IT FORENSIK ??? (Pertemuan ke-12 Etika Profesi)

Mata Kuliah Etika Profesi program studi Teknologi Informasi, Fakultas Ilmu Komputer, Universitas Jember, oleh Dosen Bapak Fahrobby Adnan,S.Kom.,MMSI.

Pengertian forensik secara umum adalah suatu proses ilmiah dalam mengumpulkan, menganalisa, dan menghadirkan berbagai bukti dalam sidang pengadilan terkait adanya suatu kasus hukum.

Kemudian pengertian forensik komputer adalah suatu proses mengidentifikasi, menganalisa, dan menggunakan bukti digital menurut hukum yang berlaku. Dari sini saja sudah jelas ya perbedaan antara forensik dan forensik komputer dimana kalau forensik komputer adalah pengumpulan bukti dalam bentuk digital.

Dunia forensik komputer ini istilahnya semakin luas hingga sampai Forensik Teknologi Informasi.

Sebenernya apasih bedanya dengan forensik komputer? Jadi forensik teknologi informasi itu adalah proses dimana mengumpulkan dan menganalisa data dari sumber daya komputer. Ada beberapa hal atau bidang yang bisa didapatkan di dalam komputer untuk mendapatkan bukti, yaitu:

a. Sistem Komputer

b. Jaringan Komputer

c. Jalur Komunikasi

d. Media Penyimpanan

e. Aplikasi Komputer

Forensik Teknologi Informasi sendiri merupakan forensik yang menjadi perpaduan antara ilmu hukum dan ilmu komputer. Forensik Teknologi Informasi adalah istilah yang semakin luas dari Forensik Komputer gais.

1. Mendapatkan fakta-fakta yang objektif dari sebuah insiden/pelanggaran keamanan sistem informasi. Pelanggaran-pelanggaran yang dilakukan tidak harus selalu tentang kejahatan IT, tetapi bisa ke kejahatan lain yang menggunakan teknologi sebagai media kejahatannya.

2. Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-bukti (evidence) yang akan digunakan dalam proses hukum.

Komponen-komponen dalam IT Forensic ada 3, antara lain:

1. Manusia, Yang pertama adalah manusia, alasannya adalah karena manusia sebagai brainware dan manusia lah yang mengendalikan, seperti contoh di dalam Forensik TI ada pakar hukum, pakar TI yang akan bekerja sama dalam mengumpulkan bukti ini, kemudian saksi ahli yang akan membeberkan fakta-fakta.

2. Aturan, yang kedua ada aturan yang akan mengikat dan dijadikan acuan untuk dasar hukum untuk suatu kejahatan.

3. Perangkat, dan yang terakhir adalah perangkat, perangkat sebagai media untuk menggali atau mempresentasikan bukti-bukti. Perangkat tidak harus selalu komputer, tetapi bisa seperti

1.   Identifikasi  

Identifikasi merupakan tahapan pertama yang dilakukan dalam forensik TI untuk menganalisa sesuatu, dan untuk proses ini hal yang paling penting dan sangat dibutuhkan adalah media. Alasannya adalah karena pada tahap ini lah segala bukti-bukti pendukung penyelidikan dikumpulkan.

Dan tahap ini proses penyelidikan dimulai dari identfikasi dimana bukti itu berada, dimana bukti itu disimpan, dan bagaimana penyimpanannya untuk mempermudah penyelidikan.

Penelusuran identifikasi bisa dilakukan dari pertanyaan "ada informasi apa disini" sampai pertanyaan yang rinci seperti "apa urutan peristiwa yang menyebabkan terjadinya situasi terkini?"

Pada proses ini, tools-tools yang dapat mendukung kinerja adalah:

a. Forensic Acquisition Utilities

b. Ftimes

c. ProDiscover DFT

 2.   Penyimpanan

Tahapan kedua adalah tahapan penyimpanan dan dalam proses ini hal yang paling penting adalah data. Dalam tahap penyimpanan ini mencakup penyimpanan dan penyiapan bukti-bukti yang ada, termasuk melindungi bukti-bukti dari kerusakan, perubahan, dan penghilangan oleh pihak tertentu.

Bukti digital merupakan bukti yang bersifat sementara (volatile), mudah rusak, berubah, dan hilang, maka pengetahuan dari seorang ahli digital forensik sangatlah diperlukan. Barang bukti digital ini harus sangat terjaga karena kesalahan kecil apapun pada bukti ini dapat membuat barang bukti digital tidak diakui di pengadilan. Bahkan menghidupkan dan mematikan komputer dengan tidak hati-hati bisa saja merusak/merubah barang bukti tersebut.

Pada tahap ini ada aturan yang utama lohh, yaitu penyelidikan tidak boleh dilakukan langsung pada bukti asli karena dikhawatirkan akan dapat merubah isi dan struktur yang ada dalam data tersebut. Lalu apa jalan yang bisa ditempuh kalau bukti asli tidak boleh digunakan secara langsung? Alternatif yang dapat dilakukan adalah mengcopy data secara Bitsream Image dari bukti asli ke media lainnya.

Setiap biner digit demi digit dicopy secara utuh dalam media baru. Teknik ini umumnya diistilahkan dengan cloning atau imaging. Data hasil cloning ini yang selanjutnya menjadi objek penelitian dan penyelidikan.

3.   Analisa 

Tahapan ketiga kita sampailah pada tahapan analisa dimana dalam tahap ini digali informasi-informasi secara mendalam dari bukti-bukti yang sudah ada. Bukti yang telah didapatkan perlu diexplore kembali ke dalam sejumlah skenario yang berhubungan dengan tindak pengusutan, seperti:

a. Siapa yang telah melakukan?

b. Apa yang telah dilakukan?

c. Apa saja software yang digunakan?

d. Hasil proses apa yang dihasilkan?

e. Waktu melakukan

Nah di dalam tahap ini ada 2 bagian, yaitu analisis media (media analysis) dan analisis aplikasi (application analysis) pada barang bukti yang ada.

Untuk mendukung kinerja dari analisis bukti, di setiap bagian ada tools yang bisa digunakan. Di bawah ini adalah tools yang bisa digunakan untuk analisis media, yaitu:

a. TestDisk

b. Explore2fs

c. ProDiscover DFT

Kemudian ada tools yang bisa digunakan untuk analisis aplikasi, yaitu:

a. Event Log Parser

b. Galleta

c. Md5deep

 4.   Presentasi 

Presentasi merupakan tahapan terakhir ya ges ya dimana di dalam presentasi ini akan disajikan dan diuraikan secara detail laporan penyelidikan dengan bukti-bukti yang sudah dianalisa secara mendalam dan dapat dipertanggungjawabkan secara hukum di pengadilan.

Untuk laporan yang disajikan perlu di crosscheck secara langsung dengan saksi yang ada, baik dengan saksi yang terlibat langsung maupun saksi yang tidak langsung. Ada juga beberapa hal penting yang perlu dicantumkan pada saat presentasi/penyajian laporan ini, antara lain:

1. Tanggal dan waktu terjadinya pelanggaran

2. Tanggal dan waktu pada saat investigasi

3. Permasalahan yang terjadi

4. Masa berlaku analisa laporan

5. Penemuan bukti yang berharga, pada laporan bukti ini sangat ditekankan sebagai bukti penting proses penyidikan

6. Teknik khusus yang digunakan, contoh: password checker

7. Bantuan pihak lain (pihak ketiga)

Untuk membuktikan keahlian kita semua di bagian forensik teknologi informasi, kita perlu yang namanya sertifikasi, selain itu ada latihan untuk meningkatkan skill kita yaitu training. Ada beberapa lembaga yang membuka sertifikasi untuk forensik teknologi informasi, yaitu:

a. CISSP (Certified Information System Security Personal)

b. ECFE (Experienced Computer Forensic Examiner)

c. CHFI (Computer Hacking Forensic Investigator)

d. CFA (Certified Forensics Analyst)

e. CCE (Certified Computer Examiner)

d. AIS (Advanced Information Security)