c

Pemula untuk Forensik Komputer

 Pemula untuk Forensik Komputer: Forensik komputer adalah praktik mengumpulkan, menganalisis, dan melaporkan informasi di gital dengan cara yang dapat di terima secara hukum. Ini dapat di gunakan dalam deteksi dan pencegahan kejahatan dan dalam perselisihan apa pun di mana bukti disimpan secara di gital. Forensik komputer memiliki tahapan pemeriksaan yang sebanding dengan di siplin forensik lainnya dan menghadapi masalah serupa.

Tentang panduan ini

Panduan ini membahas forensik komputer dari perspektif netral. Ini tidak terkait dengan undang-undang tertentu atau di maksudkan untuk mempromosikan perusahaan atau produk tertentu dan tidak di tulis dalam bias penegakan hukum atau forensik komputer komersial. Ini di tujukan untuk audiens non-teknis dan memberikan pandangan forensik komputer tingkat tinggi. Panduan ini menggunakan istilah “komputer”, tetapi konsepnya berlaku untuk perangkat apa pun yang mampu menyimpan informasi di gital. Jika metodologi telah di sebutkan, metodologi tersebut hanya di berikan sebagai contoh dan bukan merupakan rekomendasi atau saran.

Penggunaan komputer forensik

Ada beberapa area kejahatan atau perselisihan di mana forensik komputer tidak dapat di terapkan. Lembaga penegak hukum telah menjadi salah satu pengguna forensik komputer paling awal dan terberat dan akibatnya sering berada di garis depan perkembangan di lapangan. Komputer dapat menjadi ‘tempat kejadian kejahatan’, misalnya dengan peretasan

[1] atau serangan penolakan layanan

[2] atau mereka dapat menyimpan bukti dalam bentuk email,

riwayat internet, dokumen, atau file lain yang relevan dengan kejahatan seperti pembunuhan , penculikan, penipuan dan perdagangan narkoba. Bukan hanya konten email, dokumen, dan file lain yang mungkin menarik bagi penyelidik, tetapi juga ‘meta-data

 [3] yang terkait dengan file tersebut.

Pemeriksaan forensik komputer dapat mengungkapkan kapan dokumen pertama kali muncul di komputer, kapan terakhir di edit, kapan terakhir di simpan atau dicetak, dan pengguna mana yang melakukan tindakan ini.

Baru-baru ini, organisasi komersial telah menggunakan forensik komputer untuk keuntungan mereka dalam berbagai kasus seperti;

Pencurian Kekayaan Intelektual
Spionase industri
Perselisihan pekerjaan
Investigasi penipuan
Pemalsuan
Masalah pernikahan
Investigasi kebangkrutan
Penggunaan email dan internet yang tidak tepat di tempat kerja
Kepatuhan terhadap peraturan

Pedoman

Agar bukti dapat diterima, bukti tersebut harus dapat di andalkan dan tidak merugikan, yang berarti bahwa pada semua tahap proses ini, penerimaan harus berada di garis depan pikiran pemeriksa forensik komputer. Satu set pedoman yang telah di terima secara luas untuk membantu dalam hal ini adalah Panduan Praktik Baik Asosiasi Kepala Polisi untuk Bukti Elektronik Berbasis Komputer atau di singkat ACPO Guide. Meskipun Panduan ACPO di tujukan untuk penegakan hukum Inggris, prinsip utamanya berlaku untuk semua forensik komputer di badan legislatif apa pun. Empat prinsip utama dari panduan ini telah direproduksi di bawah ini (dengan referensi penegakan hukum dihapus):

Tidak ada tindakan yang boleh mengubah data yang di simpan di komputer atau media penyimpanan yang selanjutnya dapat di andalkan di pengadilan.

Dalam keadaan di mana seseorang merasa perlu untuk mengakses data asli yang di simpan di komputer atau media penyimpanan, orang tersebut harus kompeten untuk melakukannya dan dapat memberikan bukti yang menjelaskan relevansi dan implikasi dari tindakan mereka.

Jejak audit atau catatan lain dari semua proses yang di terapkan pada bukti elektronik berbasis komputer harus di buat dan di pelihara. Pihak ketiga yang independen harus dapat memeriksa proses tersebut dan mencapai hasil yang sama.

Orang yang bertanggung jawab atas penyelidikan memiliki tanggung jawab keseluruhan untuk memastikan bahwa hukum dan prinsip-prinsip ini dipatuhi. Singkatnya, tidak ada perubahan yang harus di lakukan pada aslinya, namun jika akses/perubahan di perlukan, pemeriksa harus mengetahui apa yang mereka lakukan dan mencatat tindakan mereka.

Akuisisi langsung

Prinsip 2 di atas dapat menimbulkan pertanyaan: Dalam situasi apa perubahan komputer tersangka oleh pemeriksa forensik komputer di perlukan? Secara tradisional, pemeriksa forensik komputer akan membuat salinan (atau memperoleh) informasi dari perangkat yang di matikan. Sebuah write-blocker

[4] akan di gunakan untuk membuat salinan bit demi bit yang tepat

[5] dari media penyimpanan asli. Pemeriksa akan bekerja kemudian dari salinan ini, meninggalkan aslinya tidak berubah.

Namun, terkadang tidak mungkin atau tidak di inginkan untuk mematikan komputer. Mungkin tidak mungkin untuk mematikan komputer jika melakukannya akan mengakibatkan kerugian finansial atau kerugian lain yang cukup besar bagi pemiliknya. Mungkin tidak di inginkan untuk mematikan komputer jika hal itu berarti bahwa bukti yang berpotensi berharga dapat hilang. Dalam kedua keadaan ini pemeriksa forensik komputer perlu melakukan ‘akuisisi langsung’ yang akan melibatkan menjalankan program kecil pada komputer yang di curigai untuk menyalin (atau memperoleh)