Kmputer Forensik atau IT Forensik adalah suatu disiplin ilmu turunan keamanan komputer yang membahas tentang temuan bukti digital setelah suatu peristiwa terjadi. Kegiatan forensik komputer sendiri adalah suatu proses mengidentifikasi, memelihara, menganalisa, dan mempergunakan bukti digital menurut hukum yang berlaku.
Sedangkan definisi forensik IT menurut para ahli diantaranya :
Tujuan utama dari kegiatan forensik IT adalah untuk mengamankan dan menganalisa bukti digital dengan cara menjabarkan keadaan terkini dari suatu artefak digital. Istilah artefak digital dapat mencakup sebuah sistem komputer, media penyimpanan (harddisk, flashdisk, CD-ROM), sebuah dokumen elektronik (misalnya sebuah email atau gambar), atau bahkan sederetan paket yang berpindah melalui jaringan komputer.
Dunia digital memang cukup luas cakupannya. Proses-proses yang menggunakan pulsa listrik dan logika biner bukan hanya digunakan oleh perangkat komputer. Bukti digital adalah informasi yang didapat dalam bentuk/format digital (Scientific Working Group on Digital Evidence, 1999). Bukti digital ini bisa berupa bukti riil maupun abstrak (perlu diolah terlebih dahulu sebelum menjadi bukti yang riil). Beberapa contoh bukti digital antara lain :
Terdapat empat elemen Kunci Forensik yang harus diperhatikan berkenaan dengan bukti digital dalam Teknologi Informasi, adalah sebagai berikut :
Merupakan tahapan paling awal dalam teknologi informasi. Pada tahapan ini dilakukan identifikasi dimana bukti itu berada, dimana bukti itu disimpan, dan bagaimana penyimpanannya untuk mempermudah penyelidikan.
Bentuk, isi, makna bukti digital hendaknya disimpan dalam tempat yang steril. Untuk benar-benar memastikan tidak ada perubahan-perubahan, hal ini vital untuk diperhatikan. Karena sedikit perubahan saja dalam bukti digital, akan merubah juga hasil penyelidikan. Bukti digital secara alami bersifat sementara (volatile), sehingga keberadaannya jika tidak teliti akan sangat mudah sekali rusak, hilang, berubah, mengalami kecelakaan.
Barang bukti setelah disimpan, perlu diproses ulang sebelum diserahkan pada pihak yang membutuhkan. Pada proses inilah skema yang diperlukan akan fleksibel sesuai dengan kasus-kasus yang dihadapi. Barang bukti yang telah didapatkan perlu diexplore kembali beberapa poin yang berhubungan dengan tindak pengusutan, antara lain: (a) Siapa yang telah melakukan. (b) Apa yang telah dilakukan (Ex. Penggunaan software apa), (c) Hasil proses apa yang dihasilkan. (d) Waktu melakukan. Setiap bukti yang ditemukan, hendaknya kemudian dilist bukti-bukti potensial apa sajakah yang dapat didokumentasikan.
Kesimpulan akan didapatkan ketika semua tahapan tadi telah dilalui, terlepas dari ukuran obyektifitas yang didapatkan, atau standar kebenaran yang diperoleh, minimal bahan-bahan inilah nanti yang akan dijadikan “modal” untuk ke pengadilan. Proses digital dimana bukti digital akan dipersidangkan, diuji otentifikasi dan dikorelasikan dengan kasus yang ada. Pada tahapan ini menjadi penting, karena disinilah proses-proses yang telah dilakukan sebelumnya akan diurai kebenarannya serta dibuktikan kepada hakim untuk mengungkap data dan informasi kejadian.
Contoh Kasus Penggunaan IT Forensik
Beberapa bulan lalu sempat marak tersiar kabar tentang sidang kasus Jessica - Mirna. kasus ini menarik banyak perhatian masyarakat, penegak hukum (aparat/jaksa), para advokat dan juga para IT Professional maupun para anggota Asosiasi Forensik Digital Indonesia.
Pada persidangan kasus Jessica yang lalu turut dihadirkan beberapa Ahli Digital Forensic untuk memaparkan hasil analisisnya terhadap barang bukti yang didapatkan dari penyidik. Barang bukti tersebut berupa USB Flashdisk yang menyimpan video CCTV hasil ekstraksi dari DVR sistem monitoring CCTV di Cafe Olivier (TKP).
Pada perjalanan sidang ke 21, ternyata Pihak PH juga mengajukan seorang Ahli (IT) yang berasal dari Akademisi, pada persidangan tersebut, si Ahli (IT) yang didatangkan PH mengungkapkan dan menyatakan dugaan (atau “tuduhan”) bahwa video CCTV yang digunakan oleh Ahli Digital Forensic kubu JPU sudah melalui proses tampering yang bertujuan tidak baik. Dan pernyataan dan pendapat Ahli IT dari PH ini banyak digunakan pada referensi berbagai media cetak maupun online dengan menyatakan bahwa alat bukti CCTV diduga kuat sudah dilakukan tampering yang bertujuan menyudutkan pihak terdakwa.
Pendapat Ahli IT dari PH terdakwa ini juga dijadikan bahan rujukan dalam nota pembelaan dari PH. Pada nota pembelaan tersebut disebutkan bahwa bukti CCTV yang digunakan oleh JPU bukan merupakan dari alat bukti aslinya, tetapi merupakan hasil kloning dari alat bukti. Pihak PH terdakwa juga menyebutkan bahwa video CCTV sudah melalui proses editing (menggabung-gabung/disambung-sambung) sehingga tidak layak dijadikan barang bukti di pengadilan.
Ketika suatu kejadian kasus terjadi di sebuah lokasi (misalnya cafe, jalan raya atau ruang publik lainnya) yang terdapat Camera CCTV merekam kejadian, maka pihak penyidik dapat langsung menggali/mencari informasi terkait sistem CCTV kepada pemilik CCTV/manajemen dan penyidik juga dapat meminta kepada operator/pemilik sistem CCTV untuk menunjukkan rekaman yang terkait kasus tersebut berdasarkan parameter waktu, lokasi kejadian dan penampakan orang orang yang mungkin terlibat pada kasus tersebut.
Jika memang rekaman CCTV menunjukkan adanya petunjuk terkait kasus tersebut, maka penyidik dapat secara resmi meminta rekaman yang relevan tersebut dengan membuatkan berita acara pengambilan barang bukti. Jika sistem CCTV menggunakan sistem DVR (Digital Video Recording) dan penyidik memahami atau mampu mengoperasikan sistem DVR tersebut, maka penyidik dapat langsung melakukan ekstraksi (retrieve video) DVR ke media penyimpanan yang tersedia (mulai CD/DVD/USB HDD External/USB Flashdisk) pada sistem DVR didampingi pemilik/operator. Jika penyidik tidak familiar dengan sistem DVR, maka dapat meminta ahli atau engineer (yang mengetahui cara kerja sistem DVR tersebut). Jika ahli atau engineer tidak ada, maka penyidik dapat meminta operator atau pemilik CCTV yang sudah familiar untuk melakukan ekstraksi (retrieve) video ke media penyimpanan yang tersedia.
Setelah ekstraksi Video CCTV dari DVR sudah didapatkan dan berhasil disimpan di suatu media penyimpanan (seperti DVD atau USB Flashdisk/HDD External), maka langkah ideal selanjutnya adalah melakukan checksum integritas data pada media penyimpanan melalui proses hashing file-file video tersebut. Kemudian dilanjutkan dengan mencatatkan/ menambahkan/ melampirkan pada berita acara pengambilan barang bukti, sehingga pihak penyidik dan pemilik CCTV/DVR sama-sama mengetahui/menyetujui bahwa video rekaman tersebut memang diambil dari CCTV/DVR mereka.
Media penyimpanan digital, seperti DVD atau USB Flashdisk/HDD yang digunakan untuk menyimpan file-file video hasil ekstraksi DVR/CCTV tersebut dapat disebut sebagai barang bukti asli (Master).
Langkah selanjutnya, biasanya penyidik akan meminta bantuan ahli Digital Forensic (Video Examiner/Investigator) untuk melakukan analisis terhadap rekaman video pada media yang menjadi barang bukti tersebut. Setelah membuatkan prosedur serah terima barang bukti dan berita acara pemeriksaan bukti, Ahli Digital Forensic pertama kali akan melakukan tahapan awal Forensik Digital yakni imaging/bit-stream copy terhadap barang bukti, yaitu proses duplikasi barang bukti ke dalam bentuk salinan (copy) yang identik.
Sebelum melakukan imaging/bit-stream copy, examiner wajib memastikan sudah memasang write blocker atau safe-block yakni proteksi untuk memastikan tidak ada perubahan pada Master saat dilakukannya imaging/bit-stream copy dari media Master ke Media lainnya. Proses imaging/bit-stream copy salinan ini dapat dilakukan ke media yang jenisnya sama (copy dan master sama sama berupa flashdisk/DVD/HDD ), atau dapat juga menjadi sebuah file image yang disimpan pada media penyimpanan yang lebih besar (biasanya berupa HDD).
Bit-stream copy dan Master dari barang bukti ini identik, dan harus memiliki nilai hash/check integritas yang sama, dan secara scientific kedua konten hasil imaging dan Master ini bisa dipastikan sama persis. Beberapa pihak atau masyarakat awam sering menyebut hasil imaging/bit-stream copy ini sebagai hasil kloning dari barang bukti. Hasil imaging/bit-stream copy inilah yang akan dianalisa oleh pihak Ahli Digital Forensic (Video Examiner/Investigator). Sedangkan barang bukti asli (Master) disimpan dengan aman sebagaimana barang bukti lainnya.
Secara prosedur Ahli Digital Forensic hanya perlu menganalisa hasil imaging atau bit-stream copy atau sering yang masyarakat sebut sebagai hasil kloning, karena sudah dipastikan sama hasilnya dengan barang bukti asli (Master). Master hanya dapat diakses kembali jika dan hanya jika perlu dilakukan cross-examination oleh pihak lain (misalnya oleh ahli yang didatangkan pihak hukum terdakwa). Akses tersebut juga hanya bertujuan untuk melakukan imaging atau bit stream-copy kembali, dalam rangka verifikasi hasil imaging/copy-bit stream adalah sama dengan yang dianalisis secara digital forensic oleh ahli. Ahli forensik digital pihak manapun tidak diperkenankan melakukan analisis langsung dari barang bukti master untuk mencegah kerusakan pada barang bukti. Setiap Ahli Digital Forensic (examiner/investigator) hanya dapat melakukan analisis dari hasil imaging/copy bit-stream yang telah dilakukan, dan secara prosedur para examiner/investigator sudah sama-sama memahami hal tersebut.
Sedangkan definisi forensik IT menurut para ahli diantaranya :
- Menurut Noblett, yaitu berperan untuk mengambil, menjaga, mengembalikan, dan menyajikan data yang telah diproses secara elektronik dan disimpan di media komputer.
- Menurut Judd Robin, yaitu penerapan secara sederhana dari penyidikan komputer dan teknik analisisnya untuk menentukan bukti-bukti hukum yang mungkin.
- Menurut Ruby Alamsyah (salah seorang ahli forensik IT Indonesia), digital forensik atau terkadang disebut komputer forensik adalah ilmu yang menganalisa barang bukti digital sehingga dapat dipertanggungjawabkan di pengadilan. Barang bukti digital tersebut termasuk handphone, notebook, server, alat teknologi apapun yang mempunyai media penyimpanan dan bisa dianalisa.
Tujuan utama dari kegiatan forensik IT adalah untuk mengamankan dan menganalisa bukti digital dengan cara menjabarkan keadaan terkini dari suatu artefak digital. Istilah artefak digital dapat mencakup sebuah sistem komputer, media penyimpanan (harddisk, flashdisk, CD-ROM), sebuah dokumen elektronik (misalnya sebuah email atau gambar), atau bahkan sederetan paket yang berpindah melalui jaringan komputer.
Dunia digital memang cukup luas cakupannya. Proses-proses yang menggunakan pulsa listrik dan logika biner bukan hanya digunakan oleh perangkat komputer. Bukti digital adalah informasi yang didapat dalam bentuk/format digital (Scientific Working Group on Digital Evidence, 1999). Bukti digital ini bisa berupa bukti riil maupun abstrak (perlu diolah terlebih dahulu sebelum menjadi bukti yang riil). Beberapa contoh bukti digital antara lain :
- Spreadsheet file
- Source code software
- File bentuk image
- Video
- Audio
- Web browser bookmark, cookies
- Deleted file
- Windows registry
- Chat logs
Terdapat empat elemen Kunci Forensik yang harus diperhatikan berkenaan dengan bukti digital dalam Teknologi Informasi, adalah sebagai berikut :
- Identifikasi dalam bukti digital (Identification/Collecting Digital Evidence)
Merupakan tahapan paling awal dalam teknologi informasi. Pada tahapan ini dilakukan identifikasi dimana bukti itu berada, dimana bukti itu disimpan, dan bagaimana penyimpanannya untuk mempermudah penyelidikan.
- Penyimpanan bukti digital (Preserving Digital Evidence)
Bentuk, isi, makna bukti digital hendaknya disimpan dalam tempat yang steril. Untuk benar-benar memastikan tidak ada perubahan-perubahan, hal ini vital untuk diperhatikan. Karena sedikit perubahan saja dalam bukti digital, akan merubah juga hasil penyelidikan. Bukti digital secara alami bersifat sementara (volatile), sehingga keberadaannya jika tidak teliti akan sangat mudah sekali rusak, hilang, berubah, mengalami kecelakaan.
- Analisa bukti digital (Analizing Digital Evidence)
Barang bukti setelah disimpan, perlu diproses ulang sebelum diserahkan pada pihak yang membutuhkan. Pada proses inilah skema yang diperlukan akan fleksibel sesuai dengan kasus-kasus yang dihadapi. Barang bukti yang telah didapatkan perlu diexplore kembali beberapa poin yang berhubungan dengan tindak pengusutan, antara lain: (a) Siapa yang telah melakukan. (b) Apa yang telah dilakukan (Ex. Penggunaan software apa), (c) Hasil proses apa yang dihasilkan. (d) Waktu melakukan. Setiap bukti yang ditemukan, hendaknya kemudian dilist bukti-bukti potensial apa sajakah yang dapat didokumentasikan.
- Presentasi bukti digital (Presentation of Digital Evidence).
Kesimpulan akan didapatkan ketika semua tahapan tadi telah dilalui, terlepas dari ukuran obyektifitas yang didapatkan, atau standar kebenaran yang diperoleh, minimal bahan-bahan inilah nanti yang akan dijadikan “modal” untuk ke pengadilan. Proses digital dimana bukti digital akan dipersidangkan, diuji otentifikasi dan dikorelasikan dengan kasus yang ada. Pada tahapan ini menjadi penting, karena disinilah proses-proses yang telah dilakukan sebelumnya akan diurai kebenarannya serta dibuktikan kepada hakim untuk mengungkap data dan informasi kejadian.
Contoh Kasus Penggunaan IT Forensik
Beberapa bulan lalu sempat marak tersiar kabar tentang sidang kasus Jessica - Mirna. kasus ini menarik banyak perhatian masyarakat, penegak hukum (aparat/jaksa), para advokat dan juga para IT Professional maupun para anggota Asosiasi Forensik Digital Indonesia.
Pada persidangan kasus Jessica yang lalu turut dihadirkan beberapa Ahli Digital Forensic untuk memaparkan hasil analisisnya terhadap barang bukti yang didapatkan dari penyidik. Barang bukti tersebut berupa USB Flashdisk yang menyimpan video CCTV hasil ekstraksi dari DVR sistem monitoring CCTV di Cafe Olivier (TKP).
Pada perjalanan sidang ke 21, ternyata Pihak PH juga mengajukan seorang Ahli (IT) yang berasal dari Akademisi, pada persidangan tersebut, si Ahli (IT) yang didatangkan PH mengungkapkan dan menyatakan dugaan (atau “tuduhan”) bahwa video CCTV yang digunakan oleh Ahli Digital Forensic kubu JPU sudah melalui proses tampering yang bertujuan tidak baik. Dan pernyataan dan pendapat Ahli IT dari PH ini banyak digunakan pada referensi berbagai media cetak maupun online dengan menyatakan bahwa alat bukti CCTV diduga kuat sudah dilakukan tampering yang bertujuan menyudutkan pihak terdakwa.
Pendapat Ahli IT dari PH terdakwa ini juga dijadikan bahan rujukan dalam nota pembelaan dari PH. Pada nota pembelaan tersebut disebutkan bahwa bukti CCTV yang digunakan oleh JPU bukan merupakan dari alat bukti aslinya, tetapi merupakan hasil kloning dari alat bukti. Pihak PH terdakwa juga menyebutkan bahwa video CCTV sudah melalui proses editing (menggabung-gabung/disambung-sambung) sehingga tidak layak dijadikan barang bukti di pengadilan.
Ketika suatu kejadian kasus terjadi di sebuah lokasi (misalnya cafe, jalan raya atau ruang publik lainnya) yang terdapat Camera CCTV merekam kejadian, maka pihak penyidik dapat langsung menggali/mencari informasi terkait sistem CCTV kepada pemilik CCTV/manajemen dan penyidik juga dapat meminta kepada operator/pemilik sistem CCTV untuk menunjukkan rekaman yang terkait kasus tersebut berdasarkan parameter waktu, lokasi kejadian dan penampakan orang orang yang mungkin terlibat pada kasus tersebut.
Jika memang rekaman CCTV menunjukkan adanya petunjuk terkait kasus tersebut, maka penyidik dapat secara resmi meminta rekaman yang relevan tersebut dengan membuatkan berita acara pengambilan barang bukti. Jika sistem CCTV menggunakan sistem DVR (Digital Video Recording) dan penyidik memahami atau mampu mengoperasikan sistem DVR tersebut, maka penyidik dapat langsung melakukan ekstraksi (retrieve video) DVR ke media penyimpanan yang tersedia (mulai CD/DVD/USB HDD External/USB Flashdisk) pada sistem DVR didampingi pemilik/operator. Jika penyidik tidak familiar dengan sistem DVR, maka dapat meminta ahli atau engineer (yang mengetahui cara kerja sistem DVR tersebut). Jika ahli atau engineer tidak ada, maka penyidik dapat meminta operator atau pemilik CCTV yang sudah familiar untuk melakukan ekstraksi (retrieve) video ke media penyimpanan yang tersedia.
Setelah ekstraksi Video CCTV dari DVR sudah didapatkan dan berhasil disimpan di suatu media penyimpanan (seperti DVD atau USB Flashdisk/HDD External), maka langkah ideal selanjutnya adalah melakukan checksum integritas data pada media penyimpanan melalui proses hashing file-file video tersebut. Kemudian dilanjutkan dengan mencatatkan/ menambahkan/ melampirkan pada berita acara pengambilan barang bukti, sehingga pihak penyidik dan pemilik CCTV/DVR sama-sama mengetahui/menyetujui bahwa video rekaman tersebut memang diambil dari CCTV/DVR mereka.
Media penyimpanan digital, seperti DVD atau USB Flashdisk/HDD yang digunakan untuk menyimpan file-file video hasil ekstraksi DVR/CCTV tersebut dapat disebut sebagai barang bukti asli (Master).
Langkah selanjutnya, biasanya penyidik akan meminta bantuan ahli Digital Forensic (Video Examiner/Investigator) untuk melakukan analisis terhadap rekaman video pada media yang menjadi barang bukti tersebut. Setelah membuatkan prosedur serah terima barang bukti dan berita acara pemeriksaan bukti, Ahli Digital Forensic pertama kali akan melakukan tahapan awal Forensik Digital yakni imaging/bit-stream copy terhadap barang bukti, yaitu proses duplikasi barang bukti ke dalam bentuk salinan (copy) yang identik.
Sebelum melakukan imaging/bit-stream copy, examiner wajib memastikan sudah memasang write blocker atau safe-block yakni proteksi untuk memastikan tidak ada perubahan pada Master saat dilakukannya imaging/bit-stream copy dari media Master ke Media lainnya. Proses imaging/bit-stream copy salinan ini dapat dilakukan ke media yang jenisnya sama (copy dan master sama sama berupa flashdisk/DVD/HDD ), atau dapat juga menjadi sebuah file image yang disimpan pada media penyimpanan yang lebih besar (biasanya berupa HDD).
Bit-stream copy dan Master dari barang bukti ini identik, dan harus memiliki nilai hash/check integritas yang sama, dan secara scientific kedua konten hasil imaging dan Master ini bisa dipastikan sama persis. Beberapa pihak atau masyarakat awam sering menyebut hasil imaging/bit-stream copy ini sebagai hasil kloning dari barang bukti. Hasil imaging/bit-stream copy inilah yang akan dianalisa oleh pihak Ahli Digital Forensic (Video Examiner/Investigator). Sedangkan barang bukti asli (Master) disimpan dengan aman sebagaimana barang bukti lainnya.
Secara prosedur Ahli Digital Forensic hanya perlu menganalisa hasil imaging atau bit-stream copy atau sering yang masyarakat sebut sebagai hasil kloning, karena sudah dipastikan sama hasilnya dengan barang bukti asli (Master). Master hanya dapat diakses kembali jika dan hanya jika perlu dilakukan cross-examination oleh pihak lain (misalnya oleh ahli yang didatangkan pihak hukum terdakwa). Akses tersebut juga hanya bertujuan untuk melakukan imaging atau bit stream-copy kembali, dalam rangka verifikasi hasil imaging/copy-bit stream adalah sama dengan yang dianalisis secara digital forensic oleh ahli. Ahli forensik digital pihak manapun tidak diperkenankan melakukan analisis langsung dari barang bukti master untuk mencegah kerusakan pada barang bukti. Setiap Ahli Digital Forensic (examiner/investigator) hanya dapat melakukan analisis dari hasil imaging/copy bit-stream yang telah dilakukan, dan secara prosedur para examiner/investigator sudah sama-sama memahami hal tersebut.