Forensik komputer dalam bahasa inggris : Computer forensics (juga dikenal sebagai ilmu forensik komputer) adalah cabang ilmu forensik digital yang berkaitan dengan bukti yang ditemukan di komputer dan media penyimpanan digital. Tujuan dari forensik komputer adalah untuk memeriksa media digital dengan cara yang sehat secara forensik dengan tujuan mengidentifikasi, melestarikan, memulihkan, menganalisis dan menyajikan fakta dan opini tentang informasi digital.
Meskipun paling sering dikaitkan dengan investigasi berbagai macam kejahatan komputer , forensik komputer juga dapat digunakan dalam proses perdata. Disiplin ini melibatkan teknik dan prinsip yang mirip dengan pemulihan data , tetapi dengan panduan dan praktik tambahan yang dirancang untuk membuat jejak audit legal.
Bukti dari penyelidikan forensik komputer biasanya tunduk pada pedoman dan praktik yang sama dari bukti digital lainnya. Ini telah digunakan dalam sejumlah kasus profil tinggi dan diterima sebagai dapat diandalkan dalam sistem pengadilan AS dan Eropa.
Pada awal 1980-an komputer pribadi menjadi lebih mudah diakses oleh konsumen, menyebabkan peningkatan penggunaannya dalam aktivitas kriminal (misalnya, untuk membantu melakukan penipuan). Pada saat yang sama, beberapa "kejahatan komputer" baru dikenali (seperti cracking). Disiplin forensik komputer muncul selama ini sebagai metode untuk memulihkan dan menyelidiki bukti digital untuk digunakan di pengadilan. Sejak saat itu kejahatan komputer dan kejahatan terkait komputer telah tumbuh, dan melonjak 67% antara tahun 2002 dan 2003. Hari ini digunakan untuk menyelidiki berbagai macam kejahatan, termasuk pornografi anak , penipuan, spionase , cyberstalking, pembunuhan dan pemerkosaan. Disiplin juga ditampilkan dalam proses perdata sebagai bentuk pengumpulan informasi (misalnya, penemuan elektronik )
Teknik forensik dan pengetahuan ahli digunakan untuk menjelaskan keadaan artefak digital saat ini , seperti sistem komputer, media penyimpanan (misalnya hard disk atau CD-ROM ), atau dokumen elektronik (misalnya pesan email atau gambar JPEG). Ruang lingkup analisis forensik dapat bervariasi dari pengambilan informasi sederhana hingga merekonstruksi serangkaian peristiwa. Dalam sebuah buku tahun 2002, Forensik Komputer , penulis Kruse dan Heiser mendefinisikan forensik komputer sebagai melibatkan "pelestarian, identifikasi, ekstraksi, dokumentasi, dan interpretasi data komputer". Mereka melanjutkan untuk menggambarkan disiplin sebagai "lebih dari seni daripada ilmu", menunjukkan bahwa metodologi forensik didukung oleh fleksibilitas dan pengetahuan domain yang luas. Namun, meskipun beberapa metode dapat digunakan untuk mengekstraksi bukti dari komputer tertentu, strategi yang digunakan oleh penegak hukum cukup kaku dan kurang fleksibel seperti yang ditemukan di dunia sipil.
Keamanan cyber
Forensik komputer sering dikacaukan dengan cybersecurity tetapi keduanya sangat berbeda. Keamanan dunia maya adalah tentang pencegahan dan perlindungan sementara forensik komputer lebih reaksioner dan aktif seperti pelacakan dan pengungkapan. Biasanya ada dua tim, keamanan siber dan forensik komputer yang bekerja sama. Mereka saling melengkapi karena tim cybersecurity akan membuat sistem dan program untuk melindungi data dan jika gagal maka tim forensik komputer pulih dan mencari tahu bagaimana hal itu terjadi dan melacak dll. Namun ada banyak kesamaan yang mengapa kedua bidang ini saling membantu. Keduanya membutuhkan pengetahuan ilmu komputer dan kedua bidang tersebut terpisah dari IT/STEM.
kejahatan terkait komputer
Forensik komputer digunakan untuk menghukum orang yang telah melakukan kejahatan fisik dan digital. Beberapa kejahatan terkait komputer ini termasuk interupsi, intersepsi, pelanggaran hak cipta, dan fabrikasi. Gangguan berkaitan dengan penghancuran dan pencurian komponen komputer dan file digital. Intersepsi adalah akses tidak sah dari file dan informasi yang disimpan pada perangkat teknologi. Pelanggaran Hak Cipta menggunakan, mereproduksi, dan mendistribusikan informasi berhak cipta, termasuk pembajakan perangkat lunak. Fabrikasi menuduh seseorang menggunakan data dan informasi palsu yang dimasukkan ke dalam sistem melalui sumber yang tidak sah. Contoh intersepsi adalah kasus Bank NSP, kasus Sony.Sambandh.com, dan penipuan kompromi email bisnis. Kasus Bank NSP adalah situasi di mana mantan pacar karyawan manajemen bank membuat email penipuan, yang dikirim ke klien bank untuk mendapatkan uang. Kasus Sony.Sambandh.com adalah pekerja call center menggunakan informasi kartu kredit orang asing untuk membeli TV dan headphone. Penipuan kompromi email bisnis mengacu pada peretas yang mendapatkan akses ke email CEO/CFO dan menggunakannya untuk mendapatkan uang dari karyawan mereka
Gunakan sebagai bukti
Di pengadilan, bukti forensik komputer tunduk pada persyaratan biasa untuk bukti digital . Ini mensyaratkan bahwa informasi harus otentik, diperoleh dengan andal, dan dapat diterima. [8] Negara yang berbeda memiliki pedoman dan praktik khusus untuk pemulihan bukti. Di Inggris Raya , pemeriksa sering mengikuti pedoman Asosiasi Kepala Polisi yang membantu memastikan keaslian dan integritas bukti. Meskipun bersifat sukarela, pedoman tersebut diterima secara luas di pengadilan Inggris.
Forensik komputer telah digunakan sebagai bukti dalam hukum pidana sejak pertengahan 1980-an, beberapa contoh penting antara lain:
Pembunuh BTK: Dennis Rader dihukum karena serangkaian pembunuhan berantai yang terjadi selama enam belas tahun. Menjelang akhir periode ini, Rader mengirim surat ke polisi dalam bentuk floppy disk. Metadata dalam dokumen melibatkan seorang penulis bernama "Dennis" di "Gereja Kristus Lutheran"; bukti ini membantu penangkapan Rader.
Joseph Edward Duncan : Sebuah spreadsheet yang diambil dari komputer Duncan berisi bukti yang menunjukkan dia merencanakan kejahatannya. Jaksa menggunakan ini untuk menunjukkan perencanaan dan mengamankan hukuman mati.
Sharon Lopatka : Ratusan email di komputer Lopatka mengarahkan penyelidik ke pembunuhnya, Robert Glass.
Corcoran Group : Kasus ini menegaskan kewajiban para pihak untuk menyimpan bukti digital ketika litigasi telah dimulai atau diantisipasi secara wajar. Hard drive dianalisis oleh ahli forensik komputer yang tidak dapat menemukan email relevan yang seharusnya dimiliki oleh Tergugat. Meskipun ahli tidak menemukan bukti penghapusan pada hard drive, bukti muncul bahwa para tergugat diketahui telah dengan sengaja menghancurkan email, dan menyesatkan serta gagal mengungkapkan fakta material kepada penggugat dan pengadilan.
Dr. Conrad Murray : Dr. Conrad Murray, dokter almarhum Michael Jackson , dihukum sebagian oleh bukti digital di komputernya. Bukti ini termasuk dokumentasi medis yang menunjukkan jumlah propofol yang mematikan .
Proses forensik
Investigasi forensik komputer biasanya mengikuti proses atau fase forensik digital standar yaitu akuisisi, pemeriksaan, analisis, dan pelaporan. Investigasi dilakukan pada data statis (yaitu gambar yang diperoleh ) daripada sistem "hidup". Ini adalah perubahan dari praktik forensik awal di mana kurangnya alat spesialis menyebabkan penyelidik umumnya bekerja pada data langsung.
1.1 Laboratorium forensik komputer
Laboratorium forensik komputer adalah zona aman dan terlindung di mana data elektronik dapat dikelola, disimpan, dan diakses di lingkungan yang terkendali. Di sana, risiko kerusakan atau modifikasi bukti sangat berkurang. Pemeriksa forensik komputer memiliki sumber daya yang dibutuhkan untuk mendapatkan data yang berarti dari perangkat yang mereka periksa.
1.2 Teknik
Sejumlah teknik digunakan selama penyelidikan forensik komputer dan banyak yang telah ditulis tentang banyak teknik yang digunakan oleh penegak hukum pada khususnya.
Analisis lintas drive
Teknik forensik yang mengkorelasikan informasi yang ditemukan di beberapa hard drive . Prosesnya, masih diteliti, dapat digunakan untuk mengidentifikasi jaringan sosial dan melakukan deteksi anomali . [12] [13]
Analisis langsung
Pemeriksaan komputer dari dalam sistem operasi menggunakan forensik khusus atau alat sysadmin yang ada untuk mengekstraksi bukti. Praktik ini berguna saat menangani Sistem File Enkripsi , misalnya, di mana kunci enkripsi dapat dikumpulkan dan, dalam beberapa kasus, volume hard drive logis dapat dicitrakan (dikenal sebagai akuisisi langsung) sebelum komputer dimatikan.
File yang dihapus
Teknik umum yang digunakan dalam forensik komputer adalah pemulihan file yang terhapus. Perangkat lunak forensik modern memiliki alatnya sendiri untuk memulihkan atau mengukir data yang terhapus. Sebagian besar sistem operasi dan sistem file tidak selalu menghapus data file fisik, memungkinkan penyelidik untuk merekonstruksinya dari sektor disk fisik . Pengukiran file melibatkan pencarian header file yang dikenal di dalam gambar disk dan merekonstruksi materi yang dihapus.
forensik stokastik
Metode yang menggunakan properti stokastik dari sistem komputer untuk menyelidiki aktivitas yang tidak memiliki artefak digital. Penggunaan utamanya adalah untuk menyelidiki pencurian data .
Steganografi
Salah satu teknik yang digunakan untuk menyembunyikan data adalah melalui steganografi, yaitu proses penyembunyian data di dalam sebuah gambar atau citra digital. Contohnya adalah menyembunyikan gambar pornografi anak-anak atau informasi lain yang tidak ingin ditemukan oleh penjahat tertentu. Profesional forensik komputer dapat melawan ini dengan melihat hash file dan membandingkannya dengan gambar asli (jika tersedia). Sementara gambar tampak identik setelah pemeriksaan visual, hash berubah seiring perubahan data.
Forensik perangkat seluler
Log Telepon: Perusahaan telepon biasanya menyimpan log panggilan yang diterima, yang dapat berguna saat membuat garis waktu dan mengumpulkan lokasi orang saat kejahatan terjadi.
Kontak: Daftar kontak membantu mempersempit kumpulan tersangka karena hubungannya dengan korban atau tersangka.
Pesan teks: Pesan berisi stempel waktu dan tetap berada di server perusahaan tanpa batas waktu, bahkan jika dihapus di perangkat aslinya. Karena itu, pesan bertindak sebagai rekaman komunikasi penting yang dapat digunakan untuk menghukum tersangka.
Foto: Foto dapat menjadi penting dalam mendukung atau menyangkal alibi dengan menampilkan lokasi atau pemandangan beserta stempel waktu pengambilan foto.
Rekaman Audio: Beberapa korban mungkin dapat merekam momen-momen penting dari perjuangan, seperti suara penyerang mereka atau konteks situasi yang luas.
Data yang mudah menguap
Data yang mudah menguap adalah data apa pun yang disimpan dalam memori, atau ada dalam perjalanan, yang akan hilang saat komputer kehilangan daya atau dimatikan. Data yang mudah menguap berada di pendaftar, cache, dan memori akses acak (RAM). Investigasi data volatil ini disebut "forensik langsung".
Saat menyita bukti, jika mesin masih aktif, informasi apa pun yang disimpan hanya di RAM yang tidak dipulihkan sebelum dimatikan mungkin akan hilang. Salah satu penerapan "analisis langsung" adalah memulihkan data RAM (misalnya, menggunakan alat COFEE Microsoft, WinDD, WindowsSCOPE ) sebelum menghapus pameran. Gateway CaptureGUARD mem-bypass login Windows untuk komputer yang terkunci, memungkinkan analisis dan akuisisi memori fisik pada komputer yang terkunci.
RAM dapat dianalisis untuk konten sebelumnya setelah kehilangan daya, karena muatan listrik yang disimpan dalam sel memori membutuhkan waktu untuk menghilang, efek yang dimanfaatkan oleh serangan boot dingin . Lamanya waktu data dapat dipulihkan meningkat dengan suhu rendah dan voltase sel yang lebih tinggi. Memegang RAM yang tidak berdaya di bawah −60 °C membantu menyimpan data sisa dengan urutan besarnya, meningkatkan peluang pemulihan yang berhasil. Namun, tidak praktis untuk melakukan ini selama pemeriksaan lapangan.
Beberapa alat yang diperlukan untuk mengekstrak data yang mudah menguap, bagaimanapun, mengharuskan komputer berada di laboratorium forensik, baik untuk mempertahankan rangkaian bukti yang sah, dan untuk memfasilitasi pengerjaan mesin. Jika perlu, penegak hukum menerapkan teknik untuk memindahkan komputer desktop yang aktif dan sedang berjalan. Ini termasuk mouse jiggler , yang menggerakkan mouse dengan cepat dalam gerakan kecil dan mencegah komputer tertidur secara tidak sengaja. Biasanya, catu daya tak terputus (UPS) menyediakan daya selama transit.
Namun, salah satu cara termudah untuk mengambil data adalah dengan benar-benar menyimpan data RAM ke disk. Berbagai sistem file yang memiliki fitur penjurnalan seperti NTFS dan ReiserFS menyimpan sebagian besar data RAM di media penyimpanan utama selama pengoperasian, dan file halaman ini dapat dipasang kembali untuk merekonstruksi apa yang ada di RAM saat itu.
Alat analisis
Sejumlah open source dan alat komersial tersedia untuk penyelidikan forensik komputer. Analisis forensik tipikal mencakup tinjauan manual materi di media, meninjau registri Windows untuk informasi yang dicurigai, menemukan dan meretas kata sandi, pencarian kata kunci untuk topik yang terkait dengan kejahatan, dan mengekstrak email dan gambar untuk ditinjau. [9] Otopsi (perangkat lunak) , Pusat Bukti Belkasoft , COFEE , EnCase adalah beberapa alat yang digunakan dalam digital forensik.
Pekerjaan di forensik komputer
Analis forensik digital
Analis forensik digital bertanggung jawab untuk melestarikan bukti digital, membuat katalog bukti yang dikumpulkan, menganalisis bukti dengan cara yang relevan dengan kasus yang sedang berlangsung, menanggapi pelanggaran dunia maya (biasanya dalam konteks perusahaan), menulis laporan yang berisi temuan, dan bersaksi di pengadilan. Seorang analis forensik digital sebagai alternatif dapat disebut sebagai analis forensik komputer, pemeriksa forensik digital, analis forensik dunia maya, teknisi forensik, atau gelar serupa lainnya, meskipun peran ini melakukan tugas yang sama.
Sertifikasi
Ada beberapa sertifikasi forensik komputer yang tersedia, seperti ISFCE Certified Computer Examiner, Digital Forensics Investigation Professional (DFIP) dan IACRB Certified Computer Forensics Examiner.
Sertifikasi independen vendor teratas (terutama di UE) dianggap sebagai CCFP - Profesional Forensik Cyber Bersertifikat.
Lainnya, yang patut disebutkan untuk AS atau APAC adalah: Asosiasi Spesialis Investigasi Komputer Internasional menawarkan program Penguji Komputer Bersertifikat .
International Society of Forensic Computer Examiners menawarkan program Certified Computer Examiner .
Banyak perusahaan perangkat lunak forensik berbasis komersial sekarang juga menawarkan sertifikasi kepemilikan pada produk mereka. Misalnya, Perangkat Lunak Bimbingan yang menawarkan sertifikasi (EnCE) pada alat mereka EnCase, sertifikasi penawaran AccessData (ACE) pada alat FTK mereka, Perangkat Lunak PassMark menawarkan sertifikasi pada alat mereka OSForensics, dan sertifikasi X-Ways Software Technology (X-PERT) untuk perangkat lunak mereka, X-Ways Forensics.
Posting Komentar