Komponen Komputer dan Informasi
Sama halnya dengan sumber daya informasi yang kita kenal, komponen dalam komputer forensik dibangun dari komponen sumber daya informasi, hanya saja pengimplementasiannya berbeda. Tentu penanganan yang diberikan pun berbeda. Komponen yang dimaksud identik dengan sumber daya informasi dalam era komputer antara lain:
- Hardware
- Software
- Database (Basis Data)
- Data/Informasi
- Brainware (User, Profesional IT)
Semakin ke bawah urutannya, maka semakin dekat dengan user/pengguna, semakin ke atas (hardware) maka semakin sulit kita berurusan dan mengerti perilakunya. Oleh karena itu diperlukan lapisan-lapisan lain yang memungkinkan kita memanfaatkan kemampuan sistem komputer. Hardware mencakup:
- Perangkat Input (masukan)
- Perangkat Output (keluaran)
- Storage Device (penyimpanan)
- Komponen Pengolahan
Perangkat masukan dikenal pula dengan istilah Input Device, adalah perangkat yang diintegrasikan dalam sistem komputer yang memungkinkan kita memberikan intruksi pada komputer. Beberapa yang dikategorikan ke dalam perangkat input:
- Keyboard
- Mouse
- Trackball
- Trackpoint
- Trackpad/Touchpad Touch Screen
- Joystick
- Source Data Automation (Optical Character Recognition, Bar Code Reader, Handwritten Recognition)
- Scanner (Flatbed Scanner, Handy Scanner, Medium Size Scanner)
- WebCam
- Kartu (Magnetic Card, Smart Card)
- Biometric Peripheral
Perangkat keluaran/Output Device digunakan untuk melihat hasil dari eksekusi. Instruksi yang diberikan pada komputer akan diproses dan ditampilkan melalui perangkat output/keluaran.
Beberapa yang dikategorikan ke dalam perangkat output:
Monitor: yang paling umum untuk komputer adalah Cathode Ray Tube (CRT). Sementara itu jenis monitor Liquid Crystal Display (LCD) umumnya digunakan pada laptop dan PDA.
Printer
- Impact Printer: dikatakan Impact karena bekerja dengan sistem “ketukan”. Contoh printer ini antara lain dot matrix dan daisywheel .
- Non Impact Printer: printer dengan tinta (inkjet), atau dengan serbuk/toner (laser printer), atau dengan sistem pemanasan (thermal printer).
- Non Impact Printer: printer dengan tinta (inkjet), atau dengan serbuk/toner (laser printer), atau dengan sistem pemanasan (thermal printer).
- Plotter: digunakan untuk mencetak gambar berukuran besar (misalnya untuk keperluan desain arsitektur, peta, dan lainnya).
- Speaker (internal dan external).
- Video Output (Proyektor Multimedia).
- MicroFilm Storage Device atau media penyimpanan.
Istilah ini mengacu pada media penyimpanan sekunder (Secondary Storage Divice). Ada banyak istiah yang mengacu pada media penyimpanan sekunder, antara lain:
- Mass Storage
- Simpanan Luar
- Auxiliary Storage Permanen Storage
- Backing Storage
Computer Data Bank Secondary Storage umumnya digolongkan ke dalam dua bagian: Sequential Access Storage Device (SASD). Prosesnya lambat karena untuk mencari data tertentu harus selalu dimulai dari awal. Contoh: magnetic tape. Sudah jarang dipakai, umumnya hanya untuk backup, karena murah dan kapasitas yang besar.
Direct Access Storage Device (DASD). Prosesnya lebih cepat dibanding SASD, karena untuk mengambil data tertentu tidak perlu dicari dari awal berurutan. Terdiri dari:
- Magnetic Disk: menggunakan medan magnet, contoh: Floppy disk (disket) dan harddisk.
- Optical Disk: menggunakan sinar laser. Contoh: CD-ROM.
- Media penyimpnaan yang cukup populer lainnya: CD-ROM, DVD (Digital Versatile Disc), FMD (Fluorescent Multilayer Disc), MO-Disc (MagnetoOptical Disc).
- Media penyimpnaan yang cukup populer lainnya: CD-ROM, DVD (Digital Versatile Disc), FMD (Fluorescent Multilayer Disc), MO-Disc (MagnetoOptical Disc).
Perangkat yang lama akan ditinggalkan dan digantikan dengan teknologi yang lebih baik dan berdaya guna. Coba Anda perhatikan variasi dari teknologi penyimpanan seputar disk storage berikut:
- CD (CD-ROM) Drive - Read Only Memory
- CD-R Drive (R adalah Readable)
- CD-RW Drive (RW adalah ReWriteable)
- DVD (DVD-ROM) Drive
Combo Drive (kombinasi CD-RW dan DVD drive dalam satu drive) DVD-R, DVD-RW, DVD+RW. Kemampuan menyimpannya pun berbeda:
- CD-ROM Media (650-700 MB) dengan kapasitas 60 menit dan kemampuan penyimpanan 553 MB. Kapasitas 79 menit dan kemampuan penyimpanan 681 MB
- DVD-5 (Single Sided 4.7 GB)
- DVD-9 (Single Sided, Dual layer 8.5 GB)
- DVD-10 (Double Sided, Single layer 9.4 GB) DVD-18 (Double Sided, Dual layer 17 GB)
Perhatikan kapasitas penyimpanan antara CD jika dibandingkan dengan kapasitas DVD yang mencapai 26 kali kapasitas CD media.
Kita kembali ke CD media dengan CD-ROM drive-nya, dimana CDROM mampu melakukan transfer data untuk setiap putarannya per detiknya sedemikian:
- 1X 150 KB/sec 200-530
- 2X 300 KB/sec 400-1060
- 4X 600 KB/sec 800-2,120
- 8X 1.2 MB/sec 1,600-4,240
- 40X CAV 2.6 - 6 MB/sec 8,900 (constant)
Daftar empat teratas menggunakan metode CLV (Constant Linear Velocity) yang diterapkan pada CD-ROM terdahulu, sehingga semakin dekat head pada pusat piringan, maka semakin cepat putaran untuk menghantar data. Sedangkan metode CAV memungkinkan CDROM berputar pada putaran yang konstan per menitnya, sehingga pembacaan data yang ada di piringan terluar akan dibaca sedemikian cepat dan melambat di pusat. Perubahan berkenaan teknologi memang tidak selalu berpengaruh terhadap forensik, seperti percontohan dua metode pada CD-ROM. Hal demikian hanya menjadi ilmu tambahan yang mungkin tidak akan terlalu bermanfaat dalam bidang forensik.
Dalam forensik kita menguak fakta, bukan teknologi. Sama halnya dengan profesional IT bidang lain, seperti Sistem Analist, ataupun Database Administrator, forensik bukan bidang yang penuh dengan segi teknis belaka. Yang lain lagi dari komponen inti pembangun sistem komputer adalah: CPU (Central Processing Unit). Komponen fundamental sebagai otak komputer ini sering disalahartikan sebagai keseluruhan komponen yang ada pada kotak CPU, padahal CPU hanyalah bagian dari keseluruhan sistem. CPU dalam konteks ini sering disebut sebagai micro processor karena minimnya processor yang menyusun komputer mikro. Sekali lagi, jika Anda berbicara mengenai CPU, tentunya ini mengacu pada processor (otak komputer), maka dari itu komponen ini menjadi komponen inti dari sistem komputer, karena pemrosesan terjadi di sini. CPU dapat kita golongkan ke dalam beberapa bagian:
Control Unit: pengatur lalu lintas data di dalam CPU.
Arithmetic Logic Unit: pemroses perhitungan (* : + - ^) dan perbandingan (< > = <= >=).
Register: pencatat/penyimpan data yang akan diproses (dapat dianalogikan sebagai memori kecil yang membantu CPU).
Bagaimana komponen ini bekerja, dapat dijelaskan sebagai berikut: Control Unit mengambil instruksi dari RAM, kemudian menerjemahkan instruksi tersebut, dan memerintahkan data yang diperlukan dipindahkan dari RAM ke ALU. ALU melakukan perhitungan dan perbandingan dan menyimpan hasilnya di RAM/Register. Beberapa faktor yang sangat mempengaruhi kinerja CPU antara lain:
Register, umumnya dapat menyimpan 2 bytes informasi, masing-masing dapat terdiri dari 16, 32, atau 64 bits. Ukuran penyimpanan informasi dalam register disebut wordsize. Semakin besar wordsize, semakin tinggi kecepatan prosesornya.
Memori, yang dapat digolongkan kedalam dua bagian:
- ROM (Read Only Memory). Berisi perintah yang diisi oleh pembuat chip. Isinya tidak dapat diubah/dihapus user.
- RAM (Random Access Memory). Berisi informasi-informasi selama CPU dijalankan. Bersifat volatile (informasi hilang jika listrik mati).
Komputer Bus :
- - Data bus: untuk mengalirkan data.
- - Address bus: untuk mengalirkan alamat tujuan data.
- - Control bus: untuk mengalirkan informasi status peralatan.
- - Ukuran bus: 16 bit dan 32 bit.
Semakin besar ukuran bus, semakin cepat informasi mengalir, proses semakin cepat. - Perkembangan bus: ISA, EISA, MCA, PCI.
Jenis-jenis sistem BUS:
- - ISA (Industrial Standard Architecture)
- - PCI (Peripheral Component Interconnect)
- - AGP (Accelerate Graphic Port) - USB (Universal Serial Bus)
- - ISA dengan kecepatan transfer data 5 MB/s, memiliki lebar data 8/16 Bit
- - PCI dengan kecepatan transfer data 132 MB/s, lebar data 64 Bit. Digunakan untuk card kecepatan tinggi (misalnya pada LAN card, SoundCard)
- - AGP System Bus untuk Video Display. AGP 1X: 266 MB/s, AGP 2X: 532 MB/s, AGP 4X: 1064 MB/s
Cache Memory, berikut pernyataan tentang karakteristik yang dimaksud:
- - Komponen yang mirip dengan RAM, tetapi prosesnya jauh lebih cepat.
- - Umumnya digunakan untuk menyimpan instruksi yang sering digunakan oleh CPU, sehingga jika dibutuhkan, CPU tidak perlu mencari informasi dari RAM.
- - Semakin besar cache memory, semakin cepat proses CPU.
Fungsi dari Cache Memory tentunya adalah menyangga data untuk keperluan pemrosesan, dan jika dilihat lebih jauh, ternyata konsep menyangga data ini melibatkan komponen di luar dari CPU: Cache Level 1 (L1 Cache) menyangga L2 Cache, RAM, Harddisik, dan CD-ROM. Sedangkan L2 Cache menyangga RAM, Harddisk, CD-ROM. L3 Cache menyangga RAM, Harddisk, CD-ROM. Sementara itu Harddisk menyangga CD-ROM. Perhatikan rantai yang terjadi, yang difungsikan untuk mendongkrak kinerja sistem komputer. Faktor lain yang mempengaruhi kinerja motherboard:
- - Expansion Slot (slot untuk komponen/card tambahan).
- - Port (hubungan motherboard dengan alat Input-Output, misalnya keyboard, mouse, dan lainnya).
- - CPU Fan (berfungsi sebagai pendingin).
- - Casing (kotak CPU).
Penting bagi Anda untuk memahami dengan baik komponen-komponen berikut dengan berbagai penamaan atau istilah. Komputer forensik berada di level atas dari hanya sekedar mengerti komputer. Profesional komputer forensik harus memiliki ketertarikan yang luar biasa dalam bidang komputer, faktor-faktor yang menggelitik akan memicunya untuk menggali dan menganalisa lebih dalam. Jadi, adalah hal yang biasa jika Anda harus dihadapkan dengan berbagai istilah dan penamaan di bidang komputer. Meskipun demikian Anda diajak untuk memahami dan mengeksplorasi bidang-bidang forensik ini, termasuk ragam istilah dasar dan spesifik. Salah pemahaman dalam merujuk pada komponen tertentu akan menimbukkan persepsi yang sama sekali berbeda.
Software
Umumnya software atau dikenal dengan perangkat lunak digunakan sebagai mediator dan pemberi instruksi terhadap sumber daya hardware sehingga dapat dikatakan sebagai satu kesatuan sistem komputer yang bekerja. Perangkat lunak umumnya digolongkan ke dalam dua bagian:
Perangkat Lunak Sistem
Dikatakan perangkat lunak sistem, karena fungsi dan relasinya yang demikian dekat dengan perangkat keras. Perangkat keras umumnya tidak dapat bekerja tanpa adanya software sistem untuk menjadi suatu sistem komputer yang bekerja.
Perangkat Lunak Aplikasi
Perangkat lunak aplikasi digunakan oleh user untuk mengakses sumber daya komputer. Perkembangan yang pesat akan software dikarenakan kebutuhan user yang terus meningkat dan beragam dalam memanfaatkan komputer. Sedemikian beragamnya perangkat lunak, sehingga menimbulkan kesulitan dalam pengklasifikasiannya. Tidak ada pembagian baku berkenaan perangkat lunak.
Berikut contoh pembagian perangkat lunak berdasarkan anova.org:
- Word Processing
- Text Editing
- Outlining, Pim, Calendar
- Office Tools
- Spreadsheet, Math, DB
- System Tools
- Printing, Fonts, PDF
- Image Viewers/Editors
- Graphics, Image Tools Multimedia, Video
- Hotkeys, Scripting
- Online-Only Apps
- Web-Dev: CSS, RSS, FTP
- Usenet, P2P/File Sharing Tools
- File Managers
- File Utilities; Renamers; Duplicate Finders
- Archive, Synching,
Download Tools Memang sangat sulit mengkategorikan seluruh perangkat lunak aplikasi yang ada karena perkembangan dan kebutuhan yang terus berubah. Coba perhatikan pembagian lebih lanjut pada http://www.softwarelist.com/ yang membagi software dalam kategori berikut:
- Audio & Multimedia
- Communications
- Business
- Desktop
- Education
- Games & Entertainment
- Graphics
- Home & Hobby
- Network & Internet
- Security
- Servers
- Development
- System Utilities
- Web Development
Brainware
Profesi bidang Teknologi Informasi terus berkembang dan memiliki kecenderungan meluas. Meskipun demikian tidak menutup adanya perubahan, dalam arti, bidang yang satu hilang dan digantikan dengan yang lain. Misalnya beberapa bahasa pemrograman yang terbilang obsolete akhirnya digantikan dengan programming ”bertemakan visual” dengan konsep pemrograman yang sama sekali berbeda.
Beberapa software aplikasi akhirnya tidak dipakai lagi seiring meningkatnya kebutuhan pasar akan program aplikasi yang user friendly, demikian pula dengan perangkat keras. Tentunya hal ini akan berdampak langsung atas kualifikasi dari Brainware. Umumnya Brainware yang terlatih akan sangat mudah mencerna ilmuilmu komputer forensik. Bahkan dalam berkegiatan, mungkin konsepkonsep komputer forensik digunakan. Misalnya saja untuk mendapatkan kembali data yang hilang karena terhapus tidak sengaja. Dibutuhkan tidak hanya sekedar pengetahuan, tetapi pengalaman yang membuat Brainware bisa memiliki ”cita rasa” yang berbeda dalam memandang komputer dan segala problematika yang ada. Lebih jauh lagi, Brainware dalam ruang lingkup komputer forensik tidak melulu dimaksudkan Investigator karena Ilmu Komputer Forensik dibutuhkan pula pada organisasi lain semisal organisasi perusahaan dalam mengelola sistem informasi yang ada. Jadi, pembagian sehubungan Brainware kategori forensik didasarkan atas kebutuhan dan seberapa besar intensitas dan kepentingan terhadap teknik forensik digunakan. Umumnya Brainware dalam konteks ini dapat digolongkan ke dalam tiga bagian, yaitu (pembagian ini tidak
baku, hanya didasarkan pada sudut pandang yang berbeda):
- Profesional IT
- Insiden Handlers (penanganan kerusakan/kegagalan)
- Investigator
Profesional IT di sini adalah profesional IT pada umumnya, mencakup bermacam deretan istilah seperti Technical Support, Network Administrator, Database Administrator, Sistem Analist, Programmer, dan lain sebagainya. Mereka-mereka ini pasti mengetahui dasar-dasar penanganan komputer forensik, yang berbeda mungkin hanyalah proses dan jenis kebutuhan. Brainware kategori ini tentunya sangat sedikit menerapkan konsepkonsep komputer forensik dalam pekerjaannya, meskipun demikian sedikit banyak mereka menerapkan komputer forensik secara tidak langsung sewaktu didapati masalah. Insident Handler memiliki kedekatan dengan keilmuan forensik meskipun karakteristik pekerjaannya tidak melulu mencakup tindak kriminal dan pelanggaran. Mereka banyak menangani masalah keamanan, misalnya DoS Attack (Denial of Services), perangkat lunak yang berbahaya (Malicious), bahkan akan banyak mengunakan perangkat lunak komputer forensik dalam pekerjaannya.
Yang terakhir adalah Investigator, umumnya Investigator difungsikan dalam menangani kejadian sehubungan tindak kriminal. Disinilah komputer forensik diperuntukkan dan diterapkan sepenuhnya.
Database
Umumnya database dikelompokkan pada software aplikasi, meskipun demikian, database sudah memiliki ruang tersendiri karena fungsinya dalam manajerial data yang tergolong penting. Database umumnya dikelompokkan ke dalam dua bagian digolongkan berdasarkan ketahanannya dalam mengorganisasi data: ada database skala desktop dengan akses multiuser dan database skala server karena difungsikan khusus sebagai database server dengan metode akses client/server. Database adalah sumber penting dalam mengalokasikan data dan menganalisa data. Bahkan konsep Data Mining yang dibangun karena kemampuan basis data atau database menjadi sumber yang bernilai dalam komputer forensik untuk menguak fakta.
Data dan Informasi
Data mengacu pada kepingan informasi digital dengan ragam file format. Data umumnya melekat pada berbagai media penyimpanan, menjadi satu paket yang tidak terpisahkan. Anda dapat menemukan data pada berbagai macam perangkat, misalnya saja:
- Data yang ada pada perangkat jaringan komputer.
- Data aktif, adalah data yang ada dalam sistem komputer yang sedang berjalan, misalnya saja dalam memori komputer (RAM).
- Berbagai komputer portabel dengan media penyimpan di dalamnya.
- Peripheral, semisal printer dapat menyimpan data, misalnya saja printer laser dengan memori 8 Mb yang digunakan menampung data untuk keperluan cetak.
- Berbagai media penyimpanan, misalnya: USB Flash Disk, MultiMedia Card, Portable Harddisk, dan lainnya.
Digital Evidence
Evidence yang dimaksud dalam kasus forensik pada umumnya tidak lain adalah informasi dan data. Cara pandangnya sama saja, tetapi dalam kasus komputer forensik, kita mengenal subjek tersebut sebagai Digital Evidence. Semakin kompleks konteks digital evidence dikarenakan faktor media yang melekatkan data. Format pun akan mempengaruhi cara pandang kita terhadap digital evidence, misalnya digital evidence berupa dokumen, yang umumnya dikategorikan ke dalam tiga bagian, antara lain:
- Arsip (Archieval Files)
- File Aktif (Active Files)
- Residual Data (Disebut pula sebagai data sisa, data sampingan, atau data temporer)
File yang tergolong arsip adalah karena kebutuhannya dalam fungsi pengarsipan, mencakup penanganan dokumen untuk disimpan dan format yang ditentukan, proses mendapatkannya kembali dan pendistribusian untuk lain kebutuhan, misalnya beberapa dokumen yang didigitalisasi disimpan dalam format TIFF untuk menjaga kualitas dokumen. File Aktif adalah file yang memang digunakan untuk berbagai kepentingan yang berakitan erat dengan
kegiatan yang sedang dilakukan, misalnya file-file gambar saja, filefile dokumen teks, dan lain-lain. Sedangkan file yang tergolong Residual mencakup file-file yang diproduksi seiring proses komputer dan user beraktivitas, misalnya catatan user dalam menggunakan internet, database log, berbagai temporary file, dan lain sebagainya. Digital evidence tersebar dalam berbagai media dan konteks-nya, untuk itu diperlukan kejelian yang lebih daripada sekedar mengklasifikasi data untuk tujuan forensik. Secara umum akan disajikan dalam paragraf selanjutnya.
Sistem Komputer
Sistem komputer merupakan berbagai kombinasi dan integrasi komponen-komponen komputer untuk menjadikannya sebagai sistem yang bekerja. Komponen inti penyusun sistem komputer dapat dijabarkan sebagai berikut: Central Processing Unit (CPU), Data Storage atau dikenal dengan istilah media penyimpanan, dan kemudian ditambahkan berbagai perangkat yang mencakup device dan peripheral untuk memperluas kemampuan komputer, misalnya: monitor, keyboard, dan mouse.
Bahkan akan lain halnya cara pandang kita terhadap sistem komputer seandainya komputer ditempatkan dalam suatu jaringan yang bersisi- sisian dengan komputer-komputer lain yang memungkinkannya untuk saling berkomunikasi. Demikian pula untuk sekedar sistem komputer, ada banyak komputer yang dikatakan sebagai sistem komputer dan range-nya pun sangat beragam , mulai dari mainframe/super komputer, komputer mini, dan akhirnya komputer mikro semisal: laptop, komputer desktop, PDA, dan berbagai ubiquitous computer. Perlu diingat pula, semakin banyak peripheral atau device yang diintegrasikan ke dalam sistem komputer, tentu akan semakin kompleks dan melibatkan banyak pertimbangan untuk mengalamati digital evidence. Meskipun demikian, evidence umumnya ditemukan dalam file-file yang disimpan dalam media penyimpanan, misalnya pada harddisk. Jadi, kembali lagi kepada data dan informasi yang terkandung dalam sulatu file, terlepas apapun itu bentuk sistem komputer dan media penyimpanan yang digunakan. Banyak file dapat dijadikan acuan untuk memulai penyaringan evidence, file yang diciptakan user secara langsung tentunya menjadi salah satu yang akan memunculkan evidence.
Dalam hal ini file tersebut kita berikan istilah sebagai user created files.
User-Created Files
User-created files menjadi salah satu evidence yang sangat penting, dimana seiring dengan aktivitasnya dalam menggunakan komputer, akan ada data yang ditambahkan dan diciptakan, misalnya user mengorganisasi aktivitasnya dalam e-calendar, file-file grafik yang disimpan, dan sebagainya. Pelacakan dengan penanganan tertentu mampu menegaskan dan menguak karakter yang tersembunyi, misalnya address book yang dikaitkan dengan aktivitas tindak kejahatan, berbagai gambar bergerak dan tidak bergerak yang mungkin menjurus pada pelecehan seksual yang melibatkan anak-anak, komunikasi yang menjurus pada kriminalitas dengan e-mail, atau mungkin transaksi obat-obat terlarang pada file spreadsheet. Berikut beberapa yang dikategorikan dalam user-created files:
- Address books
- Audio/video files
- E-Calendars
- Database files
- Dokumen dan file teks
- File-file e-mail
- Image/file grafik
- Internet bookmarks/favorites
- File Spreadsheet
- User-Protected Files
Tentunya file-file ini akan dijaga kerahasiannya dan akses yang dimungkinkan terhadapnya mengingat file tersebut diciptakan langsung untuk kepentingan pelaku. Berbagai metode penyembunyian dilakukan, seperti misalnya enkripsi file dan berbagai metode dengan akses penggunaan password. Bukan hanya sampai di situ saja, penyembunyian dilakukan pada sistem komputer yang dipisahkan atau pemisahan secara fisik pada media penyimpanan, misalnya dengan menggunakan USB Flash Disk yang dapat dengan mudah diintegrasikan dan didiskoneksikan dari komputer. Berikut berbagai cara yang dilakukan untuk menjaga pengaksesan file yang dapat menghambat penggalian dan menemukan evidence:
- File terkompres
- Salah menamakan file secara disengaja atau tidak.
- Salah dalam memberikan file format, secara disengaja atau tidak
- File yang diproteksi password
- Hidden files
- File terenkripsi
- Steganography
Evidence tidak hanya ditemukan pada User Created File semata, seperti dikatakan sebelumnya bahwa ada banyak yang tersembunyi dalam sistem komputer, berbagai aktivitas dan proses sistem komputer yang ”tersembunyi” dari user tentunya dapat dijadikan evidence. Ini mencakup pada berbagai catatan dan laporan dari aktivitas sistem komputer, sistem operasi tentunya berperan dalam memunculkan evidence jenis ini. Misalnya saja: password, aktivitas ber-internet, dan temporary backup files atau temporary installation files sangat mudah dianalisa dan didapatkan kembali untuk berbagai kepentingan. Kita katakan evidence jenis ini ke dalam Computer-Created Files, mencakup aktivitas semisal: waktu dan jam menyangkut file tertentu, modifikasi yang mungkin dilakukan terhadap suatu file, penghapusan waktu pengaksesan, pemilik dari file tersebut, dan berbagai atribut file. Pada akhirnya dapat dikatakan ini adalah mengenai data atau dikenal dengan istilah metadata yang akan sangat berguna dalam komputer forensik. Berikut ini ditampilkan Computer Created-Files:
Computer-Created Files
- File Backup
- Registry (Windows Registry)
- File Log
- File Configuration
- Printer spool files
- Cookies
- Swap files
- Hidden files
- File system
- History files
- File Temporer
- Temp files lainnya (Anda temukan file dengan format .TMP)
- Berbagai Data Areas
- Bad clusters
- Computer date, time, dan password
- Deleted files
- Free space
- Partisi yang tersembunyi
- Lost clusters
- Metadata
- Partisi-partisi lainnya
- Reserved areas
- Slack space
- Software registration information
- Area sistem
- Unallocated space
Akan dipercontohkan sebagian dari penggalian terhadap computer created file dalam kasus Windows Registry keperluan forensik pada bab-bab selanjutnya. Kemampuan seperti ini tentunya tidak harus Anda dapatkan dalam komputer forensik, Anda sebagai user yang memiliki minat yang besar akan komputer tentunya memahami konsep dan penanganannya.
Peralatan Komputer Forensik
Software Forensik
Berbagai software forensik dibuat untuk menangani spesifik kebutuhan komputer forensik, meskipun pada prakteknya Anda dapat saja menggunakan berbagai utility yang banyak digunakan untuk keperluan performa komputer, keamanan, dan berbagai utility non spesifik forensik. Berikut disajikan untuk Anda berbagai software yang digunakan mencakup website yang memungkinkan Anda mendapatkan informasi yang menyeluruh akan software tersebut:
Fakta di Balik Forensik
Sebenarnya dalam menemukan fakta yang sesungguhnya, ini melibatkan kemampuan Anda membaca dan menganalisa data. Meskipun demikian, secara umum Anda sudah dapat dikatakan jeli dalam mengalamati fakta dari data dan informasi yang terbungkus dalam file atau dokumen. Dalam hal ini beberapa komponen sudah tersaji di depan Anda dan digolongkan berdasarkan perangkat komputer yang digunakan, tinggal bagaimana Anda menanggapi kumpulan data/informasi spesifik untuk dikelola lebih lanjut. Central Processing Unit (CPU) Dikatakan sebagai otak dari komputer (processor) yang dialokasikan pada komputer/kotak CPU. Bukti potensial:
- Bukti dari tindak pencurian
- Pemalsuan
- Remarking
- Memori (RAM) Perangkat ini sering dikatakan sebagai Primary Storage Device dan tergolong ke dalam media penyimpanan volatile, dan menjadi bagian penting dalam CPU untuk melakukan berbagai proses, termasuk sistem operasi dan program aplikasi. Bukti potensial: Bukti dari tindak pencurian
- Pemalsuan
- Remarking
Access Control Devices Mencakup di dalamnya:
Smart Card Dongles
Biometric Scanners Smart Card
- Perangkat ini ringkas, maka dari itu dikategorikan sebagai handheld device, tentunya memiliki micro processor terintegrasi, memiliki kemampuan seperti menyimpan nilai mata uang, kunci enkripsi dan authentication information dengan penggunaan password, digital certificate, dan informasi lainnya.
Dongle
- perangkat yang dipasangkan pada port komputer, dan informasi yang dimungkinkan disimpan mirip dengan Smart Card.
- Perangkat ini ringkas, maka dari itu dikategorikan sebagai handheld device, tentunya memiliki micro processor terintegrasi, memiliki kemampuan seperti menyimpan nilai mata uang, kunci enkripsi dan authentication information dengan penggunaan password, digital certificate, dan informasi lainnya.
Dongle
- perangkat yang dipasangkan pada port komputer, dan informasi yang dimungkinkan disimpan mirip dengan Smart Card.
Biometric scanner
- perangkat ini umum dikoneksikan dengan komputer, difungsikan untuk mengenali karakteristik fisik dari user seperti sidik jari, suara, bahkan retina. Hak akses untuk penggunaan program atau sistem komputer diberikan kepada user melalui identifikasi terlebih dahulu. Bukti potensial:
- perangkat ini umum dikoneksikan dengan komputer, difungsikan untuk mengenali karakteristik fisik dari user seperti sidik jari, suara, bahkan retina. Hak akses untuk penggunaan program atau sistem komputer diberikan kepada user melalui identifikasi terlebih dahulu. Bukti potensial:
- Identifikasi informasi user
- Tingkat akses
- Konfigurasi
- Perizinan
- Perangkat itu sendiri
Mesin Penjawab (Answering Machine)
Perangkat ini diintegrasikan dengan telpon, mungkin dipasang sedemikian rupa antara line telpon dan telpon. Pita Magnetis atau electronic (digital) recording system mungkin digunakan untuk menyimpan informasi audio. Perangkat ini sangat mengandalkan baterai dengan kemampuan terbatas, tentunya dibutuhkan penanganan sedemikian rupa karena data dalam prosesnya mungkin hilang atau tidak tersimpan dengan baik. Untuk keperluan forensik, hal demikian harus diinformasikan kepada petugas (misalnya: evidence custodian, lab chief, forensic examiner). Bukti potensial:
- Caller identification information
- Pesan-pesan terhapus
- Last number called
- Memo Nama dan nomor telpon
- Tapes
Kamera Digital Perangkat ini difungsikan sebagai alat perekam image dan video dalam format digital yang kemudian disimpan pada berbagai media penyimpanan dan memiliki kemampuan untuk melakukan transfer data dan mengintegrasikan pada sistem komputer. Bukti potensial yang dimungkinkan pada kamera digital:
- Images
- Informasi tanggal dan waktu
- Removable cartridges
- Video
- Sound
Handheld Devices (Personal Digital Assistants, Electronic Organizers)
Perangkat semacam ini disebut pula sebagai gadget, small device yang mengintegrasikan sistem komputer, telpon/fax, paging, bahkan integrasi jaringan. Kebutuhan organizer menjadi salah satu faktor yang berpengaruh pada perangkat sejenis ini. Sarana kemudahan komunikasi yang mirip dengan smart phone menjadi fitur tambahan yang membuatnya menjadi sedemikian menarik. Penanganan perangkat ini sebagai evidence tentunya punya banyak pertimbangan dan pemberlakuan, salah satunya karena power yang terbatas mengandalkan baterai, data ”berjalan” mungkin saja hilang karena power yang terbatas. Bukti potensial:
Perangkat semacam ini disebut pula sebagai gadget, small device yang mengintegrasikan sistem komputer, telpon/fax, paging, bahkan integrasi jaringan. Kebutuhan organizer menjadi salah satu faktor yang berpengaruh pada perangkat sejenis ini. Sarana kemudahan komunikasi yang mirip dengan smart phone menjadi fitur tambahan yang membuatnya menjadi sedemikian menarik. Penanganan perangkat ini sebagai evidence tentunya punya banyak pertimbangan dan pemberlakuan, salah satunya karena power yang terbatas mengandalkan baterai, data ”berjalan” mungkin saja hilang karena power yang terbatas. Bukti potensial:
- Buku alamat
- Appointment calendars/information
- Dokumen
- Handwriting (tulisan tangan)
- Password
- Buku telpon
- Pesan teks
- Pesan suara
Hard Drives Jika Anda berbicara mengenai harddrive, tentu yang dimaksudkan adalah harddik, dimana perangkat baca tulis terintegrasi dengan media penyimpanan berupa plat-plat magnetis, yang menjadi media penyimpanan populer saat ini dan menjadi kebutuhan dari sistem komputer. Sampai saat ini ketersediaan harddrive dengan kapasitas penyimpanan yang sangat besar merupakan hal yang umum. File-file yang banyak diakses pada sistem komputer dengan kapasitas yang besar pastinya disimpan pada harddisk, semisal berbagai file image, file audio dan video, teks, dan lain sebagainya. Bukti potensial yang ada tentunya sangat berkaitan dengan sistem komputer secara keseluruhan.
Memory Cards Memory card digunakan sebagai media penyimpanan yang removable, dan tergolong non-volatile (data tidak akan hilang walaupun listrik/power dimatikan). Berbagai perangkat yang tergolong ke dalamnya antara lain:
- Memory sticks
- Smart Cards
- Flash memory
- Flash cards.
Bukti potensial yang ada tidak jauh dari bukti potensial sistem komputer, karena fungsinya sebagai media penyimpanan dan hubungannya dengan sistem komputer secara umum.
Modems Berbagai penggolongan modem mencakup: internal
external - Analog - DSL - ISDN - Cable - Wireless modem - PC cards Merupakan perangkat komunikasi yang memungkinkan komputer mengakses komputer atau jaringan melalui kabel telpon, wireless, dan berbagai media komunikasi lainnya. Bukti potensial: perangkat itu sendiri.
Local Area Network (LAN) Card atau Network Interface Card (NIC) Perangkat ini memungkinkan komputer untuk diintegrasikan dalam jaringan komputer, teknologi yang digunakan dalam mengusung perangkat ini tergolong variatif, bahkan karena penggunaan teknologi spesifik, penamaannya mengikuti teknologi yang menyertainya, misalnya kita kenal istilah Ethernet Card. Keunggulan dan keuntungan dari jaringan komputer dibangun karena perangkat ini, salah satu fitur yang umum dari dibangunnya jaringan komputer tidak lain adalah fasilitas sharing sumber daya yang mencakup media penyimpanan, file sharing, printer sharing, scanner, dan berbagai sumber daya komputer lainnya dan fasilitas komunikasi. Bukti potensial:
Perangkat itu sendiri
MAC (Media Access Control) access address
Router, Hub, dan Switch Komponen berikut menjadi kebutuhan dalam jaringan komputer seiring dengan perkembangan jaringan komputer yang dibangun. Hub dan Switch umumnya dibangun untuk membuat jaringan skala kecil (Local Area Network). Meskipun demikian ada perbedaan kapan kita membutuhkan Switch atau Hub. Hub umumnya memiliki keterbatasan dalam membangun jaringan komputer dibandingkan switch. Router menjadi kebutuhan lain tergantung karakteristik jaringan komputer yang dibangun. Faktor pemampu dari komponen ini tidak lain
adalah kemampuan pendistribusian data pada jaringan. Bukti potensial: perangkat itu sendiri.
Server Server adalah komputer yang digunakan dan dibangun karena kebutuhan spesifik untuk memberikan layanan bagi komputer-komputer lain yang ada dalam jaringan komputer. Umumnya komputer server digunakan untuk melayani pemakai terhadap kebutuhan akan:
E-mail
File
Penyimpanan
Layanan web page
Layanan sumber daya printer pada jaringan komputer Bukti potensial memiliki karakteristik yang mirip dengan sistem komputer pada umumnya.
Network Cable dan Connector Kabel jaringan dan konektor merupakan atribut yang memfasilitasi dibangunnya jaringan komputer. Ada banyak karakteristik dalam jaringan komputer yang berbeda, bahkan untuk tiap developer, seperti warna, ketebalan, dan komposisi material yang digunakan.
Demikian pula istilah konektor, ada banyak konektor dengan bentuk dan cara penginstalasian yang berbeda, tergantung dari teknologi dan komponen yang terintegasi terhadapnya. Bukti potensial: perangkat komponen itu sendiri.
Pager Bukti potensial:
Informasi alamat
Pesan teks
E-mail
Pesan suara
Nomor telpon
Printer Perangkat output populer untuk menghasilkan informasi dalam media tercetak (gambar, teks). Banyak ragam printer yang dapat dijumpai, misalnya:
Thermal printer
Laser printer
Inkjet printer
Impact printer
Bentuk koneksi yang digunakan pun variatif, misalnya:
Serial
Parallel
Universal Serial Bus (USB), firewire)
Accessed via infrared port Beberapa printer memiliki media penyimpanan tersendiri (memory buffer), terutama printer laser, ini memungkinkan printer menerima banyak dokumen walaupun dalam proses mencetak. Inilah yang harus dialamati dengan baik, ada informasi yang tersimpan yang bahkan efektif digunkan sebagai evidence. Bukti potensial:
Dokumen
Harddrive
Ink cartridges
Network identity/information.
Superimposed images pada roller
Waktu dan tanggal
Log penggunaan
Removable Storage Devices dan Media Perangkat ini digunakan untuk menyimpan informasi dengan metode yang beragam, mencakup secara elektris, magnetis, atau digital. Ragam perangkatnya antara lain:
Floppy disk
CD
DVD
Cartridges
Tape
Komponen ini difungsikan sebagai media penyimpanan, file yang disimpan pada umumnya mencakup: program komputer yang didistribusikan untuk keperluan komersial, dokumen teks, gambar, video/audio, berbagai file multimedia, dan lain sebagainya. Bukti potensial: sudah didefinisikan.
Scanner Perangkat yang mampu mendigitalisasi dokumen fisik melalui proses scanning, sehingga dikenali komputer dalam bentuk file digital. File digital nantinya dapat berupa file gambar ataupun teks. Scanner dapat menjadi bukti untuk menggali lebih dalam tindakantindakan kriminal semisal pornografi anak, check fraud, pencurian identitas (identity theft), counterfeiting, dan lain sebaginya. Bahkan kaca yang ada pada scanner mungkin saja didapati sidik jari yang tercecer. Bukti potensial: perangkat yang bersangkutan.
Telpon Perangkat ini digunakan sebagai media komunikasi dua arah. Berbagai media mungkin digunakan, antara lain:
Kabel telpon
Transmisi radio
Cellular systems
Kombinasi lainnya
Kemampuan menyimpan informasi harus dialamati baik untuk keperluan evidence. Bukti potensial: Appointment calendars/information
Caller identification information
Electronic serial number
E-mail
Memo
Password
Buku telpon
Text messages
Voice mail
Web browser
Perangkat Elektronik Lainnya Ada banyak perangkat elektronik lainnya yang dapat kemudian ditambahkan dalam daftar keperluan investigasi, bahkan banyak perangkat elektronik baru yang dapat digunakan sebagai sumber informasi yang sangat berharga, misalnya credit card skimmers, cell phone cloning equipment, caller ID boxes, audio recorders, web TV, fax machines, copiers, dan multifunction machines dengan banyak fitur yang terintegrasi di dalamnya. Kemampuannya dalam menyimpan informasi menjadi bukti lebih lanjut yang sangat berharga.
Mesin Fotokopi Mesin fotokopi mungkin menyimpan catatan penggunaan, bahkan beberapa dokumen mungkin masih disimpan dalam memori dan memungkinkan untuk dicetak kemudian, misalnya untuk jenis scan once/print Bukti potensial:
Dokumen
Catatan penggunaan (User usage log)
Catatan pelengkap berkenaan tanggal dan waktu
Credit Card Skimmers Credit card skimmers digunakan untuk membaca informasi yang ada pada magnetic stripe pada kartu. Informasi untuk keperluan forensik didapat dengan melakukan pembacaan pada magnetic stripe.
Bukti potensial:
Tanggal kedaluwarsa (masa berlaku)
Alamat pemilik
Nomor kartu kredit
Nama pemilik
Digital Watches Fitur digital watches tidak sesederhana namanya, memiliki kemampuan meng-organisasi address books, jadwal aktivitas, berbagai catatan, yang bahkan dapat dikonversi dengan sangat kompatibel untuk dikoneksikan dengan komputer. Bukti potensial:
Address book
Notes
Appointment calendars
Phone numbers
E-mail
Mesin Fax Mesin fax memiliki fitur untuk menyimpan nomor telpon, catatan pengiriman dan penerimaan dokumen, bahkan memungkinkan untuk menyimpan banyak dokumen untuk dikirim kemudian.
Bukan hanya itu, dokumen yang pernah dikirim dan diterima terdokumentasi baik pada mesin fax. Bukti potensial:
Dokumen
Nomor telpon
Film cartridge
Log atau catatan pengiriman dan penerimaan
Global Positioning System (GPS) Ada banyak informasi yang dapat dikumpulkan dari Global Positioning System, salah satunya adalah rute perjalanan. Bukti potensial yang dimungkinkan antara lain:
Rumah
Previous destinations
Catatan perjalanan
Way point coordinates
Way point name
Uncover Digital Evidence
Fakta berkata dan fakta berbicara, tetapi kapan fakta muncul ke permukaan tergantung dari keahlian investigator dalam olah forensik dan menyajikannya sedemikian rupa.
Kerumitan dan komponen komputer yang tidak kasat mata yang seharusnya dimanfaatkan dengan baik oleh investigator, justru di sinilah banyak celah-celah yang sering dilewatkan user (sebagai tersangka) dalam memperlakukan komputer sedemikian rupa untuk menghilangkan jejak-jejak kejahatan, yang ternyata tidak tersapu bersih seperti yang dilihat user pada layar komputernya. Berikut yang harusnya dipahami oleh investigator untuk menangkap faktor tidak kasat mata dari teknologi komputer berikut sistem yang terintegrasi di dalamnya:
Anda sebenarnya tidak mutlak menghapus file. File yang terhapus masih tersimpan dalam recycle bin dengan ”aman”, dan file yang dibuang dari recycle bin ternyata masih melekat pada harddisk dan masih sangat mudah untuk mendapatkannya kembali!
File yang dihapus dapat dengan mudah di-recover.
Me-rename file untuk mencegah deteksi, ternyata sama sekali tidak berarti.
Formatting saja tidak cukup untuk menghapus data-data, masih banyak jejak lain yang ditinggalkan.
Web-based email ternyata dapat di-recover pada komputer yang bersangkutan.
File yang ditransmisikan melalui jaringan ternyata dengan mudah di-reassembled dan digunakan sebagai evidence.
Install aplikasi sangatlah mudah, tetapi tidak demikian untuk uninstall aplikasi, banyak jejakjejak yang ditinggalkan.
Data “Volatile” meskipun tidak tersimpan pada harddisk secara permanen seperti non-volatile, ternyata daya lekatnya pada media penyimpanan semisal memori, melekat cukup lama bahkan setelah proses reboot.
Banyak jejak ditinggalkan dari program aplikasi.
Menggunakan encryption tidaklah cukup, data dapat didapatkan kembali melalui decryption.
Software anti-forensic masih saja belum maksimal, banyak software forensik untuk mengalamati data dan informasi.
Menggunakan magnet ternyata tidak membuang dan merusak data pada storage device.
Mutilasi media penyimpanan ternyata tidak efektif, perlu melakukan mutilasi secara ekstrim.
Data memang sangat sulit untuk dimusnahkan.
Semoga Bermanfaat
Salam :Moh. Arif Andrian
No comments