Zufar Fathi Suhardi

4711010025

Pengantar..

Bab ini memperkenalkan konsep komputer investigasi dan

menunjukkan langkah-langkah yang terlibat dalam menyelidiki

kejahatan komputer. Bagian pertama membahas pentingnya

menentukan apakah insiden telah terjadi. berikut bagian

membahas bagaimana untuk mencari dan mengumpulkan bukti

yang dapat digunakan dalam kasus hukum atau penyelidikan

perusahaa , bagaimana untuk memeriksa dan menganalisa

bukti ini, dan hal-hal lain yang berkaitan dengan kasus forensik.

Sebelum memulai penyelidikan, penyidik perlu terlebih dahulu

menentukan bahwa insiden telah terjadi dan kemudian menilai

dampaknya. Sebuah insiden adalah suatu peristiwa yang

mengancam keamanan sistem komputer atau jaringan dalam

sebuah organisasi.

Kebijakan dan prosedur

pembangunan

Kebijakan dan prosedur yang perlu dilakukan:

Pernyataan misi

Pernyataan personil

Pertimbangan-pertimbangan administratif

Lisensi software

Komitmen Sumber

Pelatihan

Penyampaian dan pengambilan dari permintaan untuk

pelayanan forensik komputer

Pelaksanaan prosedur manajemen kasus

Penanganan bukti

Pengembangan prosedur dari case-processing

Pengembangan prosedur teknis

Mengidentifikasi tugas atau masalah

Mengusulkan solusi yang mungkin

Pengujian setiap solusi pada sampel kontrol yang dikenal

Mengevaluasi hasil tes

Menyelesaikan prosedur

Setiap perusahaan memiliki standar kebijakan bahwa setiap karyawan harus mengikuti mengenai penggunaan peralatan komputer yang dimiliki oleh

perusahaan. Kebijakan perusahaan yang disusun dengan benar mengenai penggunaan media elektronik dapat menghilangkan kemungkinan seorang

karyawan membahayakan privasi selama penerimaan informasi.

Mengimplementasi dan Menegakkan

Kebiijakan Perusahaan

Untuk melaksanakan kebijakan tersebut secara efektif, perusahaan perlu untuk menginformasikan setiap karyawan dari kebijakan perusahaan. Karyawan yang menggunakan sumber daya perusahaan seperti Internet atau komputer sistem untuk penggunaan pribadi tidak hanya melanggar kebijakan perusahaan tetapi juga membuang-buang sumber daya, waktu, dan uang.

Untuk menjaga pelanggaran kebijakan perusahaan, pemeriksa forensik atau penyelidik dipanggil untuk melakukan penyelidikan internal. Penyidik harus mengumpulkan bukti dari komputer tersangka dan menentukan apakah suatu kejahatan atau pelanggaran terhadap kebijakan perusahaan telah terjadi. Seorang penyidik harus mengikuti metodologi standar untuk menyelidiki pelanggaran kebijakan perusahaan.

Contoh Kasus Pelanggaran

Kebijakan Mike diduga menjalankan bisnis sendiri dengan menggunakan komputer perusahaan.

Situasi : Kasus penyalahgunaan karyawan

Sifat kasus : Bisnis sampingan

Spesifik tentang kasus : Karyawan dikabarkan melakukan bisnis sampingan di komputernya.

Jenis bukti : Disket

OS : Windows 2000

Format disket yang diketahui : FAT32

Lokasi bukti : Disket yang ditemukan manajer dekat komputer Mike; manajer telah menerima keluhan dari rekan kerja Mike bahwa ia menghabiskan terlalu banyak waktu pada bisnisnya sendiri dan tidak menjalankan tugas pekerjaan yang ditugaskan kepadanya.

Berdasarkan rincian kasus, Anda dapat menentukan

persyaratan kasus:

Jenis bukti: Mike sedang melakukan bisnis sendiri

menggunakan komputer perusahaan miliknya.

Alat forensik komputer : Alat untuk menduplikasi floppy disk

dan menemukan file yang dihapus dan disembunyikan

Sistem operasi khusus : Setiap sistem operasi yang telah

diinstal pada komputer perusahaan oleh tersangka

Mike hanya diduga melanggar kebijakan perusahaan. Bukti

yang Anda peroleh mungkin dapat membuktikan dia bersalah

atau membantu membuktikan dia tidak bersalah.

Jagalah perspektif untuk tidak memihak, dan objektif.

Sebelum memulai investigasi

Teknisi harus cukup mampu untuk menganalisis dan memperoleh berbagai bukti

Adanya workstation atau laboratorium pemulihan data

Harus memiliki sinkronisasi dengan jaksa wilayah setempat

Beberapa poin hukum yang penting penyidik yang harus diingat:

Memastikan lingkup pencarian

Memeriksa kemungkinan masalah yang berkaitan dengan undang-undang federal yang berlaku, seperti: Electronic Communications Privacy Act of 1986 [ECPA]

Cable Communications Policy Act [CCPA]

Privacy Protection Act of 1980 [PPA]

Status daerah

Politik lokal dan hukum

10 Langkah Mempersiapkan

Investigasi Forensik Komputer 1. Jangan mematikan komputer atau, menjalankan program,

atau mencoba untuk mengakses data pada komputer.

2. Mengamankan setiap relevan media termasuk hard drive,

laptop, BlackBerry, PDA, ponsel, CDROM, DVD, USB drive,

dan MP3 player-subjek yang mungkin telah digunakan

3. Tunda penghancuran dokumen otomatis dan kebijakan

daur ulang yang mungkin menyangkut media atau user

yang relevan pada saat masalah terjadi

4. Identifikasi jenis data, informasi yang Anda cari dan tingkat

kemendesakan dari pemeriksaan

5. Setelah mesin di amankan, ambil informasi tentang mesin

tersebut, lingkungannya dan jaringan mana mesin tersebut

terkoneksi

6. Jika memungkinkan, dapatkan password untuk mengakses file terenkripsi atau file yang terlindungi password

7. Susun daftar nama, alamat e-mail, dan informasi indentitas yang lain tentang mereka yang mungkin telah berkomunikasi dengan subjek

8. Jika komputer di akses sebelum ahli forensik dapat mengamankan mirror image, catat user yang mengaksesnya, file apa yang diakses, dan kapan waktu aksesnya. Jika memungkinkan, cari alasan mengapa komputer di akses

9. Jagalah “chain of custody” untuk setiap media original, menandakan dimana media sebelumnya berada, siapa yang memilikan, dan alaman kepemilikan

10. Buat sebuah daftar kata kunci atau frase untuk digunakan pada saat mencari data yang relevan

Langkah-langkah standar ketika

menyiapkan kasus forensik Metodologi juga dapat digunakan sebagai titik acuan, dan

penyidik dapat bekerja sesuai dengan langkah-langkah

ditunjukkan. Langkah-langkah sebagai berikut:

1. Menilai kasus

2. Menentukan desain awal atau pendekatan untuk kasus

3. Siapkan desain rinci

4. Tentukan sumber daya yang diperlukan

5. Dapatkan disk barang bukti

6. Copy isi disk barang bukti

7. Identifikasi resiko

8. Meminimalkan resiko

9. Menguji Design

10. Menganalisis dan memulihkan bukti digital

11. Menyelidiki data yang telah dipulihkan

12. Lengkapi laporan khusus

13. Kritik kasus

Mengevaluasi kasus

1. Memeriksa permintaan.

2. Cari otoritas hukum.

3. Pastikan bahwa permintaan diberikan.

4. Menyediakan rantai lengkap.

5. Periksa apakah proses forensik dilakukan pada bukti.

6. Periksa apakah mengikuti metode investigasi.

7. Mengidentifikasi relevansi ke TKP.

8. Membangun potensi bukti.

9. Mendapatkan rincian tambahanyang digunakan pengguna.

10. Mengevaluasi tingkat keahlian dari para pengguna.

11. Mengatur urutan.

12. Identifikasi apakah personil tambahan diperlukan.

13. Identifikasi apakah peralatan tambahan diperlukan .

Mengumpulkan Bukti

Seorang penyidik harus meminta izin untuk melakukan

pencarian di lokasi. Sebuah komputer dapat menjadi sumber

informasi. Rantai kejadian pengumpulan bukti:

1. Mendapatkan Surat

Perintah

2. Lingkup Surat Perintah

3. Mempersiapkan Pencarian

4. Pencarian tanpa jaminan

5. Melakukan penilaian awal

6. Meneliti dan

mengumpulkan bukti

7. Memperoleh bukti perihal

8. Metode pengumpulan bukti

9. Mengamankan bukti

komputer

10. Mengambil langkah yang

di perlukan

11. Mencegah perusak bukti

12. Pengelolahan lokasi

penilaian

Mendapatkan Surat Perintah

Seorang penyidik dapat menjalankan investigasi nya setelah

rencana investigasi telah dikembangkan. Penyidik perlu terlebih

dahulu mendapatkan surat perintah penggeledahan dari

pengadilan. Sebuah surat perintah penggeledahan adalah

perintah tertulis yang dikeluarkan oleh hakim yang

mengarahkan petugas penegak hukum untuk mencari bagian

tertentu dari bukti di lokasi tertentu.

Lingkup Surat Perintah

Tergantung pada situasi tertentu, surat perintah dapat

dikeluarkan untuk:

Sebuah seluruh perusahaan

Sebuah lantai bangunan perusahaan

Sebuah kamar di sebuah gedung perusahaan

Sebuah perangkat

Sebuah mobil

Sebuah rumah

Setiap properti perusahaan lain

Mempersiapkan Pencarian

Mempersiapkan pencarian sebelum seorang hakim

mengeluarkan surat perintah pencarian dan penyitaan untuk

seluruh atau sebagian dari komputer target, penyidik perlu untuk

menentukan signifikansi komputer dalam pelanggaran.

Peran komputer dalam suatu kejahatan bisa itu adalah:

1. Sebuah alat pelanggaran.

2. Sebuah repositori pelanggaran

Pencarian Tanpa Jaminan

Dalam situasi tertentu, pencarian yang dilakukan tanpa surat

perintahmungkin diperbolehkan. Ini situasi khusus diidentifikasi

berikut:

"Ketika perusakan barang bukti sudah dekat,tanpa surat

bukti yang dibenarkan jika ada kemungkinan penyebab

untuk percaya bahwa item disita merupakan bukti kegiatan

kriminal.“

"Agen dapat mencari tempat atau objek tanpa surat perintah

atau penyebab, jika seseorang dengan otoritas memiliki

setuju."

Melakukan Penilaian Awal

Seorang penyidik harus melakukan penilaian awal untuk

mencari bukti. Setelah penilaian selesai, penyidik perlu

melakukan langkah-langkah berikut:

1. Mengambil snapshot dari TKP sebelum mengumpulkan

bukti.

2. Mengumpulkan peralatan yang digunakan dalam

melakukan kejahatan.

3. Dokumentasikan item.

Setelah melakukan langkah-langkah ini, penyidik dapat

mendokumentasikan prosedur diikuti selama pengumpulan bukti

dan kemudian mulai penyelidikan yang sebenarnya.

Meneliti dan Mengumpulkan

Bukti

Langkah-langkah berikut harus diikuti ketika memeriksa dan

mengumpulkan bukti-bukti:

1. Menemukan bukti

2. Temukan data yang relevan

3. Siapkan urutan volatilitas

Memperoleh Bukti Perihal

Menyelidiki susunan perangkat penyimpanan untuk

memastikan bahwa semua ruang.

Ambil nomor seri elektronik drive dan dapat diakses

pengguna, data host-spesifik lainnya.

Mendapatkan bukti dengan menggunakan alat yang tepat,

termasuk:

Stand-alone software duplikasi

Forensik analisis suite software

Perangkat keras Dedicated

Menggunakan oleh sektor- sektor perbandingan.

Metode Pengumpulan Bukti

Bukti yang dikumpulkan dari komputer hidup dengan mencari

berikut:

Proses mendaftar.

Virtual dan memori fisik.

Jaringan.

Menjalankan proses.

Disk, kaset , dan CD-ROM.

Kertas cetakan.

Mengamankan Bukti Komputer

Langkah pertama penyidik harus mengambil setelah

mengidentifikasi insiden keamanan dan mengumpulkan bukti-

bukti untuk mengamankan bukti untuk mencegah terjadinya

penyalahgunaan. Mengamankan bukti melibatkan mengambil

semua informasi yang dimiliki tentang komputer sehingga dapat

digunakan dalam penyelidikan. Istilah komputer di sini meliputi

semua media komputer.

Dengan mengamankan bukti, penyidik memastikan bahwa itu

tidak berubah selama proses pemeriksaan. Mengamankan bukti

harus sesuai dengan praktik terbaik. Praktik terbaik adalah set

terbukti secara empiris metode untuk melakukan tugas dengan

cara yang terbaik dan paling efisien . Jika keamanan dilanggar,

bukti mungkin kehilangan kredibilitasnya.

Mengambil Langkah yang

Diperlukan Karena bukti digital dapat dengan mudah dirusak,

diubah, atau dihancurkan, penyidik perlu memastikan bahwa

bukti yang diawetkan dan diamankan dengan baik. Langkah-

langkah berikut untuk mengamankan bukti digital:

Ikuti panduan departemen bila mungkin, jika tidak, gunakan

Sebuah Panduan untuk Responders Pertama.

Dokumen dan memverifikasi konfigurasi hardware dari

sistem yang akan diperiksa.

Bongkar komputer untuk diperiksa.

Mengidentifikasi dan mendokumentasikan perangkat

penyimpanan internal .

Mencegah Kerusakan Bukti

Hal ini penting bagi penyidik untuk memastikan bahwa

sedikitnya jumlah gangguan dilakukan untuk bukti, karena

gangguan dapat mengubah bukti. Untuk melakukannya,

penyidik harus mencegah orang dari gangguan dengan bukti,

baik jarak jauh atau sistem tersangka.

1. Mengumpulkan bukti: Mengumpulkan bukti menggunakan

teknik yang tepat dan industri yang berlaku dan prosedur.

2. Siapkan lacak balak : Peneliti harus mendokumentasikan

proses pengumpulan.

Pengolahan Lokasi Penilaian

Sebuah lingkungan seperti area kerja forensik khusus atau

laboratorium dianjurkan. Hal ini juga dianjurkan untuk

mengendalikan lingkungan dalam hal pemeriksaan dilakukan

on-site.

Pertimbangan penilaian yang mungkin meliputi:

Waktu yang diperlukan untuk memulihkan bukti saat

penukaran

kekhawatiran logistik dan tenaga kerja yang terkait dengan

penyebaran jangka panjang

Bisnis dampak dari pencarian memakan waktu

Kesesuaian peralatan, sumber daya , media, pelatihan , dan

pengalaman untuk pemeriksaan

Ringkasan

Mengamankan bukti komputer adalah proses dimana semua

informasi yang dimiliki pada komputer akan diambil ke

membantu penyelidikan.

Spanduk sebuah organisasi harus memberikan

pemberitahuan yang jelas dan tegas untuk penyusup bahwa

dengan penandatanganan ke sistem , mereka tegas

menyetujui pemantauan.

Salinan bit-stream adalah salinan bit-by - bit dari media

penyimpanan asli dan salinan yang tepat dari disk yang asli.

Memeriksa bukti-bukti tergantung pada jenis kasus dan

media digital yang tersedia di TKP.

bukti digital harus benar-benar dikaji sehubungan dengan

lingkup kasus untuk menentukan tindakan.

Analisis adalah proses menafsirkan data yang diambil untuk

menentukan signifikansi mereka untuk kasus ini.