Dasar Dari Digital Forensik (Part-1)

BAB I -- APAKAH ILMU FORENSIK?
Sederhananya, forensik adalah penerapan ilmu untuk memecahkan masalah hukum. Dalam forensik, hukum dan ilmu selamanya terintegrasi. Tidak ada yang bisa diterapkan tanpa membayar penghormatan kepada yang lain. Bukti ilmiah terbaik di dunia tidak ada gunanya jika itu tidak diterima di pengadilan hukum.

Apa Forensik Digital?
Ada banyak cara untuk mendefinisikan forensik digital. Dalam Majalah Forensik, Ken Zatyko didefinisikan forensik digital dengan cara ini: “The application of computer science and investigative procedures for a legal purpose involving the analysis of digital evidence after proper search authority, chain of custody, validation with mathematics, use of validated tools, repeatability, reporting, and possible expert presentation.” (Zatyko, 2007)
Forensik digital mencakup lebih dari sekedar laptop dan computer desktop. Perangkat mobile, jaringan, dan system "Cloud" serta banyak lingkup disiplin yang sejenis. Ini juga mencakup analisis gambar, video, dan audio (baik analog dan format digital). Fokus dari analisis semacam ini umumnya mengenai keaslian, perbandingan, dan peningkatan.  

Penggunaan Digital Forensik
Forensik digital dapat digunakan dalam berbagai pengaturan, termasuk investigasi kriminal, litigasi sipil, kecerdasan, dan hal-hal administratif.  

Investigasi Kriminal
Ketika kita menyebutkan forensik digital dalam konteks investigasi kriminal, orang cenderung berpikir pertama dalam hal pornografi anak dan pencurian identitas. Meskipun investigasi tersebut tentu fokus pada bukti digital. Dalam dunia digital saat ini, bukti elektronik dapat ditemukan di hampir semua investigasi kriminal yang dilakukan,seperti pembunuhan, kekerasan seksual, perampokan, dan pencurian maka hanya beberapa dari banyak contoh kejahatan "analog" yang dapat meninggalkan bukti digital. Salah satu usaha utama dalam penegakan hukum adalah untuk mengubah paradigma polisi dan meminta mereka untuk memikirkan dan mencari bukti-bukti digital, seperti ponsel dan konsol game yang dapat menyimpan “harta karun” berupa bukti.

Litigasi Sipil
Sebagai bagian dari proses yang dikenal sebagai Penemuan Electronic (eDiscovery), forensik digital telah menjadi komponen utama dari banyak litigasi dolar. eDiscovery "mengacu pada proses dimana data elektronik dicari, terletak, aman, dan mencari dengan maksud menggunakannya sebagai bukti dalam kasus hukum perdata atau pidana "(TechTarget, 2005). Dalam kasus perdata, kedua belah pihak umumnya berhak untuk memeriksa bukti-bukti yang akan digunakan melawan mereka sebelum ke pengadilan. Proses hukum ini dikenal sebagai "penemuan." Sebelumnya, sebagian besar penemuan berbasis kertas atau konfensional, dengan masing-masing pihak bertukar laporan, surat, dan memo; Namun, pengenalan forensik digital dan eDiscovery telah sangat berubah praktek ini. Perkembangan komputer telah memberikan dampak yang luar biasa. Hari ini, terlihat bahwa beberapa pihak tidak lagi bicara tentang lemari arsip, buku besar, dan memo; mereka berbicara tentang hard drive, spreadsheet, dan jenis file. Bukti digital dapat dengan cepat menjadi titik fokus dari sebuah kasus, tidak peduli apa jenis proses hukum itu digunakan masuk sistem hukum dan semua pemainnya adalah berjuang untuk menghadapi realitas baru ini.  

Kecerdasan
Teroris dan pemerintah asing, lingkup badan intelijen kami, memiliki juga bergabung dengan era digital. Teroris telah menggunakan teknologi informasi untuk berkomunikasi, serangan merekrut, dan rencana.  

Hal-hal Administrasi
Bukti digital juga dapat berharga untuk insiden selain litigasi dan hal-hal keamanan nasional. Pelanggaran kebijakan dan prosedur sering melibatkan beberapa jenis informasi yang tersimpan secara elektronik, misalnya, seorang karyawan sebuah operasi bisnis sampingan pribadi, dengan menggunakan komputer perusahaan. Itu mungkin bukan merupakan pelanggaran hukum, tetapi mungkin memerlukan investigasi oleh perusahaan.

Kesimpulan
Jadi kita dapat melihat apa ilmu forensik, forensik khususnya digital. Ilmu forensik bukan drama pemecahan kejahatan yang sering kita tonton di televisi, tetapi metode ilmiah pengumpulan, investigasi dan analisis yang digunakan untuk memecahkan beberapa jenis masalah hukum. Forensik digital tidak terbatas pada komputer. Ini meliputi segala jenis perangkat elektronik yang dapat menyimpan data. Perangkat ini meliputi ponsel, tablet, dan unit GPS. Forensik digital dapat diterapkan di luar investigasi kriminal. Ini digunakan secara rutin dalam proses pengadilan sipil, masalah-masalah intelijen nasional dan militer serta sektor swasta. Ada beberapa organisasi yang membantu menetapkan standar dan praktisi yang digunakan dalam forensik digital. Sebagai seorang praktisi, keterampilan komunikasi sangat penting, Anda akan menghabiskan banyak waktu untuk menjelaskan temuan Anda ke polisi, pengacara, dan klien. Yang paling penting, Anda harus mampu menjelaskan hal-hal ini untuk hakim dan juri. Semua pemangku kepentingan harus dapat memahami metode dan temuan Anda. Seperti semua bukti ilmiah, bukti digital bisa sangat membingungkan sebagian besar orang. Dengan jenis kesaksian, itu sangat mudah untuk kehilangan orang. Kehilangan seorang hakim atau juri dalam persidangan dapat memiliki konsekuensi bencana seperti sebagai memiliki temuan Anda diabaikan atau disalahpahami.  

BAB II -- KONSEP TEKNIS
Pengetahuan yang mendalam tentang suatu pekerjaan yang berhubungan dengan komputer adalah hal yang penting untuk praktisi digital forensik. Pengetahuan ini yang memungkinkan kita untuk melakukan pemeriksaan bukti secara menyeluruh dan membuat pendapat yang akurat. Sederhananya, kita tidak bisa melakukan semua pekerjaan tanpa pengetahuan tersebut. Tidak semua proses dan perangkat keras memegang nilai yang sama dalam forensik. Memori dan penyimpanan memainkan peran utama dalam hampir setiap pemeriksaan. Prosesor atau CPU, sebaliknya, memainkan sedikit dalam peran apa pun. Tanggung jawab kita sebagai saksi ahli termasuk menjelaskan teknis materi pelajaran dengan cara yang mana orang lain mampu memahami.

Bits, Bytes, Dan Skema Penomoran
Komputer menggunakan bahasa yang disebut biner. Dalam biner, hanya ada dua kemungkinan hasil 1 atau 0. Dalam istilah matematika, biner diklasifikasikan sebagai sistem penomoran basis 2. Sebagai perbandingan, kita menggunakan basis 10 angka sistem yang dikenal sebagai desimal. Decimal menggunakan angka 0-9. Untuk mempercepat, komputer bekerja dengan koleksi bit yang lebih besar. Potongan yang lebih besar dari data disebut byte. Sebuah byte terdiri dari delapan bit. Ini terlihat seperti ini: 01101001. Bagaimana byte berhubungan dengan huruf dan angka? Setiap huruf, angka, ruang, dan karakter khusus diwakili oleh satu byte. Misalnya, menggunakan ASCII karakter set 01000001 merupakan huruf "A", sementara huruf kecil "a" adalah 01.100.001.  

Extensions File
Pada dasarnya, file string atau urutan bit dan byte mengidentifikasi file dapat dilakukan dalam beberapa cara yang berbeda seperti ekstensi file yang paling umum. Sebagai pengguna, kita biasanya mengidentifikasi jenis file dengan ekstensi file, jika sistem dikonfigurasi. Sebuah sistem operasi dapat diatur seperti file dengan ekstensi yang tersembunyi. Ekstensi file adalah akhiran yang biasanya ditambahkan ke akhir dari nama file untuk menunjukkan format. Contohnya, .docx dan .pptx (untuk versi terbaru dari Microsoft Word dan PowerPoint, masing-masing). Untuk tujuan kita, ekstensi file bukan cara yang paling utama yang dapat diandalkan untuk mengidentifikasi jenis file. Ekstensi file sangat mudah berubah, hanya membutuhkan klik mouse dan beberapa keystrokes. Anda dapat mencoba ini sendiri. Pada Sistem Operasi Windows contohnya, cukup klik kanan pada nama file dan mengubah nama itu, serta mengubah ekstensi. Katakanlah kita mengubah ekstensi dari file Word untuk dirubah ekstensinya menjadi .JPEG (ekstensi gambar).

Penyimpanan Dan Memory
Dimana dan bagaimana data disimpan dan tertulis merupakan salah satu konsep dasar paling utama yang harus dipelajari. Ada lebih dari satu cara untuk menulis data. Data umumnya dibuat dalam tiga cara yang berbeda: elektromagnetisme, mikroskopis transistor listrik (flash), dan memantulkan cahaya (CD, DVD, dll). Lokasi penyimpanan di dalam komputer melayani tujuan yang berbeda. Beberapa diantaranya adalah untuk jangka pendek, digunakan untuk penyimpanan data sementara yang gunakan pada saat komputer bekerja, dan yang lainnya adalah secara permanen atau menyimpan dalam jangka panjang.

Lingkungan Computing
Tidak semua "lingkungan" computing diciptakan sama, ada perbedaan substansial diantara mereka. Kita dapat menemukan komputer pribadi, jaringan dari berbagai ukuran, atau bahkan sistem yang lebih kompleks. Kesenjangan ini akan memiliki signifikan yang berdampak pada proses pengumpulan data, dimana Anda dalam mencari data, alat yang akan Anda digunakan, dan tingkat kompleksitas yang diperlukan. Lingkungan dapat dibagi menjadi empat kategori: berdiri sendiri, jaringan, mainframe, dan awan. Sebuah komputer yang berdiri sendiri adalah salah satu yang tidak terhubung ke komputer lain. Ini adalah yang paling mudah untuk menangani dan menyelidiki. Kemungkinan lokasi untuk mencari bukti cukup terbatas. Sebuah jaringan komputer terhubung ke setidaknya satu komputer lain dan berpotensi banyak, banyak orang lain. Ini meningkat kompleksitas serta tempat yang cukup luas dalam menemukan bukti.  

Jenis Data
Data dapat dikelompokkan ke dalam tiga kategori: aktif, laten, dan arsip. Melihat data dengan cara ini dapat membantu dalam menjelaskan lokasi mereka, bagaimana mereka dicatat dengan sistem file, bagaimana mereka dapat diakses oleh pengguna, dan sebagainya. Hal ini juga membantu untuk mempersempit biaya dan upaya yang diperlukan untuk memulihkan data yang dimaksud.  

Sistem File
Dengan semua jutaan atau miliaran file beredar di dalam komputer kita, harus ada beberapa cara untuk menjaga supaya tetap rapi teratur. Fungsi ini sangat diperlukan dan merupakan tanggung jawab sistem file. Ruang bebas, juga dikenal sebagai ruang yang tidak terisi, atau kosong atau file yang sebelumnya menduduki lokasi tersebut telah dihapus. Ada berbagai jenis file sistem, beberapa yang paling umum yang sering dihadapi oleh pemeriksa forensik diantaranya FAT, NTFS, dan HFS +. Mari kita melihat lebih dekat: Tabel Alokasi File (FAT) adalah yang tertua dari sistem file umum, yang terdiri dari empat jenis: FAT12, FAT16, FAT32, dan FATX. Meskipun tidak digunakan dalam sistem operasi terbaru, itu sering bisa ditemukan dalam media flash dan sejenisnya. The New Technology File System (NTFS) adalah sistem yang digunakan saat ini oleh Windows 7, Vista, XP, Windows 8, dan Windows Server. Ini jauh lebih kuat daripada FAT dan mampu melakukan lebih banyak fungsi. Misalnya, "NTFS secara otomatis dapat memulihkan beberapa kesalahan yang berhubungan dengan disk, dimana sistem FAT32 tidak bisa, "memberikan dukungan yang lebih baik untuk hard drive yang lebih besar, dan keamanan yang lebih baik melalui hak akses dan enkripsi (Microsoft Corporation). Hierarchical File System (HFS +) dan kerabat HFS dan HFSX digunakan dalam Produk Apple. HFS + adalah penerus upgrade ke HFS. Versi baru ini menawarkan beberapa perbaikan termasuk meningkatkan penggunaan ruang disk, cross-platform kompatibilitas, dan nama file yang ramah internasional (Apple, Inc, 2004).  

Dialokasikan Dan Tidak Dapat Dialokasi Space
Sebelum kita masuk lebih jauh, sudah saatnya kita berbicara tentang bagaimana komputer memandang ruang pada hard drive. Secara umum, sistem file mengkategorikan semua ruang pada hard drive disalah satu dari dua cara. Ruang adalah baik dialokasikan atau belum dialokasikan (ada beberapa pengecualian, lihat sisi bar tentang Host Protected Daerah). Dengan kata lain, baik ruang sedang digunakan atau tidak, jendela tidak dapat melihat data dalam ruang yang tidak terisi ini. Untuk Sistem Operasi, file yang terletak di ruang yang tidak terisi pada dasarnya tak terlihat. Ini penting, namun, untuk memahami bahwa "tidak digunakan" tidak selalu berarti "kosong."  

Fungsi Komputer Dasar
File kita disimpan pada hard drive sebagai serangkaian 1s dan 0s. Biasanya, file akan memiliki struktur tertentu atau format. Awal file yang disebut "header", dan akhir file ini dikenal sebagai "footer". Semua byte diantaranya mewakili sisa file. Secara teknis, sebuah file header dianggap sebagai bentuk metadata ("data tentang data"). Header, seperti ekstensi, digunakan untuk mengidentifikasi jenis file. Namun, tidak seperti ekstensi, header jauh sulit untuk mengubah dan umumnya dapat diakses oleh sebagian besar pengguna. Ketika file tersebut disimpan atau ditulis ke hard drive, itu tidak selalu disimpan ke cluster yang berdekatan seperti yang diharapkan. Ini bagian yang terpisah dari file dan dapat berada di sisi yang berbeda dari piring atau piring-piring yang berbeda sama sekali. Ketika kita melipatgandakan klik pada file tersebut untuk membukanya, komputer mendapatkan lokasi dari semua sektor dialokasikan untuk file dari sistem file dan pembatan ulang file Anda. Untuk dapat bekerja pada file tersebut, harus dimuat ke memori utama komputer, juga dikenal sebagai RAM. Dari sini, file tersebut dimasukkan ke dalam central processing unit (CPU) karena kita bekerja dengan itu. Sebuah lemari arsip, meja, dan pekerja digunakan sebagai analogi umum untuk membantu menjelaskan proses ini. Lemari arsip melambangkan hard drive. Meja tersebut merupakan RAM. Akhirnya, pekerja di meja merupakan CPU. Lemari arsip, seperti hard drive, menyimpan file-file kita ketika kita tidak menggunakannya. Sama seperti di dunia nyata, kita tidak bisa bekerja pada setiap dokumen kami dari lemari arsip sampai kita memindahkan mereka ke meja. Pekerja (CPU) tidak dapat bekerja pada dokumen kita sampai mereka dipindahkan dari lemari arsip ke meja.  

Kesimpulan
Komputer menyimpan data dalam bentuk yang berbeda termasuk magnetik, optik, flash, dan lain-lain. Masing-masing metode penyimpanan ini adalah berbeda dan perbedaan itu memiliki implikasi forensik. Komputer beroperasi dengan kedua memori dan penyimpanan. Sementara mereka tampak serupa, tujuan dimaksudkan mereka jelas berbeda. Penyimpanan dianggap volatile apabila computer dalam keadaan hidup, maka memory dapat menyimpan data, dan ketika arus listrik dimatikan, maka data yang tertulis akan ikut hilang, memory ini disebut sebagai RAM. Sebaliknya, penyimpanan yang digunakan untuk menyimpan jangka panjang, penyimpanan dianggap non-volatile karena data tetap ada ketika perangkat mati. Hard drive merupakan contoh penyimpanan non-volatile. Sebuah sistem file komputer adalah jantung dari bagaimana menyimpan dan mengambil data, berkas sistem melacak berbagai potongan data yang harus ditemukan dan disusun kembali untuk membuka file. Ada beberapa file sistem yang digunakan saat ini, masing-masing dengan cara mereka sendiri dalam melakukan berbagai hal. Tidak semua lingkungan komputasi sama, beberapa relatif sederhana.

Bersambung….  

Referensi:
Sammons. John, The Basic of Digital Forensic “The Primer for Getting Started in Digital Forensic”, 2012, Syngress, USA.

Posted in: Artikel,Crime Investigation,Informasi,Manajemen Investigasi Tindak Kriminal