Prosedur penanganan awal di TKP Digital Forensik
Penanganan awal barang bukti elektronik di TKP memegang peranan yang sangat penting dan krusial, dikarenakan sifat volatility (mudah berubah, hilang atau rusak) dari barang bukti digital. Jika penanganan awal barang bukti elektronik tersebut di TKP adalah keliru dan tidak prosedural, maka sangat dimungkinkan barang bukti digital yang penting dan semestinya ada menjadi berubah, atau bahkan hilang. Untuk itu forensic analyst dan investigator harus mampu memahami prosedur penanganan barang bukti elektronik, yang dalam hal ini adalah komputer dengan benar.
a. Persiapan
Sebelum berangkat ke TKP untuk melaksanakan penggeledahan kasus yang berkaitan dengan barang bukti elektronik, forensic analyst dan investigator sudah mempersiapkan terlebih dahulu hal-hal atau peralatan yang nantinya dibutuhkan selama proses penggeledahan di TKP.
hal-hal yang harus dipersiapkan dan dimiliki oleh forensic analyst dan investigator :
1) Administrasi penyidikan, seperti surat perintah penggeledahan dan surat perintah penyitaan.
2) Kamera digital, digunakan untuk memotret TKP dan barang bukti secara fotografi forensik, yaitu foto umum, menengah dan close up.
3) Peralatan tulis, untuk mencatat antara lain spesifikasi teknis komputer dan keterangan para saksi. 4) Nomor, skala ukur dan label lembaga serta sticker label kosong, digunakan untuk menandai masing-masing barang bukti elektronik yang ditemukan di TKP.
5) Formulir penerimaan barang bukti, digunakan untuk kepentingan chain of custody, yaitu metodologi untuk menjaga keutuhan barang bukti dimulai dari TKP.
6) Triage tools, digunakan untuk kegiatan triage forensik terhadap barang bukti komputer yang ditemukan dalam keadaan hidup (on).
b. Ketika komputer dalam keadaan off (mati)
Berikut adalah tahapan-tahapan yang dikerjakan ketika forensic analyst atau investigator mendapati barang bukti komputer dalam keadaan mati (off) di TKP :
1) Pastikan komputer tersebut dalam keadaan mati, yaitu dengan cara menggeser mouse sedikit atau melihat lampu indikator power. Ini dilakukan untuk memastikan bahwa komputer tersebut tidak dalam keadaan stand-by atau hibernasi.
2) Catat spesifikasi teknis dari barang bukti komputer, yaitu : merk, model, dan serial number (S/N) atau product number (P/N).
3) Lakukan fotografi forensik terhadap barang bukti komputer tersebut, dilengkapi dengan nomor, skala ukur dan label. Fotografi forensik ini mencakup foto umum (yaitu menjelaskan TKP secara keseluruhan), menengah (yaitu menjelaskan hubungan barang bukti elektronik dengan benda-benda di sekitarnya), dan close up (yaitu foto khusus terhadap barang bukti tersebut). Foto-foto tersebut diusahakan diambil dari 4 (empat) arah yang berbeda. Untuk foto close up, juga lakukan fotografi terhadap name plate yang biasanya berada di sisi bawah atau belakang.
4) Catat keterangan saksi mengenai hal-hal yang berhubungan dengan barang bukti komputer tersebut.
5) Bungkus barang bukti komputer tersebut, kemudian beri catatan di sisi luarnya untuk menandakan jenis komputer yang berada di dalam bungkusan tersebut. Untuk hal-hal yang sifatnya mendesak, bisa saja barang bukti komputer tersebut tidak dibungkus, namun tetap diberi catatan di sisi casing luarnya dengan menggunakan sticker label kosong.
6) Isi formulir penerimaan barang bukti. Tulis dengan jelas tanggal dan tempat TKP serta spesifikasi teknis dari masing-masing barang bukti elektronik dan ditandatangani oleh investigator dan forensic analyst.
7) Bawa barang bukti komputer tersebut berikut catatan-catatannya dan foto-fotonya ke laboratorium untuk pemeriksaan dan analisa lebih lanjut.
8) Catatan Penting : jangan pernah menghidupkan kembali barang bukti komputer yang ditemukan dalam keadaan sudah mati (off) ! karena jika hal tersebut dilakukan, sama saja investigator/analyst melakukan kontaminasi terhadap isi harddisk dari komputer tersebut.
Baca Juga : Barang Bukti Digital Forensik
c. Ketika komputer dalam keadaan on (hidup)
Berikut adalah kegiatan-kegiatan yang semestinya dilakukan oleh forensic analyst dan investigator ketika menemukan barang bukti komputer dalam keadaan hidup (on) di TKP. Prinsip dari kegiatan ini adalah berusaha untuk mendapatkan data-data investigatif (yang berkaitan dengan kejahatan) seefisien mungkin (cepat dan tepat) dengan kemungkinan perubahan isi harddisk seminimum mungkin.
1) Catat apa yang sedang running dan tertampil di layar monitor dari barang bukti komputer.
2) Catat spesifikasi teknis dari barang bukti komputer tersebut seperti penjelasan sebelumnya, termasuk juga dicatat tanggal/waktu dari komputer tersebut yang biasanya berada di pojok kanan bawah, kemudian bandingkan dengan tanggal/waktu lokal yang sebenarnya.
3) Lakukan fotografi forensik seperti yang telah dijelaskan sebelumnya. Ditambahkan untuk melakukan fotografi tanggal/waktu dari komputer tersebut disandingkan dengan jam yang menunjukkan waktu lokal yang sebenarnya. Ini sangat dibutuhkan untuk menunjukkan seberapa jauh perbedaan antara tanggal/waktu komputer dengan tanggal/waktu yang sebenarnya. Ini sangat erat kaitannya dengan time stamps dari suatu file yang menjadi temuan digitalnya. Time stamps tersebut berupa created date (yaitu tanggal pertama kali file tersebut dibuat dan tercatat di file system yang sedang berjalan), modified date (yaitu tanggal terakhir kali file tersebut dimodifikasi, dan tercatat, bisa di file system sebelumnya atau yang sedang berjalan), dan accessed date (yaitu tanggal terakhir kali file diakses dan tercatat di file system yang sedang berjalan).
4) Catat keterangan saksi-saksi yang menjelaskan hal-hal yang berkaitan dengan barang bukti komputer tersebut.
5) Lakukan triage forensik dengan bantuan triage tools yang sudah disiapkan sebelumnya. Pada tahapan triage ini, forensic analyst dan investigator sangat memungkinkan untuk mendapatkan banyak data secara cepat yang berkaitan dengan investigasi kasus computer crime atau computer-related crime, sehingga dengan cepat pula, investigator dapat menentukan tahapan investigasi lebih lanjut dengan benar. Salah satu tahapan triage yang sangat penting yang seharusnya dilakukan oleh forensic analyst atau investigator adalah melakukan RAM imaging, yaitu suatu proses forensic imaging (penggandaan secara physical bit per bit) terhadap RAM (Random Access Memory) dari barang bukti komputer yang dalam keadaan on. RAM ini menyimpan banyak informasi dari semua proses dan aplikasi yang sedang running (berjalan) sejak komputer dihidupkan. Informasi ini bisa jadi sangat dibutuhkan oleh investigator untuk bahan investigasi lebih lanjut. Selain RAM imaging, forensic analyst dan investigator bisa mendapatkan data-data yang masih tersimpan di komputer tersebut secara cepat, misalnya :
a) Encrypted files, yaitu mencari file-file enkripsi, yang mungkin dalam keadaan sudah di-dekripsi oleh pelaku. Jika ini terjadi, maka inilah kesempatan yang sangat baik dan tepat bagi forensic analyst dan investigator untuk mendapatkan isi dari file-file enkripsi tersebut.
b) Informasi sistem, seperti jenis sistem operasi, processor, ukuran RAM, tanggal/waktu, merk, model, serial number, aplikasi-aplikasi yang ter-install, proses-proses yang sedang berjalan dan lain-lain.
c) File history, seperti recent files (yaitu file-file yang diakses beberapa waktu terakhir) dan opened files (yaitu file-file yang diakses mulai dari selesainya instalasi sistem operasi hingga saat terkini).
d) Internet browser history, yaitu rekaman/catatan ketika sedang surfing (bermain) di internet dari browser, seperti Internet Explorer, Firefox, Safari dan Opera.
e) On/Off History, yaitu rekaman/catatan kapan komputer tersebut on dan off.
f) Contents Searching, yaitu melakukan pencarian terhadap isi dari suatu file tertentu secara cepat.
g) RAM mapping, yaitu melihat pemetaan RAM yang dialokasikan untuk proses-proses atau aplikasi yang sedang running.
h) USB history, yaitu rekaman/catatan penggunaan port USB (Universal Serial Bus) yang digunakan untuk mengakses media penyimpanan data seperti flashdisk, harddisk, memory card (lewat card reader), atau bahkan handphone/smartphone.
i) Password dumping, yaitu mendapatkan password dari internet browser yang digunakan untuk memasukkan user ID dan password secara online dan tersimpan di browser. Kegiatan-kegiatan triage di atas harus dipahami oleh forensic analyst dan investigator bahwa hal tersebut sangat mungkin merubah isi dari harddisk barang bukti komputer, oleh karena itu pelaksanaan triage harus dilakukan secara hati-hati dan harus mampu memahami apa saja dari isi harddisk yang mungkin akan berubah ketika dilakukkan proses triage. Untuk itu, semestinya forensic analyst dan investigator harus memahami dulu secara detil dan jelas mengenai triage sebelum melakukannya. Sepanjang forensic analyst/inevstigator memahami perubahan dan alasan untuk melakukan triage yang dapat dibenarkan secara teori dan praktis, maka pelaksanaan triage dapat dibenarkan.
6) Setelah proses triage forensik selesai, maka barang bukti komputer harus dimatikan secara kasar, artinya tidak lewat prosedur shut down, namun dimatikan dengan cara memutus aliran listriknya secara langsung. Ini dimaksudkan untuk menjaga keutuhan dari page file (yaitu space/ruang harddisk yang digunakan sebagai memory sementara ketika komputer dalam keadaan hidup yang mana page file ini menyimpan proses-proses atau aplikasi-aplikasi yang sedang running). Untuk komputer PC, cabut ujung kabel power yang berada di belakang casing CPU (Central Processing Unit), kemudian dilanjutkan di ujung lainnya yang terpasang di stop kontak. Ini dimaksudkan agar jika ada UPS (Uninterruptible Power Supply) yang berada di antara CPU dengan power, maka ia tidak akan aktif. Sementara itu, untuk komputer berupa laptop atau netbook, maka cabut batere secara langsung yang berada di posisi belakang atau bawah. Untuk komputer yang digunakan sebagai server yang bisa dilihat dari sistem operasi yang terinstall,
misalnya Windows 2000 Server, Windows 2003 Server, maka gunakan prosedur shutdown secara normal. Ini dimaksudkan untuk menjaga keutuhan database dari server dari kemungkinan besar rusak jika dimatikan secara kasar. Database ini sangat memungkinkan dibutuhkan oleh forensic analyst dan investigator untuk investigasi lebih lanjut. Hal yang sama juga berlaku untuk komputer berbasis Linux. Prosedur shutdown juga bisa dilakukan lewat terminal dengan mengetikkan ‘shutdown –h now’ dalam posisi sebagai root. Hal yang sama juga diberlakukan untuk komputer Macintosh yang difungsikan sebagai server, namun jika komputer Macintosh tersebut bukan server, maka ia dimatikan secara kasar seperti yang dijelaskan di atas.
7) Bungkus barang bukti komputer tersebut, kemudian beri catatan di sisi luarnya untuk menandakan jenis komputer yang berada di dalam bungkusan tersebut. Untuk hal-hal yang sifatnya mendesak, bisa saja barang bukti komputer tersebut tidak dibungkus, namun tetap diberi catatan di sisi casing luarnya dengan menggunakan sticker label kosong.
8) Isi formulir penerimaan barang bukti. Tulis dengan jelas tanggal dan tempat TKP serta spesifikasi teknis dari masing-masing barang bukti elektronik dan ditandatangani oleh investigator dan forensic analyst.
9) Bawa barang bukti komputer tersebut berikut catatan-catatannya dan foto-fotonya ke laboratorium untuk pemeriksaan dan analisa lebih lanjut.
Terima Kasih telah berkunjung - Proses Penanganan TKP Digital Forensik
Terima Kasih telah berkunjung - Proses Penanganan TKP Digital Forensik
Posting Komentar
Posting Komentar