Forensik komputer adalah metode pengumpulan, analisis, dan pelaporan informasi digital dengan cara yang diizinkan secara hukum. Ini dapat digunakan untuk mendeteksi dan mencegah kejahatan, dan dalam perselisihan di mana bukti disimpan secara digital. Forensik komputer memiliki tahapan pemeriksaan yang sama dengan disiplin ilmu forensik lainnya dan menghadapi masalah yang serupa.
Tentang panduan ini
Panduan ini menjelaskan forensik komputer dari sudut pandang netral. Ini tidak terkait dengan hukum tertentu, tidak dimaksudkan untuk mempromosikan perusahaan atau produk tertentu, dan tidak ditulis dengan bias penegakan hukum atau forensik komputer komersial. Ini ditargetkan dan memberikan gambaran umum tentang forensik komputer. Meskipun panduan ini menggunakan istilah “komputer”, konsep ini berlaku untuk perangkat apa pun yang dapat menyimpan informasi digital.
Ketika metodologi disebutkan, mereka diberikan sebagai contoh saja dan bukan merupakan rekomendasi atau saran. Menyalin dan menerbitkan semua atau sebagian dari artikel ini hanya diizinkan di bawah persyaratan lisensi Creative Commons-View-NonCommercial 3.0.
Penggunaan komputer forensik
Ada beberapa area kejahatan atau konflik di mana forensik komputer tidak dapat diterapkan. Lembaga penegak hukum adalah pengguna forensik komputer paling awal dan terberat dan, sebagai akibatnya, sering berada di garis depan pembangunan di bidang ini. Komputer dapat menjadi “TKP” seperti peretasan [1] dan serangan penolakan layanan [2]. Kami juga dapat menyimpan bukti dalam bentuk email, riwayat internet, dokumen, atau file lain yang terkait dengan kejahatan seperti pembunuhan.
Penculikan, penipuan, perdagangan narkoba. Penyelidik tidak hanya tertarik pada konten email, dokumen, dan file lain, tetapi juga “metadata” [3] yang terkait dengan file tersebut. Penelitian forensik komputer menunjukkan kapan dokumen pertama kali ditampilkan di komputer, kapan terakhir diedit, kapan terakhir disimpan atau dicetak, dan siapa yang melakukan operasi ini. Mungkin menjadi jelas.
Saat ini, organisasi nirlaba mendapat untung dari forensik komputer dalam berbagai kasus, termasuk:
Pedoman
Agar barang bukti dapat diterima sebagai alat bukti, maka harus dapat diandalkan dan tidak menguntungkan. Salah satu pedoman yang diterima secara luas untuk mendukung hal tersebut adalah Asosiasi Perwira Tinggi Kepolisian berbasis komputer.
Ada Panduan Praktik yang Baik tentang Barang Bukti Elektronik, atau ACPO Guide Singkatnya. Panduan ACPO ditujukan untuk lembaga penegak hukum Inggris, tetapi prinsip-prinsip utamanya berlaku untuk semua forensik komputer di badan legislatif mana pun. Empat prinsip utama dari panduan ini direproduksi di bawah ini (referensi untuk penegakan hukum dihapus):
Singkatnya, tidak ada perubahan yang harus dilakukan pada aslinya, tetapi jika akses / perubahan diperlukan, pemeriksa perlu mengetahui apa yang dia lakukan dan mencatat tindakannya.
Dapatkan siaran langsung
Prinsip 2 di atas dapat mengangkat isu-isu seperti: Dalam keadaan apa inspektur forensik komputer perlu mengubah tersangka menjadi komputer? Secara tradisional, inspektur forensik komputer menyalin (atau mengambil) informasi dari perangkat yang dimatikan. Pemblokir tulis [4] digunakan untuk membuat bit yang tepat dari salinan bit [5] dari media penyimpanan asli. Pemeriksa kemudian bekerja dari salinan ini dan aslinya jelas tidak berubah.
Namun, Anda mungkin tidak dapat mematikan komputer atau mungkin tidak menginginkannya. Anda mungkin tidak dapat mematikan komputer Anda jika mematikannya menyebabkan kerugian finansial atau kerugian lain yang signifikan bagi pemiliknya.
Mematikan komputer Anda bisa jadi tidak diinginkan jika Anda berpotensi kehilangan bukti berharga. Dalam kedua situasi ini, pemeriksa forensik komputer harus melakukan “akuisisi langsung”, termasuk menjalankan program kecil di komputer yang mencurigakan, untuk menyalin (atau memperoleh) data ke hard drive pemeriksa.
Dengan menjalankan program tersebut dan menghubungkan drive tujuan ke komputer yang mencurigakan, pemeriksa membuat perubahan dan/atau penambahan status komputer yang tidak ada sebelum tindakannya. Perilaku tersebut akan terus ditoleransi selama pemeriksa dapat merekam perilaku tersebut, mengenali dampaknya dan menjelaskan perilaku tersebut.
tahap ujian
Untuk keperluan artikel ini, proses pemeriksaan forensik komputer dibagi menjadi enam tahap. Ini ditampilkan dalam urutan kronologis normal, tetapi harus fleksibel selama pengujian. Misalnya, selama fase analisis, pemeriksa dapat menemukan petunjuk baru, memastikan penyelidikan komputer lebih lanjut, dan kembali ke fase evaluasi.
Persiapan
Persiapan forensik merupakan langkah penting dalam proses peninjauan dan terkadang diabaikan. Forensik komputer komersial melibatkan mendidik klien tentang persiapan sistem. Inspeksi forensik memberikan bukti yang lebih kuat, misalnya, jika sistem audit dan logging internal server atau komputer dihidupkan. Untuk penguji, ada banyak bidang yang dapat dibantu oleh organisasi sebelumnya.
Ini termasuk pelatihan, pengujian reguler dan verifikasi perangkat lunak dan peralatan, pemahaman hukum, menangani masalah yang tidak terduga (misalnya, apa yang harus dilakukan jika ada pornografi anak selama pekerjaan komersial), di tempat Kit akuisisi lengkap dan berfungsi dengan baik.
Evaluasi
Tahap evaluasi termasuk menerima instruksi yang jelas, analisis risiko, dan menetapkan peran dan sumber daya. Analisis risiko penegakan hukum dapat mencakup penilaian potensi ancaman fisik terhadap akses tersangka ke properti dan cara terbaik untuk menghadapinya. Organisasi komersial juga perlu menyadari masalah kesehatan dan keselamatan, dan penilaian mereka juga mencakup reputasi dan risiko keuangan dalam menerima proyek tertentu.
koleksi
Akuisisi, yang merupakan bagian utama dari fase pengumpulan, telah diperkenalkan di atas. Jika pengumpulan dilakukan di lapangan daripada di laboratorium forensik komputer, tahap ini melibatkan identifikasi lokasi, perlindungan, dan dokumentasi. Wawancara atau pertemuan biasanya diadakan pada tahap ini dengan personel yang mungkin memiliki informasi yang mungkin relevan dengan ujian, termasuk pengguna akhir komputer, manajer, dan penyedia layanan komputer. Jejak audit “pengantongan dan penandaan” dimulai dengan menyegel semua bahan dalam kantong anti-rusak yang unik. Transportasi bahan yang aman dan terjamin ke laboratorium pemeriksa juga harus diperhitungkan.