Computer forensics adalah penerapan teknik-teknik analitis dan investigtif untuk mengidentifikasi,
mengumpulkan, memeriksa, dan melidungi (preserve) bukti atau informasi digital.
Proses hukum yang mengisyaratkan adanya tindak pidana, sengketa perdata, dan hukum administrative meskipun lingkup yang popular adalah tindak pidana yang dikenal sebagai cyber crime, diantaranya: Penyalahgunaan dan penipuan melalui internet Pemerasan Pengungkapan rahasia perusahaan Kegiatan mata-mata industry (industrial espionage) Penyimpanan informasi berkenaan dengan perencanaan dan pelaksanaan kejahatan Ada tiga langkah utama dalam computer forensic, yaitu: 1. Imaging Secara sederhana, suatu alat dihubungkan ke salah satu communication port (biasanya parallel port atau scsi port) dan alat ini akan merekam seluruh data yang ada pada electronic stroge media (seperti hard disk) dalam computer secara lengkap, tidak kurang tidak lebih. Hard disk terkadang dilepas dari rumah computer (computer housing). Dikopi secara lengkap, byte- byte copy atau mengopi byte demi byte, tanpa ada yang ditambah atau dikurangi. Hal ini penting di pengadilan dan ketika computer forensic specialist 2. Processing Sesudah mendapat “bayangan cermin” dari data aslinya, citra atau image ini harus diolah untuk memulihkan file yang “terlanjur” dihapus (deleted) atau yang ditulisi kembali (overwritten) dengan current file. Dengan memulihkan image hasil kopian, files dan folders akan tampil seperti pada media penyimpanan data yang asli. Perlu dijelaskan penyebab computer umumny tidak menghapus file ketika kita memberi perintah delete. Di bagian awal suatu hard disk, terdapat index dari lokasi semua file pada disk tersebut. Index ini, juga dikenal sebagai file allocation table, member tahu kepada operating system (seperti windows) di bagian mana dari disk suatu file berada. Ketika kita memanggil suatu file, petunjuk atau identifier yang ada bagian atas file akan diakses sesuai dengan tempatnya dalam index. Ketika kita memberi perintah delete, yang sesungguhnya terjadi adalah entry pada index dihapus sehingga computer tidak lagi dapat mengakses file tersebut. Juga computer mengerti bahwa ruang atau space yang tadi teisi dengan file yang kita delete, sekarang boleh diisi dengan file baru, atau dalam bahasa inggris: is now available to be overwritten. Ada program yang benar-benar men-delete dan langsung overwritte suatu file baru di lokasi tempat file lama berada. Namun, program ini tidak umum umum atau tidak digunakan dengan tepat. Dari sudut security, cara yang paling aman menghancukan data sensitive pada hard disk adalah menghancurkan data sensitive apad hard disk adalah menghancurkan hard-disk secara fisik. 3. Analyzing Pada langkah ketiga ini memerlukan keahliannya, kreativitasnya, dan penerapan gagasan orisinal. Ketiak memeriksa current file, yang sering menjadi perhatian adalah nama file, seperti nama-nama seksi untuk bahan pornografi; dewa perang untuk penyelundupan senjata, warna- warni untuk uang suap kepada pimpinan partai, bahkan istilah yang menunjukan jabatan seorang pejabat sipil atau militer dalam kasus korupsi.Semua file dalam langkah ketiga (analyzing) ini diupanyakan membangun fraud theorynya. Inilah yang dilakukan oleh penyidik dalam kisah-kisah detektif di awal bab ini. Mengenali Bukti Digital Computer dan media digital semakin sering dimanfaatkan dalam kegiatan melawan hukum. Ia bisa menjadi alat atau sarana kejahatan (misalnya penggunaan telepon selular untuk memeras), hasil kejahatan (misalnya informasi digital hasil curian), atau sebagai sarana penyimpan informasi mengenai kejahatan. Jawaban terhadap pertanyaan-pertanyaan sederhana berikut ini akan dapat menentukan yang sebenarnya peranan computer dalam kejahatan 1. Apakah computer digunakan untuk penyeludupan informasi atau merupakan hasil kejahatan? Misalnya, dalam pencurian perngkat keras (hardware) dan perangkat lunak (software) 2. Apakah system computer digunakan untuk kejahatan. Pelaku menggunakan system computer secra aktif untuk kejahatan, seperti identitas palsu atau identitas asli (password) yang dicuri , downloading dari informasi yang tersimpan dalam system atau data base, dan lain-lain 3. Ataukah computer hanya digunaan untuk menyimpan data, misalnya nama, alamat, perincian kontrak- kontrak yang dibuat dengan para penyuplai yang memberikan “uang suap” atau kickback 4. Apakah computer digunakan dalam kejahatan, sekaligus untuk menyimpan informasi. Misalnya, computer hacker yang menyerang system dan data base dari penerbit kartu kredit untuk mencuri informasi mengenai mengenai kartu kredit pelanggan. Hacker ini juga menyimpan informasi hasil curiannya dalam computer atau media digital. Data Mining atau Penambangan Data Salah satu definisi data mining adalah the extraction of hidden predictive information from large database. Yang mengandung beberapa unsur berikut: 1. Dalam data mining, terdapat sesuatu yang diekstraksi atau ditarik ke permukaan. 2. Yang diekstraksi adalah hidden predictive information atau informasi tersembunyi yang bersifat prediktif. Kemamuan mengekstraksi informasi seperti inilah yang membuat data mining menjadi suatu teknologi yang sangat ampuh, misalnya sebagai alat marketing atau investigasi. 3. Data yang ditambang ini berada dalam data base yang sangat besar. Data base yang besar ini dapat digabungkan dengan data base besar lainnya, misalnya yang berisi semua transaksi yang mencurigakan menurut undang-undang tindak pidana pencucian uang. Dari data base ini saja, penyidik akan dapat menambang banyak informasi. Date base yang besar itulah yang membuat data yang berlimpah menjadi informasi yang seolah-olah tersembunyi, yang hanya bisa diangkat ke permukaan (diekstraksi) dengan menggunakan perangkat lunak. Umumnya, dikenal perangkat luank yang sifatnya rerospektif, orientasinya adalah pada data yang lalu. Informasi prediktif melihat tren ke depan, mencoba memprediksi apa saja yang bakal terjadi. Data Interrogation (Interogasi Data) Dalam data interrogation, seorang investigator (auditor) menganalisis data yang tersimpan dalam bermacam-macam media penyimpanan data untuk menemukan sesuatu yang dicarinya. Tidak berbeda dengan seorang auditor yang dalam sistem manual, misalnya mencari apakah ada faktur penjualan ganda. Hanya saja data, data tersimpan secara digital, tidak langsung dapat dibaca, dan jumlahnya banyak. Disinilah peluang untuk menggunakan perangkat lunak untuk melakukan data interrogation. Perangkat lunak semacam ACL dapat membantu kita memilih “kolom-kolom” dari spread sheet, tanpa mengganggu integritas data. Perangkat lunak membantu auditor atau investigator melakukan data interrogation atau menimba data yang diperlukan dari sumur yang besar dan dalam. Sebelum perangkat lunak menghasilkan informasi, investigator sudah harus merancang bentuk dari laporan yang diinginkannya. Tidak jarang, investigator harus mengubah “pertanyaan” yang diajukannya. Karena itu, perangkat lunak mendokumentasikan seluruh langkah ini yang disebut command log. Perangkat lunak mendokumentasikan seluruh langkah ini dalam apa yang disebut command log. Perangkat lunak berikut dapat melakukan data interrogation lainnya yang berguna untuk audit atau investigation lainnya yang berguna untuk audit dan investigasi. 1. Meng-extract data tertentu. Contohnya pada investigasi utang, data yang di extract adalah nama penyuplai, alamat penyuplai, tanggal dan jumlah invoice, serta tanggal pembayaran. Dalam file utang, data tersebut disebut record atau field seperti kolom dalam spread sheet. 2. Meng-export record yang kita pilihuntuk menciptakan file baru yang akan kita gunakan dengan program lain seperti Word atau Excel. 3. Men-short data, misalnya Sort menurut nama kota menunjukan ada puluhan penyuplai di suatu kota yang memenuhi persyaratan tender pengadaan pemerintah. Namun, hanya dua dari mereka yang mengikuti tender tersebut. 4. Meng-classify dan men-summarize. Contoh classify: dari buku pembelian diketahui pembelian per transaksi lengkap dengan nomor faktur dan nilai perfaktur. Kitabisa meng-classify data pembelian untuk tahun 2006, misalnya menurut penyuplai. Kita akan mendapat banyaknya (lembar) dan nilai total faktur dari setiap penyuplai, dengan angka persentase (lembar dan nilai faktur). 5. Men-summarize. Contoh: persediaan suku cadang di suatu perusahaan penerbangan terdiri atas jutaan item dengan nilai total hampir mencapai triliunan rupiah. Kitabisa men-summarize persediaan ini berdasarkan nilai per unit. Hasil summarize menunjukan dua ekstrim. Pertama, ada beberapa item yang niali per unitnya miliaran. Secara total, mereka meliputi 40% dari nilai total persediaan. Kedua, ada jutaan item yang nilai per unitnya hanya ratusan ribu rupiah, dan secara total meliputi 35% dari nilai total persediaan. Sementara itu, persediaan lainnya terletak di antara kedua ekstrim. 6. Men-stratify. Contoh: direktorat Jenderl Pajak ingin mnstratifikasi para pembayar pajak penghasilan di seluruh indonesia. Data pembayaran pajak dapat distratifikasi, misalnya berdasarkan income tax bracket atau kelompik penghasilan yang mempunyai tarif pajak tersendiri. 7. Melakukan analisis umur (aging analysis). Contoh analisis umur piutang, utang, persediaan barang, dan lain-lain. 8. Menggabungkan files, istilah tekns yang dipakai bisa bermacam-macam, seperti joining, relating, merging, dan lain-lain. Menggabungkan files memungkinkan kita menghubungkan data yang berada dalam beberapa files sehingga kita mempunyai lebih banyak data untuk di-“manipulasi” lebih lanjut. Dalam menggabungkan files, juga ada kemungkinan data terkait tidak diperoleh dalam files lainnya. Unmatched records ini bisa kita teliti lebih lanjut. Contoh dari suatu current file yang akan digabung dengan master file ditemukan puluhan penyuplai yang aktif memasok barang, tetapi mereka tidak mempunyai data dasar dalam master file. 9. Melakukan sampling. Dari data yang banyak, perlu diambil contoh (samples) untuk diperiksa. Hasil pemeiksaan sample dipakai untuk menarik kesimpulan mengenai seluruh data (population). Perangkat lunak dapat digunakan untuk emlakukan sampling dengan bermacam teknik,s eperti random sampling, statistical sampling dan lain-lain. Dalam statistical sampling, kita juga dapat menaksir jumlah kesalahan (error) dalam population dengan mengevaluasi kesalahan dalam sample. 10. Melakukan digital analysis berdasarkan Benford’s Law. Ini adalah data interogasi yang ampuh, tetapi hampir tidak dikenal apalagi diprakktikan di Indonesia. Hal ini akan dijelaskan dengan contoh pengungkapan fraud melalui mark-up. Perspektif Hukum dari Bukti Digital a. Penanganan Perangkat Keras dan Lunak Penyidikan yang diarahkan kepada perangkat keras secara konseptual tidaklah sulit. Seperti halnya pemeriksaan terhadap senjata yang dipakai dalam kejahatan, perangkat keras merupakan benda berwujud. Benda-benda menggunakan ruang dan dapat dipindahkan dengan cara-cara yang kita kenal secara tradisional. Penyelidikan terhadap data, informasi, dan perangkat lunak lebih rumit dari pemeriksaan perangkat keras. Karena itu, untuk memudahkan pembahasan, jenis pemeriksaan dibedakan antara: ( a ) pemeriksaan di mana informasi yang dicari ada pada komputer di mana pemeriksaan dilakukan, dengan ( b ) pemeriksaan atas informasi yang disimpan off-site di tempat lain di mana komputer digunakan untuk mengakses data. b. Informasi Hasil Kejahatan Informasi hasil kejahatan bisa berupa penggandaan perangkat lunak dengan pelanggaran hak cipta atau harta kekayaan intelektual dan pencurian informasi perusahaan atau negara yang dirahasiakan. Karena itu, teori dan praktik yang berlaku untuk penyitaan benda berwujud lazimnya juga berlaku untuk informasi yang merupakan hasil kejahatan. c. Informasi sebagai Instrumen Kejahatan Dalam hal tertentu, informasi dapat digunakan sebagai alat atau instrumen untuk melakukan kejahatan, misalnya perangkat lunak yang dirancang khusus untuk membuka kode atau password, atau untuk memperoleh daftar nomer kartu kredit yang hilang dicuri. Apabila secara wajar, informasi tersebut patut diduga telah atau dapat digunakan sebagai instrumen kejahatan, penyidik boleh atau dapat menyitanya. d. Informasi sebagai Bukti Kejahatan Secara umum, di Amerika Serikat, informasi sebagai instrumen kejahatan. Sementara itu, informasi “sekedar sebagai bukti” diperlakukan sebagai tidak dapat disita. Dengan perkembangan ini, pengakuan bahwa dokumen dan informasi lain yang mengkaitkan perbuatan tersangka dengan kejahataannya umumnya harus dilihat sebagai bukti kejahatan dan bukan instrumen kejahatan. Bukti kejahatan bisa berupa cetakan (hard copy printouts). Bukti ini (kalau ada atau ditemukan berada dalam “tangan” si pelaku) merupakan bukti yang penting. Misalnya pelaku mengaku ia “buta komputer”, tidak tahu isi dari data base. Fakta bahwa dia mempunyai hard copy printouts merupakan bantahan terhadap ketidakmampuannya menggunakan informasi dalam data base. Bukti kejahatan lainnya adalah catatan yang dibuat berupa tulisan tangan yang ada did dekat komputer atau peralatan elektronis lainnya, seperti catatan mengenai password atau sandi- sandi yang dapat memberi petunjuk, daftar nama rekan-rekan yang ikut dalam kejahatan, atau daftar nama korban, dan seterusnya.