Freezing The Scene
(Part 2)
Menurut Pavel Gladyshev prinsip kerja dari forensik
digital adalah:
=> Pemeliharaan (“Freezing the Crime Scene”).
Mengamankan lokasi dengan cara menghentikan atau
mencegah setiap aktivitas yang dapat merusak atau menghilangkan barang bukti.
· => Pengumpulan.
Menemukan dan mengumpulkan semua barang bukti digital
atau hal – hal yang dapat menjadi barang bukti atau informasi apa saja yang
masih bersangkutan dengan kasus yang sedang diselidiki.
· => Pemeriksaan.
Menganilisis barang bukti yang ada dan mencari data
sebanyak–banyaknya yang berhubungan dengan kasus. Tahap ini adalah penentuan
apakah pelaku kejahatan bisa tertangkap atau lolos dari jeratan hukum.
· => Analisis.
Menyimpulkan
bukti–bukti yang dikumpulkan selama proses penyelidikan.
Pemeriksaan
yang dilakukan oleh petugas yang tidak berpengalaman dan tidak mengerti
forensic digital (prosedur forensic digital), hampir dapat dipastikan akan
menghasilkan bukti yang tidak hampir pasti menghasilkan bukti yang tidak dapat
diterima di pengadilan hukum.
Permodelan Forensik
Proses forensik setidaknya akan melibatkan 3 komponen yang harus di kelola
dengan baik sehingga membentuk hasil akhir yang layak untuk di pertanggung
jawabkan kebenarannya. Ketiga komponen tersebut adalah :
1. Manusia (People), diperlukan kualifikasi untuk
mencapai manusia yang berkualitas. Memang mudah untuk belajar komputer
forensik, tetapi untuk menjadi ahlinya, dibutuhkan lebih dari sekadar
pengetahuan dan pengalaman.
2.
Peralatan (Equipment), diperlukan sejumlah perangkat
atau alat yang tepat untuk mendapatkan sejumlah bukti (evidence) yang dapat
dipercaya dan berkuliatas bukan sekadar bukti palsu. Jenis peralatan :
perangkat lunak, perangkat keras, media penyimpanan
3.
Aturan (Protocol), diperlukan dalam menggali,
mendapatkan, menganalisis, dan akhirnya menyajikan dalam bentuk laporan yang
akurat. Dalam komponen aturan, diperlukan pemahaman yang baik dalam segi hukum
dan etika, kalau perlu dalam menyelesaikan sebuah kasus perlu melibatkan peran
konsultasi yang mencakup pengetahuan akan teknologi informasi dan ilmu hukum.
Dalam proses
investigasi komputer yang diyakini telah disusupi, biasanya akan memerlukan
waktu lebih lama dari pada proses penyusupan itu sendiri. Sebagai ilustrasi,
jika sebuah usaha hacking untuk mengambil alih sebuah system membutuhkan waktu
sekitar 2 jam, maka proses investigasi insiden yang terjadi dapat membutuhkan
waktu 40 jam (mungkin juga lebih) untuk mendapatkan ‘false-positive report’ dan
pengumpulan catatan segala aktifitas dari sistem tersebut. Waktu yang
dialokasikan tersebut belum termasuk aktivitas memperbaiki dan mengembalikan
(restoring) data yang kemungkinan besar ikut hilang pada proses intrusi.
Perlunya Perlindungan Bukti
Dari penyelidikan yang dilakukan oleh Electronic Privacy Information Center
(EPIC), “Sejak 1992 jumlah kasus kejahatan komputer telah meningkat tiga
kali.Dari 419 kasus yang diajukan oleh penuntut hanya 83 yang dieksekusi karena
kurangnya bukti. Saat suatu kasus diajukan bisa memakan waktu persidangan
sampai lima tahun. Alasannya adalah bukti yang dikumpulkan pada kasus kejahatan
komputer sangat kompleks.”
Banyak kasus tidak dibawa ke pengadilan karena barang bukti yang tidak memadai.
Bukti harus ditangani secara hati-hati untuk mencegah penolakan dalam
pengadilan, karena rusak atau mengalami perubahan. Barang bukti komputer
merupakan benda yang sensitif dan bisa mengalami kerusakan karena salah
penanganan. Ahli forensik harus menanganinya sedemikian sehingga dijamin tidak
ada kerusakan atau perubahan.
Ahli forensik bisa mengidentifikasikan penyusupan dengan mengetahui apa yang
harus dicari, dimana, dan bukti lain yang diperlukan. Informasi harus mencukupi
untuk menentukan apakah upaya penegakan hukum harus disertakan.Proteksi barang
bukti merupakan suatu hal yang krusial. Barang bukti tidak boleh rusak atau
berubah selama tahapan dan proses recovery dan analisis, juga diproteksi dari
kerusakan virus dan mekanis/elektromekanis. Proses harus dilakukan secepat mungkin
setelah insiden supaya detilnya masih terekam baik oleh mereka yang terlibat.
Hal itu bisa dimulai dengan catatan secara kronologis.Misalnya tentang tanggal,
jam, dan deskripsi komputer. Bila menganalisa server mungkin akan diperiksa
event log. Karena user bisa mengubah waktu dengan mudah, perhatikanlah
bagaimana kecocokannya dengan kronologi kejadian. Buka komputer dan lihat
apakah ada lebih dari satu hard disk, catat peripheral apa yang terhubung,
termasuk nomor seri hard disk.
Beberapa ancaman terhadap barang bukti :
*) Virus : dapat mengakibatkan kerusakan atau perubahan
file.
*) Prosedur cleanup : yaitu adanya
program atau script yang menghapus file saat komputer shutdown ataustart
up.
*) Ancaman eksternal : misal dari lingkungan yang tidak
kondusif sehingga merusak data. Seperti tempat yang terlalu panas, dingin, atau
lembab.
Untuk pembahasan lebih lanjut mengenai Penanganan Insiden Forensik Freezing the Scene dapat dilihat pada link dibawah ini :
Untuk pembahasan lebih lanjut mengenai Penanganan Insiden Forensik Freezing the Scene dapat dilihat pada link dibawah ini :
Ahya Mukhlis (part 1) http://amoekinspirasi.wordpress.com/2013/10/14/penanganaan-insiden-forensik-freezing-the-scene/
Andryan Sitorus (part 3) http://bolehdilihat.wordpress.com/2013/10/14/penanganan-insiden-forensik-dan-freezing-scene/
Riswan Siregar (part4) http://riswanagnita.blogspot.com/2013/10/freezing-scene-part-4.html
Nicky Valiant (part 5) http://nicxusedell.blogspot.com/2013/10/freezing-scene-season-1.html
Andryan Sitorus (part 3) http://bolehdilihat.wordpress.com/2013/10/14/penanganan-insiden-forensik-dan-freezing-scene/
Riswan Siregar (part4) http://riswanagnita.blogspot.com/2013/10/freezing-scene-part-4.html
Nicky Valiant (part 5) http://nicxusedell.blogspot.com/2013/10/freezing-scene-season-1.html
