Kategori
Security

Digital Forensic

Definisi Digital Forensic (DF)

Pengertian forensik secara umum adalah suatu proses ilmiah untuk mengumpulkan, menganalisis, dan menyajikan bukti pada pengadilan. Pada umumnya, sebuah tahap forensik dilakukan dengan asumsi bahwa data-data yang telah dikumpulkan akan digunakan sebagai bukti di pengadilan. Oleh karena itu, setelah pengumpulan barang bukti, para praktisi forensik menjaga dan mengontrol bukti tersebut untuk mencegah terjadinya modifikasi.

Jadi Forensik Digital atau Digital Forensics (wikipedia) adalah salah satu cabang ilmu forensik, terutama untuk penyelidikan dan penemuan konten perangkat digital, dan sering kali dikaitkan dengan kejahatan komputer. Istilah forensik digital pada awalnya identik dengan forensik komputer tetapi kini telah diperluas untuk menyelidiki semua perangkat yang dapat menyimpan data digital. Forensik digital diperlukan karena biasanya data di perangkat target dikunci, dihapus, atau disembunyikan.

Sejarah DF

Sebelum tahun 1980-an kejahatan yang melibatkan komputer ditangani dengan ketentuan hukum yang ada. Kejahatan komputer pertama kali diakui dalam Undang-Undang Pidana Komputer Florida 1978 (the 1978 Florida Computer Crimes Act) termasuk undang-undang yang melarang modifikasi tidak sah atau penghapusan data pada sistem komputer. Pada tahun-tahun berikutnya, ruang lingkup cybercrime mulai berkembang, dan beberapa undang-undang kemudian disahkan untuk mengatasi permasalahan hak cipta, privasi/pelecehan (misalnya intimidasi dunia maya, cyber stalking, dan predator daring) serta pornografi anak. Baru pada tahun 1980-an undang-undang federal mulai memasukkan pelanggaran komputer. Kanada adalah negara pertama yang mengeluarkan undang-undang terkait kejahatan komputer pada tahun 1983.Hal ini diikuti oleh Amerika Serikat dengan Computer Fraud and Abuse Act pada tahun 1986, Australia mengamendemen undang-undang kriminalnya pada tahun 1989 dan Inggris menerbitkan Undang-Undang Penyalahgunaan Komputer (Computer Misuse Act) pada tahun 1990.

Pertumbuhan kejahatan komputer selama tahun 1980-an dan 1990-an menyebabkan lembaga-lembaga penegak hukum membentuk tim khusus, biasanya di tingkat nasional, untuk menangani aspek-aspek teknis dalam penyelidikan. Sebagai contoh, pada tahun 1984 FBI membentuk Tim Analisis dan Tanggapan Komputer (Computer Analysis and Response Team), dan tahun berikutnya Departemen Kejahatan Komputer didirikan di dalam kelompok anti-penipuan Polisi Metropolitan Inggris. Selain personel penegak hukum profesional, banyak anggota awal tim-tim ini terdiri dari penggemar/penghobi komputer dan bertanggung jawab untuk penelitian dan petunjuk awal serta arah masa depan bidang forensik digital.

Ilmu Forensik

Selain istilah forensik digital ada juga istilah tentang ilmu forensik, ilmu forensik adalah ilmu yang digunakan untuk tujuan hukum, bersifat tidak memihak yang merupakan bukti ilmiah untuk digunakan dalam kepentingan peradilan dan penyelidikan. Forensik digital merupakan salah satu cabang dari ilmu forensik, terutama untuk menyelidiki dan memulihkan konten perangkat digital, berkaitan dengan bukti legal yang terdapat pada perangkat komputer dan media penyimpanan digital lainnya sebagai bukti-bukti digital yang digunakan dalam kejahatan komputer dan dunia maya. Forensik digital diperlukan karena biasanya data di perangkat target dikuncidihapus, atau disembunyikan.

Kategori Digital Forensic

Forensik digital dapat dikelompokkan menurut sumber bukti digital yang diperoleh :

“Bukti digital (Digital Evidence) adalah istilah yang mengacu pada sebuah aset digital yang ditemukan pada perangkat elektronik yang dapat digunakan sebagai bukti di pengadilan.”

  1. Computer forensic merupakan cabang dari forensik digital yang berkaitan dengan bukti pada komputer serta media penyimpanan digital dan bertujuan untuk memproses bukti-bukti tersebut sebagaimana harusnya. Bukti digital seperti laptop, harddisk, SD cards, RAM, sistem operasi dan aplikasi-aplikasi yang berada didalamnya.
  2. Mobile device forensic adalah cabang forensik digital mengenai akuisisi perangkat seluler untuk memulihkan bukti digital seperti catatan panggilan masuk dan keluar, daftar kontak, SMS dan MMS, lokasi akun pengguna, dan file system yang akan digunakan sebagai kepentingan investigasi. Contoh lainnya seperti jaringan komunikasi yang digunakan GSM, 3G, 4G, dll.
  3. Network forensic adalah bagian dari forensik digital yang digunakan untuk menemukan bukti digital seperti sumber serangan keamanan pada suatu jaringan, aliran data yang tercapture melalui jaringan baik yang offline maupun live (volatile).
  4. Database Forensic adalah cabang dari forensik digital yang berkaitan dengan studi forensik database dan metadata. Investigasi menggunakan isi database, file log dan RAM data untuk membangun waktu-line atau memulihkan informasi yang relevan. Database yang digunakan seperti Microsoft SQL server, Oracle, MySQL, dan lain-lain.
  5. Cloud Forensics
  6. Photo Forensic
  7. Voice Forensic
  8. etc

Komponen

Dalam suatu model forensik digital melibatkan tiga komponen terangkai yang dikelola sedemikian rupa sehingga menjadi sebuah tujuan akhir dengan segala kelayakan serta hasil yang berkualitas. Ketiga komponen tersebut adalah:

  1. Manusia (People), diperlukan kualifikasi untuk mencapai manusia yang berkualitas. Memang mudah untuk belajar komputer forensik, tetapi untuk menjadi ahlinya, dibutuhkan lebih dari sekadar pengetahuan dan pengalaman.
  2. Peralatan (Equipment), diperlukan sejumlah perangkat atau alat yang tepat untuk mendapatkan sejumlah bukti yang dapat dipercaya dan bukan sekadar bukti palsu.
  3. Aturan (Protocol), diperlukan dalam menggali, mendapatkan, menganalisis, dan akhirnya menyajikan dalam bentuk laporan yang akurat. Dalam komponen aturan, diperlukan pemahaman yang baik dalam segi hukum dan etika, kalau perlu dalam menyelesaikan sebuah kasus perlu melibatkan peran konsultasi yang mencakup pengetahuan akan teknologi informasi dan ilmu hukum.

Tujuan Digital Forensic

Berdasarkan dari beberapa kriteria diatas terkait dengan investigasi kejahatan dengan beberapa perangkat seperti komputer, tablet, smartphone, dan beberapa perangkat lainnya. Maka tujuan dari digital forensic setelah dilakukan penyimpanan, pemrosesan dan ekstraksi bukti adalah sebagai berikut :

  1. Menemukan bukti hukum dalam perangkat elektronik yang digunakan
  2. Menjaga dan mengembalikan bukti yang hancur (hilang/dirusak)
  3. Mengaitkan suatu peristiwa tertentu
  4. Mengidentifikasi kebocoran data dalam suatu organisasi
  5. Menjaga kemungkinan kerusakan data yang terjadi selama proses identifikasi

Proses Investigasi DF

Dalam buku Forensic Examination of Digital Evidence, terdapat 4 tahap untuk memproses bukti digital, yaitu:

  1. Assessment pemeriksa computer forensic harus menilai bukti digital sepenuhnya dengan mematuhi ruang lingkup dari kasus untuk menentukan tindakan yang harus diambil.
  2. Acquisition Secara alami, bukti digital rentan dan dapat diubah, rusak, atau dihancurkan oleh pemeriksaan atau penanganan yang tidak tepat. Pemeriksaan yang paling tepat dilakukan pada copy dari bukti asli tersebut. Bukti asli harus diperoleh dengan cara melindungi dan mempertahankan integritas dari bukti tersebut.
  3. Examination Tujuan dari proses ini adalah untuk mengekstrak dan menganalisis bukti digital. Ekstrak disini mengacu pada proses pemulihan data (recovery data) dari sebuah media. Analisisnya mengacu pada penafsiran dari data dan menempatkannya dalam format logis dan berguna.
  4. Documenting dan reporting Tindakan dan observasi harus didokumentasikan selama proses forensic berlangsung. Hal ini termasuk dengan persiapan laporan tertulis dari temuan yang ada.

Sumber lain menyebutkan terkait dengan proses digital forensic scientific :
  1. Data Collection
    • Obtain Search Authority
    • Document Chain of Custody
    • Hash and Duplicate All Evidence
  2. Examination and analysis
    • Validate your tools
    • Perform analysis
    • Reproduce for assurance
  3. Reporting
    • Make Conclusions
    • Present Expert Testimony

Konteks Model Proses Forensik

  1. Physical Context : Mengatur prosedur identifikasi dan pengumpulan media fisik seperti mendokumentasikan seluruh barang bukti yang ditemukan, melakukan penggandaan dan penyimpanan secara aman.
  2. Logical Context : Mengatur prosedur pemeriksaan dan analisis data di dalam media, antara lain untuk menemukan berkas file yang disembunyikan, memulikan yang telah terhapus, melakukan rekonstruksi dan penyajian kronologis serta analisis keterkaitan terhadap kasus yang dihadapi.
  3. Legal Context : Mengatur prosedur tata kelola fisik dan informasi sesuai aturan, seperti penetapan otoritas yang memiliki kewenangan dan kompetensi, surat perintah untuk penggeladan, penyitaan, pemberkasan dan laporan serta penyajian di persidangan.

Berikut ini adalah beberapa hal yang perlu diperhatikan ketika melakukan proses forensik:

  1. Order of Volatility Tahap ini mengacu pada urutan sebagaimana seharusnya mengumpulkan bukti. Secara umum, pengumpulan bukti harus dimulai dari yang paling volatil atau mudah berubah. Sebagai contoh adalah RAM (Random Access Memory) yang datanya akan hilang setelah komputer dimatikan. Oleh karena itu, hal penting yang harus diperhatikan adalah tidak mematikan sebuah komputer jika dicurigai telah terlibat dalam sebuah security incident dan mungkin menyimpan bukti yang berharga. Berikut ini adalah order of volatility, dimulai dari data yang paling rentan untuk  berubah atau hilang: Data pada cache memory, termasuk cache processor and cache hard drive, Data pada RAM, termasuk proses sistem and jaringan, Swap file/paging file pada system disk drive, Data stored pada local disk drives, Logs stored pada remote systems, Archive media
  2. Data Acquisition & Preservation of Evidence Ketika melakukan akuisisi data untuk bukti, sangat penting untuk mengikuti prosedur khusus untuk memastikan bahwa bukti tersebut tidak dimodifikasi. Beberapa hal yang dapat diperhatikan dalam prosedur ini seperti capture system image, take hashes, network traffic and logs, capture video, record time offset, screenshots, witness interviews.
  3. Chain of Custody (CoC) CoC adalah sebuah proses yang menunjukkan bahwa segala bukti terjamin telah dikendalikan dan ditangani dengan benar setelah proses pengumpulan. Seperti contoh, forensik komputer biasanya berkaitan dengan pencarian file baik yang masih ada ataupun yang telah dihapus sebagai barang bukti digital. CoC forensik komputer membutuhkan kehati-hatian karena sifat data digital adalah volatile dan mudah berubah. Perbedaan time stamp (created-modified-access) pada file log misalnya, dapat merusak bukti digital dan tidak dapat diterima oleh pengadilan. Penanganan awal terhadap bukti elektronik berupa komputer yang didapatkan saat mati atau menyala juga berbeda.
  4. Legal Hold Legal hold mengacu kepada perintah pengadilan untuk mempertahankan berbagai jenis data sebagai bukti.
  5. Recovery of Data Secara umum, pemulihan data mengacu pada pengembalian data yang hilang, seperti mengembalikan file rusak/korup dari sebuah backup. Namun, dalam konteks forensic, memungkin untuk melakukan pemulihan data yang telah disengaja dan tidak sengaja terhapus.
  6. Active Logging for Intelligence Gathering Bagi sebuah organisasi untuk terlibat dalam kecerdasan strategis atau pengumpulan kontraintelijen dengan meningkatkan jumlah data yang mereka kumpulkan. Sebagai contoh, strategi active logging dapat membantu sebuah organisasi mendapat jumlah data attacker secara signifikan.
  7. Track Man-Hours and Expense Sebuah investigasi dapat memakan waktu yang lama, dan pada bisnis, waktu adalah uang. Ketika waktu terus bergulir, suatu departemen/divisi yang dapat mengidentifikasi berapa waktu dan biaya yang dihabiskan harus mendapatkan persetujuan terhadap anggaran yang telah diminta. Selain itu, penilaian risiko kuantitatif berdasarkan keputusan penggunaan sejumlah uang secara spesifik seperti biaya dan nilai asset. Jika sebuah insiden membutuhkan keterlibatan dari professional security dalam tim, jam kerja dan biaya yang dikeluarkan oleh tim respon insiden harus dimasukkan dalam penilaian.

Barang Bukti Digital (Digital Evidence)

Berbagai prilaku digital dan digitalisasi yang sudah merambah dalam setiap aktivitas manusia menjadi prilaku yang harus diamati dengan baik. Salah satunya yang saat ini sedang berkembang pesat adalah komputer forensik atau digital forensic yang sering digunakan dalam berbagai keperluan pembuktian hukum, yang dalam hal ini adalah untuk membuktikan kejahatan berteknologi tinggi atau computer crime secara ilmiah (scientific) hingga bisa mendapatkan bukti-bukti digital yang dapat digunakan untuk menjerat pelaku kejahatan tersebut.

Menurut EMC Corporation “The Digital of Opportunities”, jumlah data digital yang dihasilkan manusia dan mesin (termasuk IoT) akan menghasilkan 44 zetabytes pada tahun 2020 (1 zettabyte = 1 milyar terabytes).

Keberadaan barang bukti sangat penting dalam investigasi kasus-kasus computer crime maupun computer related crime karena dengan barang bukti inilah seorang investigator dan analis forensic dapat mengungkap kasus-kasus tersebut dengan kronologis secara lengkap, untuk kemudian melacak keberadaan pelaku dan menangkapnya. Oleh karena posisi barang bukti ini sangat strategis, seorang investigator dan analis forensic harus paham jenis-jenis barang bukti, sehingga ketika datang ke tempat kejadian perkara (TKP) yang berhubungan dengan kasus computer crime dan computer-related crime, ia dapat mengenali keberadaan barang bukti untuk kemudian diperiksa dan dianalisa lebih lanjut.

Tipe-tipe Digital Evidence :

  1. Teks (e.g. MS Office documents, IM chat, bookmarks), spreadsheets, database, dan lain-lain
  2. Audio dan video
  3. Digital images,
  4. Webcam recordings (digital photos dan videos),
  5. Address book dan calendar,
  6. Hidden and encrypted files (including zipped folders) created by the computer user,
  7. Previous backups (including both cloud storage backups and offline backups like CD/DVDs and tapes),
  8. Account details (username, picture, password),
  9. E-mail messages and attachments (both online and client e-mails as Outlook),
  10. Web pages, social media accounts, cloud storage, and any online accounts created by the user.

Beberapa klasifikasi barang bukti digital forensic yaitu:

  1. Barang bukti elektronik : Barang bukti ini bersifat fisik dan dapat dikenali secara visual, sehingga investigator dan analis forensic harus sudah memahami barang bukti tersebut ketika sedang melakukan proses pencarian barang bukti di TKP. Jenis barang bukti elektronik ini berupa computer PC, laptop, notebook, tablet, handphone, flashdisk, floppydisk, hardisk, CD/DVD, route,switch, hub, kamera video, CCTV, kamera digital, digital recorder, video player dan bukti fisik lainnya.
  2. Barang bukti digital : Barang bukti digital bersifat digital yang diekstrak dari barang bukti elektronik. Di dalam Undang-Undang No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik dikenal dengan istilah informasi elektronik dan dokumen elektronik. Berikut beberapa contoh barang bukti digital yaitu:
    • Logical file, yaitu file yang masih ada dan tercatat di file system yang sedang berjalan (running) di suatu partisi. File tersebut bisa berupa file aplikasi, library, office, logs, multi media, dan lain-lain.
    • Deleted file, dikenal juga dengan istilah unallocated cluster yang merujuk kepada cluster dan sektor tempat penyimpanan file yang sudah terhapus dan tidak teralokasikan lagi untuk file tersebut dengan ditandai di file system sebagai area yang dapat digunakan lagi untuk penyimpanan file yang baru. Artinya file yang sudah terhapus tersebut masih tetap berada di cluster atau sektor tempat penyimpanannya sampai tertimpa (overwritten) oleh file yang baru pada cluster atau sektor tersebut. Pada kondisi di mana deleted file tersebut belum tertimpa, maka proses recovery secara utuh terhadap file tersebut sangat memungkinkan terjadi.
    • Lost file, yaitu file yang sudah tidak tercatat lagi di file system yang sedang berjalan (running) dari suatu partisi, namun file tersebut masih ada di sektor penyimpanannya. Ini bisa terjadi ketika misalnya suatu flashdisk atau harddisk maupun partisinya dilakukan proses re-format yang menghasilkan file system yang baru, sehingga file-file yang sudah ada sebelumnya menjadi tidak tercatat lagi di file system yang baru. Untuk proses recovery-nya didasarkan pada signature dari header maupun footer yang tergantung pada jenis format file tersebut.
    • File slack, yaitu sektor penyimpanan yang berada di antara End of File (EoF) dengan End of Cluster (EoC). Wilayah ini sangat memungkinkan terdapat informasi yang mungkin penting dari file yang sebelumnya sudah dihapus (deleted).
    • Log file, yaitu file yang merekam aktivitas (logging) dari suatu keadaan tertentu, misalnya log dari sistem operasi, internet browser, aplikasi, internet traffic, dan lain-lain.
    • Encrypted file, yaitu file yang isinya sudah dilakukan enkripsi dengan menggunakan algoritma cryptography yang kompleks, sehingga tidak bisa dibaca atau dilihat secara normal. Satu-satunya cara untuk membaca atau melihatnya kembali adalah dengan melakukan dekripsi terhadap file tersebut dengan menggunakan algoritma yang sama. Ini biasa digunakan dalam dunia digital information security untuk mengamankan informasi yang penting. Ini juga merupakan salah satu bentuk dari Anti-Forensic, yaitu suatu metode untuk mempersulit forensic analyst atau investigator mendapatkan informasi mengenai jejak-jejak kejahatan.
    • Steganography file, yaitu file yang berisikan informasi rahasia yang disisipkan ke file lain, biasanya berbentuk file gambar, video atau audio, sehingga file-file yang bersifat carrier (pembawa pesan rahasia) tersebut terlihat normal dan wajar bagi orang lain, namun bagi orang yang tahu metodologinya, file-file tersebut memiliki makna yang dalam dari informasi rahasianya tersebut. Ini juga dianggap sebagai salah satu bentuk dari Anti-Forensic.
    • Office file, yaitu file yang merupakan produk dari aplikasi Office, seperti Microsoft Office, Open Office dan sebagainya. Ini biasanya berbentuk file dokumen, spreadsheet, database, teks, dan presentasi.
    • Audio file, yaitu file yang berisikan suara, musik dan lain-lain, yang biasanya berformat wav, mp3 dan lain-lain. File audio yang berisikan rekaman suara percakapan orang ini biasanya menjadi penting dalam investigasi ketika suara di dalam file audio tersebut perlu diperiksa dan dianalisa secara audio forensik untuk memastikan suara tersebut apakah sama dengan suara pelaku kejahatan.
    • Video file, yaitu file yang memuat rekaman video, baik dari kamera digital, handphone, handycam maupun CCTV. File video ini sangat memungkinkan memuat wajah pelaku kejahatan sehingga file ini perlu dianalisa secara detil untuk memastikan bahwa yang ada di file tersebut adalah pelaku kejahatan.
    • Image file, yaitu file gambar digital yang sangat memungkinkan memuat informasi-informasi penting yang berkaitan dengan kamera dan waktu pembuatannya (time stamps). Data-data ini dikenal dengan istilah metadata exif (exchangeable image file). Meskipun begitu metadata exif ini bisa dimanipulasi, sehingga forensic analyst atau investigator harus hati-hati ketika memeriksa dan menganalisa metadata dari file tersebut.
    • Email, merupakan singkatan dari electronic mail, yaitu surat berbasis sistem elektronik yang menggunakan sistem jaringan online untuk mengirimkannya atau menerimanya. Email menjadi penting di dalam investigasi khususnya phishing (yaitu kejahatan yang menggunakan email palsu dilengkapi dengan identitas palsu untuk menipu si penerima). Email berisikan header yang memuat informasi penting jalur distribusi pengiriman email mulai dari sender (pengirim) sampai di recipient (penerima), oleh karena itu data di header inilah yang sering dianalisa secara teliti untuk memastikan lokasi si pengirim yang didasarkan pada alamat IP. Meskipun begitu, data-data di header juga sangat dimungkinkan untuk dimanipulasi. Untuk itu pemeriksaan header dari email harus dilakukan secara hati-hati dan komprehensif.
    • User ID dan password, merupakan syarat untuk masuk ke suatu account secara online. Jika salah satunya salah, maka akses untuk masuk ke account tersebut akan ditolak.
    • SMS (Short Message Service), yaitu pelayanan pengiriman dan penerimaan pesan pendek yang diberikan oleh operator seluler terhadap pelanggannya. SMS-SMS yang bisa berupa SMS inbox (masuk), sent (keluar), dan draft (rancangan) dapat menjadi petunjuk dalam investigasi untuk mengetahui keterkaitan antara pelaku yang satu dengan yang lain.
    • MMS (Multimedia Message Service), merupakan jasa layanan yang diberikan oleh operator seluler berupa pengiriman dan penerimaan pesan multimedia yang bisa berbentuk suara, gambar atau video.
    • Call logs, dan lain-lain, yaitu catatan panggilan yang terekam pada suatu nomor panggilan seluler. Panggilan ini bisa berupa incoming (panggilan masuk), outgoing (panggilan keluar), dan missed (panggilan tak terjawab).

Hal-hal diatas harus dapat dipahami oleh analis forensic dan investigator ketika mereka melakukan pencarian barang bukti elektronik di TKP, untuk kemudian membawanya ke laboratorium untuk dianalisa lebih lanjut.

Di dalam mengungkap kasus yang berhubungan dengan Digital Forensic ada beberapa prosedur penanganan secara prosedural yang menjadi panduan bagi investigator dan seorang analis forensic. Tujuannya untuk mendapatkan data-data digital secara cepat dan original. Ada beberapa persiapan yang dibutuhkan dalam menangani bukti digital yaitu:

  1. Administrasi penyidikan : seperti surat perintah penggeledahan dan surat perintah penyitaan.
  2. Kamera digital : digunakan untuk memotrek TKP dan barang bukti secara fotografi forensic (foto umum, foto menengah dan foto close up).
  3. Peralatan tulis : untuk mencatat antara lain spesifikasi teknis computer dan keterangan para saksi.
  4. Nomor, skala ukur, label lembaga, serta sticker label kosong : untuk menandai masing-masing barang bukti eletronik yg ditemukan di TKP.
  5. Formulir penerimaan barang bukti : digunakan untuk kepentingan chain of custody yaitu metodologi untuk menjaga keutuhan barang bukti dimulai dari tkp.
  6. Triage tools : digunakan untuk kegiatan triage forensik terhadap barang bukti computer yang ditemukan dalam keadaan hidup (on).

Penanganan Bukti Digital Komputer Dalam Keadaan Mati (Off)

Ada beberapa tahapan yang harus dikerjakan oleh analis forensic atau investigator jika mendapati barang bukti computer dalam keadaan mati (off) yaitu:

  1. Pastikan computer tetap dalam keadaan mati (off).
  2. Catat semua spesifikasi dari barang bukti computer misalnya merek, model dan serial number (S/N)
  3. Lakukan fotografi forensic terhadap barang bukti tersebut,  lengkap dengan nomor, skala ukur, dan label, serta usahakan diambil dari empat arah yang berbeda.
  4. Catat keterangan saksi berhubungan dengan barang butki tersebut.
  5. Bungkus barang bukti komputer tersebut dan beri catatan disisi luarnya dengan menggunakan stiker sebagai tanda dan isi formulir penerimaan barang bukti.
  6. Bawa barang bukti computer tersebut serta catatan-catatan dan foto-fotonya ke laboratorium untuk pemeriksaan lebih lanjut.

Penanganan Bukti Digital Komputer Dalam Keadaan Hidup (ON)

Jika diatas mengulas tentang barang bukti dalam keadaan mati (off) maka sekarang kita akan mengulas apa yang harus dikerjakan investigator dan analis desain ketika barang bukti computer tersebut dalam keadaan menyala (ON).

  1. Catat apa yang sedang running dan tampak di layar monitor computer.
  2. Catat spesififkasi teknis dari barang bukti computer, seperti yang dilakukan sebelumnya, tapi disini tambahkan catatan tanggal/waktu dari komputer dan bandingkan dengan waktu lokal.
  3. Lakukan fotografi forensic seperti yang telah dijelaskan sebelumnya, tambahkan fotografi waktu dan bandingkan dengan waktu lokal, hal ini erat kaitannya dengan time stamps dari temuan bukti digital.
  4. Catat keterangan saksi-saksi yang menjelaskan hal terkait barang bukti komputer tersebut.
  5. Lakukan triage forensic dengan bantuan triage tools yang sudah disiapkan sebelumnya. Pada tahap ini seorang investigator dan analis forensic memungkinkan untuk mendapatkan banyak data secara cepat yang berkaiaatan dengan kasus yang sedang ditangani.

Prosedure Penanganan Barang Bukti

Menurut Assosiation of Chief Police Officer (ACPO) yang merupakan salah satu guidelines Internasional, terdiri dari asosiasi para pemimpin kepolisian di Inggris dan bekerjasama dengan 7 safe, menerapkan beberapa standar prosedural dalam menangani barang bukti yang menjadi acuan ahli forensik dalam menangani barang bukti digital yaitu:

  1. Identification Proses indentifikasi untuk mengenali peristiwa yang terjadi, mengetahui hal yang dibutuhkan  dan melakukan penyelidikan.
  2. Authorization (approval) Adanya otorisasi atau surat persetujuan yang diberikan untuk menyelidiki perkara yang sedang terjadi.
  3. Preparation Melakukan persiapan apa saja yang digunakan dalam kasus tersebut misalnya menetukan area pencarian, tool yang akan digunakan, dan arahan operasional .
  4. Securing and Evaluating the Scene (mengamankan dan mengevaluasi tempat kejadian) Memastikan keamanan di area tempat kejadian, mengetahui kemungkinan-kemungkinan yang akan terjadi, mengidentidikasi dan melindungi bukti dan melakukan wawancara kepada pihak yang diamggap perlu.
  5. Documenting the Scene (Mendokumentasikan tempat kejadian) Membuat catatan permanen dari peristiwa dengan fotografi dan mencatat kondisi dokumen dan lokasi serta komponen computer yang terkait, dan mengumpulkannya sebagai bukti untuk di analisa selanjutnya.
  6. Evidence Collection (Mengumpulkan Barang Bukti) Dalam hal ini barang bukti bisa berupa digital maupun elektronik, berupa data-data dari perangkat computer yang berada di tempat kejadian perkara.
  7. Packaging, Transportation and Storage Setelah menemukan barang bukti maka wajib bagi investigator atau analis porensic untuk melindungi bukti yang ada dan menjauhkan barang bukti dari kemungkinan kontaminasi yang bisa merusak barang bukti tersebut.
  8. Initial Inspection (Pemeriksaan awal) pada tahap ini dilakukan identifikasi perangkat baik internal maupun eksternal dari sebuah computer kemudian menentukan tool yang cocok untuk digunakan.
  9. Forensic Imaging and Copying Imaging bertujuan untuk mengetahui  keadaan data baik logis maupun fisik, mengetahui data yang tersembunyi, terhapus dan merecovery data yang dibutuhkan untuk proses investigasi.
  10. Forensic Examination and Analysis Melakukan pemeriksaan forensic dan analisis dengan menggunakan teknik forensic dan tools untuk menganalisis dan mengolah bukti data, termasuk didalamnya pembuatan nilai hash cryptograpy dan penyaringan dengan hash libraries, menampilkan file, mengekspor dan menyebarkan file misalnya melalui email, ekstraksi metadata, pencarian dan pengindeksan.
  11. Presentation and Report Prosedur dokumen analisis dan penemuan barang bukti, penggunaan file log , bookmark, dan catatan yang dibuat selama pemeriksaan, membuat kesimpulan dan menyiapkannya dalam bentuk laporan untuk menjadi bukti dipengadilan.
  12. Review Barang bukti yang sudah dibuat laporan diserahkan kepada yang berwenang atau badan pemeriksa, dan ketika terjadi ketidak sepakatan maka badan pemeriksa tersebut harus mempunyai kebijakan dan menetapkan protocol teknis secara administratif dan  menentukan tindakan yang akan dilakukan.

Area Analisis

Berikut merupakan area mana saja yang perlu dianalisa jika terjadi suatu peristiwa yang memerlukan forensic

  1. Storage Media
  2. Hadware and Operating System
  3. Networks
  4. Applications

Aplikasi Digital Forensics

  1. Autopsy
  2. Magnet Encrypted Disk Detector
  3. Wireshark
  4. Magnet RAM Capture
  5. Network Miner
  6. NMAP
  7. RAM Capturer
  8. FAW
  9. HashMyFiles
  10. Crowdresponse
  11. Exiftool
  12. SIFT
  13. Browser History Examiner
  14. Sleuth Kit
  15. Caine
  16. Volatility Framework
  17. Paladin Forensic Suite
  18. FTK Imager
  19. Bulk Extractor
  20. LastActivityView