COMPUTER FORENSICS

Computer forensics adalah penerapan teknik-teknik analitis dan

investigtif untuk mengidentifikasi, mengumpulkan, memeriksa, dan
melidungi (preserve) bukti atau informasi digital.
Proses hukum yang mengisyaratkan adanya tindak pidana,
sengketa perdata, dan hukum administrative meskipun lingkup yang
popular adalah tindak pidana yang dikenal sebagai cyber crime,
diantaranya:
1. Penyalahgunaan dan penipuan melalui internet
2. Pemerasan
3. Pengungkapan rahasia perusahaan
4. Kegiatan mata-mata industry (industrial espionage)
5. Penyimpanan informasi berkenaan dengan perencanaan dan
pelaksanaan kejahatan
Ada tiga langkah utama dalam computer forensic, yaitu:
1. Imaging
Secara sederhana, suatu alat dihubungkan ke salah satu
communication port (biasanya parallel port atau scsi port) dan
alat ini akan merekam seluruh data yang ada pada electronic
stroge media (seperti hard disk) dalam computer secara lengkap,
tidak kurang tidak lebih. Hard disk terkadang dilepas dari rumah
computer (computer housing). Dikopi secara lengkap, byte-byte
copy atau mengopi byte demi byte, tanpa ada yang ditambah
atau dikurangi. Hal ini penting di pengadilan dan ketika computer
forensic specialist melakukan langkah-langkah selanjutnya.
2. Processing
Sesudah mendapat bayangan cermin dari data aslinya, citra
atau image ini harus diolah untuk memulihkan file yang
terlanjur

dihapus

(deleted)

atau

yang

ditulisi

kembali

(overwritten) dengan current file. Dengan memulihkan image

hasil kopian, files dan folders akan tampil seperti pada media
penyimpanan data yang asli.

Penyebab computer umumnya tidak menghapus file ketika kita

memberi perintah delete, yaitu di bagian awal suatu hard disk,
terdapat index dari lokasi semua file pada disk tersebut. Index
ini, juga dikenal sebagai file allocation table. Ketika kita
memanggil suatu file, petunjuk atau identifier yang ada bagian
atas file akan diakses sesuai dengan tempatnya dalam index.
Ketika kita memberi perintah delete, yang sesungguhnya terjadi
adalah entry pada index dihapus sehingga computer tidak lagi
dapat mengakses file tersebut. Juga computer mengerti bahwa
ruang atau space yang tadi teisi dengan file yang kita delete,
sekarang boleh diisi dengan file baru, atau dalam bahasa inggris:
is now available to be overwritten.
Ada

program

yang

benar-benar

men-delete

dan

langsung

overwritte suatu file baru di lokasi tempat file lama berada. Dari
sudut security, cara yang paling aman menghancurkan data
sensitive pada hard disk adalah menghancurkan hard-disk secara
fisik.
3. Analyzing
Pada langkah ketiga ini memerlukan keahliannya, kreativitasnya,
dan penerapan gagasan orisinal. Ketika memeriksa current file,
yang sering menjadi perhatian adalah nama file, seperti dewa
perang untuk penyelundupan senjata, warna-warni untuk uang
suap kepada pimpinan partai, bahkan istilah yang menunjukan
jabatan seorang pejabat sipil atau militer dalam kasus korupsi.
Semua file dalam langkah ketiga (analyzing) ini diupanyakan
membangun fraud theorynya.
Seperti penyidik pada umumnya, ahli computer forensics mencari
bukti kejahatan. Perlindungan terhadap bukti dan barang bukti
sangat penting. Computer forensics specialist akan bekerja dengan
kehati-hatian professional untuk memastikan:

1|Page

1. Tidak ada kemungkinan bukti menjadi rusak, dihancurkan, atau

tidak

lagi

murni

(compromised)

karena

prosedur

yang

diguanakn dalam investigasi.

2. Tidak

ada

kemungkinan

masuknya

(atau

dimasukannya)

computer virus sejak kedatangan penyidik.

3. Semua bukti yang diperoleh ditangani sedemikian rupa sehingga
terlindug dari kerusakan mekanis dan kerusakan electromagnetic
4. Ada mata rantai penyimpanan, pengawasan, dan dokumentasi
yang berkesinambungan atas bukti dan barang bukti.
5. Kalau tidak dapat dihindari, terhentinya kegiatan usaha ditekan
serendah mungkin.
6. Semua informasi rahasia yang dilindungi oleh undang-undang
(seperti clientattorney information

di

Amerika

Serikat dan

informasi yang diperoleh seorang pastor Katolik dari pengakuan

dosa umatnya, menurut (KUHAP) tidak boleh disadap. Kalau hal
itu terjadi tidak sengaja, maka penanganan informasi itu harus
dilakukan secara hukum dan memperhatikan segi etika.
Secara lebih spesifik, computer forensic specialist menentukan bukti
yang mungkin terkandung dalam system computer dan berupaya
untuk mendapatkannya (retrieve) dengan:
1. Melindungi seluruh system computer yang menjadi subyek
pemeriksaan forensiknya dari segala perubahan, perusakan,
kerusakan, korupsi data atau kemasukan dan pemasukan virus.
2. Menemukan semua files yang terdiri atas files yang terlihat di
monitor, files yang sudah di-delete tetapi masih ada, files yang
tersembunyi

(hidden

files),

files

yang

dilindungi

dengan

password, dan file yang dilindungi dengan sandi (encrypted files)

3. Memulihkan sedapat mungkin, semua files yang ditemukan
4. Mengungkapkan isi dari files yang tersembunyi dan temporary
files (file sementara) swap files (file yang dipertukarkan) yang
diguanakan oleh program aplikasi dan operating system.

2|Page

5. Mengakses, kalau bisa dan kalau tidak melawan hukum; files

yang dilindugi dengan password, dan file yang dilindungi dengan
sandi (encrypted files)
6. Menganalisis

semua

data

relevan yang

mungkin ada.

Ini

lazimnya ditemukan pada area khusus di disk yang tidak dapat

diakses dengan cara biasa. Area ini meliputi, tetapi tidak terbatas
kepada

unallocated

space

pada

disk

(berisi

area

yang

dahulunya tempat penyimpanan data lama yang bisa merupakan

bukti penting).dan slack space dalam file (area tersisa pada akhir
pada akhir file atau pada disk cluster terakhir di-assigned, yang
sekarang ini tidak terpakai lagi, tetapi merupakan tempat yang
diadakan untuk menyimpan data atau bukti penting).
7. Mencetak hasil analisis yang menyeluruh mengenai system
computer yang diperisa, daftar dari semua file yang relevan dan
data relevan yang ditemukan; systems layout, files structures,
infomasi yang mencantumkan pengarang atau pembuatnya,
catatan

mengenai

upaya

menyembunyikan

(hide),

menghilangkan (delete), melindungi (protect), member sandi

(encrypt), dan segala sesuatu yang yang terungkap yang
kelihatannya relevan dlam pelaksnaan computer forensics.
8. Memberikan konsultasi sebagai seorang ahli bidang computer
forensics dan kesaksian pengadilan.
Beberapa pihak yang dapat memanfaatkan bukti forensic computer
diantaranya:
1. Para penyidik (dalam upaya penggeledahan dan penyitaan) dan
penuntut umuum dalam kasus pidana.
2. Litigasi dalam kasus perdata.
3. Perusahaan asuransi yang berusaha menghentikan klain karena
adanya unsure fraud

3|Page

4. Perusahaan yang menangani perkara tuduhan pelecehan seksual

di

tempat

kerja,

asset

misappropriation

termasuk

rahasia

dagang, korupsi, dan informasi konfidensial lainnya.

5. Individu dalam kasus perceraian dan pelecehan seksual.
SPESIFIKASI DARI DISK IMAGING TOOL
Peralatan computer forensics yang canggih, akurat, dan andal mutlak
diperlukan

dalam

menginvestigasi

kejahatan

yang

melibatkan

computer. Di Amerika Serikat, NIST (the Natioal Institute of Standards

and Technology) mengatur dan memberikan peujuk yang memberikan
keyakinan terhadap perangkat lunak yang digunaan dalam investigasi
forensik. NIST menyiapkan penegak hukum dengan segala wewenang
untuk menentukan apakah perangkat lunak yang dirancang memang
boleh diterpkan untuk tujuan yang ditetapkan
NIST misalnya, menerbitkan dokumen yang menjadi bahan tulisan ini.
Dokumen tersebut memerinci persyaratan dari alat- alat pencitraan
cakram digital (disk imaging tool) yang digunakan dalam investigasi
forensic dan metode pengujian untuk memastikan bahan alat-alat itu
memenuhi syarat.
Dokumen

NIST

itu

menetapkan

lingkup

dari

spesifikasi

yang

dibahasnya, yakni terbatas pada software tools yang mengopi atau

membuat pencitraan (image) hard disk drives saja. Spesifikasi itu
tidak meliputi software tools yang membuat pencitraan dari emovable
media seperti floppy disks atau zip disks, analog media, dan digital
media lainnya seperti telepon selular dan pegers.
PERSYARATAN

YANG

WAJIB

DIPENUHI

(MANDATORY

REQUIREMENTS)
Persyaratan yang wajib dipenuhi oleh semua disks imaging tools
(disingkat DIT)
1. DIT tidak boleh mengubah objek aslinya

4|Page

2. Kalau tidak ada kesalahan (eror) dalam mengakses objek aslinya,

maka DIT akan menghasilkan bit-stream duplicate atau bitstream image dari aslinya
3. Kalau kesalahan input/ output (I/O errors). Maka DIT akan
menghasilkan qualified bit-stream duplicate atau qualified bitstream

image

dari

aslinya.

Tempat

yang

diidentifikasi

mengandung kesalahan akan di-replace dengan nilai yang

ditentukan oleh dokumentasi dalam DIT.
4. DIT

akan

membuat

daftar

(log)

dari

semua

kesalahan

input/output (I/O errors ) dalam bentuk yang dapat diakses dan

dibaca, termasuk jenis da lokasi kesalahan.
5. DIT dapat dapat mengakses disks drivesmelalui atau lebih
inefaces yang ditentuakan.
6. Dokumentasi berkenaan dengan persyaratan wajib (mandatory
requirements) harus benar. Artinya, sepanjang seluruh prosedur
DIT menghasilkan hasil yang diharapkan, maka dokumentasi
harus dianggap benar.
7. Kalau DIT mengopi sumber (source) ke tujuan akhir (destination)
yang

lebih

besar

dari

sumbernya,

maka

DIT

akan

mendokumentasikan is dari area yag tidak merupakan bagian

dari copy-an.
8. Kalau DIT mengopi sumber (source) ke tujuan akhir (destination)
yang lebih kecil dari sumbernya, maka DIT akan member tahu si
pemakai (user), memotong (truncate) kopiannya, dan membuat
log (catatan) tentang apa yang dilakukannya.
CLONING ATAS DATA DALAM PONSEL
Alat untuk meng-clone data dalam telepon selular dipakai untuk
mengambil (extract) data seperti daftar nomor telepon (phonebook),
citra atau image berupa gambar dan videos, pesan-pesan (text
messages), daftar telepon masuk dan keluar (call logs), dan informasi
mengenai

identitas

ponsel

tersebut

(IMEI-

International

Mobile

Equipment Indentification atas ESN-Electronic Serial Number)

5|Page

Seperti halnya dengan data imaging atau data cloning untuk data di
hard disk, data dalam ponsel hanya dibaca, tanpa modifikasi apa pun
sesuai

standar

industry

di

Amerika

Serikat

untuk

keperluan

pengadilan
MENGENALI BUKTI DIGITAL
Computer dan media digital semakin sering dimanfaatkan dalam
kegiatan melawan hukum. Ia bisa menjadi alat atau sarana kejahatan
(misalnya

penggunaan

telepon

selular

untuk

memeras),

hasil

kejahatan (misalnya informasi digital hasil curian), atau sebagai

sarana penyimpan informasi mengenai kejahatan.
Jawaban terhadap pertanyaan-pertanyaan sederhana berikut ini akan
dapat menentukan yang sebenarnya peranan computer dalam
kejahatan
1. Apakah computer digunakan untuk penyeludupan informasi atau
merupakan hasil kejahatan? Misalnya, dalam pencurian perngkat
keras (hardware) dan perangkat lunak (software)
2. Apakah system computer digunakan untuk kejahatan. Pelaku
menggunakan system computer secra aktif untuk kejahatan,
seperti identitas palsu atau identitas asli (password) yang dicuri ,
downloading dari informasi yang tersimpan dalam system atau
data base, dan lain-lain
3. Ataukah computer hanya digunaan untuk menyimpan data,
misalnya nama, alamat, perincian kontrak-kontrak yang dibuat
dengan para penyuplai yang memberikan uang suap atau
kickback
4. Apakah computer digunakan dalam kejahatan, sekaligus untuk
menyimpan

informasi.

Misalnya,

computer

hacker

yang

menyerang system dan data base dari penerbit kartu kredit

untuk mencuri informasi mengenai mengenai kartu kredit
pelanggan. Hacker ini juga menyimpan informasi hasil curiannya
dalam computer atau media digital.

6|Page

Setelah mengetahui peranan computer dalam kejahatan, pertanyaan

penting berikut harus dijawab.
1. Apakah ada alasan untuk meyita perngakat keras?
2. Apakah ada alasan untuk menyita perangkat lunak?
3. Apakah ada alasan untuk menyita data?
4. Di mana penggeledahan akan atau harus dilakukan?
a) Misalnya, apakah lebih praktis melakukan penggeledahan di
mana system computer berada atau di lapangan? Contoh:
system computer berada di Jakarta, tetapi tempat yang
dicuragai berada di lading-ladang minyak yang tersebar.
b) Apabila penegak hukum menyita system dan membawanya
pergi dari lokasi semula, apakah system tersebut
Disamping computer yang menyimpan data dan informasi digital, ada
beberapa peralatan elektronis yang kita gunakan sehari-hari yang
juga menyimpan informasi digital.
1. Telepon nirkabel (wireless telephones)
Telepon nirkabel menyimpan data berikut
a) Nomor telepon yang dihubungi
b) Nomor telepon yang disimpan untuk akses cepat (speed
dialing)
c) Caller ID untuk telepon yang diterima
d) Informasi lain yang tersimpan dalam memori dari telepon
nirkabel:
1) Nomor telepon atau pager
2) Nama dan alamat
3) Nomor PIN
4) Nomor akses voice mail
5) Kode voice mail
6) Nomor debit cards
7) Nomor calling cards
8) Informasi mengenai akses ke e-mail atau Internet

7|Page

9) Kalau ada layar, maka nformasi tampilan di layar (on

screen image) bisa berisi informasi penting lainnya
2. Alat penyeranta (electronic paging device)
Berikut bukti-bukti digital yang mungkin tersimpan dalam
pesawat penyeranta
a) Data

yang

penyeranta

tersimpan
yang

dalam

disebut

bentuk

numeric

angka

pagers

(untuk

komunikasi

dilakukan hanya dalam bentuk angka atau kode)

b) Data yang tersimpan dalam bentuk angka dan huruf (untuk
penyeranta yang disebut alpha numeric pagers komunikasi
dilaukan dalam angka, huruf, dan teks penuh atau full text).
c) Voice

pagers

terkadang

dapat

sebagai

mengirimkan

tambahan

atas

komunikasi
komunikasii

suara,
alpha

numeric.
d) Pesan-pesan masuk dan keluar dalam 2-way pagers atau
penyeranta dua arah
3. Mesin faks
Alat ini bisa berisi nomor telepon dan informasi mengenai
pelanggan telepon dari telepon yag masuk. Gangguan atau
terputusnya arus listrik dapat menyebabkan hilangnya data
apabila

tidak

dilindungi

degan

baterai

pedukung.

Dokumentasikan semua data yang tersimpan sebelum penyitaan

atau sebelum kemungkinan hilangnya data.
Mesin faks dapat menyimpan informasi berikut
a) Daftar nomor telepon yang dapat dihubungin dengan dial
cepat
b) Faks masuk dan keluar yang tersimpa secara digital
c) Catatan mengenai faks masuk dan keluar
d) Judul di faks
e) Setelan waktu
4. Kartu cerdas
8|Page

Kartu cerdas, lazimnya seukuran kartu kredit, dilengkapi dengan

chip atau microprocessor yang menyimpan sejumlah nilai uang
dan informasi lain. Kartu cerdas ini digunakan untuk
a) Pembayaran transaksi pada point off sale, misalnya utuk
pulsa telepon
b) Pembayaran antar pemegang kartu cerdas
c) Melakukan pembayaran untuk transaksi internet
d) Kemampuan ATM
e) Kemampuan menyimpan data dan file lainnya, seperti pada
disk computer
5. Lain-lain
Pemebahasan di atas yang diambil dari United States Secret
Service hanyalah mengenai informasi digital dalam beberapa
peralatan sederhana

yang

digunakan

sehari-sehari.

Secara

terpisah, akan dibahas cloning dari data digital yang tersimpan

dalam hard disk suatu computer.
PERSPEKTIF HUKUM DARI BUKTI DIGITAL
Penanganan Perangkat Keras dan Lunak
Penyidikan yang diarahkan kepada perangkat keras secara
konseptual tidaklah sulit. Seperti halnya pemeriksaan terhadap
senjata yang dipakai dalam kejahatan, perangkat keras merupakan
benda berwujud. Benda-benda menggunakan ruang dan dapat
dipindahkan dengan cara-cara yang kita kenal secara tradisional.
Penyelidikan terhadap data, informasi, dan perangkat lunak lebih
rumit dari pemeriksaan perangkat keras.
Karena itu, untuk memudahkan pembahasan, jenis pemeriksaan
dibedakan antara: (a) pemeriksaan di mana informasi yang dicari ada
pada

komputer

di

mana

pemeriksaan

dilakukan,

dengan

(b)

pemeriksaan atas informasi yang disimpan off-site di tempat lain di

mana komputer digunakan untuk mengakses data.
Informasi Hasil Kejahatan
9|Page

Informasi hasil kejahatan bisa berupa penggandaan perangkat lunak

dengan pelanggaran hak cipta atau harta kekayaan intelektual dan
pencurian informasi perusahaan atau negara yang dirahasiakan.
Karena itu, teori dan praktik yang berlaku untuk penyitaan benda
berwujud lazimnya juga berlaku untuk informasi yang merupakan
hasil kejahatan.
Informasi sebagai Instrumen Kejahatan
Dalam hal tertentu, informasi dapat digunakan sebagai alat atau
instrumen untuk melakukan kejahatan, misalnya perangkat lunak
yang dirancang khusus untuk membuka kode atau password, atau
untuk memperoleh daftar nomer kartu kredit yang hilang dicuri.
Apabila secara wajar, informasi tersebut patut diduga telah atau
dapat digunakan sebagai instrumen kejahatan, penyidik boleh atau
dapat menyitanya.
Informasi sebagai Bukti Kejahatan
Secara umum, di Amerika Serikat, informasi sebagai instrumen
kejahatan.

Sementara

itu,

informasi

sekedar

sebagai

bukti

diperlakukan sebagai tidak dapat disita. Dengan perkembangan ini,

pengakuan bahwa dokumen dan informasi lain yang mengkaitkan
perbuatan tersangka dengan kejahataannya umumnya harus dilihat
sebagai bukti kejahatan dan bukan instrumen kejahatan. Bukti
kejahatan bisa berupa cetakan (hard copy printouts). Bukti ini (kalau
ada atau ditemukan berada dalam tangan si pelaku) merupakan
bukti yang penting. Misalnya pelaku mengaku ia buta komputer,
tidak tahu isi dari data base. Fakta bahwa dia mempunyai hard copy
printouts

merupakan

bantahan

terhadap

ketidakmampuannya

menggunakan informasi dalam data base. Bukti kejahatan lainnya

adalah catatan yang dibuat berupa tulisan tangan yang ada di dekat
komputer atau peralatan elektronis lainnya, seperti catatan mengenai
password atau sandi-sandi yang dapat memberi petunjuk, daftar

10 | P a g e

nama rekan-rekan yang ikut dalam kejahatan, atau daftar nama

korban, dan seterusnya.

11 | P a g e