliki kekuatan pemrosesan yang cukup dan kapasitas penyimpanan yang besar untuk secara efisien menangani pencarian dan analisis data dalam jumlah besar.
Teknologi baru - Komputasi adalah bidang yang terus berkembang, dengan perangkat keras, perangkat lunak, dan sistem operasi baru muncul secara konstan. Tidak ada satupun penyidik forensik komputer yang dapat menjadi pakar di semua bidang, meskipun mereka mungkin sering diharapkan untuk menganalisis sesuatu yang belum pernah mereka temui sebelumnya. Untuk menghadapi situasi ini, penyidik harus siap dan mampu menguji dan bereksperimen dengan perilaku teknologi baru. Membuat jaringan dan berbagi pengetahuan dengan penyidik forensik komputer lainnya sangat bermanfaat dalam hal ini karena kemungkinan orang lain telah menemukan masalah yang sama.
Anti-forensik - Anti-forensik adalah praktik mencoba untuk menggagalkan analisis forensik komputer. Ini mungkin termasuk enkripsi, over-writing data untuk membuatnya tidak dapat dipulihkan, modifikasi metadata file dan file obfuscation (file samaran). Seperti halnya enkripsi, bukti bahwa metode tersebut telah digunakan dapat disimpan di tempat lain di komputer atau di komputer lain yang dapat diakses oleh tersangka. Berdasarkan beberapa pengalaman, jarang tool anti-forensik digunakan dengan benar dan cukup sering untuk benar-benar mengaburkan keberadaan mereka atau keberadaan bukti yang mereka gunakan untuk bersembunyi.
Masalah Legal
Masalah hukum dapat membingungkan atau mengalihkan perhatian dari temuan penyidik komputer. Contoh 'Trojan Defence'. Trojan adalah bagian dari kode komputer yang disamarkan sebagai sesuatu yang jinak tetapi yang membawa tujuan tersembunyi dan jahat. Trojans memiliki banyak fungsi, dan termasuk key-logging, mengunggah dan mengunduh file dan instalasi virus. Seorang pengacara mungkin dapat membantah bahwa tindakan pada komputer tidak dilakukan oleh pengguna tetapi dilakukan secara automatis oleh Trojan tanpa sepengetahuan pengguna; Trojan Defence semacam itu telah berhasil digunakan bahkan ketika tidak ada jejak Trojan atau kode berbahaya lainnya ditemukan di komputer tersangka. Dalam kasus seperti itu, seorang pengacara lawan yang kompeten, yang dibekali dengan bukti dari analis komputer forensik yang kompeten, harus dapat menolak argumen semacam itu. Seorang penyidik yang baik akan mengidentifikasi dan membahas argumen-argumen yang mungkin dari “pertentangan” saat melaksanakan analisis dan dalam menulis laporan mereka.
Masalah Administratif
Standar yang diterima - Ada banyak standar dan pedoman dalam forensik komputer, beberapa di antaranya tampaknya diterima secara universal. Alasan-nya antara lain karena: badan-badan penentu standar terikat pada undang-undang tertentu; standar yang ditujukan hanya pada penegakan hukum atau forensik komersial tetapi tidak pada keduanya; penulis standar tersebut tidak diterima oleh rekan-rekan-nya; atau biaya pendaftaran yang tinggi untuk badan profesional yang meminta praktisi untuk berpartisipasi.
Fit to practice - Di banyak yurisdiksi tidak ada badan yang memenuhi syarat untuk memeriksa kompetensi dan integritas profesional forensik komputer. Dalam kasus seperti itu, siapa pun dapat menampilkan diri sebagai ahli forensik komputer, yang dapat mengakibatkan pemeriksaan forensik komputer dengan kualitas yang dapat dipertanyakan dan pandangan negatif dari profesi secara keseluruhan. Sumber Daya dan Bacaan Lebih Lanjut
Tampaknya tidak terlalu banyak materi yang mencakup forensik komputer yang ditujukan untuk pembaca non-teknis. Namun tautan berikut mungkin terbukti bermanfaat:
- Forensic Focus - Mempunyai sumber daya yang bagus dengan fasilitas papan pesan / chatting / forum yang populer. Termasuk daftar kursus pelatihan di berbagai lokasi.
- NIST Computer Forensic Tool Testing Program The National Institute of Standards and Technology (Amerika Serikat) menyediakan tool pengujian yang dihormati industri, memeriksa bahwa mereka secara konsisten menghasilkan hasil pengujian yang akurat dan obyektif.
- Computer Forensics World - Situs web komunitas komputer forensik dengan fasilitas papan pesan / chatting / forum.
- Tool forensik komputer gratis. Daftar alat gratis yang berguna bagi analis komputer forensik, dipilih oleh Forensic Control.
- First Forensic Forum (F3) - Sebuah organisasi nirlaba yang berbasis di Inggris untuk praktisi komputasi forensik. Menyelenggarakan lokakarya dan pelatihan.
Glosarium
- Hacking: memodifikasi komputer dengan cara yang awalnya tidak dimaksudkan untuk menguntungkan tujuan peretas.
- Denial of Service attack: upaya untuk mencegah pengguna sistem komputer yang sah agar tidak memiliki akses ke informasi atau layanan sistem tersebut.
- Metadata: data tentang data. Ini dapat disematkan di dalam file atau disimpan secara eksternal dalam file terpisah dan dapat berisi informasi tentang penulis file, format, tanggal pembuatan, dan sebagainya.
- Write blocker: perangkat keras atau aplikasi perangkat lunak yang mencegah setiap data dimodifikasi atau ditambahkan ke media penyimpanan yang sedang diperiksa.
- Bit copy: 'Bit' adalah kontraksi dari istilah 'digit biner' dan merupakan unit dasar dari komputasi. Salinan bit mengacu pada salinan sekuensial dari setiap bit pada media penyimpanan, yang mencakup area medium 'tak terlihat' oleh pengguna.
- RAM: Random Access Memory. RAM adalah ruang kerja sementara komputer dan mudah menghilang, yang artinya konten / isinya akan hilang ketika komputer dimatikan.
- Key-logging: rekaman input keyboard yang memberikan kemampuan untuk membaca password pengguna yang diketik, email, dan informasi rahasia lainnya.