Proses Investigasi Forensics

pada tanggal

Dari 8 miliar penduduk bumi sebanyak 5,4 miliar orang pengguna mobila dan 5,16 pengguna internet pada tahun 2023. Sedangkan penggunaan media sosial platform yang paling banyak adalah facebook kemudian secara berurut-urut youtube, whatsapp, instagram, dan wechat. Data tersebut menunjukkan telah sampai di digital era. Pada awalnya dimulai dengan adanya blueberry kemudian social media, lalu cloud, crypto dan mobile pay. Keadaan tersebut yang memungkinkan munculnya kejahatan siber atau cybercrime. Kejahatan siber memiliki pola tertentu. Langkah hacking dari kejahatan siber secara umum dapat berupa:

  1. Reconnaissance/Footprinting : mengetahui profile target
  2. Scanning : mencari celah-celah atau vulnerability
  3. Gaining Access : mencari akses untuk bisa masuk ke dalam sistem
  4. Meintaining Access : mempertahankan akses seperti jika port tertutup maka dibuka port lain
  5. Clearing Tracks : menghilangkan jejak agar tidak dapat diproses di pengadilan
sumber: https://pixabay.com/id/vectors/daftar-periksa-memeriksa-memikirkan-1266989/

Saat terkena serangan siber maka perlu dilakukan investigasi agar kejahatan tersebut dapat dipertanggungjawabkan di pengadilan. Hal-hal penting pada awal investigasi adalah jangan menghidupkan perangkat yang berada dalam keadaan non-aktif dan jangan menonaktifkan perangkat yang berada dalam keadaan hidup. Hal tersebut tentu untuk menghindari hilangnya data yang bersifat volatile. Apabila komputer dalam keadaan hidup maka siapkan flashdisk untuk melakukan triage forensic seperti imaging RAM. Apabila perangkatnya berupa mobile phone yang masih hidup maka gunakan faraday bag yang dapat memutus seluruh koneksi ke mobile phone tersebut. Untuk menjaga daya dari mobile phone bisa dilakukan charge menggunakan WiFi atau bluetooth. Berbeda dengan kejahatan yang terjadi di web maka untuk mengamankannya dapat dilakukan pengarsipan di https://archive.org/web. Pengarsipan tersebut dapat berlangsung hingga 3 bulan kedepan sehingga tidak perlu khawatir jika pembuat web melakukan penghapusan atau pengubahan.

Ada beberapa hal yang merupakan dasar dari digital forensic yaitu write protect (menghindari adanya rewrite), hashing (semua evidence harus memiliki hash untuk bukti otentikasi atau tidak berubahnya konten), acquisition (forensic imagine yaitu membuat image dari perangkat yaitu master copy, library copy, dan working copy), dan time stamp analysis (jika created date sama dengan modified date maka itu file baru dibuat, jika created date lebih muda dari modified date maka itu copy, jika created date lebih tua dari modified date maka itu editan). Aplikasi yang cukup power full untuk melakukan pemetaan terhadap working copy adalah Autopsy.

Pokok penting dari investigasi yang dilakukan dalam digital forensics dan merupakan pembeda dari investigasi lain adalah tahapannya. Forensic investigation process dapat dikatakan framework atau kerangka kerja yang harus diikuti secara strict dengan tujuan dapat diterima di pengadilan. Forensic investigation process merupakan pendekatan metodologi untuk mengidentifikasi (identify), merebut (seize), dan menalar (analysis) bukti (evidence) digital hingga sampai ke pengadilan (court). Fase dari investigasi digital forensik, yaitu:

  1. Pre-investigation Phase
    • Setting up a computer forensics lab
      • Planning & budgeting considerations
        • Berapa case yang diekspektasi?
        • Tipe investigasi seperti apa?
        • Berapa jumlah pekerja?
        • Peralatan dan perangkat lunak persyaratan?
      • Physical & structural design considerations
        • Ukuran lab?
        • Akses ke layanan esensial?
        • Estimasi jarak untuk area kerja?
        • Penghangat, ventilasi, dan pendingin?
      • Work area considerations
        • Persyaratan stasiun kerja?
        • Suasana?
        • Internet, jaringan, dan komunikasi?
        • Sistem penerangan dan kekuatan emergensi?
      • Physical security considerations
        • Elektronik sign-in?
        • Sistem alarm gangguan?
        • Sistem pencegahan kebakaran?
      • Human resources considerations
        • Jumlah personel?
        • Pelatihan dan sertifikasi?
      • Forensic lab licensing
        • ASCLD/Lab Accreditation
        • ISO/IEC 17025 Accreditation
  2. Investigation Phase
    • Documenting the electronic crime scene
      • Siapkan dokumen rekaman dari proses investigasi untuk identifikasi, ekstaksi, analisis, dan melestarikan bukti atau evidence
    • Search and seizure
      • Description of the incident
      • Case name or title of the incident
      • Location of the incident
      • Applicable jurisdiction and relevant legislation
      • Determining the extent of authority to search
      • Creating a chain of custody document
      • Details of equipment to be seized
      • Search and seizure type (overt/convert)
      • Approval from local management
      • Health and safety precautions
    • Evidence preservation
      • Pastikan bebas dari kontaminasi sekecil apapun
      • Lakukan isolasi, amankan, dan pindahkan
      • Pastikan tanggal dan waktu pemindahan tercatat
      • Prosedur harus bisa melindungi evidence
    • Data acquisition
      • Lakukan proses pembuatan image
      • Sambil menunggu proses dapat dilakukan ekstraksi informasi yang berkaitan
      • Buat master copy, library copy, dan working copy
      • Verifikasi kekauratan data yang diakusisi
    • Data analysis
      • Periksa, identifikasi, pisahkan, konversi, dan modelkan data untuk mendapatkan informasi yang berguna
      • Teknik yang digunakan bergantung dengan kasus dan persyaratan client
    • Case analysis
      • Lakukan eksplorasi yang lebih dalam
      • Kumpulkan informasi tambahan
      • Pertimbangkan komponen yang memiliki relevansi
  3. Post-investigation
    • Gathering and organizing information
      • Tentu saja informasi yang dikumpulkan dan diorganisasi adalah informasi yang sesuai dengan case
    • Writing the investigation report
      • Ini adalah bagian krusial dari hasil investigasi, seringkali bahasa yang digunakan seorang teknikal investigator akan berbeda dengan bahasa ahli hukum oleh sebab itu dalam penulisan hasil perlu mendapat bantuan dari ahli hukum. Di mata pengadilan setiap kata itu memiliki implikasi hukum tertentu sehingga diperlukan kehati-hatian. Misalnya kata bukti elektronik dan dokumen elektronik itu memiliki makna yang berbeda. Bukti elektronik merujuk pada evidence yang bersifat terisolasi sedangkan dokumen elektronik bisa berupa informasi yang disimpan secara elektronik.
    • Forensics investigation report template
      • Ini bisa dibuat sendiri atau template yang diberikan dari client atau institusi tertentu.
    • Testifying as an expert witness
      • Ketika menjadi ahli di pengadilan maka ikuti apa yang telah menjadi prosedur di pengadilan kemudian mulai jelaskan keahlian yang dimiliki, pastikan semua bukti dibawa dan dokumen legalitas terpenuhi.
Proses investigasi merupakan inti dari seorang digital forensics. Kerangka kerja yang ada bergantung dari standar yang diikuti. Tentu saja kerangka kerja proses investigasi tersebut bersifat strict. Hal ini terjadi karena akan diperiksa di meja pengadilan secara teliti.




ref:
Kombes Pol. Muhammad Nuh al-Azhar, MSc., CHFI., CEI., ECIH.
ec-council

Komentar

Posting Komentar