Kamis, 29 Desember 2011

PENGANTAR ILMU FORENSIK: SEBAGAI METODE INVESTIGASI CYBER CRIME



Pendahuluan
Keamanan komputer merupakan hal yang menarik untuk disimak. Perkembangan dunia IT yang sangat cepat telah melahirkan dimensi lain dari teknologi, yaitu kejahatan dengan peran computer sebagai alat utamanya. Istilah yang populer untuk modus ini disebut dengan cybercrime.

Adanya kecenderungan negative dari teknologi computer tersebut telah memunculkan berbagai permasalahan baru, baik secara mikro karena hanya berefek pada tingkatan personal/perseorangan, sampai kepada persoalan makro yang memang sudah pada wilayah komunal, publik, serta memiliki efek domino kemana-mana. Untuk negara yang sudah maju dalam IT-nya, pemerintahan setempat atau Profesional swasta bahkan telah membentuk polisi khusus penindak kejahatan yang spesifik menangani permasalahan-permasalahan ini. Cyber Police adalah polisi cyber yang diberikan tugas untuk menindak pelaku-pelaku kriminalitas di dunia cyber, yang tentu saja agak sedikit berbeda dengan polisi ‘konvensional’, para petugas ini memiliki kemampuan dan perangkat khusus dalam bidang komputerisasi.

Kasus Cybercrime

Cybercrime, menjadi istilah yang begitu menarik untuk disimak. Kondisi ini nyata adanya. Professional IT, praktisi, pegawai kantoran, administrator jaringan dan siapapun sebagainya yang terlibat intensif dengan dunia IT menjadi “phobia” dengan aktivitas negatif ini. Kasus yang terjadipun menunjukan bahwa perkara ini tidak main-main, berbagai laporan menunjukan bahwa kejahatan komputer telah menyedot perhatian banyak pihak yang terkait dengan masalah ini, contoh laporan yang ada diantaranya

·Menurut Internet Fraud Complaint Center (IFCC), mitra dari Federal Beureau and Investigation (FBI) dan National White Collar Crime Center, antara Mei 2000 dan Mei 2001, dalam operasi tahun pertama, website IFFC menerima 30.503 keluhan Penipuan Internet. laporan penuh dapat download di PDF format pada alamat : (www1.ifccfbi.gov/strategy/IFCC_Annual_Report.pdf.)
· Menurut Survey Institute Keamanan Komputer Computer pada 2001, bersama dengan Squad Penggangguan Komputer dari FBI,186 responden dari agen perusahaan dan pemerintah melaporkan total kehilangan keuangan diatas US$3.5 juta, sebagian besar terjadi karena pencurian informasi kepemilikan dan penipuan keuangan ( lihat www.gocsi.com/press/20020407.html).
Menurut Cybersnitch Voluntary Online -Crime melaporkan Sistem Kejahatan Relasi-Internet mencakup dari pemalsuan desktop ke pornografi anak dan meliputi kejahatan yang kejam seperti pencurian elektronik dan teroris threats.(daftar dilaporkan cybercrimes tersedia pada www.cybersnitch.net/csinfo/csdatabase.asp.)
Dan masih banyak laporan-laporan tragis yang menunjukan betapa bahayanya aktivitas kriminal ini. Untuk beberapa tahun kedepan, ketika aktivitas IT masyarakat meningkat, akan lebih menambah potensi yang terjadi dalam dunia kriminalitas ini[1]. Namun kemudian, apa yang sebaiknya dilakukan untuk mengatasi permasalahan-permasalahan diatas?. Tulisan ini akan mencoba menelaah lebih lanjut untuk mengurai solusi mengatasi kejahatan komputer dengan metode komputasi forensik.

Tentang Komputer Forensik

Seperti umumnya ilmu pengetahuan forensik lain, komputer forensik juga melibatkan penggunaan teknologi yang rumit, perkakas dan memeriksa prosedur harus diikuti untuk menjamin ketelitian dari pemeliharaan bukti dan ketelitian hasil mengenai bukti komputer memproses. Pada dasarnya mirip dengan proses yang terjadi pada polisi yang hendak mengusut bukti tindak kejahatan dengan menelusuri fakta-fakta yang ada, namun disini terjadi pada dunia maya. Tapi, secara definitif, apa sebenarnya yang dimaksud dengan Komputer Forensik ?. Secara Terminologi, Komputer Forensik adalah aktivitas yang berhubungan dengan pemeliharaan, identifikasi, [pengambilan/penyaringan], dan dokumentasi bukti komputer dalam kejahatan komputer[2]. Istilah ini relatif baru dalam sektor privat beberapa dekade ini, tapi telah muncul diluar term teknologi (berhubungan dengan investigasi dan investigasi bukti-bukti intelejen dalam penegakan hukum dan militer) sejak pertengahan tahun 1980-an.

Sejarah Komputer Forensik

Barang bukti yang berasal dari komputer telah muncul dalam persidangan hampir 30 tahun. Awalnya, hakim menerima bukti tersebut tanpa melakukan pembedaan dengan bentuk bukti lainnya. Sesuai dengan kemajuan teknologi komputer, perlakuan serupa dengan bukti tradisional menjadi ambigu. US Federal Rules of Evidence 1976 menyatakan permasalahan tersebut sebagai masalah yang rumit. Hukum lainnya yang berkaitan dengan kejahatan komputer:

The Electronic Communications Privacy Act 1986, berkaitan dengan penyadapan peralatan elektronik.
The Computer Security Act 1987 (Public Law 100-235), berkaitan dengan keamanan sistem komputer pemerintahan.
Economic Espionage Act 1996, berhubungan dengan pencurian rahasia dagang.
Pada akhirnya, jika ingin menyelesaikan suatu “misteri komputer” secara efektif, diperlukan pengujian sistem sebagai seorang detektif, bukan sebagai user. Sifat alami dari teknologi Internet memungkinkan pelaku kejahatan untuk menyembunyikan jejaknya. Kejahatan komputer tidak memiliki batas geografis. Kejahatan bisa dilakukan dari jarak dekat, atau berjarak ribuan kilometer jauhnya dengan hasil yang serupa. Bagaimanapun pada saat yang sama, teknologi memungkinkan menyingkap siapa dan bagaimana itu dilakukan. Dalam komputer forensik, sesuatu tidak selalu seperti kelihatannya. Penjahat biasanya selangkah lebih maju dari penegak hukum, dalam melindungi diri dan menghancurkan barang bukti. Merupakan tugas ahli komputer forensik untuk menegakkan hukum dengan mengamankan barang bukti, rekonstruksi kejahatan, dan menjamin jika bukti yang dikumpulkan itu berguna di persidangan.

Elemen Kunci Forensik

Empat Elemen Kunci Forensik[3] yang harus diperhatikan berkenaan dengan bukti digital dalam Teknologi Informasi, adalah sebagai berikut:

- Identifikasi dalam bukti digital (Identification/Collecting Digital Evidence)

Merupakan tahapan paling awal dalam teknologi informasi. Pada tahapan ini dilakukan identifikasi dimana bukti itu berada, dimana bukti itu disimpan, dan bagaimana penyimpanannya untuk mempermudah penyelidikan. Network Administrator merupakan sosok pertama yang umumnya mengetahui keberadaan cybercrime, atau Tim Respon cybercrime (jika perusahaan memilikinya) sebelum sebuah kasus cybercrime diusut oleh cyberpolice. Ketika cyberpolice telah dilibatkan dalam sebuah kasus, maka juga akan melibatkan elemen-elemen vital yang lainnya, antara lain:

Petugas Keamanan (Officer/as a First Responder), Memiliki tugas-tugas yakni : ((i) Mengidentifikasi Peristiwa, (ii) Mengamankan Bukti dan (iii) Pemeliharaan bukti yang temporer dan Rawan Kerusakan.
 Penelaah Bukti (Investigator), Memiliki Tugas-tugas yakni : (i) Menetapkan instruksi-instruksi sebagai sosok paling berwenang, (ii) Melakukan pengusutan peristiwa kejahatan,(iii) Pemeliharaan integritas bukti.
 Teknisi Khusus, Memiliki tugas-tugas (dihindari terjadi overlaping job dengan Investigator), yakni (i) Pemeliharaan bukti yang rentan kerusakan dan menyalin storage bukti, (ii) Mematikan(shuting down) sistem yang sedang berjalan,(iii) Membungkus / memproteksi bukti-bukti,(iv) Mengangkut bukti,(v) Memproses bukti
Elemen-elemen vital diatas inilah yang kemudian nantinya memiliki otoritas penuh dalam penuntasan kasus kriminal yang terjadi.

- Penyimpanan bukti digital (Preserving Digital Evidence)

Bentuk, isi, makna bukti digital hendaknya disimpan dalam tempat yang steril. Untuk benar-benar memastikan tidak ada perubahan-perubahan, hal ini vital untuk diperhatikan. Karena sedikit perubahan saja dalam bukti digital, akan merubah juga hasil penyelidikan. Bukti digital secara alami bersifat sementara (volatile), sehingga keberadaannya jika tidak teliti akan sangat mudah sekali rusak, hilang, berubah, mengalami kecelakaan. Step pertama untuk menghindarkan dari kondisi-kondisi demikian adalah salahsatunya dengan mengcopy data secara Bitstream Image pada tempat yang sudah pasti aman.

Bitstream image adalah methode penyimpanan digital dengan mengkopi setiap bit demi bit dari data orisinil, termasuk File yang tersembunyi (hidden files), File temporer (temp file), File yang terfragmentasi (fragmen file), file yang belum ter-ovverwrite. Dengan kata lain, setiap biner digit demi digit terkopi secara utuh dalam media baru. Tekhnik pengkopian ini menggunakan teknik Komputasi CRC[4]. Teknik ini umumnya diistilahkan dengan Cloning Disk atau Ghosting.

Software-software yang dapat digunakan dalam aktivitas ini antara lain adalah:

Safe Back. Dipasarkan sejak tahun 1990 untuk penegakan Hukum dan Kepolisian. Digunakan oleh FBI dan Divisi Investigasi Kriminal IRS. Berguna untuk pemakaian partisi tunggal secara virtual dalam segala ukuran. File Image dapat ditransformasikan dalam format SCSI atau media storage magnetik lainnya.
 EnCase. Seperti SafeBack yang merupakan program berbasis karakter, EnCase adalah program dengan fitur yang relatif mirip, dengan Interface GUI yang mudah dipakai oleh tekhnisi secara umum. Dapat dipakai dengan Multiple Platform seperti Windows NT atau Palm OS. Memiliki fasilitas dengan Preview Bukti, Pengkopian target, Searching dan Analyzing.
 Pro Discover[5]. Aplikasi berbasis Windows yang didesain oleh tim Technology Pathways forensics. Memiliki kemampuan untuk me-recover file yang telah terhapus dari space storage yang longgar, mengalanalisis Windows 2000/NT data stream untuk data yang terhidden, menganalisis data image yang diformat oleh kemampuan dd UNIX dan menghasilkan laporan kerja.

- Analisa bukti digital (Analizing Digital Evidence)

Barang bukti setelah disimpan, perlu diproses ulang sebelum diserahkan pada pihak yang membutuhkan. Pada proses inilah skema yang diperlukan akan fleksibel sesuai dengan kasus-kasus yang dihadapi. Barang bukti yang telah didapatkan perlu diexplore kembali beberapa poin yang berhubungan dengan tindak pengusutan, antara lain: (a) Siapa yang telah melakukan.  (b) Apa yang telah dilakukan (Ex. Penggunaan software apa), (c) Hasil proses apa yang dihasilkan. (d) Waktu melakukan.

Setiap bukti yang ditemukan, hendaknya kemudian dilist bukti-bukti potensial apa sajakah yang dapat didokumentasikan. Contoh kasus seperti kejahatan foto pornografi-anak ditemukan barang bukti gambar a.jpg, pada bukti ini akan dapat ditemukan data Nama file, tempat ditemukan, waktu pembuatan dan data properti yang lain. Selain itu perlu dicatat juga seperti space dari storage, format partisi dan yang berhubungan dengan alokasi lainnya.

Tiap-tiap data yang ditemukan sebenarnya merupakan informasi yang belum diolah, sehingga keberadaannya memiliki sifat yang vital dalam kesempatan tertentu. Data yang dimaksud antara lain :

Alamat URL yang telah dikunjungi (dapat ditemukan pada Web cache, History, temporary internet files)
Pesan e-mail atau kumpulan alamat e-mail yang terdaftar (dapat ditemukan pada e-mail server)
Program Word processing atau format ekstensi yang dipakai (format yang sering dipakai adalah .doc, .rtf, .wpd, .wps, .txt)
Dokumen spreedsheat yang dipakai (yang sering dipakai adalah .xls, .wgl, .xkl)
Format gambar yang dipakai apabila ditemukan (.jpg, .gif, .bmp, .tif dan yang lainnya)
Registry Windows (apabila aplikasi)
Log Event viewers
Log Applications
File print spool
Dan file-file terkait lainnya.
Analisis kemungkinan juga dapat diperoleh dari motif/latar belakang yang ada sebelum didapatkan kesimpulan. Bahwa setiap sebab, tentu saja akan memiliki potensi besar untuk menghasilkan akibat yang relatif seragam.

- Presentasi bukti digital (Presentation of Digital Evidence)

Kesimpulan akan didapatkan ketika semua tahapan tadi telah dilalui, terlepas dari ukuran obyektifitas yang didapatkan, atau standar kebenaran yang diperoleh, minimal bahan-bahan inilah nanti yang akan dijadikan “modal” untuk ke pengadilan.

Proses digital dimana bukti digital akan dipersidangkan, diuji otentifikasi dan dikorelasikan dengan kasus yang ada. Pada tahapan ini menjadi penting, karena disinilah proses-proses yang telah dilakukan sebelumnya akan diurai kebenarannya serta dibuktikan kepada hakim untuk mengungkap data dan informasi kejadian.

Pada tahapan final ini ada beberapa hal yang mutlak diperhatikan, karena memang pada level ini ukuran kebenaran akan ditetapkan oleh pengadilan sebagai pemilik otoritas. Hal-hal yang dimaksud adalah :

Cara Presentasi
Keahlian Presentasi
Kualifikasi Presenter
Kredibilitas setiap tahapan pengusutan
Penutup

Akhirnya, Disiplin keilmuan dalam dunia komputerisasi yang relatif baru ini diharapkan mampu menjadi “oase” dalam kegersangan akan penindakan kejahatan computer yang bertajuk cybercrime. Bagaimanapun perkembangan disiplin ini akan terus menerus diperlukan sebagai controller kejahatan yang tentusaja akan juga terus menerus berkembang pula.

Tulisan ini diharapkan mampu menstimulus energi masing-masing dari kita untuk bersama-sama menatap perkembangan keamanan komputer pada khususnya dan Teknologi Informasi pada umumnya.


Selanjutnya kemudian, upaya preventiflah yang hendaknya lebih baik untuk dilakukan oleh praktisi security untuk mencegah setiap kejahatan dengan berbagai modusnya ini. Karena seperti kata pepatah, mencegah adalah lebih baik daripada mengobati bukan?. Wallahu A’lam.

Komputer forensik yang juga dikenal dengan nama digital forensik, adalah salah satu cabang ilmu forensik yang berkaitan dengan bukti legal yang ditemui pada komputer dan media penyimpanan digital.

Tujuan dari komputer forensik adalah untuk menjabarkan keadaan kini dari suatu artefak digital. Istilah artefak digital bisa mencakup sebuah sistem komputer, media penyimpanan (seperti flash disk, hard disk, atau CD-ROM), sebuah dokumen elektronik (misalnya sebuah pesan email atau gambar JPEG), atau bahkan sederetan paket yang berpindah dalam jaringan komputer. Penjelasan bisa sekedar "ada informasi apa disini?" sampai serinci "apa urutan peristiwa yang menyebabkan terjadinya situasi kini?".

Komputer forensik ini juga digunakan untuk membasmi korupsi dan penipuan (fraud) di dunia maya (internet). Investigasi terhadap korupsi dan penipuan dilakukan dengan mengambil data elektronik dan kemudian dianalisa untuk digunakan di pengadilan (admissible) sebagai barang bukti legal dengan catatan data tersebut tidak boleh mengalami perubahan sedikitpun dari kondisi awal data tersebut ditemukan. Jika data tersebut berubah maka tidak dapat digunakan di pengadilan (data tidak lagi otentik).

Penggunaan komputer forensik misalnya untuk:

1. Mencari bukti penipuan atau korupsi yang dilakukan oleh karyawan
2. Melakukan analisa atas sistem komputer yang disusupi hacker. Bagaimana cara hacker tersebut mendapatkan akses dan apa yang dilakukannya.
3. Melakukan recovery data yang hilang baik disengaja maupun tidak, bahkan setelah hard disk di-format atau digunakan orang lain.

Untuk dapat diajukan sebagai bukti elektronik di pengadilan, hasil komputer forensik harus:

1. memenuhi standar tertentu yaitu (1) admissible (2) authentic (3) complete (4) believable (5) reliable
2. tools komputer forensik harus dapat divalidasi metodologinya. siapa tau ngakunya doang padahal cuma abal-abal
3. media penyimpanan elektronik yang diperiksa harus jelas ‘chain of custody’-nya sejak mulai pengambilan awal sampai akhirnya diajukan ke pengadilan
4. pada umumnya pemeriksaan media penyimpanan elektronik harus dilakukan atas izin pemiliknya (dengan menandatangani surat persetujuan atau ‘letter of consent’), kecuali yang dilakukan oleh otoritas hukum (di indo kayak kejaksaan, polisi, KPK)

Dalam proses komputer forensik, pengambilan data dikenal dengan istilah ‘forensic computer imaging’ dimana hard drive suspect dibuat copy-nya secara persis sama (termasuk juga data yang sudah dihapus dan area-area teknis hard drive yang tidak terbaca di sistem operasi).

Software yang digunakan pada komputer forensik adalah forensic imaging dengan tujuannya adalah membuat salinan yang identik dari data elektronik target. Proses imaging menjaga data awal agar supaya tidak mengalami perubahan dengan cara membuat ‘write blocked’terhadap media penyimpanan elektronik. Hardware dan software yang digunakan khusus untuk menjaga data agar supaya tetap utuh seperti sebelumnya (tidak ada perubahan) bahkan dapat membangkitkan file yang telah terhapus. Hal ini bertujuan untuk menemukan bukti bagi pelaku korupsi dan penipu.

Beberapa vendor yang menyediakan teknologi komputer forensik misalnya Paraben, Guidance (EnCase), GetData (Mount Image), dll.

Tidak ada komentar: