Hal-Hal Mendasar Komputer Forensik

Share:
Apa Itu Komputer Forensik? 

Forensik memiliki arti “membawa ke pengadilan”. Istilah forensik adalah suatu proses ilmiah (didasari oleh ilmu pengetahuan) dalam mengumpulkan, menganalisa, dan menghadirkan berbagai bukti dalam sidang pengadilan terkait adanya suatu kasus hukum. Kekuatan dari forensik adalah memungkinkan analisa dan mendapatkan kembali fakta dari kejadian dan lingkungan. Tentu tidaklah mudah mendapatkan (atau lebih tepatnya menemukan) fakta, karena fakta itu tersembunyi adanya. Berbagai fakta dan bukti tersembunyi yang melingkupi forensik secara umum misalnya: darah, struktur gigi seseorang, riwayat kesehatan, sidik jari, dan lainnya harus dianalisa sedemikian rupa sehingga didapatkan fakta yang layak untuk diajukan sebagai pembuktian. Metodologi dalam forensik pasti berubah, mengingat ilmu pengetahuan yang mendasarinya pun berubah. Apapun itu perubahannya, pastinya membawa kepada pembaruan dan metode yang lebih baik dengan dimunculkannya bidang keilmuan dan pengetahuan baru. 

Bidang forensik sudah berkembang lama, dan ini diawali oleh seorang tabib yang bernama Hi Duan Yu yang dapat mengkategorikan bagaimana seseorang didapati meninggal, misalnya saja karena faktor alami (usia tua), tenggelam, akibat benturan, atau bahkan mati dicekik. Metode forensik pun berkembang sampai pada akhirnya menggunakan DNA. Meskipun DNA menjadi suatu pembuktian yang sangat kuat dewasa ini dalam forensik, namun tidak demikian dulu adanya.  DNA menjadi bagian dari pembuktian dalam forensik sudah dipahami lama, dan setelah hampir 20 tahun kemudian baru diterima dalam pengadilan Amerika Serikat, tentunya menjalani proses yang panjang. Bukan hanya subjek yang berubah dan meluas, prosesnya pun banyak mengalami perubahan. Ini pun meluas ke bidang-bidang teknologi baru. Bahkan saat ini terdapat istilah Komputer Forensik yang mulai mencuat akhir-akhir ini.  Anda tentu setuju bahwa metode, peralatan dan ilmu pengetahuan yang melengkapi komputer forensik masihlah belum matang (immature), sangat tidak berimbang dengan perkembangan teknologi informasi itu sendiri. 

Berbeda dari forensik pada umumnya, komputer forensik adalah pengumpulan dan analisa data dari berbagai sumber daya komputer. Ini mencakup: Sistem Komputer, Jaringan Komputer, Jalur Komunikasi (mencakup secara fisik dan wireless), dan juga berbagai media penyimpanan yang dikatakan layak untuk diajukan dalam sidang pengadilan. Komputer forensik menjadi bidang ilmu baru yang mengawinkan dua buah bidang keilmuan, hukum dan komputer. Berbagai perilaku digital dan digitalisasi yang sudah merambah dalam setiap aktivitas manusia menjadi perilaku yang harus dialamati dengan baik dengan adanya perkembangan tadi. Komputer forensik atau digital forensik banyak ditempatkan dalam berbagai keperluan, bukan hanya melulu kasus-kasus kriminal yang melibatkan hukum. Secara umum kebutuhan komputer forensik dapat digolongkan sebagai berikut: 
  • Keperluan investigasi tindak kriminal dan perkara pelanggaran hukum. 
  • Rekonstruksi duduk perkara insiden keamanan komputer. 
  • Upaya-upaya pemulihan akan kerusakan sistem. 
  • Troubleshooting yang melibatkan hardware ataupun software. 
  • Keperluan memahami sistem ataupun berbagai perangkat digital dengan lebih baik. 

Sadar atau tidak, seorang profesional IT pastinya mengasah kemampuan mereka berkomputer bukan hanya pada level pengoperasian umum sistem komputer, tetapi meluas dan kemudian terspesifikasi sesuai kebutuhan. Ini mencakup bagaimana internal sistem operasi bekerja. Berikut beberapa pokok yang mungkin pernah dilalui oleh profesional IT: 
  • Seorang profesional IT pastinya berperan dalam pengembangan sistem pada level-level strategis. 
  • Bukan hanya mengerti sistem secara umum tetapi memahami sistem keseluruhan, ini melibatkan perangkat keras dan perangkat lunak yang digunakan. 
  • Memiliki keahlian untuk mempertimbangkan dan membuat pilihan yang terasah dari pengalaman dengan problematika yang pernah dihadapi. Problematika ini mencakup user, kerusakan perangkat keras, ataupun masalah yang berhubungan dengan perangkat lunak. 
  • Profesional IT dengan spesifikasi tertentu, pasti memahami cara kerja perangkat keras dan perangkat lunak secara detail, dan tahu bagaimana sistem operasi bekerja. 
  • Penjadwalan dan kegiatan administrasi yang rapi pasti diterapkan.
  • Tanggung jawab yang diembannya dalam memelihara sistem dan terlibat dalam setiap keputusan yang mempengaruhi sistem menjadi bukti dari kemampuannya.
  • Penanganan backup dan bagaimana mendapatkan kembali informasi, tentu membuatnya demikian menghargai betapa berharganya data dan informasi, terlebih bagi komputer forensik yang harus mengambil dan menambang informasi yang minim.

Bidang Keilmuan Forensik 

Ada banyak bidang-bidang yang dicakup dan dikombinasikan dalam forensik, berikut contohnya: 

Bidang Keilmuan Fisiologi: 
Forensik pathology  
Forensik dentistry 
Forensik anthropology  
Forensik entomology 

Bidang Ilmu Sosial: 
Psikologi Forensik  
Forensik Kejiwaan 

Lain-Lain: 
Fingerprint analysis  
Forensik Accounting 
Ballistics  
Bloodstain pattern analysis 

Analisa DNA  
Forensik toxicology 
Forensik footwear evidence 
Questioned document examination 
Explosion analysis 

Forensik yang Melibatkan Teknologi Cyber: 
Forensik Teknologi Informasi 
Komputer Forensik 

Kita lihat beberapa diantaranya, misalnya analisa terhadap pola darah yang tertinggal dalam suatu kejadian, berbagai sifat dari darah, bagaimana darah itu mengisi tubuh manusia, kondisi kesehatan/fisik seseorang, dan lain sebagainya menjadi paramater yang dilekatkan dalam analisa.  Misalnya saja seseorang yang terjatuh, tentu kejadiannya dapat dianalisa dari darah yang ditinggalkan atau tercecer, dan ini akan menjelaskan apakah seseorang memang terjatuh dari gedung yang cukup tinggi atau tidak, lalu bagaimana posisinya sebelum terjatuh, lalu apakah ini aksi bunuh diri atau bahkan pembunuhan. Jejak dari cipratan darah mampu menceritakan kronologisnya. (Bloodstain Pattern Analysis). Anda mungkin pernah menonton film “Criminal Mind”, dimana salah satu divisi dari FBI yang dikenal dengan BAU (Behavioral Analysis Unit) melakukan berbagai investigasi kriminal dari sisi perilaku dan psikologis. Dari beberapa percontohan tadi, dapat dikatakan bahwa forensik merupakan ilmu baru, dan akan terus meluas dan berkembang serta didasari oleh bidang keilmuan lain yang sudah mapan. Bahkan komputer forensik pun dapat dispesifikasi lagi menjadi beberapa bagian sebagai berikut:

Forensik Disk  Forensik System  Forensik Jaringan Komputer  Forensik Internet  

Dari beberapa bagian ini beberapa mungkin sudah demikian berkembang, misalnya Disk Forensik yang melibatkan berbagai media penyimpanan. Ilmu forensik tersebut sudah terdokumentasi dengan baik, bahkan prefesional IT pun bisa menangani masalah Disk Forensik ini.Misalnya saja mendapatkan file-file yang sudah dihapus, mengubah partisi harddsik, mencari jejak bad sector, dan lainnya. Sistem Forensik tentunya dekat dengan sistem operasi, dan akan sangat sulit menyamaratakan, karena setiap sistem operasi memiliki karakterisktik dan perilaku yang berbeda, misalnya saja berbagai file sistem. Berbagai keperluan sistem operasi untuk diimplementasikan pada Workstation saja atau untuk server saja, tentunya memiliki karakteristik, penanganan, dan perilaku yang berbeda. Jika Anda berbicara tentang Network Forensik, pastinya ini melibatkan OSI (Open System Inter Connection) layer yang menjelaskan bagaimana komputer berkomunikasi dalam diagram OSI tujuh lapis. Internet Forensik lebih rumit lagi, ada banyak yang terlibat, setiap komputer dengan mudahnya terintegrasi dan terdiskoneksi. Meskipun demikian dikarenakan cakupannya yang demikian luas, ternyata Internet Forensik menjadi suatu ilmu yang sangat menjanjikan dalam mengungkap fakta-fakta dan mengumpulkan bukti dari setiap aktivitas. 

Mari kita lihat apa-apa saja yang dilakukan dalam bidang forensik dan apa yang ditanganinya secara umum: 

Disk Foresik mencakup kemampuan dalam: 
  • Mendapatkan “bit-stream” image. Hal ini mencakup: slack, unallocated space dan file fragments yang dihapus. 
  • Penyidik harus mampu mendemonstrasikan pelaksanaan investigasi dengan aturan dan bukti yang layak. 
  • Integritas informasi harus disajikan sedemikian rupa sehingga terbukti keabsahannya, ini identik dengan sidik jari digital. 

Beberapa hal yang bisa dilakukan dengan adanya Disk Forensik: 
  • Me-recover file-file yang terhapus, mendapatkan password dan kunci Cryptographic.
  • Menganalisa akses file, perihal memodifikasi dan menciptakan file. 
  • Menganalisa dan memanfaatkan System Logs dan Log software aplikasi (misalnya: monitoring akses file di jaringan atau penggunaan software aplikasi dan Utility). Dengan demikian aktivitas pengguna dapat dilacak. 

Tentunya untuk mendapatkan informasi demikian kita mengandalkan software-software yang siap pakai. Ada banyak software komersial yang menyediakan fasilitas demikian, misalnya saja EnCase, yang dikembangkan oleh Guidance Software Pasadena, atau SafeBack yang dikembangkan oleh New Technologies, Inc (NTI).  Ada banyak perangkat lain yang dapat digunakan, misalnya Linux DD yang pernah digunakan oleh FBI dalam kasus Zacarias Moussaoui, lalu Coroners Tool Kit (CTK) untuk Unix Sistem. 

Hanya Melulu Komputer? 

Komputer Forensik mencakup banyak hal yang harus dipertimbangkan, dikarenakan ilmu baru yang dibangun karena kebutuhan dan didasari pada kompleksitas. Ada tiga hal utama yang perlu diperhatikan dalam menerapkan forensik secara umum, antara lain: Prinsip, Policy/Kebijakan, dan Prosedur. Tiga hal ini dipertimbangkan terlepas dari apakah komputer forensik diterapkan karena semata-mata kebutuhan forensik dalam arti hukum, ataupun kebutuhan lain pengelolaan sumber daya Teknologi Informasi yang melibatkan komputer forensik.

Prinsip (Principle): Pada prakteknya melibatkan peralatan (special tools and equipment) untuk mengumpulkan electronic evidence. Yang terpenting bukanlah tool-nya, tetapi keahlian yang sudah teruji lewat pengalaman. Bahkan tool akan disesuaikan berdasarkan cara kerja nantinya. 

Kebijakan (Policy): Pertimbangkan kebijakan dalam menggunakan peralatan, mencakup perihal mendiskoneksikan media penyimpanan yang berisi evidence untuk keperluan investigasi, mengirimkan digital evidence, akase ke dokumen, dan lain sebagainya. 

Prosedur dan Metode (Procedure): Harus dirancang sedemikian rupa terhadap peralatan dan mendapatkan/mengumpulkan electronic evidence.  

Kebutuhan akan peralatan dan perangkat dialamati oleh aspek dari proses yang mencakup: dokumentasi, pengumpulan (collection), pengemasan (packaging), dan pengiriman (transportation). Ketiga hal utama tadi dilaksanakan dengan berbagai peralatan yang tidak hanya selalu komputer. Perangkat-perangkat forensik pada umumnya (general crime scene processing tools) mungkin digunakan dalam komputer forensik, sebagai cara pemberlakukan terhadap suatu bukti, misalnya seperti digunakannya notepad (buku catatan), kamera, sketsa (sketchpads), formulir (evidence forms), crime scene tape, dan markers.  Berbagai peralatan dan perlengkapan yang mungkin digunakan dalam ruang lingkup electronic crime scene dapat dibagi ke dalam beberapa bagian sebagai berikut: 

Peralatan Dokumentasi (Documentation Tools): 
Cable tags. 
Indelible felt tip markers. 
Stick-on labels. 

Disassembly and Removal Tools: 
Flat-blade and Philips-type screwdrivers. 
Hex-nut drivers. 
Needle-nose pliers. 
Secure-bit drivers. 
Small tweezers. 
Specialized screwdrivers (yang dibuat secara spesifik oleh misalnya: Compaq, Macintosh). 
Standard pliers. 
Star-type nut drivers. 
Pemotong kabel 

Package and Transport Supplies: 
Antistatic bags. 
Antistatic bubble wrap. 
Cable ties. 
Evidence bags. 
Evidence tape. 
Packing materials (untuk menghindarkan dari material yang dapat menghasilkan listrik statis, seperti misalnya styrofoam). 
Packing tape. 
Sturdy boxes dengan berbagai ukuran. 

Perlengkapan lain yang digunakan: 
Sarung tangan. 
Hand truck. 
Large rubber bands. 
Daftar kontak telpon asisten/staf. 
Magnifying glass. Printer paper. 
Seizure disk. 
Small flashlight (lampu senter). 
Floppy disk kosong atau tidak terpakai (31/2 and 51/4 inch).

Autopsi-Digital Forensik 

Apa sih yang terbayang dengan aktivitas dalam komputer forensik? Apakah semudah pekerjaan para spesialis komputer pada umumnya?  
Jawabannya adalah tidak, justru Komputer Forensik berada di level lebih mendasar daripada sekedar spesialis informasi. Memang keilmuan Teknologi Informasi dan Komputer menjadi keharusan, tetapi pada prakteknya apa yang dilakukan dalam komputer forensik lebih dari itu, karena mereka mungkin melakukan bukan hanya data recovery biasa, bahkan luar biasa, melebihi batas-batas normal data recovery, dan masih banyak lagi hal-hal lain sejenisnya. 
Sangat disayangkan pula, tidak ada prosedur yang tersertifikasi untuk mengumpulakn evidence dengan ‘jaminan aman’, bahkan keahlian si ’examiner’ harus memampukannya untuk menggunakan metodologi dalam menghasilkan evidence yang nantinya layak untuk diajukan ke pengadilan, yang tentunya akan melalui serangkaian tes. 
Seni dalam menyampaikan hasil forensik pun tidaklah mudah, komputer dan teknologi informasi memiliki sifat yang sangat lentur (kelenturan logika), dan faktor tidak kasat mata pun menimbulkan kesulitan tersendiri yang menghalangi seseorang untuk memahami komputer dengan mudah.  Untuk mendapatkan bukti demikian, mereka harus bekerja pada sistem yang terbukti keabsahannya, sistem yang terpercaya dan hanya mereka saja yang dapat mengaksesnya, dan pastinya dalam laboratorium yang tingkat keamanannya tidak diragukan, bebas virus dan terisolasi. Si examiner harus melalui serangkaian metode, seperti memfoto perangkat yang dimaksud sebelum nantinya dipindahkan untuk keperluan forensik. Ini mencakup dokumentasi pengkabelan, peripheral atau device yang diintegrasikan, sehingga nantinya dapat di reassembling di laboratorium forensik. Belum cukup sampai di situ saja, bagaimana mereka memindahkan perangkat tersebut juga harus diperhatikan, jangan sampai panas dan jangan biarkan benda-benda magnetis ataupun faktor fisik merusaknya. Pastinya mereka tidak menyentuh atau memperlakukan harddisk dan floppy dengan ceroboh, karena perubahan sekecil apaun akan mengubah laporan akhir. Maka dari itu mereka menduplikasi data yang ada ke media yang tidak dapat dimodifikasi kemudian, misalnya pada CD. Lain-lain yang di luar batas normal penanganan perangkat teknologi informasi, misalnya saja si pelaku menggunting floppy disk, tentunya menjadi tugas examiner untuk mereasembling agar informasi yang ada pada floppy disk bisa didapatkan kembali. 
Bagaimana dengan log file yang ada di komputer? Tidak serta-merta harus dipercaya keberadaan informasinya begitu saja. Sangat mudah bagi pelaku untuk melakukan perubahan jam sistem, yang tentunya menyimpangkan log sebenarnya. Sudah menjadi manajerial pribadi si examiner untuk selalu mempertimbangkan kejadian atau hasil akhir terburuk.  
Faktor-faktor seperti data vulnerability, mudahnya informasi hilang, dan lain sebagaimnya menjadi faktorfaktor terburuk yang sudah jauh sebelumnya dipertimbangkan. Dalam prakteknya si examiner mungkin melakukan pencarian dan pemeriksaan mendalam terhadap email, file temporer, melibatkan pula basis data, logical file structure, space harddisk tersisa, setting-an perangkat keras dan perangkat lunak, cache file pada web browser, bookmark, dan hal lainnya. 
Lalu bagaimana jika melibatkan jaringan komputer, tentunya akan meningkatkan kompleksitas dalam forensik. Ada banyak hal lain yang rumit dan menarik, upaya di luar batas normal harus dilakukan. Lebih jauh lagi Anda akan melihat ruang lingkup dari kasus forensik yang beragam, dimana karakteristik dari kategori tindak kriminal tentunya akan melibatkan bukti-bukti spesifik. 
Secara umum, hal-hal yang dapat digunakan sebagai bukti yang layak dipertimbangkan berkenaan dengan perangkat komputer dalam ruang lingkup Komputer Forensik antara lain:  
Audio Recorder 
Mesin Penjawab 
Kabel 
Peralatan Caller ID 
Telpon Selular 
Chips (jumlah yang banyak berkenaan chip ini, tentunya akan menjadi bukti terhadap tindak pencurian) 
Mesin Fotokopi 
Databank/Digital Organizer  
Kamera digital 
Dongle  
Hardware Protection Devices (keys)  
Drive duplicators 
External drives 
Fax machines 
Flash memory cards 
Floppy (diskettes) 
CD–ROM 
Perangkat GPS 
Pagers 
Palm Pilots/electronic organizers 
PCMCIA cards 
Printers (dalam keadaan aktif) 
Removable media 
Scanners (film scanner, flatbed scanner, dan lainnya) 
Smart cards/secure ID tokens 
Telpon (mencakup pula speed dialers, dan lainnya) 
VCR 
Wireless access point 

Dari kesemuanya, ternyata berbagai perangkat yang ada hanyalah sebagian kecil dari banyak ragam komponen yang akan ditambahkan kemudian, seiring bentuk tindak kejahatan, misalnya seandainya kejadian melibatkan internet dan jaringan komputer, tentu ruang lingkup akan meluas, bahkan harus melibatkan rangkaian kegiatan yang demikian teknis.

Sumber: Komputer Forensik - Feri Sulianta © 2008, PT Elex Media Komputindo, Jakarta 

Semoga Bermanfaat Salam : Moh. Arif Andrian

No comments