Forensik digital
Forensik digital (bahasa Inggris: Digital forensic) (juga dikenal sebagai ilmu forensik digital) adalah salah satu cabang ilmu forensik, terutama untuk penyelidikan dan penemuan konten perangkat digital, dan sering kali dikaitkan dengan kejahatan komputer. Istilah forensik digital pada awalnya identik dengan forensik komputer tetapi kini telah diperluas untuk menyelidiki semua perangkat yang dapat menyimpan data digital. Forensik digital diperlukan karena biasanya data di perangkat target dikunci, dihapus, atau disembunyikan. Berawal dari bangkitnya revolusi komputasi personal pada akhir 1970-an dan awal 1980-an, disiplin ini berkembang secara alami selama tahun 1990-an, dan baru pada awal abad ke-21 negara-negara secara bertahap membentuk kebijakannya terhadap disiplin ini. Landasan forensik digital ialah praktik pengumpulan, analisis, dan pelaporan data digital. Investigasi forensik digital memiliki penerapan yang sangat beragam. Penggunaan paling umum adalah untuk mendukung atau menyanggah asumsi kriminal dalam pengadilan pidana atau perdata. Forensik juga dapat dilakukan di sektor swasta; seperti penyelidikan internal perusahaan (in-house) atau penyelidikan intrusi (penyelidikan khusus mengeksplorasi sifat dan dampak intrusi jaringan yang tidak sah). Penguasaan ilmu forensik digital tidak hanya menuntut kemampuan teknis semata tetapi juga terkait dengan bidang lain, seperti bidang hukum. Aspek teknis dari penyelidikan dapat dibagi menjadi beberapa subcabang, sesuai dengan jenis perangkat digital yang terlibat; forensik komputer, forensik jaringan, analisis data forensik dan forensik peranti bergerak. Proses forensik umumnya meliputi penyitaan, forensic imaging (akuisisi) dan analisis media digital dan penyusunan laporan berdasarkan bukti yang dikumpulkan. Selain mengidentifikasi bukti langsung sebuah kejahatan, forensik digital dapat digunakan untuk mengkonfirmasi hubungan antara tersangka dan kasus tertentu, mengkonfirmasi alibi-alibi atau pernyataan-pernyataannya, untuk memahami niat, mengidentifikasi sumber (misalnya, dalam kasus sengketa hak cipta), atau mengotentikasi dokumen-dokumen. Ruang lingkup investigasi forensik digital lebih luas daripada bidang pengetahuan forensik lainnya (di mana sebagian besar ilmu forensik lain dirancang untuk menjawab pertanyaan yang relatif sederhana), sering melibatkan garis waktu atau hipotesis yang kompleks.[1] TerminologiIlmu forensik adalah ilmu yang digunakan untuk tujuan hukum, bersifat tidak memihak yang merupakan bukti ilmiah untuk digunakan dalam kepentingan peradilan dan penyelidikan. Forensik digital merupakan salah satu cabang dari ilmu forensik, terutama untuk menyelidiki dan memulihkan konten perangkat digital,[2] berkaitan dengan bukti legal yang terdapat pada perangkat komputer dan media penyimpanan digital lainnya sebagai bukti-bukti digital yang digunakan dalam kejahatan komputer dan dunia maya.[3] Forensik digital diperlukan karena biasanya data di perangkat target dikunci, dihapus, atau disembunyikan.[4] Forensik digital merupakan ilmu yang relatif baru.[butuh rujukan] Forensik digital adalah ilmu yang menganalisis barang bukti digital sehingga dapat dipertanggungjawabkan di pengadilan.[3] Istilah forensik digital pada awalnya identik dengan forensik komputer tetapi definisinya telah diperluas hingga mencakup forensik semua teknologi digital. Sedangkan forensik komputer didefinisikan sebagai "kumpulan teknik dan alat yang digunakan untuk menemukan bukti pada komputer.[5] Landasan forensik digital ialah praktik pengumpulan, analisis, dan pelaporan data digital.[6] Forensik digital dapat juga diartikan sebagai pengumpulan dan analisis data dari berbagai sumber daya komputer yang mencakup sistem komputer, jaringan komputer, jalur komunikasi, dan berbagai media penyimpanan yang layak untuk diajukan dalam sidang pengadilan.[3] KomponenDalam suatu model forensik digital melibatkan tiga komponen terangkai yang dikelola sedemikian rupa sehingga menjadi sebuah tujuan akhir dengan segala kelayakan serta hasil yang berkualitas. Ketiga komponen tersebut adalah:[3]
SejarahSebelum tahun 1980-an kejahatan yang melibatkan komputer ditangani dengan ketentuan hukum yang ada. Kejahatan komputer pertama kali diakui dalam Undang-Undang Pidana Komputer Florida 1978 (the 1978 Florida Computer Crimes Act) termasuk undang-undang yang melarang modifikasi tidak sah atau penghapusan data pada sistem komputer.[7] Pada tahun-tahun berikutnya, ruang lingkup cybercrime mulai berkembang, dan beberapa undang-undang kemudian disahkan untuk mengatasi permasalahan hak cipta, privasi/pelecehan (misalnya intimidasi dunia maya, cyber stalking, dan predator daring) serta pornografi anak.[8] Baru pada tahun 1980-an undang-undang federal mulai memasukkan pelanggaran komputer. Kanada adalah negara pertama yang mengeluarkan undang-undang terkait kejahatan komputer pada tahun 1983.[9] Hal ini diikuti oleh Amerika Serikat dengan Computer Fraud and Abuse Act pada tahun 1986, Australia mengamendemen undang-undang kriminalnya pada tahun 1989 dan Inggris menerbitkan Undang-Undang Penyalahgunaan Komputer (Computer Misuse Act) pada tahun 1990.[10] 1980-an 1990-an: PertumbuhanPertumbuhan kejahatan komputer selama tahun 1980-an dan 1990-an menyebabkan lembaga-lembaga penegak hukum membentuk tim khusus, biasanya di tingkat nasional, untuk menangani aspek-aspek teknis dalam penyelidikan. Sebagai contoh, pada tahun 1984 FBI membentuk Tim Analisis dan Tanggapan Komputer (Computer Analysis and Response Team), dan tahun berikutnya Departemen Kejahatan Komputer didirikan di dalam kelompok anti-penipuan Polisi Metropolitan Inggris. Selain personel penegak hukum profesional, banyak anggota awal tim-tim ini terdiri dari penggemar/penghobi komputer dan bertanggung jawab untuk penelitian dan petunjuk awal serta arah masa depan bidang forensik digital.[11] Salah satu contoh kasus penerapan digital forensik yang pertama (atau paling tidak kasus publik yang paling awal) adalah kasus pengejaran peretas Markus Hess oleh Clifford Stoll pada tahun 1986. Meskipun Stoll penyelidikannya menggunakan teknik forensik komputer dan jaringan, bukanlah pemeriksa khusus.[12] Banyak kasus identifikasi awal forensik digital mengikuti profil yang serupa.[13] Sepanjang tahun 1990-an, permintaan terhadap sumber daya penyelidikan baru ini semakin meningkat. Beban dan ketegangan pada unit pusat mengarah pada pembentukan tim-tim di tingkat regional bahkan di tingkat lokal. Misalnya, National Hi-Tech Crime Unit di Inggris dibentuk pada tahun 2001 guna menyediakan infrastruktur nasional untuk kejahatan komputer; dengan personel yang berlokasi di pusat kota London dan pasukan polisi di daerah (unit ini masuk ke dalam Serious Organised Crime Agency (SOCA) pada tahun 2006).[14] Selama periode ini ilmu forensik digital berkembang dari sarana dan teknik-teknik ad-hoc yang dikembangkan oleh para praktisi penghobi di bidang ini. Berbeda dengan ilmu forensik lainnya yang dikembangkan dari karya-karya komunitas ilmiah.[15] Pada 1992 istilah "forensik komputer" mulai digunakan dalam literatur akademik (meski sebelumnya sudah digunakan secara informal); sebuah makalah oleh Collier dan Spaul berusaha untuk memasukkan disiplin baru ini ke dunia sains forensik.[16] Perkembangan yang cepat ini mengakibatkan minimnya standardisasi dan pelatihan-pelatihan. Dalam bukunya, "High-Technology Crime: Investigating Cases Involving Computers", K. Rosenblatt tahun 1985 menuliskan:
2000-an: Pengembangan standarSejak tahun 2000, sebagai tanggapan terhadap kebutuhan standardisasi, berbagai badan dan lembaga telah menerbitkan pedoman untuk forensik digital. Kelompok Kerja Ilmiah tentang Bukti Digital (SWGDE) menerbitkan makalah "Best practices for Computer Forensics" pada tahun 2002, kemudian pada tahun 2005 diikuti oleh publikasi standar ISO (ISO 17025, General requirements for the competence of testing and calibration laboratories).[18] Sebuah perjanjian internasional Eropa, "Konvensi tentang Kejahatan Dunia Maya" mulai berlaku pada tahun 2004 dengan tujuan merekonsiliasi undang-undang kejahatan komputer nasional, teknik investigasi dan kerjasama internasional. Perjanjian itu telah ditandatangani oleh 43 negara (termasuk AS, Kanada, Jepang, Afrika Selatan, Inggris dan negara-negara Eropa lainnya) dan diratifikasi oleh 16 negara.[butuh rujukan] Masalah pelatihan juga mendapat perhatian. Perusahaan komersial (biasanya perusahaan pengembang perangkat lunak forensik) mulai menawarkan program sertifikasi dan topik analisis forensik digital dimasukkan dalam fasilitas pelatihan spesialis penyidik Inggris, Centrex.[19] Sejak akhir 1990-an perangkat seluler mulai tersedia secara luas, berkembang melebihi perangkat komunikasi sederhana, dan lebih kaya informasi, bahkan untuk kejahatan yang tidak secara tradisional terkait dengan forensik digital.[20] Meskipun demikian, analisis digital pada ponsel jauh ketinggalan di banding media komputer tradisional, sebagian besar karena sifat hak kepemilikan (proprietary) perangkat tersebut.[21] Fokus juga telah bergeser ke kejahatan internet, khususnya risiko perang dunia maya dan cyberterrorism. Laporan pada Februari 2010 oleh Komando Pasukan Gabungan Amerika Serikat menyimpulkan:
Bidang forensik digital masih menghadapi masalah yang belum terselesaikan. Sebuah makalah tahun 2009, "Digital Forensic Research: The Good, the Bad and the Unaddressed", oleh Peterson dan Shenoi mengidentifikasi bias terhadap sistem operasi Windows dalam penyelidikan forensik digital.[23] Pada tahun 2010 Simson Garfinkel mengidentifikasi masalah yang dihadapi penyelidikan digital di masa depan, termasuk meningkatnya ukuran media digital, ketersediaan enkripsi yang luas bagi konsumen, semakin beragamnya sistem operasi dan format berkas, semakin banyaknya individu yang memiliki banyak perangkat, dan batasan-batasan hukum pada para penyidik. Makalah ini juga mengidentifikasi berlanjutnya masalah-masalah pelatihan, serta biaya yang sangat tinggi untuk memasuki bidang ini.[12] Pengembangan peralatan forensikSelama tahun 1980-an sangat sedikit alat forensik digital khusus yang tersedia, sebagai akibatnya para penyidik kebanyakan melakukan live analysis pada media, memeriksa komputer dari dalam sistem operasi menggunakan peralatan sysadmin yang tersedia untuk mengekstrak barang bukti. Praktik ini berisiko memodifikasi data pada diska, baik secara tidak sengaja atau sebaliknya, yang dapat menyebabkan klaim kerusakan barang bukti. Sejumlah alat diciptakan pada awal 1990-an untuk mengatasi permasalahan tersebut.[butuh rujukan] Kebutuhan untuk perangkat lunak pertama kali diakui pada tahun 1989 di Pusat Pelatihan Penegakan Hukum Federal, sehingga tercipta IMDUMP (oleh Michael White) dan pada tahun 1990, SafeBack (dikembangkan oleh Sydex). Perangkat lunak serupa juga dikembangkan di negara lain; DIBS (solusi perangkat keras dan perangkat lunak) dirilis secara komersial di Inggris pada tahun 1991, dan Rob McKemmish merilis Fixed Disk Image gratis untuk penegak hukum Australia.[24] Alat-alat ini memungkinkan pemeriksa untuk membuat salinan yang identik dari media digital untuk diselidiki, sehinggan media asli utuh untuk verifikasi. Pada akhir 1990-an, untuk memenuhi permintaan untuk bukti digital yang semakin banyak, peralatan komersial yang canggih seperti EnCase dan FTK dikembangkan, yang memungkinkan analis untuk memeriksa salinan media tanpa melakukan forensik secara langsung.[9] Belakangan tren ke arah "forensik memori secara langsung" telah berkembang sehingga diciptakan alat seperti WindowsSCOPE.[butuh rujukan] Baru-baru ini, perkembangan alat yang sama juga tersedia untuk perangkat seluler; penyidik awalnya mengakses data langsung pada perangkat, tetapi kemudian alat khusus seperti XRY atau Radio Tactics Aceso muncul.[9] Proses forensikDalam penyelidikan forensik digital, proses forensik digital merupakan proses ilmiah dan forensik yang diakui.[25] Peneliti forensik Eoghan Casey mendefinisikannya sebagai langkah-langkah mulai dari sinyal awal insiden hingga pelaporan temuan.[9] Media digital yang disita untuk penyelidikan biasanya disebut sebagai "barang bukti" dalam terminologi hukum. Penyelidik menggunakan metode ilmiah untuk menemukan bukti digital untuk mendukung atau menyangkal hipotesis, baik untuk pengadilan atau proses perdata.[26] PersonelTahapan proses forensik digital memerlukan pelatihan dan pengetahuan spesialis yang berbeda-beda. Secara garis besar ada dua tingkatan personel yang dibutuhkan:[9]
Model prosesMetodologi yang teliti dan prosedur standar dari proses investigasi sangat penting dalam melakukan penyelidikan forensik.[27] Ada banyak upaya untuk mengembangkan model proses tetapi sejauh ini tidak ada yang diterima secara universal. Sebagian alasannya mungkin karena fakta bahwa banyak model proses dirancang untuk lingkungan tertentu, dan karena itu tidak dapat langsung diterapkan di lingkungan lain.[28] Area populer bagi para peneliti forensik digital adalah mencari metodologi standar agar proses forensik digital lebih akurat, kuat, dan efisien. Model proses forensik digital pertama yang diusulkan berisi empat langkah: Akuisisi, Identifikasi, Evaluasi, dan Admisi. Sejak itu, banyak model proses telah diusulkan untuk menjelaskan langkah-langkah mengidentifikasi, memperoleh, menganalisis, menyimpan, dan melaporkan bukti yang diperoleh dari berbagai perangkat digital. Dalam beberapa tahun terakhir, semakin banyak model proses yang lebih canggih telah diusulkan. Model-model ini mencoba untuk mempercepat seluruh proses investigasi atau memecahkan berbagai masalah yang biasa ditemui dalam penyelidikan forensik. Dalam dekade terakhir, komputasi awan membuat pengumpulan bukti menjadi lebih sulit. Di bidang investigasi forensik digital, beralih ke model pemrosesan bukti berbasis cloud akan sangat bermanfaat dan upaya awal telah dibuat dalam implementasinya.[27]
Investigasi forensik digital umumnya terdiri dari 3 tahap: pengumpulan (akuisisi) atau imaging barang bukti,[28] analisis, dan pelaporan.[29] Pengetahuan yang paling penting adalah bahwa pemeriksaan forensik dilakukan dan dilaporkan dengan cara yang tidak bias dan dapat direproduksi.[6] PengumpulanIdealnya pengumpulan bukti atau akuisisi melibatkan pengambilan citra (imaging) memori volatil komputer (RAM),[30] atau media penyimpanan lain,[6] dan membuat duplikat sektor yang sama ("duplikasi forensik" atau "citra forensik") dari media tersebut, tindakan ini sering dibantu perangkat write blocking untuk mencegah modifikasi pada media asli. Pertumbuhan ukuran media penyimpanan dan perkembangannya, seperti komputasi awan[31] mengharuskan akuisisi secara 'langsung' di mana salinan data logical diambil alih-alih citra lengkap dari perangkat penyimpanan fisik.[28] Citra yang diperoleh (atau salinan logical) dan media/data asli kemudian di-hash (menggunakan algoritma seperti SHA-1 atau MD5) dan nilai-nilainya dibandingkan untuk memverifikasi bahwa salinannya akurat.[32] Sebuah pendekatan alternatif (dan dipatenkan,[33] yang disebut hybrid forensics[34] atau distributed forensics[35]) menggabungkan tahapan forensik digital dan ediscovery. Pendekatan ini diwujudkan dengan peralatan komersial yang disebut ISEEK yang dipresentasikan bersama dengan hasil tesnya pada konferensi tahun 2017.[34] Forensik statik (static forensic)Forensik statik menggunakan prosedur dan pendekatan konvensional di mana bukti di olah secara bit-by-bit image untuk melakukan proses forensik. Proses forensiknya sendiri berjalan pada sistem yang tidak dalam keadaan menyala. Forensik statik difokuskan pada pemeriksaan hasil imaging untuk menganalisis isi dari bukti digital, seperti berkas yang dihapus, riwayat penjelajahan web, berkas fragmen, koneksi jaringan, berkas yang diakses, riwayat user login, dll guna membuat timeline berupa ringkasan tentang kegiatan yang dilakukan pada bukti digital sewaktu digunakan.[36] Saat perangkat dalam keadaan mati, data yang dapat diperiksa hanya yang tersimpan di memori statis, seperti diska keras. Namun, masih ada beberapa pemrosesan yang perlu dilakukan sebelum menganalisis data aktual pada unit penyimpanan. Ketika melakukan pemeriksaan forensik, terutama dalam penegakan hukum, harus diambil tindakan untuk menghilangkan peluang memodifikasi bukti yang sebenarnya. Menyalakan perangkat dan mengoperasikannya bisa saja memodifikasi data asli dan dengan demikian mencemari bukti. Bukti yang terkontaminasi pada gilirannya tidak akan layak di pengadilan. Sehingga perlu membuat salinan bukti yang identik (dalam hal konten) menggunakan perangkat khusus atau komputer biasa dengan bantuan perangkat keras write blocker dan perangkat lunak pencitraan diska (disk imaging). Dalam istilah forensik, salinan ini umumnya disebut disk image atau forensic disk image.[6] Kemudian forensic disk image ini dibawa ke laboratorium forensik untuk dianalisis.[36] Forensik langsung (live forensic)Dalam forensik langsung semua bukti digital dikumpulkan saat sistem sedang berjalan,[36] sehingga pemeriksa mendapat kesempatan untuk mengumpulkan data volatil (mudah hilang) yang memuat informasi tentang apa yang sedang dilakukan perangkat. Tujuan utama dari penyelidikan langsung adalah untuk mengumpulkan data volatil sebanyak-banyaknya. Forensik langsung juga memberi kesempatan untuk memeriksa apakah ada diska keras yang aktif dienkripsi sehingga bisa mengumpulkan data versi yang tidak terenkripsi. Implementasi full disk encryption (FDE) memastikan bahwa semua data pada diska keras dienkripsi saat komputer mati. Namun, data akan didekripsi saat komputer aktif. Oleh karena itu perlu melakukan pencarian menyeluruh untuk perangkat lunak enkripsi yang mungkin terpasang di komputer. Jika ada tanda-tanda enkripsi, pemeriksa harus membuat logical image dari diska keras tersebut untuk menjamin bahwa data dapat dipertahankan dan tersedia untuk analisis nanti.[6] AnalisisSelama fase analisis, seorang penyelidik mendapatkan bukti menggunakan sejumlah metodologi dan instrumen yang berbeda-beda. Pada tahun 2002, sebuah artikel dalam International Journal of Digital Evidence merujuk pada langkah ini sebagai "pencarian sistematis dan mendalam atas bukti yang terkait dengan dugaan kejahatan."[5] Pada tahun 2006, peneliti forensik Brian Carrier menjelaskan mengenai "prosedur intuitif" di mana bukti yang terang diidentifikasi terlebih dahulu lalu kemudian "pencarian menyeluruh dilakukan untuk melengkapi kekurangannya."[1] Analisis forensik pada dasarnya untuk menjawab pertanyaan penyelidikan dengan menganalisis data yang ditemukan pada citra forensik yang dibuat pada tahapan "pengumpulan bukti".[6] Proses analisis yang sebenarnya dapat bervariasi antara investigasi, tetapi metodologinya secara umum termasuk melakukan pencarian kata kunci di seluruh media digital (dalam berkas serta dalam unallocated dan slack space), memulihkan berkas yang dihapus dan ekstraksi informasi registry (misalnya untuk menampilkan akun pengguna, atau perangkat USB yang terpasang). Bukti yang telah diperoleh dianalisis untuk merekonstruksi peristiwa atau tindakan dan untuk mencapai kesimpulan, pekerjaan yang sering dapat dilakukan oleh personel yang kurang terspesialisasi.[5] PelaporanTahapan terakhir jika penyelidikan telah selesai, data yang diperoleh disajikan dalam bentuk laporan tertulis dengan istilah-istilah atau bahasa non-teknis.[5] Laporan menyajikan temuan obyektif dan kesimpulan berdasarkan temuan tersebut. Isi laporan dapat berbeda tergantung undang-undang dan kebijakan lokal. Namun, secara umum laporan memuat:[6]
PenerapanForensik digital umumnya digunakan baik dalam hukum pidana maupun penyelidikan pribadi. Biasanya forensik ini dikaitkan dengan hukum pidana, di mana bukti yang telah terkumpul digunakan untuk mendukung atau menentang hipotesis di depan pengadilan. Sama seperti bidang forensik lainnya, forensik digital biasanya merupakan bagian dari penyelidikan yang lebih luas yang mencakup berbagai disiplin ilmu. Pada beberapa kasus, bukti yang terkumpul berfungsi sebagai bentuk pengumpulan intelijen yang digunakan untuk tujuan lain selain proses pengadilan (misalnya untuk menemukan, mengidentifikasi atau menghentikan kejahatan lain). Akibatnya, pengumpulan intelijen terkadang dilakukan dengan standar forensik yang kurang ketat.[butuh rujukan] Dalam perkara perdata atau permasalahan perusahaan, forensik digital menjadi bagian dalam proses electronic discovery (atau eDiscovery). Prosedur forensiknya serupa dengan yang digunakan dalam investigasi pidana, sering kali dengan persyaratan dan batasan hukum yang berbeda. Di luar pengadilan forensik digital dapat menjadi bagian dari penyelidikan internal perusahaan.[butuh rujukan] Contoh umum misalnya setelah terjadinya intrusi jaringan tanpa otorisasi. Pemeriksaan pakar forensik mengenai sifat dan dampak serangan dilakukan sebagai upaya untuk membatasi kerusakan. Baik untuk menetapkan sejauh mana intrusi tersebut maupun sebagai upaya untuk mengidentifikasi penyerang.[37] Pada tahun 1980-an serangan semacam ini biasanya dilakukan melalui saluran telepon, tetapi di era modern penyebarannya melalui Internet.[38] Fokus utama penyelidikan forensik digital adalah untuk mengungkap bukti yang objektif dari aktivitas kriminal (disebut actus reus dalam bahasa hukum). Namun, beragam data yang tersimpan dalam perangkat digital dapat membantu bidang penyelidikan lainnya.[26]
BatasanTugas umum selama pemeriksaan forensik adalah mencoba mendekripsikan data yang terenkripsi dalam berbagai bentuk mulai dari berkas atau folder terenkripsi hingga komunikasi yang terenkripsi seperti surat ekektronik dan obrolan atau bahkan menyelidiki diska keras yang telah dienkripsi dengan enkripsi diska penuh (FDE).[6] Salah satu keterbatasan utama dalam penyelidikan forensik adalah penggunaan enkripsi ini, yang dapat menghalangi pemeriksaan awal jika bukti yang bersangkutan terdeteksi menggunakan kata kunci. Hukum yang memaksa seseorang untuk mengungkapkan kunci enkripsi masih relatif baru dan kontroversial.[12] Media penyimpanan Solid State Drive (SSD) yang mengaktifkan teknologi TRIM dapat menjadi hambatan dalam melakukan forensik digital khususnya pada pemulihan data. Karena fitur TRIM berfungsi untuk memusnahkan garbage data yang telah dihapus.[36] TRIM pada dasarnya adalah sebuah fungsi di mana data yang telah dihapus dimusnahkan secara permanen dari sistem operasi, sehingga pemulihan sulit dilakukan. Namun, tidak semua SSD fitur TRIM-nya diaktifkan.[6] Pertimbangan hukumPemeriksaan media digital dicakup dalam undang-undang nasional maupun internasional. Khusus penyelidikan perdata, undang-undang dapat membatasi kemampuan analis untuk melakukan pemeriksaan. Pembatasan pemantauan jaringan, atau pembacaan komunikasi pribadi sering terjadi. Dalam penyelidikan pidana, undang-undang nasional membatasi seberapa banyak informasi yang dapat disita.[39] Misalnya, di Inggris, penyitaan barang bukti oleh penegak hukum diatur oleh Police and Criminal Evidence Act 1984.[9] Selama keberadaan awalnya di bidang ini, "International Organization on Computer Evidence" (IOCE) adalah salah satu lembaga yang bekerja untuk menetapkan standar internasional yang kompatibel terhadap penyitaan barang bukti.[40] Di Inggris, hukum yang sama terkait kejahatan komputer juga dapat mempengaruhi penyelidik forensik. Computer Misuse Act 1990 mengatur larangan akses tanpa otorisasi pada materi komputer, aturan ini menjadi perhatian khusus bagi penyidik sipil yang memiliki lebih banyak batasan dibanding penegak hukum.[41] Hak individu atas privasi adalah salah satu bidang forensik digital yang sebagian besar belum diputuskan oleh pengadilan. Electronic Communications Privacy Act (ECPA) di AS memberikan batasan kemampuan kepada penegak hukum atau penyidik sipil untuk menyadap dan mengakses bukti. Undang-undang tersebut membedakan antara komunikasi tersimpan (misalnya arsip surat elektronik) dan komunikasi yang ditransmisikan (seperti VoIP). Yang terakhir, lebih dianggap sebagai serangan privasi, dan lebih sulit untuk mendapatkan surat perintah.[42] ECPA juga mempengaruhi kemampuan perusahaan dalam menyelidiki komputer dan komunikasi karyawan mereka, suatu aspek yang masih diperdebatkan adalah sejauh mana perusahaan dapat melakukan pemantauan tersebut.[9] Pasal 5 Konvensi Eropa tentang Hak Asasi Manusia menegaskan pembatasan privasi yang serupa dengan ECPA dan membatasi pemrosesan dan pembagian data pribadi baik di dalam UE maupun dengan negara-negara luar. Kemampuan penegak hukum Inggris untuk melakukan penyelidikan forensik digital diatur oleh Regulation of Investigatory Powers Act 2000.[9] Bukti digitalBukti digital adalah data-data yang dikumpulkan dari semua jenis penyimpanan digital yang menjadi subjek pemeriksaan forensik komputer. Dengan demikian segala sesuatu yang membawa informasi digital dapat menjadi subjek penyelidikan, dan setiap pembawa informasi yang ditargetkan untuk pemeriksaan harus diperlakukan sebagai bukti.[6] Menurut Pasal 5 UU No. 11/2008 tentang Informasi dan Transaksi Elektronik (UU ITE) menyebutkan bahwa “informasi elektronik dan atau dokumen elektronik dan atau hasil cetaknya merupakan alat bukti hukum yang sah”. Contoh barang bukti digital: alamat E-Mail, berkas wordprocessor/spreadsheet, kode sumber perangkat lunak, berkas gambar (JPEG, PNG, dll), bookmarks penjelajah web, cookies, kalender, to do list, dan lainnya.[3] Seorang pakar digital forensik harus benar-benar terlatih dan berpengalaman dalam menggunakan cara untuk mengumpulkan semua data-data yang diperlukan sehingga bisa dijadikan bukti legal yang semuanya sudah diatur dalam undang-undang.[3] Ketika digunakan dalam pengadilan, bukti digital berada di bawah pedoman hukum yang sama seperti bentuk bukti lainnya; pengadilan biasanya tidak memerlukan panduan yang lebih ketat.[43] Di Amerika Serikat, Federal Rules of Evidence digunakan untuk mengevaluasi diterimanya bukti digital, PACE Kerajaan Inggris dan Civil Evidence acts memiliki pedoman serupa dan banyak negara lain memiliki hukumnya sendiri. Undang-undang federal AS membatasi penyitaan hanya pada barang bukti yang jelas. Hal ini diakui tidak selalu memungkinkan dilakukan pada media digital sebelum dilakukan pemeriksaan.[39] Hukum yang berurusan dengan bukti digital terkait dengan dua permasalahan: integritas dan keaslian. Integritas memastikan bahwa tindakan menyita dan memperoleh media digital tidak mengubah bukti (baik yang asli atau salinannya). Keaslian mengacu pada kemampuan untuk mengkonfirmasi integritas informasi; misalnya bahwa media yang dicitrakan (imaged) sesuai dengan bukti asli.[39] Mudahnya media digital untuk termodifikasi berarti mendokumentasikan lacak balak [en] mulai dari TKP, analisis, hingga ke pengadilan penting dilakukan untuk menjaga keaslian barang bukti.[9] Lembaga penegak hukum harus memiliki lacak balak yang tepat ketika menangani bukti digital dan menjamin bahwa semua bukti digunakan untuk analisis forensik yang tepat. Agensi juga harus mengambil tindakan pencegahan yang tepat saat menangani bukti digital. Ketika para penyelidik mengumpulkan bukti dari perangkat digital, bukti yang terkait dengan kejahatan lain mungkin ditemukan. Penyelidik perlu mendapatkan surat perintah kedua agar bukti dapat diterima ke pengadilan.[4] Penanganan bukti digital perlu dilakukan secara khusus mengingat barang bukti digital tergolong "rapuh" sehingga besar kemungkinan terjadinya pencemaran barang bukti digital baik disengaja maupun tidak disengaja. Kesalahan kecil pada penanganan barang bukti dapat membuat barang bukti digital tidak dapat diajukan dipengadilan sebagai alat bukti yang sah dan akurat.[3] Data digital juga dapat diciptakan dengan mudah. Salah satu hal yang ditakutkan adalah adanya penambahan data oleh penyidik (misalnya ada penambahan data untuk menyudutkan pemilik perangkat digital). Untuk itu, diperlukan adanya mekanisme yang memastikan bahwa penyidik tidak dapat (atau sulit) untuk melakukan rekayasa terhadap data. Ada beberapa mekanisme yang dapat dilakukan, seperti penggunaan message digest terhadap berkas yang akan dievaluasi dan penggunaan tools yang sudah disertifikasi.[44] Para pengacara berpendapat karena bukti digital secara teoritis mudah berubah (dimodifikasi dan digandakan), hal itu dapat merusak keandalan bukti. Para hakim AS mulai menolak teori ini, dalam kasus AS v. Bonallo, pengadilan memutuskan "fakta bahwa data yang ada dalam komputer dapat berubah jelas tidak cukup untuk membentuk ketidakpercayaan."[45] Dalam pedoman Inggris seperti yang dikeluarkan oleh Association of Chief Police Officers diikuti untuk membantu mendokumentasikan keaslian dan integritas barang bukti.[butuh rujukan] Seorang ahli harus menerapkan metode dan teknik yang terbukti andal secara ilmiah untuk mencari bukti digital. Penyidik digital khususnya dalam investigasi pidana, harus memastikan bahwa kesimpulan-kesimpulannya didasarkan pada bukti faktual dan pengetahuan kepakaran mereka sendiri.[9] Di AS, misalnya, Federal Rules of Evidence menyatakan bahwa seorang saksi yang memenuhi syarat sebagai ahli dapat bersaksi "dalam bentuk pendapat atau lainnya" jika:
Subcabang forensik digital masing-masing dapat memiliki panduan khusus tersendiri untuk melakukan penyelidikan dan penanganan barang bukti. Sebagai contoh, ponsel mungkin harus diletakkan dalam sangkar Faraday selama penyitaan atau akuisisi untuk mencegah lalu lintas radio lebih lanjut ke perangkat. Di Inggris, pemeriksaan forensik komputer dalam masalah kriminal tunduk pada pedoman ACPO.[9] Ada juga pendekatan internasional untuk memberikan panduan tentang cara menangani bukti elektronik. "Electronic Evidence Guide" oleh Dewan Eropa menawarkan kerangka kerja untuk penegak hukum dan otoritas peradilan di negara-negara yang berusaha untuk mengatur atau meningkatkan pedoman mereka sendiri untuk identifikasi dan penanganan bukti elektronik.[47] Standar DaubertKeberadaan bukti digital bergantung pada alat/perkakas (tools) yang digunakan untuk mengekstraknya. Di AS, perkakas forensik diberlakukan standar Daubert [en], di mana hakim bertanggung jawab untuk memastikan bahwa tahapan dan perangkat lunak yang digunakan dapat diterima. Dalam sebuah makalah tahun 2003, Brian Carrier berpendapat bahwa pedoman Daubert mengharuskan kode alat-alat forensik dipublikasikan dan ditelaah oleh rekan sejawat. Dia menyimpulkan bahwa "peralatan sumber terbuka mungkin lebih jelas dan komprehensif dalam memenuhi persyaratan pedoman dibanding peralatan dengan sumber tertutup."[48] Pada tahun 2011 Josh Brunty menyatakan bahwa validasi ilmiah pada teknologi dan perangkat lunak yang terkait dengan kegiatan pemeriksaan forensik digital sangat penting untuk setiap proses laboratorium. Dia berpendapat bahwa "ilmu forensik digital didasarkan pada prinsip-prinsip proses berulang dan bukti berkualitas sehingga mengetahui bagaimana merancang dan mempertahankan proses validasi yang baik adalah syarat utama bagi setiap pemeriksa forensik digital untuk mempertahankan metode mereka di pengadilan.[49] Alat forensik digitalPara penegak hukum memanfaatkan peralatan berupa perangkat keras dan perangkat lunak khusus untuk penyelidikan forensik digital. Alat-alat ini digunakan untuk membantu pemulihan dan pelestarian bukti digital.[butuh rujukan] Perangkat kerasPeralatan yang berupa perangkat keras umumnya dirancang untuk menyelidiki perangkat penyimpanan, dan untuk menjaga agar perangkat target tidak berubah demi menjaga integritas bukti. Forensics disk controller atau pencacah perangkat keras merupakan perangkat read-only yang memungkinkan pengguna untuk membaca data di perangkat tersangka tanpa risiko memodifikasi atau menghapus konten di dalamnya. Sedangkan disk write-protector atau write-blocker berfokus pada pelestarian bukti di perangkat target dan berfungsi untuk mencegah konten dalam perangkat penyimpanan termodifikasi atau terhapus. Hard-drive duplicator adalah perangkat pencitraan (imaging) yang berfungsi untuk menyalin semua file pada cakram keras yang dicurigai ke dalam cakram yang bersih, alat ini juga dapat menduplikasi data dalam cakram lepas atau kartu digital (SD) secara aman. Perangkat pemulihan kata sandi menggunakan algoritme, seperti serangan brute force atau kamus, untuk mencoba mengakses perangkat penyimpanan yang dilindungi kata sandi.[4] Perangkat lunakUntuk penelitian dan investigasi yang lebih baik, para pengembang telah membuat berbagai perangkat lunak forensik. Kepolisian dan lembaga penyelidikan memilih akat-alat ini berdasarkan beberapa faktor termasuk anggaran dan ahli yang tersedia dalam tim. Sebagian besar perangkat lunak forensik bersifat multi-tujuan serta dapat melakukan berbagai tugas dalam satu aplikasi. Sebagian aplikasi bersifat sumber terbuka, sehingga kodenya dapat dimodifikasi untuk memenuhi kebutuhan yang spesifik dan penghematan biaya bagi penegak hukum. Sebagian dapat memproses beberapa perangkat sekaligus atau mengelola berbagai sistem operasi (misalnya, Windows dan Linux).[4] Perangkat lunak forensik komputer melengkapi perangkat keras yang tersedia untuk penegak hukum untuk memperoleh dan menganalisis bukti digital yang dikumpulkan dari perangkat tersangka. Tersangka sering menyembunyikan/ menghapus berkas atau mempartisi cakram keras komputer mereka sehingga bukti sulit ditemukan; namun, aplikasi perangkat lunak forensik dapat membantu penyelidik dalam memulihkan bukti ini. Aktivitas pengguna tertentu dapat dipulihkan dan diselidiki dengan perangkat lunak digital forensik.[4] Alat-alat forensik ini juga dapat diklasifikasikan ke dalam berbagai kategori:[50]
Berikut adalah beberapa alat forensik digital yang digunakan oleh berbagai lembaga penegak hukum dalam melakukan investigasi kejahatan:[50]
CabangPenyelidikan forensik digital tidak hanya terbatas pada mengambil data dari komputer, karena perangkat digital kecil (misalnya tablet, ponsel cerdas, flash drive) sekarang banyak digunakan. Beberapa perangkat ini ada yang memiliki memori volatil dan ada yang tidak. Metodologi yang memadai telah tersedia untuk mengambil data dari memori volatil, namun terdapat kekurangan metodologi atau kerangka kerja untuk pengambilan data dari sumber memori non-volatil.[52] Ada lima cabang utama forensik digital dan mereka dikategorikan berdasarkan tempat data disimpan atau bagaimana data ditransmisikan.[4] Forensik komputerTujuan dari forensik komputer adalah untuk menjelaskan keadaan artefak digital saat ini; seperti sistem komputer, media penyimpanan atau dokumen elektronik.[53] Disiplin ini biasanya mencakup komputer, sistem benam (perangkat digital dengan kemampuan komputasi belum sempurna dan memori onboard) dan memori statis (seperti USB pen drive).[butuh rujukan] Forensik komputer ini bergantung pada sistem operasi yang digunakan. Sebagai contoh, kebanyakan pengguna komputer desktop menggunakan sistem operasi Microsoft Windows. Oleh karena itu, diperlukan kemampuan untuk melakukan forensik pada komputer yang menggunakan sistem operasi Microsoft Windows. Sistem operasi yang lain meletakkan data pada berkas yang berbeda dengan format yang berbeda. Sebagai contoh pada sistem UNIX catatan tersedia pada layanan syslog, sementara itu pada sistem Microsoft Windows catatan dapat dilihat dengan Event Viewer. Berbagai perkakas (tools) forensik tersedia untuk membantu penyidik dalam mengumpulkan data yang terkait dengan sistem operasi yang digunakan.[44] Forensik komputer dapat menangani berbagai informasi; dari log (seperti riwayat internet) hingga ke berkas yang sebenarnya dalam drive. Pada tahun 2007 jaksa menggunakan spreadsheet yang dipulihkan dari komputer Joseph E. Duncan III untuk membuktikan pembunuhan terencana dan memperkuat hukuman mati.[26] Pembunuh Sharon Lopatka diidentifikasi pada tahun 2006 setelah pesan email dari dia yang merinci fantasi tentang penyiksaan dan kematian ditemukan di komputernya.[9] Forensik peranti bergerakForensik peranti bergerak adalah subcabang forensik digital yang berkaitan dengan pemulihan bukti digital atau data dari perangkat seluler. Berbeda dari forensik komputer karena perangkat seluler memiliki sistem komunikasi yang terintegrasi (mis. GSM) dan biasanya dengan mekanisme penyimpanan proprietary. Investigasi biasanya lebih berfokus pada data sederhana seperti data panggilan dan komunikasi (SMS/Email) daripada pemulihan mendalam dari data yang dihapus.[54] Data SMS dari investigasi perangkat seluler membantu membebaskan Patrick Lumumba dalam kasus pembunuhan Meredith Kercher.[26] Perangkat seluler juga menyediakan informasi lokasi; baik dari pelacakan gps/lokasi internal atau melalui tower seluler, yang melacak perangkat dalam jangkauan mereka. Informasi tersebut digunakan untuk melacak para penculik Thomas Onofri pada tahun 2006.[26] Forensik jaringanForensik jaringan berkaitan dengan pengamatan dan analisis lalu lintas jaringan komputer, baik lokal maupun WAN/internet, untuk keperluan pengumpulan informasi, pengumpulan bukti, atau deteksi intrusi.[55] Lalu lintas biasanya disadap di tingkat paket, baik disimpan untuk analisis nanti atau disaring secara real-time. Tidak seperti forensik digital lainnya data jaringan sering berubah-ubah dan jarang terekam, membuat disiplin ini sering reaksioner.[butuh rujukan] Pada tahun 2000, FBI mengumpan peretas komputer Aleksey Ivanov dan Gorshkov ke Amerika Serikat untuk wawancara kerja palsu. Dengan memonitor lalu lintas jaringan dari komputer pasangan tersebut, FBI mengidentifikasi kata sandi yang memungkinkan mereka mengumpulkan bukti langsung dari komputer yang berbasis di Rusia.[56] Analisis data forensikAnalisis Data Forensik adalah cabang forensik digital. Ini menguji data terstruktur dengan tujuan untuk menemukan dan menganalisis pola kegiatan penipuan yang dihasilkan dari kejahatan keuangan.[butuh rujukan] Forensik basis dataForensik basis data adalah cabang forensik digital yang berkaitan dengan studi forensik basis data dan metadatanya.[57] Investigasi menggunakan isi basis data, berkas log, dan data dalam RAM untuk membuat garis waktu atau memulihkan informasi yang relevan.[butuh rujukan] Pendidikan dan penelitianPusat akademis pendidikan dan dalam ilmu forensik: Amerika Utara: Penn State University menawarkan Security and Risk Analysis Major, Master Studi Profesional dalam Ilmu Informasi, Master Studi Profesional di bidang Homeland Security, dan Ph.D. dalam Ilmu Informasi dan Teknologi di bidang forensik digital.[58] Eropa: Universitas Sains dan Teknologi Norwegia, NTNU Digital Forensics Group, Master in Information Security - Digital Forensik dan PhD di bidang Keamanan Informasi.[59] Indonesia: Mata kuliah mengenai Digital Forensic, salah satunya telah diajarkan di Jurusan Teknologi Informasi, Fakultas Teknik, Universitas Udayana, melalui mata kuliah IT Forensic.[60] Catatan kaki
Daftar pustaka
Bacaan lanjut
|