Pendekatan Model Ontologi Untuk Merepresentasikan Body of Knowledge Digital Chain of Custody Yudi Prayudi
Ahmad Luthfi
Ahmad Munasir Rafie Pratama
Pusat Studi Forensika Digital UII
Pusat Studi Forensika Digital UII
Teknik Informatika FTI UII
[email protected]
[email protected]
[email protected]
ABSTRAK Penanganan Chain of Custody untuk barang bukti digital lebih sulit dibandingkan penanganan barang bukti fisik pada umumnya. Sayangnya hingga saat ini belum tersedia sebuah tools yang secara komprehensif mengimplementasikan konsep digital chain of custody. Tools yang tersedia saat ini umumnya dibangun untuk membantu investigator menemukan bagianbagian spesifik dari bukti digital, namun tidak berorientasi pada konsep umum investigasi. Karena itulah ketersediaan tools yang berorientasi pada proses investigasi akan sangat membantu digital investigator/ forensics analyst dalam melakukan aktivitas investigasi kasus-kasus cyber crime. Pendekatan ontologi adalah salah satu model yang dapat diterapkan untuk kepentingan ini. Dalam hal ini ontologi digunakan untuk memahami karakteristik barang bukti digital. Selanjutnya output dari pendekatan ontologi ini dijadikan sebagai input bagi pengembangan model dan prototype sistem digital chain of custody. Penelitian ini adalah sebuah penelitian awal untuk menghasilkan tools untuk mendukung proses investigasi. Langkah yang dilakukan dalam penelitian ini adalah melakukan pengembangan model ontologi dari Cosic melalui pendekatan visual untuk mendapatkan gambaran lebih lengkap tentang body of knowledge dari digital chain of custody. Telah dihasilkan empat bagian model utama melalu pendekatan visual ontologi berbantuan tools OWLGrEd, yaitu tahapan digital chain of custody, framework ontologi manajemen bukti digital, metode semantic, dan chain of custody untuk model ontologi. Hasil yang didapat ini akan menjadi landasan body of knowledge yang diperlukan oleh investigator maupun analis untuk pengembangan sistem digital chain of custody.
Kata Kunci Digital Chain of Custody, Bukti Digital, Digital Forensics
1. PENDAHULUAN Kasus–kasus cybercrime merupakan sebuah tantangan besar yang dihadapi oleh para penegak hukum saat ini. Data dari Symantec yang dikutip oleh [1], menunjukkan bahwa pada tahun 2012 setiap detik rata-rata terdapat 18 orang yang menjadi korban cybercrime dengan total kerugian hingga mencapai angka US$ 197 per korban. Total kerugian tersebut meningkat pada tahun berikutnya hingga mencapai angka US$ 298 per korban. Data ini menunjukkan bahwa cybercrime adalah sebuah permasalahan serius dalam era digital. Solusi untuk pengungkapan kasus-kasus cybercrime adalah melalui aktivitas forensika digital, yaitu penggunaan ilmu dan metode untuk menemukan, mengumpulkan, mengamankan, menganalisis, menginterpretasi dan mempresentasikan barang bukti digital yang terkait dengan kasus yang terjadi untuk
36
kepentingan rekontruksi kejadian serta keabsahan proses peradilan [2]. Dalam hal ini menurut [3], elemen penting pada forensika adalah integritas dan kredibilitas barang bukti. Melalui barang bukti inilah investigator atau forensic analyst dapat mengungkapkan kasus dengan kronologis yang lengkap, melakukan proses penyidikan dan penuntutan hukum. Untuk itu, salah satu prosedur penting dalam penanganan barang bukti adalah apa yang disebut dengan Chain Of Custody, yaitu sebuah prosedur untuk secara kronologis melakukan pendokumentasian terhadap barang bukti. Namun demikian, menurut Garfinkel [4] secara umum terdapat dua fakta tentang tools forensika digital yang saat ini tersedia, yaitu : (a) tools yang tersedia saat ini umumnya dibangun untuk membantu investigator menemukan bagian-bagian specifik dari bukti digital, tidak berorientasi pada konsep umum investigasi. (b) tools yang tersedia saat ini dibangun untuk membantu investigasi berdasarkan laporan seseorang, namun tools belum diorientasikan untuk secara cerdas untuk membantu penyelesaian kasus kejahatan tertentu. Karena itu, tuntutan tools forensika digital kedepan adalah tools yang memiliki kemampuan untuk memfasilitasi proses investigasi bukan lagi sekedar tools untuk kepentingan ekplorasi. Penerapan konsep digital chain of custody adalah salah satu solusi mengatasi kebutuhan tools untuk mendukung proses investigasi. Untuk kasus barang bukti digital, tools dan aplikasi yang tersedia saat ini, selain tidak mendukung implementasi konsep chain of custody, juga tidak berorientasi pada proses investigasi secara keseluruhan. Untuk itulah sebagai upaya untuk mewujudkan ketersediaan tools tersebut maka perlu dilakukan suatu kajian mendalam yang akan memberikan landasan bagai pengembangan aplikasi digital chain of custody. Pendekatan ontologi adalah salah satu yang ditawarkan oleh sejumlah peneliti. Terdapat beberapa alternatif membangun model ontologi, Cosic [5] menerapkan pendekatan taxonomi topdown untuk membangun ontologi bukti digital. Namun mengingat kompleksitas sifat dan karakter bukti digital, maka model yang telah dibangun oleh Cosic tersebut masih perlu untuk dilengkapi. Salah satunya adalah perlunya memahami proses bisnis dari chain of custody, framework penanganan bukti digital serta garis besar analisis bukti digital. Bila hal ini dilakukan, maka pengembangan dari model tersebut akan memberikan pemahaman yang lebih baik tentang digital chain of custody sehingga akan membantu digital investigator maupun analis dan pengembang sistem untuk mendapatkan body of knowledge dari permasalahan digital chain of custody.
2. CHAIN OF CUSTODY Bidang forensika digital adalah bidang ilmu yang relatif baru dibandingkan dengan bidang lainnya dalam rumpun ilmu
Yudi Prayudi, Ahmad Luthfi, Ahmad Munasir Rafie Pratama
komputer / informatika. Beberapa penjelasan tentang forensika digital adalah:
Menurut [2], forensika digital adalah penggunaan ilmu dan metode untuk menemukan, mengumpulkan, mengamankan, menganalisis, menginterpretasi dan mempresentasikan barang bukti digital yang terkait dengan kasus yang terjadi untuk kepentingan rekontruksi kejadian serta keabsahan proses peradilan. Menurut [5], forensika digital adalah ilmu tentang proses collecting, preserving, examining, analyzing dan presenting data digital yang relevan untuk digunakan dalam pembuktian hukum.
Walaupun aktivitas forensika digital banyak dikaitkan dengan proses penegakan hukum, namun ternyata hanya sebagian kecil saja kasus-kasus cybercrime yang ditangani oleh penegak hukum. Sebagian besar justru ditangani oleh pihak swasta. Institusi perbankan, asuransi, perusahaan adalah institusi yang umumnya sering menjadi target dari aktivitas cybercrime, dan umumnya secara internal institusi tersebut telah memiliki unit tersendiri untuk penanganan kasus-kasus yang terindikasi mengarah pada cybercrime [6]. Salah satu faktor penting dalam proses investigasi adalah hal terkait dengan barang bukti. Dalam hal ini terdapat dua istilah yang hampir sama, yaitu barang bukti elektronik dan barang bukti digital. Barang bukti elektronik adalah bersifat fisik dan dapat dikenali secara visual (komputer, handphone, camera, CD, harddisk dll) sementara barang bukti digital adalah barang bukti yang diekstrak atau di-recover dari barang bukti elektronik (file, email, sms, image, video, log, text). Secara khusus terdapat beberapa definisi sederhana dari bukti digital, yaitu:
any information of probative value that is either stored or transmitted in digital form [7]. information stored or transmitted in binary form that may be relied upon in court [8].
Menurut Matthew Braid dalam [7], agar setiap barang bukti dapat digunakan dan mendukung proses hukum, maka harus memenuhi lima kriteria yaitu : admissible, authentic, complete, reliable dan believable. Sementara [9] menyebutkan dua aspek dasar untuk kriteria lain agar barang bukti dapat mendukung proses hukum, yaitu aspek hukum dengan kriteria: authentic, accurate, complete, serta aspek teknis dengan kriteria : chain of evidence, transparent, explainable, accurate. Berbeda dengan barang bukti fisik pada umumnya, barang bukti digital akan sangat bergantung dari proses interpretasi terhadap kontennya. Karena itu, integritas dari barang bukti serta kemampuan dari expert dalam menginterpretasikannya akan berpengaruh terhadap pemilahan dokumen-dokumen digital yang tersedia untuk dijadikan sebagai barang bukti [9]. Sementara itu dari aspek hukum, setiap negara memiliki ketentuan tersendiri terhadap jenis, karakter dan prosedur barang bukti digital agar bisa diterima untuk proses hukum / persidangan. Karenanya setiap digital investigator / forensics analyst harus memahami dengan baik peraturan hukum dan perundangan yang terkait dengan barang bukti digital serta proses hukum yang melibatkan barang bukti digital [10]. Untuk wilayah hukum Indonesia, barang bukti digital telah diatur dalam Undang-Undang No. 11 tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE). Aspek penting dalam penanganan barang bukti adalah apa yang disebut dengan chain of custody, yaitu kronologis pendokumentasian barang bukti. Dalam hal ini barang bukti
harus dijaga integritas tingkat keasliannya sesuai dengan kondisi ketika pertama kali ditemukan hingga kemudian nantinya dipresentasikan dalam proses persidangan. Menurut [11], Chain of custody adalah bagian penting dari proses investigasi yang akan menjaminkan suatu barang bukti dapat diterima dalam proses persidangan. Chain of custody akan mendokumentasikan hal terkait dengan where, when, why, who, how dari penggunaan barang bukti pada setiap tahap proses investigasi. Dalam hal ini Vacca yang dikutip oleh Prayudi [12] mendefinisikan Chain Of Custody sebagai “ A Road Map That Shows how evidence was collected, analyzed and preserved in order to presented as evidence in court”. Salah satu issue dalam chain of custody adalah masalah integritas data. Dalam hal ini menurut Vanstode dalam [11], digital integrity adalah sebuah properti dimana data digital tidak mengalami perubahan oleh pihak yang tidak memiliki wewenang otorisasi melakukan perubahan. Perubahan dan kontak kepada barang bukti digital hanya dilakukan oleh mereka yang memiliki otorisasi saja. Integritas barang bukti digital menjamin bahwa informasi yang dipresentasikan adalah lengkap dan tidak mengalami perubahan dari sejak pertama kali ditemukan sampai akhir digunakan dalam proses persidangan. Sementara itu berdasarkan karakteristik dari barang bukti digital, penanganan barang bukti harus mempertimbangkan pula tingkat volatilitas (order of volatility) dari barang bukti digital. Dalam hal ini Brezinski & Killalea dalam [13] menyebutkan tingkat volatilitas barang bukti digital dalam urutan sbb : register, memori, table pemroses, temporary file system, disk, remote logging dan monitoring data, konfigurasi fisik dan topologi jaringan, serta data arsip yang tersimpan. Perkembangan teknologi digital memungkinkan munculnya berbagai karakteristik baru dari bukti digital, karena itu order of volatility bukti digital sangat dimungkinkan untuk berubah atau bertambah. Sementara itu, menurut [14], saat ini masih sangat terbatas sekali penelitian yang membahas tentang chain of custody, dokumen yang selama ini ada yang dikeluarkan oleh sejumlah organisasi (seperti IOCE, SWGDE, DRWS) umumnya hanya memuat report / tulisan tentang aspek-aspek umum dari penanganan bukti digital namun tidak menjelaskan bagaimana implementasinya hingga menjadi sebuah aplikasi yang dapat digunakan oleh komunitas. Selain itu, perkembangan yang sangat pesat dari kasus-kasus cybercrime harus selalu diikuti dengan pemahaman yang baru tentang bukti digital serta penanganannya. Upaya untuk melakukan penelitian dan eksplorasi untuk mendapatkan konsep digital chain of custody yang reliable telah dilakukan oleh sejumlah peneliti. Dalam hal ini menurut [15] secara garis besar terdapat tiga dimensi dari aktivitas penelitian seputar digital chain of custody.
Penelitian dengan topik untuk meningkatan chain of custody. Setidaknya terdapat tiga penelitian dalam dimensi ini, pertama adalah dengan sub fokus pada pengembangan chain of custody yang reliable dan aman lewat konsep DEMC (Digital Evidence Management Framework), konsep ini dirancang sebagai framework untuk dapat menjawab pertanyaan who, what, why, when, where dan how [11]. Peneliti yang sama juga mengembangan konsep integritas chain of custody lewat adaptasi algoritma hashing. Pendekatan keamanan secara hardware menjadi fokus penelitian yang dikembangkan oleh perusahaan SYPRUS lewat produk PC Hydra. Produk ini adalah sebuah PC yang didesain menerapkan teknologi kriptografi yang akan menjamin tingkat
Jurnal Cybermatika | Vol. 2 No. 2 | Desember 2014 | Artikel 6
37
confidentiality, integrity dan non repudation dari bukti digital. Dimensi kedua adalah fokus pada upaya untuk representasi pengetahuan. Dalam hal ini Bogen dalam [15] menerapkan UML dan UMML untuk merepresentasikan pengetahuan pada proses planning, performing dan dokumentasi aktivitas forensika. Dimensi ketiga adalah yang memfokuskan pada format forensics. Terdapat banyak versi dari format data untuk kepentingan forensika digital. Beberapa format yang pernah diusulkan adalah sebagaimana yang dirangkum oleh CDEF yaitu : AFF, EWF, DEB, gfzip, Prodiscover dan SMART. [15].
Selanjutnya, terkait dengan penanganan chain of custody, menurut [15] setidaknya terdapat 4 issue utama, yaitu :
Fleksibilitas dan kemampuan dokumentasi chain of custody yang sejalan dengan bertambahnya volume data yang dihasilkan oleh berbagai alat dan tools baru. Interoperabilitas antara bukti digital dan dokumentasi chain of custody nya. Keamanan dokumentasi chain of custody mengingat barang bukti dapat berpindah dari satu tangan kepada tangan yang lain. Masalah kepeduliaan dan kepahaman hakim dalam menghadapi kasus yang melibatkan barang bukti digital sehingga dapat memutuskan perkara dengan cara yang benar. Salah satunya adalah bagaimana merepresentasikan informasi yang dapat dimengerti dengan baik oleh pihak hakim dan penegak hokum lainnya. Dalam hal ini chain of custody harus memberikan 2 aspek informasi, yaitu informasi yang langsung terkait dengan keterkaitan kasus (meliputi 5W dan 1 H), serta informasi yang terkait dengan sumber, orisinalitas dan proses untuk mendapatkan barang bukti tersebut. Gayed menyebutnya sebagai forensics information dan provenance information.
3. PENDEKATAN ONTOLOGI Mengingat bidang cybercrime, forensika digital, bukti digital dan chain of custody adalah merupakan bidang yang relatif baru, maka konstruksi dan persfektif keilmuannyapun masih berkembang. Karena itu sejumlah peneliti mengembangkan berbagai solusi terhadap permasalahan yang dihadapi dalam bidang tersebut melalui pendekatan ontologi. Dalam hal ini menurut Kota [16], Ontology secara sederhananya adalah “Specification of Conceptualization”. Ontologi umumnya digunakan pada berbagai domain pengetahuan untuk secara formal merepresentasikan knowledge dari domain tersebut. Menurut Jasper dalam [17] terdapat tiga penggunaan utama dari ontologi yaitu : (1) Untuk membantu berkomunikasi antar sesama manusia, (2) Untuk mendapatkan interoperabilitas diantara system perangkat lunak, (3) Untuk meningkatkan desain dan kualitas dari system aplikasi perangkat lunak. Sementara menurut [18], terdapat 5 alasan mengapa ontologi diperlukan, yaitu:
38
Sharing pengertian dasar dari struktur informasi pengetahuan tertentu terutama untuk kepentingan software agent. Untuk memberikan kemungkinan memanfaatkan pendekatan reusable dari domain pengetahuan. Untuk melihat secara eksplisit sejumlah asumsi dari sebuah domain pengetahuan. Untuk memberikan batasan pembeda antara domain knowledge dan operational knowledge.
Untuk melakukan analisis dari domain knowledge. Menurut [19], ontologi adalah merupakan core untuk semua sistem representasi pengetahuan. Pada level yang paling minimal ontology menyediakan konseptualisasi dan vocabulary yang berada dalam domain tertentu. Tanpa adanya konseptualisasi yang kuat maka basis knowledge yang dibangun akan sangat lemah sehingga akan sulit untuk membedakan antar konsep didalam domain tersebut. Ontologi akan memperjelas struktur pengetahuan dan konsep didalam domain. Penelitian tentang ontologi pada lingkup forensika digital telah dilakukan oleh sejumlah peneliti sebelumnya. Brinson [20] membangun sebuah model ontologi untuk mengenali lingkup forensika digital sehingga dapat memudahkan masyarakat untuk mengenali domain pengetahuan dari proses forensika digital secara umum. Sementara itu Cosic [5] mengembangkan model DCoDeOn sebagai model ontologi bukti digital. Model tersebut dikembangkan untuk membantu proses forensika digital melalui pemetaan barang bukti digital untuk kasus yang sedang dihadapi oleh seorang digital investigator. Pada sisi lain, Kota [16] menyebutkan bahwa penerapan ontologi dalam bidang forensika digital akan sangat dipengaruhi oleh case yang dihadapi. Untuk itulah Kota mencoba melakukan pendekatan ontologi untuk membangun model dinamis forensika digital pada kasus email forensics. Penelitian lain tentang ontologi pada bidang forensika digital antara lain dilakukan oleh Heum Park dalam bentuk ontologi untuk cyber criminal untuk kepentingan cyber investigation [21]. Ontologi yang di bangun oleh Park membedakan jenis cybercrime menjadi cyber terrosrism, general cybercrime, hacking, fraud dll khususnya pada area dimana cybercrime tersebut dapat didekati dengan jenis jenis bukti digital yang berhubungan dengan cybercrimenya. Sementara itu David Christopher dan Richard P. Mislan juga telah melakukan penelitian mengenai ontologi untuk Small Scale Digital Devices. Pada aspek sertifikasi dan kompetensi, Ashely Brinson telah mencoba membangun model ontologi untuk memperjelas kebutuhan spesialisasi, kompetensi dan pendidikan pada bidang forensika [5]. Penelitian lain dilakukan pula oleh Carver, dalam hal ini Carver memberikan beberapa gambaran dari model ontologi yang selama ini ada dan bagaimana perbaikannya untuk membangun model yang lebih komprehensif. Sementara itu Morton Swimmer juga mencoba untuk membangun model ontologi untuk domain malware analysis. [14]. Pada domain network, menurut [19], walaupun belum ada yang membahas secara khusus tentang network forensics ontologi, namun sejumlah pendekatan telah dilakukan melalui issue instrusion detection system (IDS) ontologi, salah satunya adalah sebagaimana yang diusulkan oleh Hung dan Liu, Abdoli and Kahani serta Isaza. Selanjutnya menurut Hoss dan Carver dalam [19], dalam bidang forensics untuk membangun model yang lebih lengkap setidaknya diperlukan kajian terhadap lima bidang ontologi yaitu: crime ontologi, forensic device ontologi, legal ontologi, digital device ontologi dan ontologi untuk forensics information integration.
4. MODEL ONTOLOGI CHAIN OF CUSTODY Cosic [5] memodelkan proses interaksi dalam chain of custody meliputi 5 pelaku, yaitu : first responders, forensics investigator, court expert whitness, law enforcement dan police officer. Sementara itu [3] juga memodelkan proses interaksi chain of custody meliputi 5 pelaku berbeda, yaitu : first
Yudi Prayudi, Ahmad Luthfi, Ahmad Munasir Rafie Pratama
responder, investigator, prosecutor, defense dan court. Menurut Giova (2011), model pelaku dalam interaksi proses chain of custody akan dipengaruhi oleh ketentuan hukum disetiap Negara. Namun apapun model yang dibangun harus dapat menjelaskan aktivitas, hubungan dan keterlibatan pelaku pada bukti digital. Sebuah aplikasi untuk chain of custody, setidaknya harus dapat memenuhi 5 ketentuan karakter chain of custody, yaitu fingerprint of evidences (what), procedures (how), digital signing (who), time stamping (when), dan geo location (where) [3]. Karena itu [5], telah mengembangkan model DCoDeOn memanfaatkan tools Protégé untuk membangun model ontologi bukti digital untuk chain of custody yang disusun dalam bentuk fungsi : CoDe = f { fingerprint _of _file, //what biometrics_characteristic,
atau prosedur dalam melakukan rangkaian kegiatan investigasi. Tools yang digunakan dalam membangun konsep Ontologi pada penelitian ini adalah Graphical Ontology Editor (OWLGrEd, http://owlgred.lumii.lv). Salah satu alasan strategis pemilihan tools ini adalah bahwa editor ini merupakan gabungan dari unsur visualisasi grafis dan notasi tekstual berdasarkan UML Class Diagram. Dengan demikian, penggunaan OWLGrEd sebagai tools untuk perancangan model Ontology (OWL) dapat melengkapi model ontology yang sudah ada. Selain itu OWLGrEd juga umumnya dipilih sebagai tools untuk ontologi karena memiliki kemampuan untuk :
//who time_stamp, gps_location, reason,
//when //where
//why set_of_procedures};
//how Selanjutnya Giova [3] mengembangkan model yang diusulkan oleh Cosic dengan pendekatan diagram blok UML dan implementasi menggunakan AFF4 dan RDF. AFF4 adalah pengembangan dari AFF (Advanced Forensics Format) sebagai sebuah format file untuk menyimpan bukti digital. Sementara RDF (The Resource Description Framework) adalah standar bahasa XML yang dikembangkan oleh World Wide Web Consortium (W3C). Menurut Giova [3], AFF4 dan RDF dapat dijadikan sebagai alternatif untuk mengimplementasikan konsep Chain of Custody yang reliable. Model ontologi yang dikemukakan oleh Cosic [5] dapat dikembangkan lebih lanjut pada beberapa aspek. Antara lain adalah dengan melakukan sejumlah perluasan terhadap 5 hal yang menjadi dasar dari pembangunan ontologi oleh Cosic (2011), yaitu : Characteristics, Dynamics, Factors, Institutions dan Integrity. Sejumlah penelitian yang pernah dilakukan tentang ontologi pada forensika digital dapat dijadikan sebagai masukan untuk melakukan perluasan model ontologi yang dikembangkan oleh Cosic [5] Perluasan model ontologi yang dihasilkan tentunya akan memberikan gambaran lebih komprehensif tentang penanganan bukti digital. Pengembangan dapat dilakukan pula melalui pendekatan yang lebih komprehensif agar body of knowledge dari digital chain of custody dapat direpresentasikan lebih baik. Berdasarkan teori dan kontekstual pengetahuan yang telah dijelaskan sebelumnya, dalam penelitian ini konsep Ontologi dibangun untuk memberikan:
Pemahaman dari struktur informasi utamanya pada tahapan Digital Chain of Custody dengan menempatkan Ontologi sebagai basis pengetahuan, Memberikan peluang pemanfaatan pendekatan penggunaan kembali (reusable) pada tahapan dokumentasi (documentation) sebagai Core Digital Evidence Investigatigation Procedures, Memastikan beberapa asumsi secara eksplisit terhadap domain-domain pengetahuan pada Digital Chain of Custody, Memberikan pembatasan untuk membedakan antara domain knowledge Digital Chain of Custody dan fase-fase
Merancang OWL Class dan Object dengan memanfaatkan paket (packages) UML yang sudah disiapkan untuk mempermudah dalam hal memberikan nilai asosiasi dan penentuan attribute pada masing-masing domain pengetahuan, Memberikan nilai axiom terhadap class maupun sub-class yang ada pada masing-masing domain pengetahuan, sehingga dapat dimodelkan sebuah frasa atau kalimat (sentences) yang selalu bernilai benar, Memiliki kardinalitas (cardinality) pada rancangan OWL menjadi lebih jelas karena fungsi kardinalitas adalah memberikan kedudukan yang jelas pada setiap layernya,
Beberapa hal yang menjadi pembeda model ontologi yang dibuat pada penelitian ini dibandingkan dengan model ontologi yang pernah dibuat sebelumnya pada ruang lingkup studi kasus yang sama adalah bahwa penelitian ini lebih fokus pada implementasi model ontology bukti digital dengan memperhatikan sejumlah alternative pendekatan sistem sehingga akan diperoleh model OWL pada Digital Chain of Custody yang lengkap dan reliable. Beberapa indikator pendukung bahwa penelitian ini memiliki perbedaan dari penelitian-penelitian sejenis adalah:
Penelitian ini memiliki rancangan tahapan digital chain of custody yang lengkap karena tidak hanya menyampaikan aspek premilinary, core process, dan presentation saja namun juga bagaimana aspek dokumentasi, storage dan transport sebagai bagian vital untuk memastikan bahwa rangkaian proses investigasi dapat terjamin kehandalannya, Penelitian ini menghasilkan model Semantic Digital Chain of Custody yang mempresentasikan struktur tahapan investigasi dari beberapa sumber yang bukti digital yang berbeda. Dengan model ini, maka dapat dipastikan bahwa praktek akusisi bukti digital memiliki nilai integritas dan keaslian data yang baik. Penelitian ini juga menghasilkan Framework Ontologi Manajemen Bukti Digital yang berfungsi sebagai model relationalship antar masing-masing komponen atau entitas yang terlibat dalam tahapan Core Digital Evidence Investigation Procedure harus mengedepankan aspek dokumentasi sebagai aktivitas aktivitas untuk menjamin kapasitas dan kapabilitas barang bukti digital.
Model ontologi DCoDeOn yang dikembangkan oleh Cosic [5] dijadikan sebagai referensi untuk mengembangkan ontologi pada digital chain of custody. Pada model tersebut diberikan gambaran tentang bagaimana menerapkan fungsi 4W dan 1 H. Untuk lebih memahami tentang penerapan fungsi tersebut maka diperlukan sejumlah informasi tambahan tentang bagaimana model bisnis yang mendasari penerapan konsep 4W
Jurnal Cybermatika | Vol. 2 No. 2 | Desember 2014 | Artikel 6
39
dan 1 H tersebut. Hal ini penting sebagai acuan dari terbangunnya body of knowledge dari digital chain of custody. Model yang dikemukakan oleh Cosic [5] tidak secara utuh memberikan gambaran tentang proses penanganan bukti digital sebagai landasan bagi terbangunnya sebuah chain of custody. Karena itu dalam penelitian ini langkah pengembangan yang akan dilakukan adalah sebagai pada ilustrasi Gambar 1 berikut ini.
Gambar 1 Metodologi Pengembangan Ontologi
5. HASIL DAN ANALISIS Langkah pertama yang dilakukan untuk mengembangkan model ontologi chain of custody adalah membangun terlebih dahulu model bisnis dari aktivitas penanganan chain of custody itu sendiri. Hasilnya dapat dilihat pada Gambar 2. Berdasarkan ilustrasi pada Gambar 2, maka pada Digital Chain of Custody secara umum terdapat 3 tahapan utama yaitu Composition/Arrangement, Core Digital Evidence Investigation Procedure, dan Presentation. Khusus pada tahapan kedua, yaitu Investigasi Bukti Digital memiliki 5 urutan kegiatan atau prosedur yaitu (1, 2) Identification dan Collection, pada tahapan ini investigator harus mencari temuan yang menarik pada sejumlah barang bukti digital. Fase ini sangat rentan dan kompleks karena jika terdapat kesalahan prosedural dalam penanganan barang bukti digital maka akan berdampak pada kualitas Chain of Custody itu sendiri, (3) Storing, tahapan ini adalah setelah bukti digital berhasil diidentifikasi dan diakusisi lalu disimpan pada sebuah media penyimpan (storage), (4,5) Examination & Analysis, adalah tahapan akhir pada rangkaian proses Core Digital Evidence Investigation Procedure.
Pada masing-masing tahapan tersebut dalam pelaksanaannya terdapat permasalahan yang sama yaitu bagaimana menjaga dan menjamin Data Integrity. Hal ini menjadi sangat penting mengingat salah satu karakteristik dari barang bukti digital adalah order of volatility, yang memungkinkan data dapat mengalami perubahan. Dalam hal ini Brezinski & Killalea dalam [13] menyebutkan bahwa order of volatility barang bukti digital berada dalam urutan sbb : register, memori, tabel pemroses, temporary file system, disk, remote logging dan monitoring data, konfigurasi fisik dan topologi jaringan, serta data arsip yang tersimpan. Perkembangan teknologi digital memungkinkan munculnya berbagai karakteristik baru dari bukti digital, karena itu order of volatility bukti digital sangat dimungkinkan untuk berubah atau bertambah. Pada setiap tahapan digital chain of custody harus dipertimbangkan bagaimana proses penanganan dan pencatatan data berdasar karakteristik dari order of volatility tersebut.
Untuk itu dalam penelitian ini dibuat sebuah skema atau prosedur dimana pada setiap masing-masing tahapan, ketika di dapatkan barang bukti digital maka bukti digital (evidence) tersebut harus dapat di dokumentasikan dengan baik dan benar melalui sistem penyimpanan (storage) dan pengiriman (transport) paket bukti digital.
Langkah berikutnya yang dilakukan adalah menterjemahkan model bisnis yang telah dibangun menjadi sebuah framework manajemen bukti digital. Dalam hal ini Gambar 3 menunjukkan sebuah hasil dari model pendekatan Ontologi Framework Manajemen Bukti Digital yang dipresentasikan melalui relationalship antar masing-masing komponen atau entitas tahapan Core Digital Evidence Investigation Procedure. Berdasarkan framework tersebut, terlihat bahwa dokumentasi (documentation) harus disertakan pada setiap aktivitas untuk menjamin kapasitas dan kapabilitas barang bukti digital.
Gambar 3 Framework Ontologi Manajemen Bukti Digital Langkah berikutnya adalah membangun ontologi untuk memperjelas bagaimana proses analisa bukti digitalnya itu sendiri melalui pendekatan semantik. Hasil yang didapat adalah sebagaimana terlihat pada Gambar 4.
Gambar 2 Model Bisnis Digital Chain Of Custody
40
Yudi Prayudi, Ahmad Luthfi, Ahmad Munasir Rafie Pratama
Gambar 4 Metode Semantik – Ontologi Digital Evidence Pada Gambar 4, terlihat representasi beberapa panduan dan proses dalam tahapan Digital Evidence menggunakan pendekatan ontologi. Struktur tahapan yang dilakukan dibangun agar dapat mengintegrasikan bukti digital dan beberapa sumber analis yang berbeda. Pada tahapan ini, langkah pertama adalah pengumpulan data yang mengacu pada setiap teknik akuisisi forensik saat ini dan masa depan, seperti pencitraan disk, jaringan arsip menangkap paket, file log dan lain-lain. Tujuan dari langkah ini adalah untuk menghasilkan masukan bukti digital yang diperlukan untuk diproses pada tahapan berikutnya. Pada langkah ini, diasumsikan bahwa praktek akuisisi dilakukan secara tepat untuk memastikan integritas dan keaslian data yang akan dianalis. Termasuk dalam tahap ini adalah Preprocessing umum dan reduksi data, keduanya adalah teknik untuk mengurangi kompleksitas komputasi pada tahapan berikutnya. Contohnya adalah penggunaan set hash untuk menyaring file dalam disk image milik Sistem Operasi atau aplikasi terkenal. Selanjutnya adalah mengubah bukti digital yang dihasilkan yang umumnya dinyatakan dalam format data yang heterogenic, menjadi representasi semantik. Dalam hal ini Ontologi digunakan untuk model domain yang menarik dan menentukan konsep umum analisis bukti digital, baik dari sifat dan keterkaitan satu entitas dengan entitas lainnya. Setelah membangun model bisnis, framework penanganan bukti digital serta model semantic untuk analisis bukti digital maka berikutnya adalah bagaimana menerapkan ontology untuk model pencatatan bukti digital tersebut, atau chain of custody. Merujuk pada model Cosic [5], maka dibangun model ontology untuk menjelaskan 5 karakteristik (4W dan 1 H) Chain of Custody, yaitu fingerprint of evidences (why), procedures (how), digital signing (who), time stamping (when), dan geo location (where) . Gambar 5 menunjukkan model ontologi yang dihasilkan untuk menjelaskan penerapan dari 4W dan 1 H tersebut.
Gambar 5 Chain of Custody – Ontologi Digital Evidence Sementara itu Table 1 adalah penjelasan lebih lanjut dari ontologi tersebut. Tabel 1 Karaktestik Chain of Custody Karakteritik Chain of Custody Why
How
Who
When
Where
Prosedur dan Tahapan Investigasi Karakteristik ini berfungsi untuk mendapatkan informasi tentang motivasi atau latar belakang dari sebuah kejadian. Dengan adanya analisis ini, maka barang bukti digital dapat memiliki tingkat kepercayaan yang tinggi. Adapun tingkat kepercayaan juga sangat dipengaruhi oleh Assumption dan Hypothesis. Karakteristik ini adalah tahapan analisis yang paling dalam pada sebuah kasus dimana aspekaspek mulai dari perencanaan, metode yang digunakan, artefak, sampai pada sumberdayasumberdaya yang terlibat pada sebuah kasus. Pada karakteristik ini, dilakukan penggalian informasi tentang siapa saja yang terlibat dalam sebuah kasus baik secara individu maupun organisasi,. Untuk itu, Chain of Custody telah membagi secara spesifik untuk mendukung ketercapaian karakter ini adalah Individual, Organization, dan Artificial Agent. Atribut ini menjelaskan bahwa pada sebuah kasus yang melibatkan barang bukti digital, tidak terlepas juga dari tingkat ketepatan dan kebenaran dari konfigurasi waktu (time). Dalam beberapa kasus ditemukan bahwa atribut ini juga sangat mempengaruhi tingkat ketepatan melakukan analisis. Ketiga aspek penting tersebut adalah (1) Instan, yaitu ketepatan dalam format zona dari bukti digital tersebut yang meliputi Day, Business Day, dan Time Interval. Pada karakteristik ini, Location sebagai tempat kejadian ditemukannya barang bukti digital memiliki 2 kondisi utama yaitu Position dan Time. Position, sebagai aspek kritis dalam melakukan investigasi sebuah barang bukti juga sangat membutuhkan 3 kondisi yang menjadi data penting untuk memastikan bahwa karakateristik Location memiliki data yang tepat, akurat, yaitu (1) Point sebagai lokasi dimana ditemukan barang bukti, (2) Line, sebagai petunjuk spesifik atas keterlibatan entitas-entitas dalam sebuah kasus, dan (3) Region, yaitu memastikan wilayah cakupan (Covered Area) ditemukannya barang bukti.
Jurnal Cybermatika | Vol. 2 No. 2 | Desember 2014 | Artikel 6
41
Pada Tabel 1, merupakan deskripsi lengkap dari masingmasing karakateristik pada Digital Chain of Custody seperti yang terlihat pada Gambar 5. Selain itu, tabel ini juga menjabarkan bagaimana korelasi dan kardinalitas untuk masing-masing karakteristik atau entitas untuk membangun sebuah basis pengetahuan dalam suatu rangkaian prosedur dan tahapan investigasi digital. Dengan demikian pada prinsipnya pada penelitian ini telah dikembangkan sebuah pendekatan ontologi lain melalui penggunaan ontologi yang sudah ada sebelumnya. Dalam hal ini model DeCODeOn yang dibangun oleh Cosic telah diperjelas, diperhalus dan diperluas melalui pendekatan visual editor dari OWLGrEd. Output dari penelitian ini selanjutnya dapat dijadikan sebagai referensi awal bagi seorang analis sistem untuk membangun sistem digital chain of custody. Hal ini penting mengingat aktivitas dan kajian tentang digital chain of custody masih sangat terbatas sehingga tentunya akan menyulitkan bagi analis sistem untuk merancang sistem yang baik sesuai dengan kebutuhan di lapangan.
6. KESIMPULAN DAN SARAN Penelitian ini adalah sebuah upaya untuk menghasilkan body of knowledge yang akan membantu untuk memahami karakteristik digital chain of custody. Pemahaman ini sangatlah diperlukan untuk membangun konsep sistem digital chain of custody kedepannya. Selain itu body of knowledge yang telah dihasilkan melalui pendekatan ontologi ini bermanfaat pula bagi forensics investigator dalam menjalankan aktivitasnya. Hal ini akan menjadi bagian dari upaya untuk penguatan skill dan knowledge investigator dalam menjalan aktivitas investigasi digital. Pengembangan model ontologi yang dihasilkan dalam penelitian ini pada prinsipnya memberikan gambaran lebih utuh sebuah body of knowledge dari digital chain of custody. Pendekatan yang dilakukan adalah melalui pengembangan model bisnis chain of custody, framework penanganan bukti digital, analis bukti digital kemudian digital konsep chain of custody. Selanjutnya model ontologi yang tekah dihasilkan dari penelitian ini dapat dimanfaatkan sebagai landasan bagi pengembangan sistem digital chain of custody. Karena itu penelitian selanjutnya yang dapat dilakukan adalah melanjutkan pengembangan model ontologi hingga didapat model XML Schema serta menerapkan lebih lanjut tentang konsep pencatatan metadata sebagai implementasi lebih lanjut dari digital chain of custody.
[3]
G. Giova, “Improving Chain of Custody in Forensic Investigation of Electronic Digital Systems,” Int. J. Comput. Sci. Netw. Secur., vol. 11, no. 1, pp. 1–9, 2011.
[4]
S. L. Garfinkel, “Digital forensics research: The next 10 years,” Digit. Investig., vol. 7, pp. S64–S73, Aug. 2010.
[5]
J. Cosic, G. Cosic, and M. Baca, “An Ontological Approach to Study and Manage Digital Chain of Custody of Digital Evidence,” JIOS J. Inf. Organ. Sci., vol. 35, no. 1, 2011.
[6]
C. Easttom and J. Taylor, Computer Crime, Investigation, and the Law. Boston, Massachusetts USA: Course Technology, 2011.
[7]
J. Richter and N. Kuntze, “Securing Digital Evidence,” in Fifth International Workshop on Systematic Approaches to Digital Forensic Engeneering, 2010, pp. 119–130.
[8]
P. Turner, “Unification of Digital Evidence from Disparate Sources,” 2005.
[9]
B. Schatz, “Digital Evidence: Representation and Assurance,” Queensland University of Technology, Australia, 2007.
[10]
R. Boddington, V. Hobbs, and G. Mann, “Validating Digital Evidence for Legal Argument,” in Australian Digital Forensics Conference, 2008.
[11]
J. Cosic and M. Baca, “( Im ) Proving Chain of Custody and Digital Evidence Integrity with Time Stamp,” in MIPRO,Proceedings of the 33rd International Convention International Conference, 2010, no. Im, pp. 1226 – 1230.
[12]
Y. Prayudi, “Problema dan Solusi Digital Chain Of Custody dalam Proses Investigasi Cybercrime,” 2014.
[13]
S. Dossis, “Semantically-enabled Digital Investigations,” Master, Department of Computer and Systems Sciences, Stockholm University, Swedia, 2012.
[14]
J. Cosic and Z. Cosic, “The Necessity of Developing a Digital Evidence Ontology,” 2012.
[15]
T. F. Gayed, H. Lounis, and M. Bari, “Computer Forensics: Toward the Construction of Electronic Chain of Custody on the Semantic Web,” in The 24th International Conference on Software Engineering & Knowledge Engineering, 2012, pp. 406–411.
[16]
V. K. Kota, “An Ontological Approach for Digital Evidence Search,” Int. J. Sci. Res. Publ., vol. 2, no. 12, Dec. 2012.
[17]
J. Cardoso, Semantic Web Services: Theory, Tools, and Applications. Hershey • New York: Information Science Reference, 2007.
[18]
N. F. Noy and D. L. McGuinness, “Ontology Development 101 : A Guide To Creating Your First Ontology.” Standford University, 2009.
[19]
S. Saad and I. Traore, “Method Ontology for Intelligent Network Forensics Analysis,” 2010.
[20]
A. Brinson, A. Robinson, and M. Rogers, “A Cyber Forensics Ontology: Creating a New Approach to Studying Cyber Forensics,” 2006.
7. UCAPAN TERIMA KASIH Penulisan Paper dan Riset ini adalah bagian dari pengerjaan penelitian hibah bersaing tahun anggaran 2014 yang dibiayai oleh DP2M DIKTI
8. REFERENSI [1]
[2]
42
Y. Prayudi, “Problema dan Solusi Digital Chain Of Custody,” in Seminar Nasional Aplikasi Teknologi Informasi (Senasti), 2014, no. 2011, pp. 197–204. A. Agarwal, M. Gupta, and S. Gupta, “Systematic Digital Forensic Investigation Model,” Int. J. Comput. Sci. Secur., vol. 5, no. 1, pp. 118–134, 2011.
Yudi Prayudi, Ahmad Luthfi, Ahmad Munasir Rafie Pratama
[21]
J. Park, “Acquiring Digital Evidence from Botnet Attacks : Procedures and Methods,” 2011.
[22]
J. Ćosić, Z. Ćosić, and M. Bača, “An ontological approach to study and manage digital chain of custody
of digital evidence,” J. Inf. Organ. Sci., vol. 35, no. 1, pp. 1–13, 2011.
Jurnal Cybermatika | Vol. 2 No. 2 | Desember 2014 | Artikel 6
43
