Digital Forensic

Forensik digital (bahasa Inggris:Digital forensics) (juga dikenal sebagai ilmu forensik digital) adalah salah satu cabang ilmu forensik, terutama untuk penyelidikan dan penemuan konten perangkat digital, dan seringkali dikaitkan dengan kejahatan komputer. Istilah forensik digital pada awalnya identik dengan forensik komputer tetapi kini telah diperluas untuk menyelidiki semua perangkat yang dapat menyimpan data digital. 

klik literasi digital tentang Digital Forensic

klik literasi digital tentang komputer forensik

Forensik digital diperlukan karena biasanya data di perangkat target dikunci, dihapus, atau disembunyikan. Berawal dari bangkitnya revolusi komputasi personal pada akhir 1970-an dan awal 1980-an, disiplin ini berkembang secara alami selama tahun 1990-an, dan baru pada awal abad ke-21 negara-negara secara bertahap membentuk kebijakannya terhadap disiplin ini.

Landasan forensik digital ialah praktik pengumpulan, analisis, dan pelaporan data digital. Investigasi forensik digital memiliki penerapan yang sangat beragam. Penggunaan paling umum adalah untuk mendukung atau menyanggah asumsi kriminal dalam pengadilan pidana atau perdata.

Forensik juga dapat dilakukan di sektor swasta; seperti penyelidikan internal perusahaan (in-house) atau penyelidikan intrusi (penyelidikan khusus mengeksplorasi sifat dan dampak intrusi jaringan yang tidak sah).

Penguasaan ilmu forensik digital tidak hanya menuntut kemampuan teknis semata tetapi juga terkait dengan bidang lain, seperti bidang hukum. Aspek teknis dari penyelidikan dapat dibagi menjadi beberapa subcabang, sesuai dengan jenis perangkat digital yang terlibat; forensik komputer, forensik jaringan, analisis data forensik dan forensik peranti bergerak. Proses forensik umumnya meliputi penyitaan, forensic imaging(akuisisi) dan analisis media digital dan penyusunan laporan berdasarkan bukti yang dikumpulkan.

Selain mengidentifikasi bukti langsung sebuah kejahatan, forensik digital dapat digunakan untuk mengkonfirmasi hubungan antara tersangka dan kasus tertentu, mengkonfirmasi alibi-alibi atau pernyataan-pernyataannya, untuk memahami niat, mengidentifikasi sumber (misalnya, dalam kasus sengketa hak cipta), atau mengotentikasi dokumen-dokumen. Ruang lingkup investigasi forensik digital lebih luas daripada bidang pengetahuan forensik lainnya (di mana sebagian besar ilmu forensik lain dirancang untuk menjawab pertanyaan yang relatif sederhana), sering melibatkan garis waktu atau hipotesis yang kompleks.^[1]

Terminologi

Ilmu forensik adalah ilmu yang digunakan untuk tujuan hukum, bersifat tidak memihak yang merupakan bukti ilmiah untuk digunakan dalam kepentingan peradilan dan penyelidikan. Forensik digital merupakan salah satu cabang dari ilmu forensik, terutama untuk menyelidiki dan memulihkan konten perangkat digital,^[2] berkaitan dengan bukti legal yang terdapat pada perangkat komputer dan media penyimpanan digitallainnya sebagai bukti-bukti digital yang digunakan dalam kejahatan komputer dan dunia maya.^[3] Forensik digital diperlukan karena biasanya data di perangkat target dikunci, dihapus, atau disembunyikan.^[4]Forensik digital merupakan ilmu yang relatif baru.^{[butuh rujukan]}

Forensik digital adalah ilmu yang menganalisa barang bukti digital sehingga dapat dipertanggungjawabkan di pengadilan.^[3] Istilah forensik digital pada awalnya identik dengan forensik komputertetapi definisinya telah diperluas hingga mencakup forensik semua teknologi digital. Sedangkan forensik komputer didefinisikan sebagai "kumpulan teknik dan alat yang digunakan untuk menemukan bukti pada komputer.^[5] Landasan forensik digital ialah praktik pengumpulan, analisis, dan pelaporan data digital.^[6]

Forensik digital dapat juga diartikan sebagai pengumpulan dan analisis data dari berbagai sumber daya komputer yang mencakup sistem komputer, jaringan komputer, jalur komunikasi, dan berbagai media penyimpanan yang layak untuk diajukan dalam sidang pengadilan.^[3]

Komponen

Dalam suatu model forensik digitalmelibatkan tiga komponen terangkai yang dikelola sedemikian rupa sehingga menjadi sebuah tujuan akhir dengan segala kelayakan serta hasil yang berkualitas. Ketiga komponen tersebut adalah:^[3]

1. Manusia (People), diperlukan kualifikasi untuk mencapai manusia yang berkualitas. Memang mudah untuk belajar komputer forensik, tetapi untuk menjadi ahlinya, dibutuhkan lebih dari sekadar pengetahuan dan pengalaman.
2. Peralatan (Equipment), diperlukan sejumlah perangkat atau alat yang tepat untuk mendapatkan sejumlah bukti yang dapat dipercaya dan bukan sekadar bukti palsu.
3. Aturan (Protocol), diperlukan dalam menggali, mendapatkan, menganalisis, dan akhirnya menyajikan dalam bentuk laporan yang akurat. Dalam komponen aturan, diperlukan pemahaman yang baik dalam segi hukum dan etika, kalau perlu dalam menyelesaikan sebuah kasus perlu melibatkan peran konsultasi yang mencakup pengetahuan akan teknologi informasi dan ilmu hukum.

Sejarah

Sebelum tahun 1980-an kejahatan yang melibatkan komputer ditangani dengan ketentuan hukum yang ada. Kejahatan komputer pertama kali diakui dalam Undang-Undang Pidana Komputer Florida 1978 (the 1978 Florida Computer Crimes Act) termasuk undang-undang yang melarang modifikasi tidak sah atau penghapusan data pada sistem komputer.^[7] Pada tahun-tahun berikutnya, ruang lingkup cybercrime mulai berkembang, dan beberapa undang-undang kemudian disahkan untuk mengatasi permasalahan hak cipta, privasi/pelecehan (misalnya intimidasi dunia maya, cyber stalking, dan predator daring) serta pornografi anak.^[8] Baru pada tahun 1980-an undang-undang federal mulai memasukkan pelanggaran komputer. Kanada adalah negara pertama yang mengeluarkan undang-undang terkait kejahatan komputer pada tahun 1983.^[9] Hal ini diikuti oleh Amerika Serikat dengan Computer Fraud and Abuse Act pada tahun 1986, Australia mengamendemen undang-undang kriminalnya pada tahun 1989 dan Inggris menerbitkan Undang-Undang Penyalahgunaan Komputer (Computer Misuse Act) pada tahun 1990.^[10]

Era 80an dan 90an

Pertumbuhan kejahatan komputer selama tahun 1980-an dan 1990-an menyebabkan lembaga-lembaga penegak hukum membentuk tim khusus, biasanya di tingkat nasional, untuk menangani aspek-aspek teknis dalam penyelidikan. Sebagai contoh, pada tahun 1984 FBI membentuk Tim Analisis dan Tanggapan Komputer (Computer Analysis and Response Team), dan tahun berikutnya Departemen Kejahatan Komputer didirikan di dalam kelompok anti-penipuan Polisi Metropolitan Inggris. Selain personel penegak hukum profesional, banyak anggota awal tim-tim ini terdiri dari penggemar/penghobi komputer dan bertanggung jawab untuk penelitian dan petunjuk awal serta arah masa depan bidang forensik digital.^[11]

Salah satu contoh kasus penerapan digital forensik yang pertama (atau paling tidak kasus publik yang paling awal) adalah kasus pengejaran peretas Markus Hess oleh Clifford Stoll pada tahun 1986. Meskipun Stoll penyelidikannya menggunakan teknik forensik komputer dan jaringan, bukanlah pemeriksa khusus.^[12] Banyak kasus identifikasi awal forensik digital mengikuti profil yang serupa.^[13]

Sepanjang tahun 1990-an, permintaan terhadap sumber daya penyelidikan baru ini semakin meningkat. Beban dan ketegangan pada unit pusat mengarah pada pembentukan tim-tim di tingkat regional bahkan di tingkat lokal. Misalnya, National Hi-Tech Crime Unit di Inggris dibentuk pada tahun 2001 guna menyediakan infrastruktur nasional untuk kejahatan komputer; dengan personel yang berlokasi di pusat kota London dan pasukan polisi di daerah (unit ini masuk ke dalam Serious Organised Crime Agency (SOCA) pada tahun 2006).^[14]

Selama periode ini ilmu forensik digital berkembang dari sarana dan teknik-teknik ad-hoc yang dikembangkan oleh para praktisi penghobi di bidang ini. Berbeda dengan ilmu forensik lainnya yang dikembangkan dari karya-karya komunitas ilmiah.^[15] Pada 1992 istilah "forensik komputer" mulai digunakan dalam literatur akademik (meski sebelumnya sudah digunakan secara informal); sebuah makalah oleh Collier dan Spaul berusaha untuk memasukkan disiplin baru ini ke dunia sains forensik.^[16] Perkembangan yang cepat ini mengakibatkan minimnya standarisasi dan pelatihan-pelatihan. Dalam bukunya, "High-Technology Crime: Investigating Cases Involving Computers", K. Rosenblatt tahun 1985 menuliskan:

Menyita, mengamankan, dan menganalisis bukti yang tersimpan dalam komputer adalah tantangan forensik terbesar yang dihadapi penegak hukum pada tahun 1990-an. Ketika sebagian besar pengujian forensik, seperti uji sidik jari dan DNA dikerjakan oleh para ahli yang dilatih secara khusus, pekerjaan pengumpulan dan analisis bukti komputer kebanyakan ditugaskan kepada petugas patroli dan detektif.^[17]

Era 2000an

Sejak tahun 2000, sebagai tanggapan terhadap kebutuhan standardisasi, berbagai badan dan lembaga telah menerbitkan pedoman untuk forensik digital. Kelompok Kerja Ilmiah tentang Bukti Digital (SWGDE) menerbitkan makalah "Best practices for Computer Forensics" pada tahun 2002, kemudian pada tahun 2005 diikuti oleh publikasi standar ISO (ISO 17025, General requirements for the competence of testing and calibration laboratories).^[18] Sebuah perjanjian internasional Eropa, "Konvensi tentang Kejahatan Dunia Maya" mulai berlaku pada tahun 2004 dengan tujuan merekonsiliasi undang-undang kejahatan komputer nasional, teknik investigasi dan kerjasama internasional. Perjanjian itu telah ditandatangani oleh 43 negara (termasuk AS, Kanada, Jepang, Afrika Selatan, Inggris dan negara-negara Eropa lainnya) dan diratifikasi oleh 16 negara.^{[butuh rujukan]}

Masalah pelatihan juga mendapat perhatian. Perusahaan komersial (biasanya perusahaan pengembang perangkat lunak forensik) mulai menawarkan program sertifikasi dan topik analisis forensik digital dimasukkan dalam fasilitas pelatihan spesialis penyidik Inggris, Centrex.^[19]

Sejak akhir 1990-an perangkat seluler mulai tersedia secara luas, berkembang melebihi perangkat komunikasi sederhana, dan lebih kaya informasi, bahkan untuk kejahatan yang tidak secara tradisional terkait dengan forensik digital.^[20] Meskipun demikian, analisis digital pada ponsel jauh ketinggalan di banding media komputer tradisional, sebagian besar karena sifat hak kepemilikan (proprietary) perangkat tersebut.^[21]

Fokus juga telah bergeser ke kejahatan internet, khususnya risiko perang dunia mayadan cyberterrorism. Laporan pada Februari 2010 oleh Komando Pasukan Gabungan Amerika Serikat menyimpulkan:

Melalui dunia maya, musuh dapat menargetkan industri, akademisi, pemerintah, serta militer di udara, darat, maritim, dan domain ruang angkasa. Dengan cara yang sama seperti kekuatan udara yang mengubah medan perang selama Perang Dunia II, dunia maya telah mematahkan hambatan fisik yang melindungi suatu bangsa dari serangan terhadap perniagaan dan komunikasinya.^[22]

Bidang forensik digital masih menghadapi masalah yang belum terselesaikan. Sebuah makalah tahun 2009, "Digital Forensic Research: The Good, the Bad and the Unaddressed", oleh Peterson dan Shenoi mengidentifikasi bias terhadap sistem operasi Windows dalam penyelidikan forensik digital.^[23] Pada tahun 2010 Simson Garfinkel mengidentifikasi masalah yang dihadapi penyelidikan digital di masa depan, termasuk meningkatnya ukuran media digital, ketersediaan enkripsi yang luas bagi konsumen, semakin beragamnya sistem operasi dan format berkas, semakin banyaknya individu yang memiliki banyak perangkat, dan batasan-batasan hukum pada para penyidik. Makalah ini juga mengidentifikasi berlanjutnya masalah-masalah pelatihan, serta biaya yang sangat tinggi untuk memasuki bidang ini.^[12]

Pengembangan peralatan forensik

Selama tahun 1980-an sangat sedikit alat forensik digital khusus yang tersedia, sebagai akibatnya para penyidik kebanyakan melakukan live analysis pada media, memeriksa komputer dari dalam sistem operasi menggunakan peralatan sysadminyang tersedia untuk mengekstrak barang bukti. Praktik ini berisiko memodifikasi data pada diska, baik secara tidak sengaja atau sebaliknya, yang dapat menyebabkan klaim kerusakan barang bukti. Sejumlah alat diciptakan pada awal 1990-an untuk mengatasi permasalahan tersebut.^{[butuh rujukan]}

Kebutuhan untuk perangkat lunak pertama kali diakui pada tahun 1989 di Pusat Pelatihan Penegakan Hukum Federal, sehingga tercipta IMDUMP (oleh Michael White) dan pada tahun 1990, SafeBack (dikembangkan oleh Sydex). Perangkat lunak serupa juga dikembangkan di negara lain; DIBS (solusi perangkat keras dan perangkat lunak) dirilis secara komersial di Inggris pada tahun 1991, dan Rob McKemmish merilis Fixed Disk Image gratis untuk penegak hukum Australia.^[24] Alat-alat ini memungkinkan pemeriksa untuk membuat salinan yang identik dari media digital untuk diselidiki, sehinggan media asli utuh untuk verifikasi. Pada akhir 1990-an, untuk memenuhi permintaan untuk bukti digital yang semakin banyak, peralatan komersial yang canggih seperti EnCase dan FTKdikembangkan, yang memungkinkan analis untuk memeriksa salinan media tanpa melakukan forensik secara langsung.^[9]Belakangan tren ke arah "forensik memori secara langsung" telah berkembang sehingga diciptakan alat seperti WindowsSCOPE.^{[butuh rujukan]}

Baru-baru ini, perkembangan alat yang sama juga tersedia untuk perangkat seluler; penyidik awalnya mengakses data langsung pada perangkat, tetapi kemudian alat khusus seperti XRY atau Radio Tactics Acesomuncul.^[9]

Proses Forensik

Dalam penyelidikan forensik digital, proses forensik digital merupakan proses ilmiah dan forensik yang diakui.^[25] Peneliti forensik Eoghan Casey mendefinisikannya sebagai langkah-langkah mulai dari sinyal awal insiden hingga pelaporan temuan.^[9]

Media digital yang disita untuk penyelidikan biasanya disebut sebagai "barang bukti" dalam terminologi hukum. Penyelidik menggunakan metode ilmiah untuk menemukan bukti digital untuk mendukung atau menyangkal hipotesis, baik untuk pengadilan atau proses perdata.^[26]

Personel

Tahapan proses forensik digital memerlukan pelatihan dan pengetahuan spesialis yang berbeda-beda. Secara garis besar ada dua tingkatan personel yang dibutuhkan:^[9]

Teknisi forensik digital (digital forensics technicians)

Teknisi mengumpulkan atau memproses bukti di TKP. Teknisi ini dilatih mengenai penanganan teknologi secara benar (misalnya bagaimana memelihara/mempertahankan bukti). Teknisi mungkin juga diminta untuk melakukan "Analisis langsung". Berbagai alat untuk menyederhanakan prosedur ini telah diproduksi, misalnya dengan COFEEmilik Microsoft.^{[butuh rujukan]}

Pemeriksa bukti digital (digital evidence examiners)

Pemeriksa mengkhususkan diri dalam satu bidang bukti digital; baik pada tingkat yang luas (yaitu forensik komputer atau jaringan dll.) atau sebagai subspesialis (yaitu analisis gambar).^{[butuh rujukan]}

^{Model Proses}

Metodologi yang teliti dan prosedur standar dari proses investigasi sangat penting dalam melakukan penyelidikan forensik.^[27] Ada banyak upaya untuk mengembangkan model proses tetapi sejauh ini tidak ada yang diterima secara universal. Sebagian alasannya mungkin karena fakta bahwa banyak model proses dirancang untuk lingkungan tertentu, dan karena itu tidak dapat langsung diterapkan di lingkungan lain.^[28] Area populer bagi para peneliti forensik digital adalah mencari metodologi standar agar proses forensik digital lebih akurat, kuat, dan efisien. Model proses forensik digital pertama yang diusulkan berisi empat langkah: Akuisisi, Identifikasi, Evaluasi, dan Admisi. Sejak itu, banyak model proses telah diusulkan untuk menjelaskan langkah-langkah mengidentifikasi, memperoleh, menganalisis, menyimpan, dan melaporkan bukti yang diperoleh dari berbagai perangkat digital. Dalam beberapa tahun terakhir, semakin banyak model proses yang lebih canggih telah diusulkan. Model-model ini mencoba untuk mempercepat seluruh proses investigasi atau memecahkan berbagai masalah yang biasa ditemui dalam penyelidikan forensik. Dalam dekade terakhir, komputasi awan membuat pengumpulan bukti menjadi lebih sulit. Di bidang investigasi forensik digital, beralih ke model pemrosesan bukti berbasis cloud akan sangat bermanfaat dan upaya awal telah dibuat dalam implementasinya.^[27]

Model Proses Forensik Digital^[27]

Model Proses Forensik Digital Awal dan Turunannya	Kerangka Forensik Digital pada Kasus Penggunaan Spesifik	Model Forensik Digital Terbaru
DFRWS model(Palmer et al. 2001) SRDFIM(Agarwal et al. 2011) DFRWS model(Palmer et al. 2001 An Abstract Digital Forensics Model (Reith et al. 2002) IDIP (Carrier et al. 2003) & DCSA(Rogers 2006) CFFTPM(Rogers et al. 2006) Integrated Digital Investigation Process (IDIP) (Carrier & Spafford 2004) Enhanced Integrated Digital Investigation Process(EIDIP) (Baryamureeba & Tushabe 2004) Integrated Digital Forensic Process Model (Kohn et al. 2013) DFaaS Process Model(van Baar et al. 2014)	Extended Model of Cybercrime Investigation(Ciardhuáin 2004) Digital Forensic Triage Process Model(Rogers et al. 2006) Digital Forensic Model Based on Malaysian Investigation Process(Perumal 2009) The Systematic Digital Forensics Investigation Model(Agarwal et al. 2011) Integrated Digital Forensic Process Model (Kohn et al. 2013)	An integrated conceptual digital forensic framework for cloud computing(Martini & Choo 2012) Data reduction and data mining framework(Quick & Choo 2014) Internet of Things(IoT) Based Digital Forensic Model(Perumal et al. t.t.)

Investigasi forensik digital umumnya terdiri dari 3 tahap: pengumpulan (akuisisi) atau imaging barang bukti,^[28] analisis, dan pelaporan.^[29] Pengetahuan yang paling penting adalah bahwa pemeriksaan forensik dilakukan dan dilaporkan dengan cara yang tidak bias dan dapat direproduksi.^[6]

Pengumpulan

Idealnya pengumpulan bukti atau akuisisi melibatkan pengambilan citra (imaging) memori volatil komputer (RAM),^[30] atau media penyimpanan lain,^[6] dan membuat duplikat sektor yang sama ("duplikasi forensik" atau "citra forensik") dari media tersebut, tindakan ini sering dibantu perangkat write blocking untuk mencegah modifikasi pada media asli. Pertumbuhan ukuran media penyimpanan dan perkembangannya, seperti komputasi awan^[31] mengharuskan akuisisi secara 'langsung' di mana salinan data logicaldiambil alih-alih citra lengkap dari perangkat penyimpanan fisik.^[28] Citra yang diperoleh (atau salinan logical) dan media/data asli kemudian di-hash (menggunakan algoritma seperti SHA-1 atau MD5) dan nilai-nilainya dibandingkan untuk memverifikasi bahwa salinannya akurat.^[32]

Sebuah pendekatan alternatif (dan dipatenkan,^[33] yang disebut hybrid forensics^[34] atau distributed forensics^[35]) menggabungkan tahapan forensik digital dan ediscovery. Pendekatan ini diwujudkan dengan peralatan komersial yang disebut ISEEK yang dipresentasikan bersama dengan hasil tesnya pada konferensi tahun 2017.^[34]

Forensik Statik

Forensik statik menggunakan prosedur dan pendekatan konvensional di mana bukti di olah secara bit-by-bit image untuk melakukan proses forensik. Proses forensiknya sendiri berjalan pada sistem yang tidak dalam keadaan menyala. Forensik statik difokuskan pada pemeriksaan hasil imaging untuk menganalisis isi dari bukti digital, seperti berkas yang dihapus, riwayat penjelajahan web, berkas fragmen, koneksi jaringan, berkas yang diakses, riwayat user login, dll guna membuat timeline berupa ringkasan tentang kegiatan yang dilakukan pada bukti digital sewaktu digunakan.^[36]

Saat perangkat dalam keadaan mati, data yang dapat diperiksa hanya yang tersimpan di memori statis, seperti diska keras. Namun, masih ada beberapa pemrosesan yang perlu dilakukan sebelum menganalisis data aktual pada unit penyimpanan. Ketika melakukan pemeriksaan forensik, terutama dalam penegakan hukum, harus diambil tindakan untuk menghilangkan peluang memodifikasi bukti yang sebenarnya. Menyalakan perangkat dan mengoperasikannya bisa saja memodifikasi data asli dan dengan demikian mencemari bukti. Bukti yang terkontaminasi pada gilirannya tidak akan layak di pengadilan. Sehingga perlu membuat salinan bukti yang identik (dalam hal konten) menggunakan perangkat khusus atau komputer biasa dengan bantuan perangkat keras write blocker dan perangkat lunak pencitraan diska (disk imaging). Dalam istilah forensik, salinan ini umumnya disebut disk image atau forensic disk image.^[6] Kemudian forensic disk image ini dibawa ke laboratorium forensik untuk dianalisis.^[36]

Forensik Langsung

^{Dalam forensik langsung semua bukti digital dikumpulkan saat sistem sedang berjalan,[36]sehingga pemeriksa mendapat kesempatan untuk mengumpulkan data volatil (mudah hilang) yang memuat informasi tentang apa yang sedang dilakukan perangkat. Tujuan utama dari penyelidikan langsung adalah untuk mengumpulkan data volatil sebanyak-banyaknya. Forensik langsung juga memberi kesempatan untuk memeriksa apakah ada diska keras yang aktif dienkripsi sehingga bisa mengumpulkan data versi yang tidak terenkripsi. Implementasi full disk encryption(FDE) memastikan bahwa semua data pada diska keras dienkripsi saat komputer mati. Namun, data akan didekripsi saat komputer aktif. Oleh karena itu perlu melakukan pencarian menyeluruh untuk perangkat lunak enkripsi yang mungkin terpasang di komputer. Jika ada tanda-tanda enkripsi, pemeriksa harus membuat logical image dari diska keras tersebut untuk menjamin bahwa data dapat dipertahankan dan tersedia untuk analisis nanti.[6]}

Analisis

Selama fase analisis, seorang penyelidik mendapatkan bukti menggunakan sejumlah metodologi dan instrumen yang berbeda-beda. Pada tahun 2002, sebuah artikel dalam International Journal of Digital Evidencemerujuk pada langkah ini sebagai "pencarian sistematis dan mendalam atas bukti yang terkait dengan dugaan kejahatan."^[5] Pada tahun 2006, peneliti forensik Brian Carrier menjelaskan mengenai "prosedur intuitif" di mana bukti yang terang diidentifikasi terlebih dahulu lalu kemudian "pencarian menyeluruh dilakukan untuk melengkapi kekurangannya."^[1]

Analisis forensik pada dasarnya untuk menjawab pertanyaan penyelidikan dengan menganalisis data yang ditemukan pada citra forensik yang dibuat pada tahapan "pengumpulan bukti".^[6] Proses analisis yang sebenarnya dapat bervariasi antara investigasi, tetapi metodologinya secara umum termasuk melakukan pencarian kata kunci di seluruh media digital (dalam berkas serta dalam unallocated dan slack space), memulihkan berkas yang dihapus dan ekstraksi informasi registry (misalnya untuk menampilkan akun pengguna, atau perangkat USB yang terpasang). Bukti yang telah diperoleh dianalisis untuk merekonstruksi peristiwa atau tindakan dan untuk mencapai kesimpulan, pekerjaan yang sering dapat dilakukan oleh personel yang kurang terspesialisasi.^[5]

Pelaporan

Tahapan terakhir jika penyelidikan telah selesai, data yang diperoleh disajikan dalam bentuk laporan tertulis dengan istilah-istilah atau bahasa non-teknis.^[5] Laporan menyajikan temuan obyektif dan kesimpulan berdasarkan temuan tersebut. Isi laporan dapat berbeda tergantung undang-undang dan kebijakan lokal. Namun, secara umum laporan memuat:^[6]

Data kasus

Data kasus memuat informasi orang yang memerintahkan pemeriksaan, beberapa identifier yang mejadi fokus penyelidikan dan informasi yang mengidentifikasi potongan bukti yang harus diperiksa. Poin utamanya adalah mempertahankan lacak balak serta agar dapat membedakan suatu pemeriksaan dari pemeriksaan lain. Informasi yang tepat yang harus dimuat dalam laporan sangat bergantung pada peraturan dan undang-undang setempat.^{[butuh rujukan]}

Tujuan pemeriksaan

Tujuan pemeriksaan harus dinyatakan dalam laporan karena menyajikan apa yang dicari selama pemeriksaan. Tujuan pemeriksaan menggambarkan fokus dari pemeriksaan sehingga memberikan pembaca pemahaman tentang apa yang dia harapkan sebagai hasilnya. Menyatakan tujuan dimulai dengan pertanyaan atau tujuan yang diungkapkan oleh orang yang memerintahkan pemeriksaan. Namun, bisa juga mencakup tujuan apa pun yang dilakukan oleh pemeriksa forensik ketika menganalisis kasus.^{[butuh rujukan]}

Temuan

Menyajikan temuan termasuk menyajikan potongan-potongan bukti yang ditemukan selama pemeriksaan. Temuan disajikan secara obyektif (sebagaimana adanya), dan tidak membuat kesimpulan atau interpretasi subjektif.^{[butuh rujukan]}

Kesimpulan

Kesimpulan dibuat oleh ahli forensik berdasarkan temuan, pengetahuan dan pengalamannya. Sehingga kesimpulan dapat bersifat subyektif dan aspek yang sangat penting dalam menulis laporan forensik adalah memisahkan temuan obyektif dari kesimpulan subyektif. Saat menulis daftar kata, protokol harus dapat dimengerti oleh orang yang tidak memiliki keahlian IT.^{[butuh rujukan]}

Penerapan

Forensik digital umumnya digunakan baik dalam hukum pidana maupun penyelidikan pribadi. Biasanya forensik ini dikaitkan dengan hukum pidana, di mana bukti yang telah terkumpul digunakan untuk mendukung atau menentang hipotesis di depan pengadilan. Sama seperti bidang forensik lainnya, forensik digital biasanya merupakan bagian dari penyelidikan yang lebih luas yang mencakup berbagai disiplin ilmu. Pada beberapa kasus, bukti yang terkumpul berfungsi sebagai bentuk pengumpulan intelijen yang digunakan untuk tujuan lain selain proses pengadilan (misalnya untuk menemukan, mengidentifikasi atau menghentikan kejahatan lain). Akibatnya, pengumpulan intelijen terkadang dilakukan dengan standar forensik yang kurang ketat.^{[butuh rujukan]}

Dalam perkara perdata atau permasalahan perusahaan, forensik digital menjadi bagian dalam proses electronic discovery (atau eDiscovery). Prosedur forensiknya serupa dengan yang digunakan dalam investigasi pidana, seringkali dengan persyaratan dan batasan hukum yang berbeda. Di luar pengadilan forensik digital dapat menjadi bagian dari penyelidikan internal perusahaan.^{[butuh rujukan]}

Contoh umum misalnya setelah terjadinya intrusi jaringan tanpa otorisasi. Pemeriksaan pakar forensik mengenai sifat dan dampak serangan dilakukan sebagai upaya untuk membatasi kerusakan. Baik untuk menetapkan sejauh mana intrusi tersebut maupun sebagai upaya untuk mengidentifikasi penyerang.^[37] Pada tahun 1980-an serangan semacam ini biasanya dilakukan melalui saluran telepon, tetapi di era modern penyebarannya melalui Internet.^[38]

Fokus utama penyelidikan forensik digital adalah untuk mengungkap bukti yang objektif dari aktivitas kriminal (disebut actus reusdalam bahasa hukum). Namun, beragam data yang tersimpan dalam perangkat digital dapat membantu bidang penyelidikan lainnya.^[26]

Pertalian

Metadata dan log lainnya dapat digunakan untuk mengaitkan suatu tindakan kepada seseorang. Misalnya, dokumen pribadi pada drive komputer mungkin mengidentifikasi pemiliknya.^{[butuh rujukan]}

Alibi dan pernyataan

Informasi yang diberikan oleh mereka yang terlibat dapat diperiksa silang dengan bukti digital. Misalnya, selama penyelidikan pembunuhan Soham alibi pelaku dibantah ketika catatan ponsel dari orang yang dia temui menunjukkan bahwa dia berada di luar kota pada saat itu.^{[butuh rujukan]}

Maksud

Selain untuk menemukan bukti yang obyektif dari suatu kejahatan, penyelidikan juga dapat digunakan untuk membuktikan niat (dikenal sebagai mens rea dalam istilah hukum). Sebagai contoh, riwayat Internet dari terpidana pembunuh Neil Entwistle di antaranya merujuk ke situs yang membahas Cara membunuh orang.^{[butuh rujukan]}

Evaluasi sumber

Artefak-artefak dan metadata berkas dapat digunakan untuk mengidentifikasi asal-usul bagian data tertentu; misalnya, versi Microsoft Word yang lebih lama menyematkan Global Unique Identifer ke dalam berkas-berkas yang mengidentifikasi komputer di mana berkas tersebut dibuat. Membuktikan apakah suatu berkas dibuat pada perangkat digital yang sedang diperiksa atau diperoleh dari tempat lain (mis., Internet) bisa menjadi sangat penting.^[26]

Otentikasi dokumen

Terkait dengan "Evaluasi sumber," metadata yang terkait dengan dokumen-dokumen digital dapat dengan mudah dimodifikasi (misalnya, dengan mengubah jam komputer maka dapat mempengaruhi tanggal pembuatan sebuah berkas). Otentikasi dokumen berkaitan dengan pendeteksian dan mengidentifikasi pemalsuan pada rincian-rincian tersebut.^{[butuh rujukan]}

Batasan

Tugas umum selama pemeriksaan forensik adalah mencoba mendekripsikan data yang terenkripsi dalam berbagai bentuk mulai dari berkas atau folder terenkripsi hingga komunikasi yang terenkripsi seperti surat ekektronik dan obrolan atau bahkan menyelidiki diska keras yang telah dienkripsi dengan enkripsi diska penuh (FDE).^[6] Salah satu keterbatasan utama dalam penyelidikan forensik adalah penggunaan enkripsi ini, yang dapat menghalangi pemeriksaan awal jika bukti yang bersangkutan terdeteksi menggunakan kata kunci. Hukum yang memaksa seseorang untuk mengungkapkan kunci enkripsi masih relatif baru dan kontroversial.^[12]

Media penyimpanan Solid State Drive (SSD) yang mengaktifkan teknologi TRIM dapat menjadi hambatan dalam melakukan forensik digital khususnya pada pemulihan data. Karena fitur TRIM berfungsi untuk memusnahkan garbage data yang telah dihapus.^[36] TRIM pada dasarnya adalah sebuah fungsi di mana data yang telah dihapus dimusnahkan secara permanen dari sistem operasi, sehingga pemulihan sulit dilakukan. Namun, tidak semua SSD fitur TRIM-nya diaktifkan.^[6]

Landasan Hukum

Pemeriksaan media digital dicakup dalam undang-undang nasional maupun internasional. Khusus penyelidikan perdata, undang-undang dapat membatasi kemampuan analis untuk melakukan pemeriksaan. Pembatasan pemantauan jaringan, atau pembacaan komunikasi pribadi sering terjadi. Dalam penyelidikan pidana, undang-undang nasional membatasi seberapa banyak informasi yang dapat disita.^[39] Misalnya, di Inggris, penyitaan barang bukti oleh penegak hukum diatur oleh Police and Criminal Evidence Act 1984.^[9]Selama keberadaan awalnya di bidang ini, "International Organization on Computer Evidence" (IOCE) adalah salah satu lembaga yang bekerja untuk menetapkan standar internasional yang kompatibel terhadap penyitaan barang bukti.^[40]

Di Inggris, hukum yang sama terkait kejahatan komputer juga dapat mempengaruhi penyelidik forensik. Computer Misuse Act 1990 mengatur larangan akses tanpa otorisasi pada materi komputer, aturan ini menjadi perhatian khusus bagi penyidik sipil yang memiliki lebih banyak batasan dibanding penegak hukum.^[41]

Hak individu atas privasi adalah salah satu bidang forensik digital yang sebagian besar belum diputuskan oleh pengadilan. Electronic Communications Privacy Act (ECPA) di AS memberikan batasan kemampuan kepada penegak hukum atau penyidik sipil untuk menyadap dan mengakses bukti. Undang-undang tersebut membedakan antara komunikasi tersimpan (misalnya arsip surat elektronik) dan komunikasi yang ditransmisikan (seperti VoIP). Yang terakhir, lebih dianggap sebagai serangan privasi, dan lebih sulit untuk mendapatkan surat perintah.^[42] ECPA juga mempengaruhi kemampuan perusahaan dalam menyelidiki komputer dan komunikasi karyawan mereka, suatu aspek yang masih diperdebatkan adalah sejauh mana perusahaan dapat melakukan pemantauan tersebut.^[9]

Pasal 5 Konvensi Eropa tentang Hak Asasi Manusia menegaskan pembatasan privasi yang serupa dengan ECPA dan membatasi pemrosesan dan pembagian data pribadi baik di dalam UE maupun dengan negara-negara luar. Kemampuan penegak hukum Inggris untuk melakukan penyelidikan forensik digital diatur oleh Regulation of Investigatory Powers Act 2000.^[9]

Bukti Digital

Bukti digital adalah data-data yang dikumpulkan dari semua jenis penyimpanan digital yang menjadi subjek pemeriksaan forensik komputer. Dengan demikian segala sesuatu yang membawa informasi digital dapat menjadi subjek penyelidikan, dan setiap pembawa informasi yang ditargetkan untuk pemeriksaan harus diperlakukan sebagai bukti.^[6] Menurut Pasal 5 UU No. 11/2008 tentang Informasi dan Transaksi Elektronik (UU ITE) menyebutkan bahwa “informasi elektronik dan atau dokumen elektronik dan atau hasil cetaknya merupakan alat bukti hukum yang sah”. Contoh barang bukti digital : alamat E-Mail, berkas wordprocessor/spreadsheet, kode sumberperangkat lunak, berkas gambar (JPEG, PNG, dll), bookmarks penjelajah web, cookies, kalender, to do list, dan lainnya.^[3]

Seorang pakar digital forensik harus benar-benar terlatih dan berpengalaman dalam menggunakan cara untuk mengumpulkan semua data-data yang diperlukan sehingga bisa dijadikan bukti legal yang semuanya sudah diatur dalam undang-undang.^[3] Ketika digunakan dalam pengadilan, bukti digitalberada di bawah pedoman hukum yang sama seperti bentuk bukti lainnya; pengadilan biasanya tidak memerlukan panduan yang lebih ketat.^[43] Di Amerika Serikat, Federal Rules of Evidence digunakan untuk mengevaluasi diterimanya bukti digital, PACEKerajaan Inggris dan Civil Evidence actsmemiliki pedoman serupa dan banyak negara lain memiliki hukumnya sendiri. Undang-undang federal AS membatasi penyitaan hanya pada barang bukti yang jelas. Hal ini diakui tidak selalu memungkinkan dilakukan pada media digital sebelum dilakukan pemeriksaan.^[39]

Hukum yang berurusan dengan bukti digital terkait dengan dua permasalahan: integritas dan keaslian. Integritas memastikan bahwa tindakan menyita dan memperoleh media digital tidak mengubah bukti (baik yang asli atau salinannya). Keaslian mengacu pada kemampuan untuk mengkonfirmasi integritas informasi; misalnya bahwa media yang dicitrakan (imaged) sesuai dengan bukti asli.^[39] Mudahnya media digital untuk termodifikasi berarti mendokumentasikan lacak balak^[en] mulai dari TKP, analisis, hingga ke pengadilan penting dilakukan untuk menjaga keaslian barang bukti.^[9]

Lembaga penegak hukum harus memiliki lacak balak yang tepat ketika menangani bukti digital dan menjamin bahwa semua bukti digunakan untuk analisis forensik yang tepat. Agensi juga harus mengambil tindakan pencegahan yang tepat saat menangani bukti digital. Ketika para penyelidik mengumpulkan bukti dari perangkat digital, bukti yang terkait dengan kejahatan lain mungkin ditemukan. Penyelidik perlu mendapatkan surat perintah kedua agar bukti dapat diterima ke pengadilan.^[4] Penanganan bukti digital perlu dilakukan secara khusus mengingat barang bukti digital tergolong "rapuh" sehingga besar kemungkinan terjadinya pencemaran barang bukti digital baik disengaja maupun tidak disengaja. Kesalahan kecil pada penanganan barang bukti dapat membuat barang bukti digital tidak dapat diajukan dipengadilan sebagai alat bukti yang sah dan akurat.^[3] Data digital juga dapat diciptakan dengan mudah. Salah satu hal yang ditakutkan adalah adanya penambahan data oleh penyidik (misalnya ada penambahan data untuk menyudutkan pemilik perangkat digital). Untuk itu, diperlukan adanya mekanisme yang memastikan bahwa penyidik tidak dapat (atau sulit) untuk melakukan rekayasa terhadap data. Ada beberapa mekanisme yang dapat dilakukan, seperti penggunaan message digest terhadap berkas yang akan dievaluasi dan penggunaan tools yang sudah disertifikasi.^[44]

Para pengacara berpendapat karena bukti digital secara teoritis mudah berubah (dimodifikasi dan digandakan), hal itu dapat merusak keandalan bukti. Para hakim AS mulai menolak teori ini, dalam kasus AS v. Bonallo, pengadilan memutuskan "fakta bahwa data yang ada dalam komputer dapat berubah jelas tidak cukup untuk membentuk ketidakpercayaan."^[45] Dalam pedoman Inggris seperti yang dikeluarkan oleh Association of Chief Police Officers diikuti untuk membantu mendokumentasikan keaslian dan integritas barang bukti.^{[butuh rujukan]}

Seorang ahli harus menerapkan metode dan teknik yang terbukti andal secara ilmiah untuk mencari bukti digital. Penyidik digital khususnya dalam investigasi pidana, harus memastikan bahwa kesimpulan-kesimpulannya didasarkan pada bukti faktual dan pengetahuan kepakaran mereka sendiri.^[9]Di AS, misalnya, Federal Rules of Evidencemenyatakan bahwa seorang saksi yang memenuhi syarat sebagai ahli dapat bersaksi "dalam bentuk pendapat atau lainnya" jika:

(1) kesaksian didasarkan pada fakta atau data yang cukup, (2) kesaksian adalah produk dari kaidah-kaidah dan metode-metode yang dapat diandalkan, dan (3) ahli telah menerapkan prinsip dan metode secara andal terhadap fakta-fakta kasus.^[46]

Subcabang forensik digital masing-masing dapat memiliki panduan khusus tersendiri untuk melakukan penyelidikan dan penanganan barang bukti. Sebagai contoh, ponsel mungkin harus diletakkan dalam sangkar Faraday selama penyitaan atau akuisisi untuk mencegah lalu lintas radio lebih lanjut ke perangkat. Di Inggris, pemeriksaan forensik komputer dalam masalah kriminal tunduk pada pedoman ACPO.^[9] Ada juga pendekatan internasional untuk memberikan panduan tentang cara menangani bukti elektronik. "Electronic Evidence Guide" oleh Dewan Eropa menawarkan kerangka kerja untuk penegak hukum dan otoritas peradilan di negara-negara yang berusaha untuk mengatur atau meningkatkan pedoman mereka sendiri untuk identifikasi dan penanganan bukti elektronik.^[47]

Standard Daubert

Keberadaan bukti digital bergantung pada alat/perkakas (tools) yang digunakan untuk mengekstraknya. Di AS, perkakas forensik diberlakukan standar Daubert^[en], di mana hakim bertanggung jawab untuk memastikan bahwa tahapan dan perangkat lunak yang digunakan dapat diterima. Dalam sebuah makalah tahun 2003, Brian Carrier berpendapat bahwa pedoman Daubertmengharuskan kode alat-alat forensik dipublikasikan dan ditelaah oleh rekan sejawat. Dia menyimpulkan bahwa "peralatan sumber terbuka mungkin lebih jelas dan komprehensif dalam memenuhi persyaratan pedoman dibanding peralatan dengan sumber tertutup."^[48] Pada tahun 2011 Josh Brunty menyatakan bahwa validasi ilmiah pada teknologi dan perangkat lunak yang terkait dengan kegiatan pemeriksaan forensik digital sangat penting untuk setiap proses laboratorium. Dia berpendapat bahwa "ilmu forensik digital didasarkan pada prinsip-prinsip proses berulang dan bukti berkualitas sehingga mengetahui bagaimana merancang dan mempertahankan proses validasi yang baik adalah syarat utama bagi setiap pemeriksa forensik digital untuk mempertahankan metode mereka di pengadilan.^[49]