Komputer Forensik
Forensik merupakan sebuah proses ilmiah dalam mengumpulkan,
menganalisis, dan menghadirkan berbagai bukti pada sidang pengadilan karena
adanya kasus hukum. Lalu, apa yang dimaksud dengan Komputer Forensik?
Berbeda dari pengertian forensik pada umumnya, komputer forensik
dapat diartikan sebagai pengumpulan dan analisis data dari berbagai sumber daya
komputer yang mencakup sistem komputer, jaringan komputer, jalur komunikasi,
dan berbagai media penyimpanan yang layak untuk diajukan dalam sidang
pengadilan.
Komputer forensik banyak ditempatkan dalam berbagai keperluan,
bukan hanya untuk menangani beberapa kasus kriminal yang melibatkan hukum,
seperti rekonstruksi perkara insiden keamanan komputer, upaya pemulihan
kerusakan sistem, pemecahan masalah yang melibatkan hardware ataupun software,
dan dalam memahami sistem atau pun berbagai perangkat digital agar mudah
dimengerti.
Komputer forensik merupakan ilmu baru yang akan terus
berkembang. Ilmu ini didasari oleh beberapa bidang keilmuan lainnya yang sudah
ada. Bahkan, komputer forensik pun dapat dispesifikasi lagi menjadi beberapa
bagian, seperti Disk Forensik, System Forensik, Network Forensik, dan Internet
Forensik.
Pengetahuan Disk Forensik sudah terdokumentasi dengan baik
dibandingkan dengan bidang forensik lainnya. Beberapa kasus yang dapat
dilakukan dengan bantuan ilmu Disk Forensik antara lain mengembalikan file yang
terhapus, mendapatkan password, menganalisis File Akses dan System atau
Aplikasi Logs, dan sebagainya.
Tentunya untuk mendapatkan semua informasi tersebut, Anda
memerlukan sejumlah software, seperti EnCase, yang dikembangkan oleh Guidance
Software Pasadena, Linux DD yang pernah digunakan oleh FBI (Federal Bureau
Investigation) dalam kasus Zacarias Moussaoui, dan JaguarForensics Toolkit,
yaitu sebuah tool yang diperkaya dengan beberapa feature menarik, seperti
generator report untuk memenuhi kebutuhan komputer forensik, (gambar 1).
Permodelan Forensik
Model forensik melibatkan tiga komponen terangkai yang dikelola
sedemikian rupa hingga menjadi sebuah tujuan akhir dengan segala kelayakan dan
hasil yang berkualitas. Ketiga komponen tersebut adalah:
Manusia (People), diperlukan kualifikasi untuk mencapai manusia
yang berkualitas. Memang mudah untuk belajar komputer forensik, tetapi untuk
menjadi ahlinya, dibutuhkan lebih dari sekadar pengetahuan dan pengalaman.
Peralatan (Equipment), diperlukan sejumlah perangkat atau alat
yang tepat untuk mendapatkan sejumlah bukti (evidence) yang dapat dipercaya dan
bukan sekadar bukti palsu.
Aturan (Protocol), diperlukan dalam menggali, mendapatkan,
menganalisis, dan akhirnya menyajikan dalam bentuk laporan yang akurat. Dalam
komponen aturan, diperlukan pemahaman yang baik dalam segi hukum dan etika,
kalau perlu dalam menyelesaikan sebuah kasus perlu melibatkan peran konsultasi
yang mencakup pengetahuan akan teknologi informasi dan ilmu hukum.
Tahapan pada Komputer
Forensik
Ada empat fase dalam komputer forensik, antara lain:
1.
Pengumpulan data
Pengumpulan data bertujuan
untuk mengidentifikasi berbagai sumber daya yang dianggap penting dan bagaimana
semua data dapat terhimpun dengan baik.
2.
Pengujian
Pengujian mencakup proses
penilaian dan meng-ekstrak berbagai informasi yang relevan dari semua data yang
dikumpulkan. Tahap ini juga mencakup bypassing proses atau meminimalisasi
berbagai feature sistem operasi dan aplikasi yang dapat menghilangkan data,
seperti kompresi, enkripsi, dan akses mekanisme kontrol. Cakupan lainnya adalah
mengalokasi file, mengekstrak file, pemeriksanan meta data, dan lain
sebagainya.
3.
Analisis
Analisis dapat dilakukan
dengan menggunakan pendekatan sejumlah metode. Untuk memberikan kesimpulan yang
berkualitas harus didasarkan pada ketersediaan sejumlah data atau bahkan
sebaliknya, dengan menyimpulkan bahwa “tidak ada kesimpulan”. Hal tersebut
sangat dimungkinankan. Tugas analisis ini mencakup berbagai kegiatan, seperti
identifikasi user atau orang di luar pengguna yang terlibat secara tidak
langsung, lokasi, perangkat, kejadiaan, dan mempertimbangkan bagaimana semua
komponen tersebut saling terhubung hingga mendapat kesimpulan akhir.
4.
Dokumentasi dan laporan
Ada beberapa faktor yang
mempengaruhi hasil dokumentasi dan laporan, seperti:
o
Alternative Explanations
(Penjelasan Alternatif)
Berbagai penjelasan yang
akurat seharusnya dapat menjadi sebuah pertimbangan untuk diteruskan dalam
proses reporting. Seorang analis seharusnya mampu menggunakan sebuah pendekatan
berupa metode yang menyetujui atau menolak setiap penjelasan sebuah perkara yang
diajukan.
o
Audience Consideration
(Pertimbangan Penilik)
Menghadirkan data atau
informasi keseluruh audience sangat berguna. Kasus yang melibatkan sejumlah
aturan sangat membutuhkan laporan secara spesifik berkenaan dengan informasi
yang dikumpulkan. Selain itu, dibutuhkan pula copy dari setiap fakta
(evidentiary data) yang diperoleh. Hal ini dapat menjadi sebuah pertimbangan
yang sangat beralasan. Contohnya, jika seorang Administrator Sistem sebuah
jaringan sangat memungkinkan untuk mendapatkan dan melihat lebih dalam sebuah
network traffic dengan informasi yang lebih detail.
o
Actionable Information
Proses dokumentasi dan
laporan mencakup pula tentang identifikasi actionable information yang didapat
dari kumpulan sejumlah data terdahulu. Dengan bantuan data-data tersebut, Anda
juga bisa mendapatkan dan mengambil berbagai informasi terbaru.
Standarisasi Komputer
Forensik
Standarisasi harus dapat mengisi seluruh aktivitas dalam
komputer forensik. Hal ini mencakup Pendefinisian, Prinsip, Proses, Hasil, dan
“Bahasa”. Sejumlah organisasi yang berhubungan langsung dengan bidang komputer
forensik bertujuan untuk memberikan parameter yang berkualitas. Beberapa
organisasi tersebut antara lain IOCE (The International Organization on
Computer Evidence), IACIS (The International Association of Computer
Investigative Specialist), dan masih banyak lainnya.
Informasi esensial pada
registry
Perhatikan secara seksama apa yang ditimbulkan dari proses
forensik sehubungan dengan Windows Registry. Anda dapat melihat secara langsung
ke dalam sistem, sebenarnya apa saja yang disimpan dalam system registry di
Windows. Salah satu contoh yang dapat Anda lihat adalah, bagaimana sejumlah
password disimpan pada registry? Hal ini mengacu langsung pada informasi system
registry yang terdapat dalam HKCU\Software\Microsoft\Internet
Explorer\Intel\Forms\SPWHKCU\Software\Microsoft\Protected Storage System
Provider.
Tentunya, contoh di atas sangat membingungkan. Jika Anda ingin
memahami lebih mendalam registry tersebut, gunakanlah sebuah aplikasi yang
memiliki kemampuan untuk menampilkan semua informasi yang tersimpan di
dalamnya, misalnya program Protected Storage PassView. Dengan bantuan aplikasi
ini, Anda dapat menggali lebih dalam semua informasi yang tersimpan dalam
registry tersebut. Fungsi yang diunggulkan dari aplikasi ini adalah mampu
memperlihatkan password dari program Internet Explorer, Outlook Express, dan
MSN Explorer.
Kompleksitas dalam komputer forensik akan bertambah jika
melibatkan cakupan yang lebih luas, seperti sistem yang diintegrasikan dengan
jaringan komputer, aktivitas user yang bersangkutan, bahkan berkaitan dengan
pencarian informasi mengenai komputer apa saja yang pernah terkoneksi dengan
komputer suspect. Aplikasi lainnya yang cocok Anda manfaatkan untuk keperluan seperti
itu adalah program TotalRecall, (gambar 4).
Program ini merupakan salah satu forensic analysis tool gratis
yang dapat digunakan untuk mengakses informasi yang telah terdokumentasi.
Selain itu, tool ini dapat dipakai untuk melakukan rekonstruksi beberapa
aktivitas yang berjalan di dalam sistem, misalnya investigasi sejumlah
aktivitas yang terjadi dalam Microsoft Internet Explorer (Index.dat), informasi
data user, Internet Cookies, Internet History, dan sebagainya.
Training onlineCukup banyak profesi yang berkaitan dengan
komputer forensik, salah satunya The SCERS (Seized Computer Evidence Recovery
Specialist). Jika tertarik, Anda juga dapat mengekplorasi beberapa website
berikut: Error! Hyperlink reference not valid.
0 comments:
Post a Comment