PROSEDUR PENANGANAN BUKTI DIGITAL Disusun untuk memenuhi tugas ke II, MK. Digital Evidence (Dosen Pengampu : Yudi Prayudi, S.Si, M.Kom)
Fathirma’ruf 13917213
PROGRAM PASCASARJANA TEKNIK INFORMATIKA FAKULTAS TEKNIK INDUSTRI UNIVERSITAS ISLAM INDONESIA YOGYAKARTA 2014
MATERI PENANGANAN BUKTI DIGITAL Pendahuluan Perkembangan cyber crime di indonesia
Bentuk kejahatan cyber yang pernah terjadi aantara lain yaitu : carding, cyber fraud, web deface thd situs kpu, software piracy, phising (tindakan untuk memperoleh informasi pribadi seperti user
id, pin, dll), penyebaran virus, cyber prostitution, cyber gambling, cyber terrorism, dan penghinaan. Cybercrime juga termasuk didalamnya white colar crime dimana kejahatan tsb dlm kegiatannya menggunakan sarana IT, white colar crime sendiri dapat dikategorikan menjadi 4 kategori yaitu : o Organizational occupational crime (kejahatan korporasi) dilakukan oleh para pelaku yang bisa saja para eksekutif yangg dalam hal ini melaksanakan kegiatan illegal yang dapat merugikan orang lain demi keuntungan korporasi. o Government occupational crime à pelakunya adalah o
o
pejabat/birokrat. Profesional occupational crime à adalahl mereka yang melakukan kesalahan profesional dengan disengaja. Contoh para penilai (adjuster, akuntan), mal praktek dll. Individual occupational crime à prilaku menyimpang yang dilakukan oleh pemilik modal pengusaha atau orang-orang yang independent
Contoh kasus Cyber crime di indonesia Pencurian dan penggunaan account internet orang lain. Membajak situs web.
Probing dan port scanning. Denial of service (dos) dan distributed dos (ddos) attack. Kejahatan yang berhubungan dg nama domain. Sendmail worm System security
PROSEDUR PENANGANAN (Klasifikasi Barang bukti) Barang bukti elektronik - fisik
Komputer pc, laptop, netbook, tablet Handphone, smartphone Flashdisk/thumb drive Floppydisk Harddisk Cd/dvd Router, switch, hub Kamera video, cctv Kamera digital Digital recorder Music/video player, dan lain-lain
Barang bukti digital (informasi / dokumen elektronik)
Logical file Deleted file Lost file File slack Log file Encrypted file Steganography file Office file Audio file Video file Image file Email User id dan password Sms (short message service) Mms (multimedia message service) Call logs : incoming, outgoing & missed
Persiapan 1. Administrasi penyidikan : surat perintah penggeledahan & penyitaan. 2. Kamera digital, untuk memotret tkp & barang bukti (bb) scr fotografi forensik yaitu foto umum, menengah & close up. 3. Peralatan tulis, untuk mencatat spesifikasi teknis komputer & keterangan para saksi. 4. Nomor, skala ukur & label lembaga serta sticker label kosong, untuk menandai setiap barang bukti elektronik yg ditemukan di tkp (tempat kejadian perkara). 5. Formulir penerimaan barang bukti, uuntuk kepentingan chain of custody, yaitu metodologi untuk jaga keutuhan bb dimulai dari tkp (tempat kejadian perkara). 6. Triage tools, untuk kegiatan triage forensik terhadap barang bukti komputer yang ditemukan dlm keadaan hidup (on). Prosedur ketika komputer dalam keadaan off (mati) 1. Pastikan
komputer
tsb
dlm
keadaan
mati,
dg
cara
geser mouse sedikit / lihat lampu indikator power. 2. Catat spesifikasi teknis dari bb komputer : merk, model & serial number (s/n) atau product number (p/n). 3. Lakukan fotografi forensik thd bb komputer tsb, dilengkapi nomor, skala ukur & label. Fotografi forensik ini cakup foto umum (tkp scr keseluruhan), menengah (bb elektronik dg benda di sekitarnya) & close up (foto khusus barang bukti). Foto diusahakan diambil dari 4 arah yg berbeda. Untuk foto close up, lakukan fotografi thd name plate yang biasanya berada di sisi bawah / belakang. 4. Catat keterangan saksi terkait bb komputer tsb. 5. Bungkus bb komputer, kemudian beri catatan di sisi luarnya untuk menandakan jenis komputer yg ada dlm bungkusan tsb. Untuk hal sifatnya mendesak, bb komputer dpt tidak dibungkus, namun tetap diberi catatan di sisi casing luarnya dg gunakan sticker label kosong.
6. Isi formulir penerimaan bb. Tulis dg jelas tanggal & tempat tkp serta spesifikasi teknis setiap bb elektronik & ditandatangani investigator & forensic analyst. 7. Bawa bb komputer tsb berikut catatannya & fotonya ke laboratorium u/ pemeriksaan & analisa lebih lanjut. 8. Catatan penting : jangan pernah hidupkan kembali bb komputer yg ditemukan dlm keadaan sudah mati (off) ! Krn sama saja investigator/analyst lakukan kontaminasi. Ketika komputer dalam keadaan on (hidup) 1. Catat apa yg sedang running & tertampil di layar monitor dari bb komputer. 2. Catat spesifikasi teknis dari bb komputer & tanggal/waktu dari komputer (biasanya di pojok kanan bawah, bandingkan dg tanggal/waktu lokal sebenarnya. 3. Lakukan fotografi forensik, tambahkan u/ lakukan fotografi tanggal/waktu dari komputer tsb disandingkan dg waktu lokal yang sebenarnya. Ini erat kaitannya dengan time stamps suatu file berupa created date (tanggal pertama kali file dibuat & tercatat di file system yg sedang berjalan), modified date (tanggal terakhir kali file dimodifikasi & tercatat, bisa di file system sebelumnya atau yg sedang berjalan), dan accessed date (tanggal terakhir kali file diakses & tercatat di file system yang sedang berjalan). 4. Catat keterangan saksi-saksi terkait bb komputer tsb. 5. Lakukan triage forensik sesuai triage tools. 6. Salah satu tahapan triage yg sangat penting adalah ram imaging, yaitu suatu proses forensic imaging (penggandaan secara physical bit per bit) thd ram (random access memory) dari bb komputer yg dlm keadaan on. Ram ini menyimpan banyak informasi dari semua proses dan aplikasi yg sedang running (berjalan) sejak komputer dihidupkan. Selain ram imaging, data yg masih tersimpan di komputer yg dpt diperoleh scr cepat, misalnya :
o o o o o o o o o
Encripted File Informasi sistem File history Internet browser history On/off history Contents searching Ram mapping. Usb history Password dumping
7. setelah proses triage forensik selesai, bb komputer harus dimatikan secara kasar, artinya tidak lewat prosedur shut down, namun dimatikan dg cara memutus aliran listriknya secara langsung untuk jaga keutuhan dari page file (yaitu space/ruang harddisk yang digunakan sbg memory sementara ketika komputer dlm keadaan hidup yg mana page file ini menyimpan proses / aplikasi yg sedang running). 8. Untuk komputer sebagai server gunakan prosedur shutdown secara normal guna jaga keutuhan database server dari kemungkinan rusak jika dimatikan secara kasar. 9. membungkus bb komputer, beri catatan di sisi luarnya untuk menandakan jenis komputer, kecuali dalam hal mendesak, dpt tidak dibungkus, namun tetap diberi catatan di sisi casing luarnya dg sticker label kosong. 10. mengisi formulir penerimaan bb dg tulis tanggal & tempat tkp serta spesifikasi teknis setiap bb ditandatangani oleh investigator & forensic analyst. 11. membawa bb komputer catatan & fotonya ke laboratorium untuk pemeriksaan & analisa lebih lanjut.
DAFTAR PUSTAKA Materi perkuliahan Bapak AKBP Bhakti Andriono dalam matakuliah Manajemen Investigasi tindak criminal program pascasarjana Universitas Islam Indonesia
