8.
Standar
Metodologi Komputer Forensik
Kebutuhan
akan ahli komputer forensik menjadi penting pada departemen penegakan hukum,
pemerintahan, dan perusahaan dunia. Dewasa ini tidak ada suatu metodologi
tunggal untuk melakukan analisis dan penyelidikan forensik, karena terdapat
terlalu banyak variabel. Misalkan sistem operasi, program aplikasi, algoritma
kriptografi, dan platform hardware. Di luar itu adalah aspek hukum, batas-batas
internasional, dan publisitas. Karena manusia tidak luput dari kesalahan maka
harus ada metode yang pasti untuk melakukan penyelidikan dan standar yang
dikembangkan. David Morrow menyatakan ”Seperti halnya anda tidak memulai
perjalanan jauh ke daerah asing tanpa peta jalan, jangan memulai penyelidikan
tanpa memperhatikan rencana”.
Sains
adalah metode, serta tindakan yang direncanakan untuk memperoleh dan
menganalisa barang bukti, sedangkan teknologi (dalam kasus komputer) adalah program yang memenuhi kebutuhan
tertentu untuk memperoleh dan menganalisa barang bukti. Mengikuti metode
standar merupakan hal yang penting demi kesuksesan dan keefektifan komputer
forensik, seperti halnya programmer mempergunakan metode pemrograman standar.
Perancangan dan implementasi software merupakan hal yang mirip satu sama lain.
Konsep ini dapat diterapkan pula pada komputer forensik. Bukti komputer bisa
muncul dalam bermacam bentuk dan versi. Penyelidik yang memiliki pengetahuan
mengenai banyak teknik dan metode penyimpanan bisa dengan cepat mengidentifikasikan
tempat untuk mencari tanda-tanda barang bukti. Suatu metode standar akan
memungkinkan perlindungan barang bukti.
Ada beberapa
panduan keprofesian yang diterima secara luas:
· Pengujian
forensik harus dilakukan secara menyeluruh. Pekerjaan ini menganalisa media dan
melaporkan temuan tanpa adanya prasangka atau asumsi awal.
· Media yang
dipergunakan pada pengujian forensik harus disterilisasi sebelum setiap
penggunaan.
· Image bit dari
media asli harus dibuat dan dipergunakan untuk analisa.
· Integritas dari
media asli harus dipelihara selama keseluruhan penyelidikan.
Dalam kaitan ini
terdapat akronim PPAD pada komputer forensik:
1. Preserve the
data to ensure the data is not changed (Pelihara data untuk menjamin data tidak berubah)
2. Protect the
evidence to ensure no one else has access to the evidence (Lindungi data
untuk menjamin tidak ada yang mengakses barang bukti)
3. Analyze the data
using forensically sound techniques (Lakukan analisis data mempergunakan
teknik forensik)
4.
Document
everything
(Dokumentasikan semuanya)
Di
sini integritas proses merupakan hal yang sepenting integritas data. Karena
itu, tahapan khusus diperlukan untuk melindungi barang bukti. Sedikit organisasi yang memiliki tool atau
ahli forensik sendiri untuk menangani insiden yang serius. Ahli keamanan
sendiri jarang dilatih komputer forensik sehingga kurang memiliki pengetahuan
prosedur tertentu yang diperlukan untuk persidangan. The International
Association of Computer Investigative Specialists (IACIS) memberikan tiga syarat
untuk pengujian forensik:
1.
Penggunaan
media forensik yang steril.
2.
Pengujian
harus mempertahankan integritas media asli.
3.
Printout
dan copy data hasil pengujian harus ditandai, dikenali dan disertakan.
Semua
peralatan dan keahlian yang ada tidak akan berguna jika tidak disinkronisasikan
dengan penegak hukum. Mungkin diperlukan dokumentasi yang lebih baik dan
rangkaian penanganan barang bukti. Perlu dipelajari apa yang diperlukan oleh
aparat hukum dan menyesuaikan metodologi dengannya. Karena terdapat cukup
banyak variabel pada kasus forensik, ada dua hal yang diperlukan:
1.
Definisikan
metodologi, baik aturan dan panduan.
2.
Kerjakan
sesuai metodologi itu.
Pemikirannya
di sini jika tidak bisa berargumen bagaimana anda bekerja dan mengapa melakukannya
seperti itu, hal tersebut akan dipertanyakan, “Mengapa setiap kasus ditangani
secara berbeda?” Panduan harus diikuti sebagai titik referensi setiap tahap
penyelidikan. Meski tidak bisa persis karena tak ada dua kasus yang identik.
Misalkan saja mobil Ferrari dan Honda memiliki mekanisme dasar yang sama tetapi
anda mengendarainya secara berbeda.
Hal
terpenting lainnya adalah dokumentasi rangkaian barang bukti. Misalkan saja
forensik dilakukan oleh beberapa orang, yang harus saling mengetahui tahapan
dan pekerjaan masing-masing. Perlu dicatat pula waktu dan nama yang terkait
serta langkah yang diambil. Dengan dokumentasi yang lengkap bisa mematahkan
argumen salah prosedur, jika kita mengikuti metodologi yang telah ditentukan.
Dokumentasi juga bisa membantu ahli forensik bila kasus ditangani dalam waktu
lama dan beban kerjanya tinggi.
Beberapa aspek
yang bisa dipelajari untuk meningkatkan kemampuan penyelidikan:
1.
Lakukan
pemeriksaan ulang dengan tool yang berbeda sehingga cukup memberikan keyakinan.
2.
Salah
satu hal yang tersulit adalah berusaha tetap obyektif selama penyelidikan.
Berhentilah sebentar dan periksalah kenyataan yang ada untuk meyakinkan anda
cukup beralasan. Perlu diingat pekerjaan ini berkaitan dengan mengumpulkan
semua bukti yang tersedia bukan hanya bukti yang mendukung penuntutan.
3.
Yakinkan
langkah-langkah anda disetujui oleh pihak manajemen dan staf hukum.
4.
Kaitkan
barang bukti dengan hardware tertentu.
5. Buatlah
log tertulis untuk menjamin penyelidikan mengikuti langkah-langkah yang logis
dan mampu menulis laporan yang akurat nantinya.
6.
Gunakan
capture full screen.
7.
Backup
barang bukti.
8.
Kumpulkan
juga barang bukti pada tempat terpisah.
9.
Analisis Unknown
Program
Untuk
mempelajari perilaku suatu program yang tidak kita ketahui sumber dan kegunaannya
terdapat beberapa cara:
1. Analisis
statik: Mempelajari program tanpa benar-benar mengeksekusinya. Tool yang
dipergunakan adalah dissasembler, decompiler, tool analisis kode sumber, dan
tool dasar semacam grep. Dalam kenyataannya bisa memberikan suatu gambaran
pendekatan mengenai program.
2. Analisis
dinamik: Mempelajari program saat dieksekusi. Tool yang dipergunakan adalah debugger,
tracer, emulator mesin, analisis logika dan terkadang sniffer jaringan.
Keuntungan dari analisis dinamik adalah cepat dan akurat. Kasus khusus dari
analisis dinamik adalah analisis kotak hitam (black box), yaitu analisis
dinamik tanpa mengakses internal program. Dalam kasus ini, pengamatan dilakukan
pada input dan output eksternal, serta karakteristik pewaktuannya.
3. Analisis
postmortem: Mempelajari perilaku perangkat lunak dengan mengamati dampak
setelah eksekusi program. Bisa jadi ini merupakan satu-satunya alat yang tersedia
setelah penyusupan sistem.
Analisis
dinamik harus dilakukan sehingga tidak menimbulkan kerusakan yang berbahaya,
sehingga eksekusi program bisa dijalankan pada:
1.
Mesin
“percobaan” tanpa koneksi jaringan.
2.
Mesin
dengan sandbox Virtual Machine.
Untuk
memantau kemajuan (progress) suatu program, pengamatan bisa dilakukan dengan
cara:
1.
Pengamatan
pada level instruksi mesin.
2.
Pengamatan
system call yang dipergunakan.
Suatu
mesin yang mengalami compromise tidak akan bisa dipercaya, dan semua informasi
yang berasal dari mesin tersebut perlu diragukan. Perubahan pada suatu program
aplikasi dan file data mudah dideteksi
jika diketahui file mana yang mengalami perubahan. Perubahan pada proses yang
berjalan lebih susah dideteksi, begitu pula dengan perubahan pada level kernel
sistem operasi, atau bahkan perubahan pada tingkat di bawah level kernel.
Ada beberapa
faktor yang mempengaruhi hasil dokumentasi dan laporan, seperti:
1.
Alternative
Explanations (Penjelasan Alternatif)
Berbagai
penjelasan yang akurat seharusnya dapat menjadi sebuah pertimbangan untuk
diteruskan dalam proses reporting. Seorang analis seharusnya mampu menggunakan
sebuah pendekatan berupa metode yang menyetujui atau menolak setiap penjelasan
sebuah perkara yang diajukan.
2.
Audience
Consideration (Pertimbangan Penilik)
Menghadirkan
data atau informasi keseluruh audience sangat berguna. Kasus yang melibatkan
sejumlah aturan sangat membutuhkan laporan secara spesifik berkenaan dengan
informasi yang dikumpulkan. Selain itu, dibutuhkan pula copy dari setiap fakta
(evidentiary data) yang diperoleh. Hal ini dapat menjadi sebuah pertimbangan
yang sangat beralasan. Contohnya, jika seorang Administrator Sistem sebuah
jaringan sangat memungkinkan untuk mendapatkan dan melihat lebih dalam sebuah
network traffic dengan informasi yang lebih detail.
3.
Actionable
Information
Proses
dokumentasi dan laporan mencakup pula tentang identifikasi actionable
information yang didapat dari kumpulan sejumlah data terdahulu. Dengan
bantuan data-data tersebut, Anda juga bisa mendapatkan dan mengambil berbagai
informasi terbaru.
Dunia
teknologi informasi yang berkembang sedemikian cepat sungguh diluar dugaan,
tetapi perkembangan ini diikuti pula dengan kejahatan teknologi informasi. Dan
karena kejahatan ini pula menyebabkan banyak orang harus membayar mahal untuk
mencegahnya dan menaati hukum yang ada.
Ahmad Zumena Part 1
Arwan Saputro Part 2
Faisal Akbar Purnama Putra Part 3
Iwan Setyawan Part 4
