Digital Forensik dan Penanganan Pasca Insiden

Digital Forensik dan Penanganan Pasca Insiden

Asrizal, Zuhri Ramadhan

Program Studi Magister Teknik Informatika

Universitas Sumatera Utara

ujiansemester@gmail.com, ramadhan_zol@yahoo.co.id  

Abstrak

Pesatnya perkembangan dan pemanfaatan teknologi informasi pada berbagai aktivitas manusia memberi dampak yang positif dengan meningkatnya kinerja, efisiensi dan efektivitas kerja. Namun disisi lain, perkembangan ini juga memberikan dampak negatif yang tidak bisa kita sangkal begitu saja. Dengan kecanggihan perangkat-perangkat digital saat ini, kejahatan juga semakin canggih dengan berbagai modus dan model yang belum pernah ada sebelumnya.

Berbagai kasus dan persoalan hukum yang mencuat akhir-akhir ini telah membuka mata kita akan pentingnya keahlian dibidang Digital Forensik dalam mendukung investigasi pada kasus kejahatan khususnya kejahatan pada bidang computer (cybercrime). Sebagai bagian dari Keamanan Komputer (IT Security) Digital Forensik merupakan kajian yang menarik dengan menerapkan metode-metode tertentu dalam menelusuri bukti-bukti secara ilmiah dan dapat dipertanggungjawabkan secara hukum untuk mengungkap sebuah kasus kejahatan/kriminal.

Kata kunci: Digital Forensik, kejahatan, bukti, digital

Pendahuluan

Cybercrimes always have cybertrails. Di era serba digital seperti sekarang ini, setiap kasus pasti memiliki jejak digital yang bisa dilacak. Kasus Bank Century, kasus BLBI yang melibatkan Artalyta Suryani dan jaksa Urip Tri Gunawan, kasus pembunuhan Nasruddin Zulkarnain yang melibatkan mantan ketua KPK Antasari Azhar,  pembajakan situs KPU, pembobolan ATM menggunakan skimmer, tersebarnya video mesra mirip artis  papan atas Indonesia hingga kasus mafia pajak Gayus Tambunan yang cukup menghebohkan dengan keluar tahanan untuk liburan dan pelesiran ke luar negeri, merupakan beberapa contoh kasus yang banyak mengandalkan barang bukti digital dalam pengungkapan dan penyelesaiannya.

Penyelidikan forensik dilakukan karena berbagai alasan diantaranya berkaitan dengan investigasi kriminal, atau proses pengadilan sipil, dan berbagai macam situasi lainnya termasuk pelacakan langkah yang mungkin diambil ketika data telah hilang. Tujuan utama Digital Forensik adalah untuk memberikan bukti digital dari suatu aktivitas tertentu atau umum dalam mengungkap sebuah kasus kejahatan.

Karena luasnya lingkup yang menjadi objek penelitian dan pembahasan Digital Forensik maka ilmu Digital Forensik dibagi kedalam beberapa bagian yaitu: firewall forensics, network forensics, database forensics, dan mobile device forensics.

Definisi Digital Forensik

Ada beberapa definisi yang bisa dijadikan acuan tentang apa sebenarnya Digital Forensik. Sebagaimana dikemukakan oleh Marcella[1], Digital Forensik adalah aktivitas yang berhubungan dengan pemeliharaan, identifikasi,  pengambilan/penyaringan, dan dokumentasi bukti digital dalam kejahatan komputer. Istilah ini relatif baru dalam bidang komputer dan teknologi, tapi telah muncul diluar term teknologi (berhubungan dengan investigasi bukti-bukti intelijen dalam penegakan hukum dan militer) sejak pertengahan tahun 1980-an.

Menurut Casey[2]: Digital Forensik adalah karakteristik bukti yang mempunyai kesesuaian dalam mendukung pembuktian fakta dan mengungkap kejadian berdasarkan bukti statistik yang meyakinkan.

Sedangkan menurut Budhisantoso[3], Digital Forensik adalah kombinasi disiplin ilmu hukum dan pengetahuan komputer dalam mengumpulkan dan menganalisa data dari sistem komputer, jaringan, komunikasi nirkabel, dan perangkat penyimpanan sehingga dapat dibawa sebagai barang bukti di dalam penegakan hukum.

Definisi lain sebagaimana yang terdapat pada situs Wikipedia[4] yaitu: Komputer Forensik yang juga dikenal dengan nama Digital Forensik, adalah salah satu cabang ilmu forensik yang berkaitan dengan bukti legal yang ditemui pada komputer dan media penyimpanan digital.

Dari definisi diatas dapat disimpulkan bahwa Digital Forensik adalah penggunaan teknik analisis dan investigasi untuk mengidentifikasi, mengumpulkan, memeriksa dan menyimpan bukti/informasi yang secara magnetis tersimpan/disandikan pada komputer atau media penyimpanan digital.

Tahapan-tahapan pada Digital Forensik

Seorang ahli Digital Forensik dapat menggambarkan tahapan dan metode-metode yang digunakan untuk mendapatkan informasi tentang file terhapus, terenkripsi ataupun yang rusak. Lalu apa saja sebenarnya tahapan-tahapan dalam implementasi Digital Forensik?  Secara umum ada 4 (empat) tahapan yang harus dilakukan dalam implementasi Digital Forensik, yaitu:

1. Pengumpulan (Acquisition)

2. Pemeliharaan (Preservation)

3. Analisa (Analysis)

4. Presentasi (Presentation)

 

.

Gambar 1.

Tahapan Digital Forensik

1.       Acquisition (Pengumpulan).

Mengumpulkan dan mendapatkan bukti-bukti yang mendukung penyelidikan. Tahapan ini merupakan tahapan yang sangat menentukan karena bukti-bukti yang didapatkan akan sangat mendukung penyelidikan untuk mengajukan seseorang ke pengadilan dan diproses sesuai hukum hingga akhirnya dijebloskan ke tahanan. Media digital yang bisa dijadikan sebagai barang bukti mencakup sebuah sistem komputer, media penyimpanan (seperti flash disk, pen drive, hard disk, atau CD-ROM), PDA, handphone, smart card, sms, e-mail, cookies, log file, dokumen atau bahkan sederetan paket yang berpindah dalam jaringan komputer. Penelusuran bisa dilakukan untuk sekedar mencari "ada informasi apa disini?" sampai serinci pada "apa urutan peristiwa yang menyebabkan terjadinya situasi terkini?".

Software ataupun tools yang bisa digunakan dalam mendukung tahapan ini antara lain:

·         Forensic Acquisition Utilities  (http://users.erols.com/gmgarner/forensics/)

·         FTimes  (http://ftimes.sourceforge.net/FTimes/index.shtml)

·         liveview (http://liveview.sourceforge.net/)

·         netcat  (http://www.atstake.com/research/tools/network_utilities/pdd)

·         ProDiscover DFT (www.techpathways.com)

·         psloggedon  (http://www.sysinternals.com/ntw2k/freeware/psloggedon.shtml)

·          TULP2G  (http://sourceforge.net/projects/tulp2g/)

·         UnxUtils  (http://unxutils.sourceforge.net)

·         Webjob  (http://webjob.sourceforge.net/WebJob/index.shtml).

2.       Preservation (Pemeliharaan).

Memelihara dan menyiapkan bukti-bukti yang ada. Termasuk pada tahapan ini melindungi bukti-bukti dari kerusakan, perubahan dan penghilangan oleh pihak-pihak tertentu. Bukti harus benar-benar steril artinya belum mengalami proses apapun ketika diserahkan kepada ahli digital forensik untuk diteliti. Kesalahan kecil pada penanganan bukti digital dapat membuat barang bukti digital tidak diakui di pengadilan. Bahkan menghidupkan komputer dengan tidak hati-hati bisa saja merusak/merubah barang bukti tersebut. Seperti yang diungkapkan Peter Plummer[5] : “When you boot up a computer, several hundred files get changed, the data of access, and so on. Can you say that computer is still exactly as it was when the bad guy had it last?”. Sebuah pernyataan yang patut dipikirkan bahwa bagaimana kita bisa menjamin kondisi komputer tetap seperti keadaan terakhirnya ketika ditinggalkan oleh pelaku kriminal manakala komputer tersebut kita matikan atau hidupkan kembali. Karena ketika komputer kita hidupkan terjadi beberapa perubahan pada temporary file, waktu akses, dan seterusnya. Sekali file-file ini telah berubah ketika komputer dihidupkan tidak ada lagi cara untuk mengembalikan (recover) file-file tersebut kepada keadaan semula. Komputer dalam kondisi hidup juga tidak bisa sembarangan dimatikan. Sebab ketika komputer dimatikan bisa saja ada program penghapus/perusak yang dapat menghapus dan menghilangkan bukti-bukti yang ada. Ada langkah-langkah tertentu yang harus dikuasai oleh seorang ahli digital forensik dalam mematikan/menghidupkan komputer tanpa ikut merusak/menghilangkan barang bukti yang ada didalamnya.

                                                                                                                              

Karena bukti digital bersifat sementara (volatile), mudah rusak, berubah dan hilang, maka seorang ahli Digital Forensik harus mendapatkan pelatihan (training) yang cukup untuk melakukan tahapan ini. Aturan utama pada tahap ini adalah penyelidikan tidak boleh dilakukan langsung pada bukti asli karena dikhawatirkan akan dapat merubah isi dan struktur yang ada didalamnya.  Hal ini dapat dilakukan dengan melakukan copy data secara Bitstream Image pada tempat yang sudah pasti aman. Bitstream image adalah metode penyimpanan digital dengan mengkopi setiap bit demi bit dari data orisinil, termasuk file yang tersembunyi (hidden files), file temporer (temporary file), file yang terdefrag (defragmented file), dan file yang belum ter­overwrite. Dengan kata lain, setiap biner digit demi digit di-copy secara utuh dalam media baru. Teknik ini umumnya diistilahkan dengan cloning atau imaging. Data hasil cloning inilah yang selanjutnya menjadi objek penelitian dan penyelidikan.

3.       Analisa (Analysis)

Melakukan analisa secara mendalam terhadap bukti-bukti yang ada. Bukti yang telah didapatkan perlu di-explore kembali kedalam sejumlah skenario yang berhubungan dengan tindak pengusutan, antara lain: siapa yang telah melakukan, apa yang telah dilakukan (contoh : apa saja software yang digunakan), hasil proses apa yang dihasilkan, dan waktu melakukan).

Penelusuran bisa dilakukan pada data sebagai berikut: alamat URL yang telah dikunjungi,  pesan e-mail atau kumpulan alamat e-mail yang terdaftar, program word processing atau format ekstensi yang dipakai, dokumen spreedsheat yang dipakai, format gambar yang dipakai apabila ditemukan, file-file yang dihapus maupun diformat, password, registry windows, hidden files, log event viewers, dan log application. Termasuk juga pengecekan metadata. Kebanyakan file mempunyai metadata yang berisi informasi yang ditambahkan mengenai file tersebut seperti computer name, total edit time, jumlah editing session, dimana dicetak, berapa kali terjadi penyimpanan (saving), tanggal dan waktu modifikasi.

Selanjutnya melakukan recovery dengan mengembalikan file dan folder yang terhapus, unformat drive, membuat ulang partisi, mengembalikan password, merekonstruksi ulang halaman web yang pernah dikunjungi, mengembalikan email-email yang terhapus dan seterusnya. Untuk analisis media, tools yang bisa digunakan antara lain:

·         TestDisk (http://www.cgsecurity.org/testdisk.html)

·         Explore2fs  (http://uranus.it.swin.edu.au/~jn/linux/explore2fs.htm)

·         ProDiscover DFT (http://www.techpathways.com)

Sedangkan untuk analisis aplikasi, tools yang bisa digunakan:

·         Event Log Parser (http://www.whitehats.ca/main/members/Malik/malik_eventlogs/malik_eventlogs.html)

·         Galleta  (http://www.foundstone.com/resources/proddesc/galleta.htm)

·         libpff  (http://libpff.sourceforge.net)

·         md5deep  (http://md5deep.sourceforge.net/)

·         MD5summer  (http://www.md5summer.org/)

·         Outport  (http://outport.sourceforge.net/)

·         Pasco  (http://www.foundstone.com/resources/proddesc/pasco.htm)

·         RegRipper  (http://windowsir.blogspot.com/2008/04/updated-regripper.html)

·         Rifiuti  (http://www.foundstone.com/resources/proddesc/rifiuti.htm)

4.       Presentasi (Presentation).

Menyajikan dan menguraikan secara detail laporan penyelidikan dengan bukti-bukti yang sudah dianalisa secara mendalam dan dapat dipertanggung jawabkan secara ilmiah di pengadilan. Beberapa hal penting yang perlu dicantumkan pada saat presentasi/panyajian laporan ini, antara lain:

·         Tanggal dan waktu terjadinya pelanggaran

·         Tanggal dan waktu pada saat investigasi

·         Permasalahan yang terjadi

·         Masa berlaku analisa laporan

·         Penemuan bukti yang berharga (pada laporan akhir penemuan ini sangat ditekankan sebagai bukti penting proses penyidikan)

·         Tehnik khusus yang digunakan, contoh: password cracker

·         Bantuan pihak lain (pihak ketiga)

Laporan yang disajikan harus di cross check langsung dengan saksi yang ada, baik saksi yang terlibat langsung maupun tidak langsung.

Kesimpulan

Digital Forensik merupakan teknik ilmiah yang meneliti perangkat digital dalam membantu pengungkapan berbagai macam kasus kejahatan. Tahapan-tahapan yang dilakukan pada Digital Forensik meliputi: Pengumpulan (Acquisition), Pemeliharaan (Preservation), Analisa (Analysis), dan Presentasi (Presentation).

Untuk menjadi seorang ahli dibidang Digital Forensik, harus didukung dengan pengetahuan tentang teknologi informasi secara menyeluruh baik hardware maupun software, meliputi: sistem operasi, bahasa pemrograman, media penyimpanan komputer, networking, routing, protokol komunikasi dan sekuriti, kriptologi, teknik pemrograman terbalik, teknik investigasi, perangkat komputer forensik, bentuk/format file, dan segala aplikasi software tools forensik. Anda pun perlu didukung berbagai sertifikat yang tidak sedikit, antara lain Certified Information System Security Professional (CISSP) yang diberikan lembaga yang bernama Information Systems Security Certification Consortium (ISC) 2, lalu Certified Forensics Analyst (CFA), Experienced Computer Forensic Examiner(ECFE), Certified Computer Examiner (CCE), Computer Hacking Forensic Investigator (CHFI) dan Advanced Information Security (AIS).

Daftar Pustaka

Budi Rahardjo, “Hukum dan Dunia Cyber”, PT. Indosic, Jakarta, 2003

Budhisantoso, Nugroho, Personal Site, alamat: www.forensik-komputer.info

Eoghan Casey, “Digital Evidence and Computer Crime”, 2nd ed., hal. 20

Marcella, Albert J., and Robert S. Greenfiled, “Cyber Forensics a field manual for collecting, examining, and preserving evidence of computer crimes”, by CRC Press LLC, United States of America

Moroni Parra, “Computer Forensic”, 2002, http://www.giac.org/practical/moroni_parra_GSEC.doc

http://www.wikipedia.org

http://www.infokomputer.com/sekuriti/menyisir-jejak-forensik-digital

http://komputeronline.net/security/tutorial-digital-forensik-untuk-membongkar-berbagai-kasus.html

http://www.kr.co.id/web/detail.php?sid=216925&actmenu=46

http://budi.insan.co.id/courses/el7010/2003/rahmadi-report.pdf

Penanganan Pasca Insiden

Proses penanganan terhadap insiden keamanan informasi:

1.Persiapan
Sebelum insiden terjadi kita harus melakukan persiapan, apa yang harus kita siapkan dan apa yang harus dilakukan.
2.Deteksi dan Analisa
Dalam hal ini kita harus mendeteksi dan menganalisa apa masalah-masalah yang nantinya mungkin terjadi.
3.Pengurungan, pembersihan dan pemulihan
Maksudnya disini adalah kita harus menjaga keberadaan infrastuktur atau peralatan sistem informasi, melakukan perawatan,pembersihan, dan pemulihan.
4.Aktifitas pasca insiden.
Kita harus menyiapkan langkah-langkah yang akan dilakukan jika nantinya terjadi suatu insiden.
Penanganan terhadap insiden keamanan informasi
1.Tetapkan rencana penanganan insiden (Incident Response Plan) termasuk proses identifikasi dan manajemen insiden, analisa anomalies dan pengevaluasian semua status insiden
2.Periksa efektifitas dan validitas rancangan tersebut serta hasil evaluasi kerentanan sistem terakhir berikut test penetrasinya
3.Tangani situasi keamanan dengan baik dengan memperhatikan penanganan yang cepat dan tetap selalu mengupayakan langkah preventif terhadap potensi kerusakan berikutnya. Amankan informasi elektronik yang ada berikut bukti-bukti digital lainnya demi kepentingan pembuktian secara hukum
4.Upayakan agar aktivitas bisnis, organisasi dan manajemen tetap berjalan sebagaimana mestinya selama masa penanganan
5.Laporkan dan/atau Koordinasikan kejadian tersebut dengan instansi yang terkait baik internal organisasi maupun eksternal organisasi dan lakukan langkah tindakan hukum (legal action) sekiranya diperlukan. Jangan lakukan kompromi atau peringatan kepada pelaku meskipun anda mengetahuinya dan mengenalinya
6.Evaluasi dan perbaiki kerentanan sistem yang terjadi
7.Biarkan proses penegakan hukum berjalan sebagaimana mestinya dan hindari pemberian informasi ataupun opini kepada media masa untuk mencegah miskomunikasi kepada publik

---

[1] Marcella, Albert J., and Robert S. Greenfiled, “Cyber Forensics a field manual for collecting, examining, and preserving evidence of computer crimes”, by CRC Press LLC, United States of America

[2] Eoghan Casey, “Digital Evidence and Computer Crime”, 2nd ed., hal. 20

[3] Budhisantoso, Nugroho, Personal Site, alamat: www.forensik-komputer.info

[4] http://id.wikipedia.org/wiki/Komputer_forensik

[5] Seorang pengacara pada Divisi High-Tech Crime di Kepolisian Michigan, Amerika Serikat