Forensik digital: Perbedaan revisi

3.372 bita ditambahkan ,  3 tahun yang lalu
k
k
Tag: Suntingan visualeditor-wikitext
 
===Pengumpulan===
Idealnya pengumpulan bukti atau akuisisi melibatkan pengambilan citra (''imageimaging'') memori volatil komputer (RAM),{{sfnp|Afonin|Gubanov|2013}} atau media penyimpanan lain,<ref name="kav"/> dan membuat duplikat sektor yang sama ("duplikasi forensik" atau "citra forensik") dari media tersebut, tindakan ini sering dibantu perangkat ''write blocking'' untuk mencegah modifikasi pada media asli. Pertumbuhan ukuran media penyimpanan dan perkembangannya, seperti [[komputasi awan]]<ref name="adamscloud">{{harvp|Adams|2013}}.</ref> mengharuskan akuisisi secara 'langsung' di mana salinan data ''logical'' diambil alih-alih citra lengkap dari perangkat penyimpanan fisik.<ref name="adams"/> Citra yang diperoleh (atau salinan ''logical'') dan media/data asli kemudian di-''hash'' (menggunakan algoritma seperti [[SHA-1]] atau [[MD5]]) dan nilai-nilainya dibandingkan untuk memverifikasi bahwa salinannya akurat.{{sfnp|Horenbeeck|2006a}}
 
Sebuah pendekatan alternatif (dan dipatenkan,{{sfnp|Spencer|Baker|Andersen|2009}} yang disebut ''hybrid forensics''<ref name=":0">{{harvp|Adams|Mann|Hobbs|2017}}.</ref> atau ''distributed forensics''{{sfnp|Hoelz|Ralha|Geeverghese|2009}}) menggabungkan tahapan forensik digital dan ''ediscovery''. Pendekatan ini diwujudkan dengan peralatan komersial yang disebut ''ISEEK'' yang dipresentasikan bersama dengan hasil tesnya pada konferensi tahun 2017.<ref name=":0" />
 
==== Forensik statik (''static forensic'') ====
Forensik statik menggunakan prosedur dan pendekatan konvensional di mana bukti di olah secara ''bit-by-bit image'' untuk melakukan proses forensik. Proses forensiknya sendiri berjalan pada sistem yang tidak dalam keadaan menyala. Forensik statik difokuskan pada pemeriksaan hasil ''imaging'' untuk menganalisis isi dari bukti digital, seperti berkas yang dihapus, riwayat penjelajahan web, berkas fragmen, koneksi jaringan, berkas yang diakses, riwayat ''user login'', dll guna membuat [[Garis waktu|''timeline'']] berupa ringkasan tentang kegiatan yang dilakukan pada bukti digital sewaktu digunakan.{{sfnp|Ramadhan|Prayudi|Sugiantoro|2017}}
 
Saat perangkat dalam keadaan mati, data yang dapat diperiksa hanya yang tersimpan di memori statis, seperti diska keras. Namun, masih ada beberapa pemrosesan yang perlu dilakukan sebelum menganalisis data aktual pada unit penyimpanan. Ketika melakukan pemeriksaan forensik, terutama dalam penegakan hukum, harus diambil tindakan untuk menghilangkan peluang memodifikasi bukti yang sebenarnya. Menyalakan perangkat dan mengoperasikannya bisa saja memodifikasi data asli dan dengan demikian mencemari bukti. Bukti yang terkontaminasi pada gilirannya tidak akan layak di pengadilan. Sehingga perlu membuat salinan bukti yang identik (dalam hal konten) menggunakan perangkat khusus atau komputer biasa dengan bantuan perangkat keras ''write blocker'' dan perangkat lunak pencitraan diska (''disk imaging''). Dalam istilah forensik, salinan ini umumnya disebut ''disk image'' atau ''forensic disk image''.<ref name="kav" /> Kemudian ''forensic disk image'' ini dibawa ke laboratorium forensik untuk dianalisis.{{sfnp|Ramadhan|Prayudi|Sugiantoro|2017}}
 
==== Forensik langsung (''Live forensic'') ====
Dalam forensik langsung semua bukti digital dikumpulkan saat sistem sedang berjalan,{{sfnp|Ramadhan|Prayudi|Sugiantoro|2017}} sehingga pemeriksa mendapat kesempatan untuk mengumpulkan data volatil (mudah hilang) yang memuat informasi tentang apa yang sedang dilakukan perangkat. Tujuan utama dari penyelidikan langsung adalah untuk mengumpulkan data volatil sebanyak-banyaknya. Forensik langsung juga memberi kesempatan untuk memeriksa apakah ada diska keras yang aktif dienkripsi sehingga bisa mengumpulkan data versi yang tidak terenkripsi. Implementasi ''full disk encryption'' (''FDE'') memastikan bahwa semua data pada diska keras dienkripsi saat komputer mati. Namun, data akan didekripsi saat komputer aktif. Oleh karena itu perlu melakukan pencarian menyeluruh untuk perangkat lunak enkripsi yang mungkin terpasang di komputer. Jika ada tanda-tanda enkripsi, pemeriksa harus membuat ''logical image'' dari diska keras tersebut untuk menjamin bahwa data dapat dipertahankan dan tersedia untuk analisis nanti.<ref name="kav" />
 
===Analisis===
=== Batasan ===
Tugas umum selama pemeriksaan forensik adalah mencoba mendekripsikan data yang [[enkripsi|terenkripsi]] dalam berbagai bentuk mulai dari berkas atau folder terenkripsi hingga komunikasi yang terenkripsi seperti surat ekektronik dan obrolan atau bahkan menyelidiki [[diska keras]] yang telah dienkripsi dengan enkripsi diska penuh (FDE).<ref name="kav"/> Salah satu keterbatasan utama dalam penyelidikan forensik adalah penggunaan enkripsi ini, yang dapat menghalangi pemeriksaan awal jika bukti yang bersangkutan terdeteksi menggunakan kata kunci. Hukum yang memaksa seseorang untuk mengungkapkan kunci enkripsi masih relatif baru dan kontroversial.<ref name="garfinkel" />
 
Media penyimpanan ''[[SSD|Solid State Drive]]'' (SSD) yang mengaktifkan teknologi [[SSD#Tentang TRIM|TRIM]] dapat menjadi hambatan dalam melakukan forensik digital khususnya pada pemulihan data. Karena fitur TRIM berfungsi untuk memusnahkan ''garbage'' data yang telah dihapus.{{sfnp|Ramadhan|Prayudi|Sugiantoro|2017}} TRIM pada dasarnya adalah sebuah fungsi di mana data yang telah dihapus dimusnahkan secara permanen dari sistem operasi, sehingga pemulihan sulit dilakukan. Namun, tidak semua SSD fitur TRIM-nya diaktifkan.<ref name="kav" />
 
== Pertimbangan hukum ==
5.143

suntingan