Graeme Edwards - Cybercrime Investigators Handbook-John Wiley & Sons (2020)
Graeme Edwards - Cybercrime Investigators Handbook-John Wiley & Sons (2020)
Penyidik
Buku Pegangan
Machine Translated by Google
Penyidik
Buku Pegangan
GRAEME EDWARDS,PhD.
Machine Translated by Google
Hak Cipta © 2020 oleh John Wiley & Sons, Inc. Semua hak dilindungi undang-undang.
Diterbitkan oleh John Wiley & Sons, Inc., Hoboken, New Jersey.
Diterbitkan secara bersamaan di Kanada.
Tidak ada bagian dari publikasi ini yang boleh direproduksi, disimpan dalam sistem
pengambilan, atau ditransmisikan dalam bentuk apa pun atau dengan cara apa pun, elektronik,
mekanis, fotokopi, perekaman, pemindaian, atau lainnya, kecuali sebagaimana diizinkan berdasarkan
Bagian 107 atau 108 dari 1976 United Undang-Undang Hak Cipta Negara, tanpa izin tertulis sebelumnya
dari Penerbit, atau otorisasi melalui pembayaran biaya per salinan yang sesuai kepada Copyright
Clearance Center, Inc., 222 Rosewood Drive, Danvers, MA 01923, (978) 750-8400, faks (978) 646-8600,
atau di Web di www.copyright.com. Permintaan izin kepada Penerbit harus ditujukan ke Departemen
Perizinan, John Wiley & Sons, Inc., 111 River Street, Hoboken, NJ 07030, (201) 748-6011, faks (201)
748-6008, atau online di www .wiley.com/go/permissions.
Batas Tanggung Jawab/Penafian Garansi: Meskipun penerbit dan penulis telah melakukan upaya
terbaik mereka dalam mempersiapkan buku ini, mereka tidak membuat pernyataan atau jaminan
sehubungan dengan keakuratan atau kelengkapan isi buku ini dan secara khusus menyangkal segala
jaminan tersirat tentang dapat diperjualbelikan. atau kebugaran untuk tujuan tertentu. Tidak ada
jaminan yang dapat dibuat atau diperpanjang oleh perwakilan penjualan atau materi penjualan tertulis.
Saran dan strategi yang terkandung di sini mungkin tidak cocok untuk situasi Anda. Anda harus
berkonsultasi dengan seorang profesional jika perlu.
Baik penerbit maupun penulis tidak bertanggung jawab atas hilangnya keuntungan atau kerugian
komersial lainnya, termasuk namun tidak terbatas pada kerusakan khusus, insidental, konsekuensial, atau
lainnya.
Untuk informasi umum tentang produk dan layanan kami yang lain atau untuk dukungan teknis, silakan
hubungi Departemen Layanan Pelanggan kami di Amerika Serikat di (800) 762-2974, di luar Amerika
Serikat di (317) 572-3993, atau faks (317) 572 -4002.
Wiley menerbitkan dalam berbagai format cetak dan elektronik dan dengan print-on-demand.
Beberapa materi yang disertakan dengan versi cetak standar buku ini mungkin tidak disertakan dalam e-
book atau cetak sesuai permintaan. Jika buku ini merujuk pada media seperti CD atau DVD yang tidak
disertakan dalam versi yang Anda beli, Anda dapat mengunduh materi ini di http://booksupport.wiley.com.
Untuk informasi lebih lanjut tentang produk Wiley, kunjungi www.wiley.com.
10 9 8 7 6 5 4 3 2 1
Machine Translated by Google
Untuk Marie dan Bob. Sudah lama berlalu tapi tidak terlupakan.
Untuk Liz dan para gadis. Terima kasih telah bertahan dengan banyak waktu yang saya
habiskan untuk bekerja, belajar, dan meneliti buku ini dan semua dukungan yang Anda berikan.
Machine Translated by Google
Isi
Daftar Gambar xi
Kata Pengantar xv
Bab 1 PENDAHULUAN 1
Metodologi Serangan 41
Investigator Cyber 48
vii
Machine Translated by Google
viii Isi _
Dukungan Manajemen 48
Apakah Ada Tanggung Jawab untuk Mencoba Mendapatkan Data Kembali? 50
Catatan Studi Kasus Kejahatan 51
Dunia Maya 52
Tantangan Unik 84
Studi Kasus Kejahatan Dunia Maya 91
Machine Translated by Google
Isi _ ix
x Isi _
Glosarium 277
Indeks 283
Machine Translated by Google
Daftar Gambar
xi
Machine Translated by Google
tentang Penulis
Graeme Edwards adalah penyelidik keuangan dan kejahatan dunia maya yang berlokasi di
Brisbane, Australia. Dia memiliki pengalaman 26 tahun di kepolisian, dengan 17 tahun sebagai
detektif yang mengkhususkan diri dalam penyelidikan kejahatan keuangan dan kejahatan dunia maya.
Ia telah berhasil menyelesaikan gelar doktor di bidang teknologi informasi dengan tesisnya,
“Investigating Cybercrime in a Cloud-Computing Environment.”
Ia juga berhasil menyelesaikan magister teknologi informasi (keamanan).
Dr Edwards adalah presenter konferensi reguler, berbicara tentang berbagai topik yang
berkaitan dengan kejahatan keuangan dan kejahatan dunia maya; ia juga mengadakan acara
pelatihan untuk organisasi dan manajemen senior serta melakukan analisis pasca investigasi
peristiwa siber. Dia adalah presiden Asosiasi Pemeriksa Penipuan Bersertifikat cabang Brisbane
dari 2016 hingga 2018.
xiii
Machine Translated by Google
Kata pengantar
INVESTIGASI
audiensCYBERCRIME
yang beragam. Ini adalah disiplin
adalah profesi yang
yang telahrelevan
berevolusidengan semakin
dengan teknologi
dan itu selalu dihadapkan pada tantangan dalam menentukan
kebenaran di balik peristiwa yang dituduhkan. Sebagai bagian dari profesi keamanan siber
yang lebih luas, sebagian besar penyelidik dihargai karena pengalaman praktis mereka,
sertifikasi vendor, dan kepercayaan dalam memberikan hasil investigasi—apakah itu untuk
membuktikan atau menyangkal dugaan pelanggaran.
Graeme Edwards mewujudkan kualitas-kualitas ini. Dia menempa karir sebagai salah
satu detektif kejahatan dunia maya pertama di Australia di Queensland Police Service.
Seperti banyak orang dalam profesi kami, dia mengambil inisiatif untuk terus mengembangkan
diri, melalui belajar dan beradaptasi dengan lingkungan teknologi baru, dan dengan memajukan
pendidikannya sendiri. Gelar doktornya melanjutkan keahliannya dalam investigasi cloud dan
forensik, mengantisipasi meningkatnya kebutuhan akan subspesialisasi ini.
Buku Pegangan Penyidik Kejahatan Dunia Maya adalah pekerjaan seumur hidup untuk Graeme. Ini
memberikan kesempatan bagi pembaca untuk mendapatkan manfaat langsung dari keahliannya yang unik
dan pengalaman belajar sepanjang hayatnya. Kontennya memandu pembaca melalui proses investigasi
dari perspektif kejahatan dunia maya, menangkap permata praktis dan observasional utama yang dapat
dengan mudah diterapkan oleh pembaca pada tantangan mereka sendiri.
Terima kasih kepada penulis seperti Graeme, profesi kami dapat terus berkembang dan
mendapat manfaat dari meneruskan pelajaran dan pengetahuan kunci untuk kemajuan praktisi
dan mereka yang ingin pindah ke bidang investigasi kejahatan dunia maya yang menarik. Ini
adalah kontribusi yang sangat tepat waktu. Saya percaya Anda akan mendapat manfaat dari
isinya sebanyak yang saya miliki. Terima kasih, Graeme, telah memajukan profesi kami
dengan cara yang sangat berarti ini.
xv
Machine Translated by Google
TEPATNYA mengucapkan terima kasih kepada pihak-pihak yang telah mendukung penulisan
buku ini.
Pertama, terima kasih kepada keluarga saya karena telah bertahan dengan banyak waktu
yang saya habiskan untuk belajar, meneliti, dan bekerja di jam-jam yang sangat antisosial yang
dipersembahkan oleh seorang petugas polisi pada pekerjaan shift untuk profesi mereka. Tanpa
dukungan Anda, buku ini dan bertahun-tahun studi dan penelitian tidak akan tercapai.
Saya juga ingin mengucapkan terima kasih kepada Dennis Desmond, mantan agen FBI
National Computer Crime Squad di Washington, DC, dan Profesor Lacey, keduanya sekarang
menjadi anggota Institute for Cyber Investigations and Forensics di Queensland, atas peer
review mereka terhadap konten ini. buku. Saya juga ingin berterima kasih kepada Profesor
Lacey atas kata pengantarnya.
xvii
Machine Translated by Google
Penyidik
Buku Pegangan
Machine Translated by Google
1 BAB SATU
pengantar
SERANGAN CYBER
terjadi selama TERHADAP
beberapa dekade. bisnis
Banyak yang telah begitudan
suksesindividu
mereka tidaktelah
pernah
ditemukan oleh para korban dan hanya diidentifikasi selama data itu
dieksploitasi atau dijual di pasar kriminal. Serangan siber merusak keuangan dan reputasi bisnis
dan menyebabkan kerusakan signifikan pada mereka yang datanya telah dicuri dan dieksploitasi.
Dari sudut pandang penjahat, lingkungan dunia maya saat ini secara efektif memberi mereka
kebebasan untuk menyerang target mereka. Mereka dapat melakukan apa pun yang mereka suka
untuk individu atau bisnis online, menyebabkan kerusakan besar yang bersifat profesional atau
pribadi, dan menghasilkan uang dalam jumlah besar dengan pengetahuan bahwa pelapor jarang
akan melaporkan masalah tersebut ke polisi. Faktanya, ini adalah anomali aneh tentang kejahatan
dunia maya: sebuah perusahaan memiliki jutaan dolar kekayaan intelektual (IP) yang dicuri dari
mereka, semua informasi pengenal pribadi (PII) staf dan klien dicuri, dan tindakan melaporkannya
kepada polisi atau investigasi siapa yang berada di balik serangan jarang dipertimbangkan atau
dilakukan kecuali jika dipaksakan oleh undang-undang setempat. Akibatnya, dari sudut pandang
penjahat, tidak ada kerugian menjadi penjahat dunia maya. Mereka beroperasi pada model
pengembalian keuangan tinggi, risiko rendah.
Karena tingginya volume dan kompleksitas serangan dunia maya, jika seorang korban
memutuskan untuk merujuk pengaduan ke polisi, mereka tidak dapat selalu mengandalkannya untuk
Buku Pegangan Penyidik Kejahatan Dunia Maya, Edisi pertama. Graeme Edwards,
PhD. © 2020 John Wiley & Sons, Inc. Diterbitkan 2020 oleh John Wiley & Sons, Inc.
Machine Translated by Google
2 Pendahuluan _
tersedia untuk melakukan penyelidikan dan menemukan pelaku. Sumber daya polisi
terbentang dan penyelidik siber yang terampil dalam penegakan hukum sedikit dan
terlalu banyak bekerja. Ini berarti organisasi yang menjadi sasaran serangan siber yang
ingin mencari informasi tentang siapa yang berada di balik serangan tersebut perlu
menyewa penyelidik siber yang berpengalaman (langka dan sangat mahal) atau
menyelidiki sendiri masalahnya. Atau, mereka tidak akan melakukan penyelidikan dan
malah fokus pada peningkatan keamanan.
Keputusan korban untuk tidak menyelidiki kejahatan dunia maya dibuat karena
berbagai alasan, termasuk waktu dan uang yang dikeluarkan untuk penyelidikan, fokus
bisnis yang diarahkan pada penyelidikan, gangguan internal yang ditimbulkannya, dan
kerusakan reputasi yang ditimbulkan. ketika komunitas menemukan keamanan
perusahaan telah dilanggar dan semua data yang dipercayakan kepada mereka dicuri.
Selain itu, para direktur tidak akan menantikan hari ketika mereka berdiri di depan rapat
umum tahunan publik dan menjelaskan kepada para pemegang saham bahwa semua
data perusahaan dicuri dari arloji mereka dan bahwa mereka tidak berusaha untuk
memulihkannya atau mengidentifikasi siapa yang mengambilnya.
Bagi anggota tim respons insiden (IR) atau penyelidik dunia maya, menanggapi
serangan seringkali merupakan ilmu yang tidak tepat karena motif dan tingkat keterampilan
penyerang bervariasi. Sementara serangan terhadap satu komputer desktop dapat
dengan mudah diatasi dan diselidiki, serangan terhadap jaringan perusahaan terdistribusi
lengkap akan membutuhkan sumber daya yang signifikan dan tim respons yang
berpengalaman untuk melindungi perusahaan, data mereka, dan klien. Karena metodologi
serangan bervariasi, strategi investigasi tidak selalu mengikuti jalur yang sama persis
setiap waktu.
Menyelidiki serangan cyber mungkin menjadi bagian penting dari kelanjutan bisnis.
Ketika serangan ditemukan, campuran panik, stres, kecemasan, dan ketakutan terlihat di
antara staf, dan mereka yang ditugaskan untuk mengurangi dan memberantas serangan
mungkin merasa masa depan perusahaan berada di pundak mereka.
Banyak karyawan akan khawatir dengan masa depan pribadi mereka, karena mereka
akan terbiasa dengan banyak cerita bisnis yang terkena serangan cyber yang tidak ada
lagi enam bulan kemudian. Anggota staf organisasi yang diwawancarai sebagai bagian
dari respons insiden mungkin juga merasa bahwa mereka bertanggung jawab dan bahwa
wawancara adalah metode untuk menyalahkan mereka.
Pendahuluan _ 3
Pemegang saham perusahaan yang mengetahui bahwa nilai saham dan/atau dividen
mereka dipengaruhi oleh pelanggaran dapat menuntut upaya perusahaan untuk
mengidentifikasi dan menuntut penyerang. Pada awal setelah serangan, mungkin ada
kemungkinan untuk menemukan tersangka dan properti digital yang diambil dan
memulihkannya sebelum dieksploitasi. Dapat dikatakan bahwa tugas dan tanggung jawab
seorang direktur termasuk mencoba memulihkan data perusahaan yang dicuri sebelum
dieksploitasi.
Di luar penegakan hukum dan beberapa bisnis besar, seperti perusahaan akuntansi
besar, ada beberapa pilihan bagi mereka yang ingin melakukan investigasi terhadap
serangan cyber yang dilakukan. Tim IR mungkin menemukan bukti yang mengarah pada
tersangka, tetapi umumnya bukan tugas mereka untuk menyiapkan kasus untuk dirujuk
ke polisi atau pengacara. Seorang penyelidik dunia maya adalah posisi yang sangat
khusus dan kira-kira setara dengan seorang detektif polisi yang melakukan investigasi
kriminal, karena aturan pembuktian yang dituntut pengadilan adalah sama apakah Anda
seorang detektif berpengalaman atau penyelidik sipil.
Penyelidik dunia maya dipandang sebagai orang yang ditugaskan untuk menemukan
bukti orang di balik serangan itu, dan dalam beberapa kasus menyiapkan rujukan ke polisi
atau memulai penuntutan perdata. Meskipun banyak serangan berasal dari luar negeri
dan tersembunyi di balik berbagai yurisdiksi hukum, anonim, bot, atau teknologi lainnya,
orang-orang memiliki motivasi mereka sendiri untuk melakukan kejahatan—dan orang-
orang ini mungkin termasuk karyawan saat ini atau mantan karyawan yang tinggal di
yurisdiksi lokal Anda.
Peran penyelidik dunia maya adalah perpanjangan dari penyelidik digital.
Untuk kepentingan buku ini, penyelidik digital adalah orang yang melakukan pemeriksaan
forensik perangkat atau jaringan dan menghasilkan laporan tentang bukti yang disita dan
diidentifikasi.
Buku ini ditujukan bagi orang yang diberi tugas untuk menyelidiki peristiwa siber
dengan maksud untuk memperoleh pemahaman penuh tentang peristiwa tersebut dan
jika mungkin memulihkan IP/PII sebelum dieksploitasi. Mereka juga dapat ditugaskan
untuk menemukan bukti untuk mendukung suatu tindakan di pengadilan (misalnya,
pengadilan ketenagakerjaan) atau kemungkinan penuntutan di pengadilan perdata atau
pidana jika penyerang diidentifikasi. Ini juga akan bermanfaat bagi manajer/eksekutif/
pengacara yang ditugaskan untuk meninjau investigasi untuk memahami tindakan tim
investigasi dan mengapa keputusan tertentu dibuat dan untuk mendapatkan pemahaman
tentang bukti yang tersedia dari tempat kejadian kejahatan dunia maya dan tindak
lanjutnya. investigasi -up. Ini bukan buku yang menjelaskan bagaimana secara teknis
menanggapi dan mengurangi serangan cyber, karena ada banyak buku yang membahas
topik ini dengan sangat rinci. Ada juga banyak kursus yang ditawarkan oleh organisasi
yang mengajarkan banyak aspek dalam menanggapi serangan siber dari perspektif teknis.
Machine Translated by Google
4 Pendahuluan _
Meskipun buku ini membuat beberapa referensi materi dari pihak ketiga,
itu tidak dimaksudkan untuk menjadi buku akademis. Hal ini karena banyak dari pasangan
rial bukan dari literatur akademis atau sumber web, tetapi dari pengalaman
penulis sebagai penyelidik kejahatan dunia maya. Pengecualian utama untuk ini adalah Bab
12, yang bergantung pada bukti dari tesis doktor penulis tentang kejahatan dunia maya
penyelidikan di lingkungan komputasi awan dan di mana referensi akademis dari tinjauan literatur
dicatat. Di mana penjelasan diberikan, sebagai
dalam glosarium, sebagian besar disimpan pada definisi teknis tingkat rendah untuk memungkinkan
mereka yang baru dalam bidang pekerjaan ini untuk memahami materi dan relevansinya
Pendahuluan _ 5
kejahatan dunia maya pilihan mereka, kami memperoleh pemahaman tentang bagaimana
kejahatan itu dilakukan dan mengapa itu dilakukan dengan cara itu, serta mendapatkan
beberapa pemahaman tentang jenis identitas yang kami cari.
Setelah kita memahami pelanggaran tipikal, di Bab 3 kita melihat motivasi penyerang.
Dalam beberapa kasus, memahami motif penyerang akan memberikan petunjuk yang kuat
tentang siapa pelakunya, terutama dalam kasus pelanggaran internal. Motivasi akan
bervariasi di berbagai bentuk serangan dunia maya yang akan Anda selidiki. Penting untuk
memahami alasan mengapa seorang penjahat menyerang target tertentu, karena ini akan
sangat masuk akal bagi mereka, bahkan jika motivasinya tampak tidak biasa bagi
penyelidik.
Dalam Bab 4 kita akan melihat contoh peringatan yang mungkin menjadi indikator
pertama dari peristiwa siber, serta metodologi pelaku. Peringatan dan metodologi ini dapat
menjadi bukti dalam hak mereka sendiri dan memberikan indikator mengenai identitas
pelaku. Sementara peringatan akan dibuat sebelum penyidik didatangkan, bukti dari
peringatan itu akan memberikan arahan bagi penyidik untuk digunakan sebagai platform
untuk penyelidikan mereka.
Dalam Bab 5 kita akan mempelajari proses memulai penyelidikan kejahatan dunia
maya. Kami akan membahas banyak alasan mengapa penyelidikan dimulai dan
memperkenalkan siapa penyelidik dunia maya. Sementara tanggapan umum terhadap
peristiwa cyber adalah untuk memperbaiki sistem dan mencegah serangan terjadi lagi,
kami juga akan menanyakan apakah ada tanggung jawab di pihak pemilik data untuk
mengidentifikasi penyerang dan berusaha untuk mendapatkan kembali data yang dicuri sebelum itu dieksp
Setelah kita memahami pelanggaran, motivasi pelaku, peringatan awal, dan
metodologi serangan, di Bab 6 kita akan mempelajari tentang peran hukum dalam
penyelidikan Anda. Jika seorang penyerang diidentifikasi dan diajukan ke pengadilan,
setiap aspek penyelidikan Anda harus diperiksa secara kritis di pengadilan oleh pengacara
terdakwa, dan tindakan Anda serta legalitasnya mungkin sama seperti aktivitas terdakwa
di persidangan.
Apakah Anda sedang melakukan penyelidikan perdata atau pidana, pelapor akan
memberikan arahan untuk penyelidikan yang mereka inginkan dari Anda. Mereka akan
memiliki informasi yang menjadi dasar penyelidikan Anda serta wewenang untuk
menyediakan sumber daya yang Anda butuhkan. Dalam Bab 7 kami akan membahas
banyak aspek dari pertemuan awal Anda dengan pelapor, termasuk banyak pertanyaan
yang mungkin Anda anggap relevan untuk diajukan kepada mereka pada pertemuan ini.
Bab 8 memberikan pengenalan umum tentang peran penyelidik digital bagi penyelidik
dunia maya. Meskipun penyelidik dunia maya tidak perlu terlibat dalam aspek teknis dari
respons insiden saat serangan sedang berlangsung, akan bermanfaat bagi mereka untuk
memahami apa yang dilakukan pemeriksa IR dan konsekuensi dari tindakan mereka yang
melibatkan bukti digital.
Machine Translated by Google
6 Pendahuluan _
Penyelidik dunia maya akan terlibat dalam melestarikan bukti dan dalam diskusi dengan
penyelidik digital dan tim IR mengenai penyitaan bukti, termasuk memprioritaskan pelestarian
bukti digital, terutama yang paling mudah berubah.
Lingkungan cyber memberikan banyak tantangan unik bagi penyelidik, dan berbagai
tantangan ini diperkenalkan di Bab 9. Saat Anda beroperasi di lingkungan yang dinamis,
tantangan yang Anda hadapi akan bervariasi sesuai dengan keadaan kasus Anda dan bukti.
Anda sedang mencari.
Dalam Bab 10 kita beralih ke investigasi TKP dan mencakup banyak bidang pencarian
yang perlu Anda ketahui dan pahami.
Investigasi kejahatan dunia maya melibatkan tantangan unik bagi penyelidik dan ini diidentifikasi
dan didiskusikan. Saat Anda beroperasi di lingkungan fisik dan digital, tantangan yang dihadapi
akan berbeda di antara investigasi, dan penyelidik perlu memperluas pemikiran mereka untuk
memahami lingkungan mereka yang berubah.
File log sangat penting untuk investigasi kejahatan dunia maya: ketika diaktifkan dan
diamankan, mereka akan memberi tahu Anda banyak hal tentang penyerang, metodologi
mereka, dan data yang mereka akses. Dalam Bab 11 kami akan memperkenalkan banyak
jenis log, di mana mereka dapat ditemukan, dan apa artinya bagi Anda sebagai penyelidik.
File log seperti kamera video di TKP. Mereka bisa efektif—atau, seperti kamera, jika
dimatikan atau outputnya tidak dipertahankan, bisa sama sekali tidak bisa digunakan. Aktivitas
pencatatan log pada perangkat dan jaringan dapat memberikan bukti yang sangat berharga
tentang apa yang terjadi, bagaimana terjadinya, kapan pelanggaran terjadi, dan dalam
beberapa kasus, siapa yang berada di baliknya. Penyelidik mungkin perlu bekerja dengan
penyelidik digital untuk memahami apa yang dikatakan log; namun, bentuk bukti teknis ini
mungkin penting untuk penyelidikan Anda—sampai pada titik di mana Anda dapat dikritik di
pengadilan jika Anda tidak mengikuti jejak bukti potensial ini.
Bab 12 membahas masalah hukum dan teknis yang terlibat dalam mencari dan
mengambil bukti secara sah dari platform komputasi awan. Karena data sekarang disimpan di
beberapa server komputer di beberapa yurisdiksi hukum, identifikasi dan penyimpanan bukti
telah menjadi prosedur yang jauh lebih kompleks daripada ketika pemeriksa dapat secara fisik
menyita perangkat yang diduga dilanggar. Bab 12 mencakup banyak masalah hukum dan
teknis yang harus dipertimbangkan oleh penyelidik, dengan jalur yang disarankan untuk
memajukan penyelidikan Anda di cloud.
Bab 13 memberikan pengenalan yang sangat singkat tentang Internet of Things (IoT),
yang mencakup banyak perangkat yang sekarang terhubung secara online. Bukti
Machine Translated by Google
Pendahuluan _ 7
sekarang dapat dikumpulkan dari mana saja selama ada perangkat yang terhubung ke Internet,
dan penyelidik digital dapat menggunakan teknologi ini untuk mendukung penyelidikan mereka.
Materi open source adalah materi yang dapat diambil dari sumber online.
Ada banyak bentuk informasi sumber terbuka yang tersedia secara online dan banyak
penyelidik dunia maya menemukan informasi berharga untuk mendukung penyelidikan mereka
dengan melakukan pencarian online. Bab 14 memperkenalkan contoh dari banyak bentuk
informasi sumber terbuka yang tersedia dan bagaimana informasi ini dapat membantu
pertanyaan Anda.
Karena kejahatan dunia maya telah menjadi lebih profesional selama dekade terakhir,
komunitas kriminal telah menciptakan pasar khusus di mana mereka dapat memperdagangkan
barang dan jasa dengan pelanggan. Pasar kriminal seperti Silk Road dan AlphaBay memperoleh
banyak publisitas melalui pengidentifikasian cara anggota komunitas kriminal beroperasi dan
tingkat dukungan yang diberikan satu sama lain dalam pelatihan dan mekanisme dukungan
lainnya.
Dalam Bab 15 kami akan memperkenalkan web gelap dan membahas relevansinya dengan
penyelidik, dengan peringatan untuk tidak menjelajah ke pasar kriminal kecuali Anda sebagai
penyelidik terlatih dengan baik dan memahami lingkungan di mana Anda akan beroperasi. Di
beberapa yurisdiksi, mengakses dark web merupakan pelanggaran.
Mewawancarai saksi dan tersangka adalah seni yang harus dikuasai oleh banyak petugas
polisi dan penyidik selama bertahun-tahun. Ini bukan proses yang sederhana, karena setiap
wawancara adalah unik dan bisa menjadi bukti tersendiri. Bab 16 akan membahas banyak
pertimbangan yang harus dilakukan saat melakukan wawancara dan penjagaan keamanan
yang mungkin diterapkan tergantung pada yurisdiksi tempat Anda beroperasi.
8 Pendahuluan _
2 BAB DUA
POTENSIatau
pelanggaran yang dapat
individu hanya dilakukan
dibatasi oleh pelaku
oleh imajinasi kejahatanPenjahat
penyerang. terhadapdunia
suatumaya
entitas
mungkin adalah karyawan tepercaya jangka panjang di dalam organisasi
ization atau seseorang yang terletak di sisi lain dunia. Mereka juga bisa menjadi
kontraktor yang mengambil keuntungan dari operasi dalam jaringan perusahaan untuk
menginstal perangkat lunak berbahaya atau mengakses informasi dengan menginstal
server di jaringan untuk mencegat dan merekam semua lalu lintas tanpa wewenang
administrator sistem.
Bab ini berusaha memberikan pemahaman kepada penyelidik tentang berbagai
bentuk kejahatan dunia maya yang mungkin perlu mereka selidiki. Meskipun teknik
investigasi yang disajikan dalam buku ini mungkin serupa di setiap jenis kejahatan,
pemahaman tentang kejahatan sangat membantu dalam memahami pelakunya. Ini
kemudian memberikan arahan ke mana harus menemukan bukti digital dalam TKP
fisik dan digital serta untuk memahami motivasi penjahat.
9
Buku Pegangan Penyidik Kejahatan Dunia Maya, Edisi pertama. Graeme Edwards,
PhD. © 2020 John Wiley & Sons, Inc. Diterbitkan 2020 oleh John Wiley & Sons, Inc.
Machine Translated by Google
Konektivitas internet, penjahat mulai menyimpan bukti kejahatan mereka—seperti Child Exploitation
Material (CEM)—di dalam hard drive konsol, jadi jika polisi melakukan surat perintah penggeledahan
di alamat mereka, mereka cenderung tidak akan merebut konsol game daripada laptop atau komputer
desktop. Ketika penjahat mengembangkan keterampilan ini, penegak hukum bereaksi terhadap
mereka dan mengembangkan bidang pengetahuan investigasi mereka yang terus berkembang.
Penjahat dunia maya berbagi pengetahuan mereka di forum kriminal open source dan tertutup,
menghasilkan standar kriminal yang lebih tinggi yang dapat mencari bantuan berpengalaman ketika
percobaan kejahatan mereka menemui rintangan. Penjahat dunia maya juga memberikan tutorial bagi
mereka yang baru mengenal industri ini, termasuk metodologi langkah demi langkah tentang cara
melakukan kejahatan dunia maya tanpa meninggalkan bukti digital yang mengarah ke identitas
mereka. Jika diperlukan, beberapa situs menyediakan tutorial satu-satu dan tinjauan sejawat. Pada
dasarnya kejahatan dunia maya adalah sebuah profesi, dengan banyak sumber daya yang tersedia
bagi para penjahat. Sumber daya yang sama ini juga dapat berguna
kepada penyidik dalam memahami metodologi yang berkembang dan cara pelaku melakukan
kegiatannya.
Keuntungan kejahatan dunia maya bagi penjahat, jika dibandingkan dengan bentuk kejahatan
lainnya, adalah tidak adanya kompleksitas struktural. Jika dibandingkan dengan kejahatan seperti
perdagangan narkoba ilegal, kejahatan dunia maya tidak memiliki kompleksitas manajerial struktural
yang lazim dalam kejahatan yang melibatkan properti fisik. Seorang pengedar narkoba mungkin
diminta untuk menyusun bisnis, distribusi, pemrosesan, pengangkutan, persaingan, ancaman fisik,
jaringan penjualan, dan pencucian uang. Dalam kejahatan dunia maya, ada lebih sedikit pertimbangan
yang terlibat. Berbeda dengan perdagangan narkoba ilegal, di mana pihak-pihak yang terlibat mungkin
saling mengenal secara pribadi dan membangun hubungan, mereka yang terlibat dalam kemitraan
dalam kejahatan dunia maya mungkin tidak pernah bertemu secara fisik, saling membantu berdasarkan
bidang keahlian mereka. Juga, pertimbangan yang berharga adalah tidak ada perang wilayah yang
terlibat dalam kejahatan dunia maya, seperti halnya dalam perdagangan obat-obatan terlarang.1 Ada
banyak alasan lain mengapa kejahatan dunia maya menarik bagi penjahat.
Salah satunya adalah imbalan finansial yang tersedia dibandingkan dengan bentuk kejahatan lainnya.
Joseph Schafer dan rekan-rekannya menemukan bahwa rata-rata perampok bank dapat memperoleh
$2.500, penipu bank $25.000, dan penjahat dunia maya $250.000.
Mereka juga menemukan bahwa biaya pencurian teknologi untuk sebuah organisasi adalah sekitar
$1,9 juta.2 Di samping imbalan finansial, daya tarik lebih lanjut dari kejahatan dunia maya kepada
penjahat adalah bahwa tindakan yang diperlukan mudah dilakukan dan sulit dideteksi.
Internet menyediakan anonimitas untuk penjahat dunia maya yang terampil, yang menggunakan
sumber daya teknologi yang tersedia (seperti akun email berbasis web gratis). Schafer dan rekan-
rekannya menemukan bahwa penjahat cyber anonim beroperasi di bawah
Machine Translated by Google
online mengurangi hambatan pribadi mereka, terutama karena potensi untuk diidentifikasi
dan dimintai pertanggungjawaban atas tindakan mereka rendah.2 Manfaat lebih lanjut bagi
penjahat dunia maya adalah bahwa hasil kejahatan (data) mereka dapat divirtualisasikan
dan didistribusikan secara geografis, menciptakan teknis dan yurisdiksi tantangan bagi
penegak hukum dan lembaga investigasi lainnya.
Investigasi forensik digital untuk mendapatkan bukti mungkin tidak dapat diperoleh pada
waktu yang tepat, artinya bukti yang berharga mungkin tidak tersedia bagi penyelidik.3
Manfaat tambahan bagi penjahat dunia maya adalah bahwa kejahatan mereka dapat
dilakukan di mana saja. Data dapat disebarluaskan dengan sangat cepat, dan cara
kejahatan lintas yurisdiksi mengakibatkan perlunya kolaborasi antara layanan kepolisian di
tingkat nasional dan internasional.2 Untuk menambah lapisan kompleksitas lebih lanjut bagi
lembaga investigasi, penjahat dunia maya dapat beroperasi dalam kegagalan atau negara
gagal yang menyediakan tempat berlindung yang aman.4 Tindak pidana perdata atau
pidana tertentu dalam setiap kasus tergantung pada yurisdiksi hukum dan kata-kata spesifik
dari pelanggaran sebagaimana didefinisikan dalam undang-undang. Meskipun ada
banyak bentuk pelanggaran perdata dan pidana yang melibatkan teknologi, bab ini
mencantumkan contoh pelanggaran di mana teknologi merupakan faktor utama dalam
kejahatan yang harus ditanggapi oleh penyelidik dunia maya. Juga dipahami bahwa ketika
Anda berurusan dengan peristiwa dunia maya dan tersangka tinggal di yurisdiksi hukum
asing, meskipun tindakan mereka mungkin merupakan pelanggaran pidana atau perdata
yang sangat serius di yurisdiksi Anda, tindakan tersebut mungkin bukan pelanggaran di
negara mereka. . Akibatnya, dalam yurisdiksi mereka, mereka tidak melakukan kesalahan.
Sebagai penyidik, ketahuilah bahwa mungkin ada lebih dari satu pelanggaran yang
terjadi pada saat yang bersamaan. Saat Anda merespons bentuk kejahatan dunia maya
tertentu, ini mungkin hanya pengalih perhatian untuk mengalihkan perhatian tim keamanan
Incident Response (IR), karena tujuan utama penyerang mungkin ada di tempat lain di
jaringan. Misalnya, mungkin ada serangan terhadap server web perusahaan, dan sementara
tim IR berfokus untuk mengurangi serangan ini, penjahat dapat mencuri data dari server
email atau database perusahaan.
Sisa dari bab ini memberikan contoh berbagai bentuk kejahatan cyber yang diikuti
dengan penjelasan singkat. Ini tidak terdaftar sebagai pelanggaran khusus, karena setiap
yurisdiksi akan memiliki kata-kata yang berbeda untuk aktivitas ini dan mungkin ada
beberapa pelanggaran yang dapat Anda identifikasi dari satu deskripsi.
Spionase Industri
Pelanggaran ini juga kadang-kadang disebut spionase perusahaan. Ini adalah bentuk
standar kejahatan dunia maya, dengan penjahat menerobos pertahanan perusahaan untuk
menemukan Kekayaan Intelektual (IP) untuk dijual atau digunakan sendiri. Pesaing dapat
melakukan serangan itu sendiri, atau serangan itu mungkin acak, dengan penjahat
menerobos untuk melihat apa yang dapat mereka temukan dan eksploitasi. Pelanggaran
ini telah mendahului Internet, dengan orang dalam digunakan untuk mencuri IP atau
dokumen yang dicuri dari tempat sampah setelah dibuang.
Ketika perusahaan mengembangkan produk baru, pesaing dapat menemukan
keuntungan strategis dalam mengetahui di mana pesaing mereka berencana berada dalam
12 bulan. Pencurian strategi dan rencana pengembangan memungkinkan penyerang untuk
mengembangkan tindakan pencegahan mereka, menghemat tahun pengembangan dan
biaya dalam desain produk baru.
IP tertentu dapat diajukan untuk dipatenkan oleh pengembang, memastikan tingkat
perlindungan industri agar tidak disalin oleh pesaing. Namun, jika IP dicuri sebelum paten
diterbitkan dan kemudian diajukan untuk paten oleh pencuri, kasus pengadilan yang rumit
dan mahal atau bahkan kerugian keseluruhan dari IP yang dikembangkan dapat terjadi.
Selain IP perusahaan, dokumen tender yang akan diserahkan pada hari-hari berikutnya
menjadi target yang berharga. Dengan informasi ini, pesaing bisnis yang memprakarsai
atau mengontrak peretas untuk melakukan serangan atas nama mereka dapat memperbarui
dokumen mereka untuk meningkatkan peluang memenangkan tender terhadap korban.
perusahaan.
Pertimbangan Penyidik
Spionase industri atau ekonomi adalah tindak pidana yang sangat serius, karena masa
depan perusahaan korban dapat dipertaruhkan. Perusahaan menaruh uang yang sangat
serius ke dalam pengembangan IP, dan setelah itu dicuri oleh pesaing atau dijual kepada
penawar tertinggi akan menyebabkan tekanan yang sangat serius bagi para pengadu.
Dalam kasus perusahaan publik, pengungkapan IP yang dicuri dapat berdampak negatif
pada nilai saham mereka.
Sebagai penyelidik di tempat kejadian, selalu hormati dan pahami tekanan para
eksekutif dan pemilik perusahaan. Identifikasi siapa yang mungkin mendapat manfaat dari
pencurian IP, seperti pesaing atau perusahaan baru yang ingin membangun diri.
Machine Translated by Google
Mungkin bermanfaat untuk membuat kontrak dengan perusahaan yang mengkhususkan diri
dalam operasi di pasar kriminal untuk mengidentifikasi apakah itu akan dijual.
Jangan mengabaikan potensi karyawan internal untuk menjadi pihak yang mengambil HKI
dan berusaha membangun mereka dalam bisnis saingan dalam waktu dekat. Jika KI memiliki
nilai finansial yang signifikan dan tidak dipatenkan, rekomendasikan kepada pengadu bahwa
mereka masih menjalani proses ini, karena mereka akan memiliki riwayat pengembangan
produk untuk mendukung klaim mereka tentang kepemilikan KI.
Investigasi seperti ini mungkin perlu dilakukan di masa mendatang dalam fase pemantauan,
karena pengadu memantau siapa di industri yang mengembangkan produk yang sangat mirip
dengan IP mereka atau berusaha mematenkannya. Ini sekarang memberi Anda titik awal
terbalik dengan tersangka. Pada saat ini Anda telah melakukan penyelidikan awal Anda; ketika
seorang tersangka telah diidentifikasi, Anda dapat menghidupkan kembali penyelidikan Anda
dengan memikirkan seorang tersangka. Hal ini juga berlaku jika tersangka terlibat dalam
pencurian awal IP atau membelinya melalui pasar kriminal.
Pertimbangan Penyidik
Meskipun ini adalah kejahatan yang sangat umum, dengan ratusan juta identitas dan rincian
kartu kredit dicuri setiap tahun, konsekuensi terhadap korban tidak berkurang. Ada pepatah
dalam undang-undang bahwa Anda mengambil korban Anda saat Anda menemukannya, dan
sementara satu korban penipuan identitas atau kartu kredit dapat mengambil
Machine Translated by Google
berita dan melanjutkan tanpa perhatian, yang lain mungkin menderita tekanan finansial dan
emosional yang parah.
Sebagai aturan yang sangat umum meskipun tidak eksklusif, identitas curian dijual di
pasar kriminal. Investigasi di lingkungan ini adalah tugas penyelidik yang sangat terampil dan
berpengalaman, dan jika Anda tidak memiliki keterampilan ini, carilah di tempat lain, karena
penjahat dunia maya ini menggunakan pengawasan balik, yang harus Anda hindari.
Bukti yang akan Anda temukan mungkin berasal dari penyelidikan awal terhadap bukti
digital. Apakah penjahat dunia maya langsung menuju bukti ini atau apakah mereka menavigasi
jalur mereka melalui jaringan sebelum menemukan bukti ini?
Lihatlah bisnis perusahaan korban dan apakah itu perusahaan yang pengumpulan informasinya
merupakan produk sampingan dari bisnis inti atau sebenarnya bisnis inti itu sendiri, seperti
menjadi gateway pembayaran. Informasi ini akan membantu dalam memahami motivasi
penyerang dan jenis kejahatan dunia maya yang Anda cari.
Perusahaan dan organisasi pendidikan dan pemerintah memiliki akses ke sistem komputer
yang besar dan kuat dengan prosesor dan bandwidth. Penyerang dapat membobol sistem
untuk meng-host situs kriminal (seperti apotek online palsu) atau menggunakan bandwidth
untuk meluncurkan serangan Denial of Service (DoS) terhadap target lain. Atau, mereka
mungkin mencoba menggunakan ini
sumber daya untuk menambang Bitcoin.
Bentuk serangan ini dapat hilang dalam lalu lintas aktivitas normal sehari-hari di mana
terdapat volume aktivitas yang tinggi di jaringan internal dan eksternal; namun, penggunaan
sumber daya bandwidth memberikan biaya kepada perusahaan korban.
Pertimbangan Penyidik
Ini adalah bentuk investigasi yang unik, karena banyak korban dari bentuk kejahatan dunia
maya ini tidak mengajukan pengaduan karena berpotensi merusak reputasi. Jika Anda
dipercaya untuk menyelidiki kejahatan ini, lihat siapa yang diuntungkan dari pelanggaran
tersebut, seperti apotek online atau penambang Bitcoin. Detail tentang kompromi mungkin
juga menarik, karena pelanggaran yang jelas mungkin merupakan produk sampingan dari
peretasan awal yang mencari IP dan detail siswa/staf.
Lembaga akademik adalah surga bagi IP berharga yang dikembangkan oleh mahasiswa
pascasarjana dan doktoral, yang sangat dihargai oleh negara-bangsa,
Machine Translated by Google
Pertimbangan Penyidik
Peningkatan hak istimewa melibatkan navigasi jalur melalui serangkaian akun pengguna
dari tingkat rendah ke tingkat yang lebih tinggi untuk menemukan di mana pengguna
mendapatkan akses ke data rahasia. Anda mungkin harus bekerja mundur dari titik identifikasi
pelanggaran untuk menemukan akun siapa yang disusupi pertama kali dan bagaimana hal
ini dicapai. Ini akan memberikan bukti penyerang memasuki organisasi dan mendapatkan
tingkat hak istimewa terendah. Anda dapat, misalnya, menemukan tautan antara alamat
Protokol Internet penyerang yang ditemukan di awal
kompromi akun pegawai junior dan alamat Protokol Internet tempat data yang dicuri
diteruskan.
Memahami perilaku pra-pelanggaran, termasuk pengintaian, pengujian kerentanan, dan
serangan phishing, dapat memberikan detail tentang perilaku dan atribusi pelaku.
komputer kontraktor daripada studio besar Hollywood, yang memiliki lebih banyak sumber
daya untuk mempertahankan diri.
Pertimbangan Penyidik
Perhatikan baik-baik apa yang diambil dan siapa yang mungkin mendapat manfaat dari
serangan itu. Dalam contoh yang diberikan dari kontraktor Hollywood, lihat apakah pelaku
langsung ke IP atau apakah IP hanya ditemukan sebagai produk sampingan dari pemeriksaan
sistem.
Meskipun kita mungkin berpikir penjahat dunia maya adalah tipe orang yang sangat
terstruktur, termotivasi, dan terampil, terkadang mereka beruntung dan menemukan IP yang
sangat berharga tanpa terlebih dahulu memahami target yang mereka retas. Akibatnya,
mereka beruntung.
Serangan ini dengan sengaja menargetkan informasi kartu kredit untuk dieksploitasi atau
untuk dijual secara online melalui pasar perdagangan kriminal. Informasi ini meliputi nama,
alamat, nomor kartu kredit, tanggal lahir, keluarga terdekat, nomor telepon, dan sebagainya.
Nomor kartu digunakan untuk membeli barang dari pengecer online menggunakan
layanan Internet, dengan penjahat dunia maya mengirimkan barang ke alamat yang telah
ditentukan. Ini mungkin alamat kolega yang tidak diketahui, alamat kantor, properti sewaan,
atau titik penjemputan yang mengkhususkan diri dalam menerima parsel untuk klien, karena
beberapa layanan pos beroperasi. Ini dikenal oleh pengecer sebagai penipuan "kartu tidak
ada" dan membawa biaya keuangan yang signifikan bagi pengecer, karena perusahaan kartu
kredit membalikkan tagihan ke pengecer.
Sebagai alternatif, penjahat dunia maya dapat menjual informasi dari kartu kepada klien
sebagai barang massal, mengenakan biaya per unit atau dengan diskon volume. Jika
informasi tersebut berasal dari kartu dengan nilai tertentu, seperti kartu American Express
Platinum, kartu tersebut dapat dijual satu per satu dengan harga yang dinegosiasikan.
Pertimbangan Penyidik
Ini cenderung merupakan kejahatan bervolume besar, dengan ratusan juta kartu kredit
tersedia untuk dijual secara online di pasar kriminal. Seperti disebutkan sebelumnya, bahkan
tidak mempertimbangkan pergi ke pasar kriminal kecuali Anda sangat ahli dalam perdagangan
online, atau bahkan lebih baik, telah membawa penyelidik cyber yang berpengalaman di
bidang ini.
Machine Translated by Google
Mengidentifikasi siapa penerima manfaat dari transaksi adalah cara yang lebih produktif
jalur bagi penyelidik yang menyelidiki penipuan kartu-tidak-hadir individu.
Serangan ini berusaha untuk mendapatkan akses ke sistem komputer melalui pengiriman
dari perangkat lunak berbahaya. Ini bisa berupa serangan internal atau eksternal. Sebuah
Contohnya adalah Advanced Persistent Threat (APT), di mana seseorang memperoleh akses yang tidak
sah ke perangkat komputer dan mempertahankan keberadaan mereka yang tersembunyi, mengumpulkan
data baru setiap hari. APT dapat muncul dari seminggu hingga beberapa tahun
sebelum ditemukan.
Teknik Penyelidik
Mengidentifikasi perangkat lunak berbahaya yang digunakan dalam kejahatan adalah salah satu langkah pertama untuk
Pertimbangan Penyidik
Pada hari-hari awal investigasi, lihat siapa yang diuntungkan dari kerusakan reputasi klien Anda.
Meskipun ini mungkin penyerang acak dengan
motif pemerasan, jika perusahaan sedang dalam proses negosiasi yang rumit dengan
klien potensial atau tender untuk kontrak baru, mungkin ada sinyal yang jelas seperti
Machine Translated by Google
untuk siapa calon tersangka mungkin. Klien Anda mungkin dapat mengarahkan Anda ke
arah ini.
Pertimbangan Investigasi
Ini adalah serangan yang sangat pribadi di mana tidak ada tersangka yang jelas. Merusak
data untuk mendorong perusahaan membuat keputusan bisnis yang buruk bukanlah
keuntungan besar bagi rata-rata penjahat dunia maya yang mencari keuntungan finansial pribadi.
Berbicara kepada pelapor akan memberikan arahan kepada calon penerima manfaat
dari kejahatan tersebut. Juga memahami bagaimana tindakan diidentifikasi akan memberikan
arahan bantuan lebih lanjut.
Seseorang yang termotivasi untuk melakukan serangan semacam itu akan mencakup
mantan karyawan yang tidak puas yang mengubah data sebelum mereka pergi sebagai
pembalasan atas keluhan yang dirasakan. Jangan pernah meremehkan motivasi mantan
karyawan yang marah.
Peretas suka membuktikan keahlian mereka dan membangun portofolio perusahaan yang
telah berhasil mereka serang. Sebuah perusahaan mungkin menjadi korban acak dari
peretas yang berusaha membangun kredibilitas mereka di komunitas peretasan.
Pertimbangan Penyidik
Karena viktimologi kejahatan ini dapat dianggap sebagai kesialan murni, mungkin ada
beberapa petunjuk bagi penyelidik untuk dipertimbangkan dari perspektif motivasi.
Penyelidik yang mengetahui jalan mereka di papan buletin dan situs web yang berkomunikasi
dengan penjahat dunia maya dapat mengambil beberapa detail tentang siapa yang berada di balik
serangan itu. Penjahat dunia maya baru yang menguji keterampilan mereka ingin memberi tahu semua
orang tentang serangan yang berhasil mereka lakukan dengan tujuan membangun reputasi mereka.
Gunakan kerentanan penjahat ini terkait dengan kebutuhan untuk mempromosikan diri mereka sendiri
untuk melihat apa yang dapat Anda ketahui tentang mereka dan untuk membangun profil mereka.
Machine Translated by Google
Pertimbangan Penyidik
Menyelidiki bentuk kejahatan dunia maya ini melibatkan pemahaman tentang kerentanan
teknis dari situs yang dieksploitasi. Lihat untuk melihat ke mana repositori data telah dikirim,
yang biasanya merupakan situs web yang dikendalikan oleh penyerang. Seperti disebutkan
sebelumnya, diskusi dengan perusahaan keamanan siber (seperti Sophos dan Symantec)
dapat memberi Anda informasi mengenai komponen teknis serangan dan prospek yang
mungkin Anda hasilkan dari mereka.
Pertimbangan Penyidik
Alasan serangan DoS atau DDoS mungkin sesederhana upaya pemerasan, motivasi politik
(sebagai pihak yang menyimpan dendam pribadi terhadap target), atau kerusakan reputasi
bisnis, seperti yang telah dibahas sebelumnya.
Berbicara kepada pelapor dapat memberikan beberapa informasi berharga, terutama jika
telah terjadi komunikasi dengan penyerang. Dalam kasus ini, mungkin ada permintaan tebusan
untuk dibayarkan ke akun mata uang virtual atau permintaan untuk mengubah filosofi
perusahaan yang disebutkan.
Ransomware
Di sini, penyerang mengenkripsi hard drive perangkat yang dapat mereka akses dan juga
mengenkripsi cadangan, jika dapat diakses. Jika korban tidak memiliki backup offline,
Machine Translated by Google
mereka diharuskan membayar uang tebusan kepada penyerang untuk mendapatkan kembali akses ke data mereka.
Serangan ini juga dapat mencakup pencurian data dari perangkat atau jaringan sebelumnya
proses enkripsi dimulai.
Pertimbangan Penyidik
Seperti yang sudah dibahas sebelumnya, akan ada bentuk komunikasi dari tersangka. Biasanya ini
berupa email atau catatan yang tertinggal di komputer korban.
Identifikasi akun mata uang virtual tempat pembayaran akan dilakukan dan identifikasi volume
pembayaran yang dilakukan padanya. Dalam kasus Bitcoin, Anda dapat menggunakan
Blokir Explorer di situs Blockchain (https://www.blockchain.com/explorer)
untuk memasukkan alamat di mana pembayaran Bitcoin akan dilakukan untuk mendapatkan
pemahaman tentang besarnya kejahatan dan apakah itu serangan acak atau
ditargetkan secara khusus.
Setelah pemilik akun memasukkan nama pengguna dan kata sandi mereka, penjahat cyber
memiliki akses ke akun klien. Kesulitan bagi penjahat dunia maya
adalah jika korban memiliki otentikasi dua faktor di akun mereka; maka mereka akan
harus mengembangkan strategi lebih lanjut untuk mengalahkan tingkat keamanan ini.
Tahap selanjutnya untuk penjahat dunia maya setelah mereka memiliki akses langsung ke
akun adalah untuk menghapus dana. Ini dapat menghadirkan rintangan logistik lebih lanjut jika
mereka berada di negara yang berbeda dengan korbannya dan tidak dapat langsung mentransfer
hasil kejahatannya ke luar negeri.
Penjahat dunia maya yang berpengalaman dapat memantau akun untuk beberapa
minggu untuk mendapatkan pemahaman penuh tentang bagaimana uang mengalir melalui rekening.
Contoh kegiatan yang menarik termasuk ketika gaji korban masuk ke
akun dan ketika hipotek dan utilitas dibayar, secara efektif memetakan
aliran uang untuk mengidentifikasi kapan dalam siklus pembayaran ada uang paling banyak di
Akun.
Beberapa lembaga keuangan memiliki batasan harian pada transfer uang dari
Akun. Untuk memaksimalkan pengembalian finansial, penjahat dunia maya akan mentransfer saldo
dana harian yang tersedia pada jam 23:59 dan kemudian saldo harian baru
pada pukul 00:01 keesokan harinya.
Machine Translated by Google
Ketika dana telah diakses dan uang akan dipindahkan melintasi perbatasan internasional,
penjahat dunia maya akan membutuhkan korban lain atau rekan yang tidak mengetahui untuk
membantu memindahkan dana ke yurisdiksi yang dapat mereka akses. Rekan yang tidak
mengetahui itu pada dasarnya menjadi keledai uang.
Keledai uang adalah orang yang tidak tahu apa-apa yang percaya bahwa mereka terlibat
dalam usaha bisnis yang sah atau yang telah direkayasa secara sosial untuk percaya bahwa
mereka menjalin hubungan dengan orang yang sah. Ini harus dilihat secara terpisah. Karena ini
adalah metode umum untuk mengeluarkan uang di seluruh yurisdiksi internasional, penyelidik
mungkin diminta untuk mewawancarai mereka untuk mengidentifikasi tingkat kesalahan mereka.
Bagal uang bisnis adalah orang yang telah menanggapi iklan online untuk apa yang mereka
yakini sebagai pekerjaan yang sah. Pekerjaan yang paling umum mereka direkrut adalah untuk
menerima uang ke rekening bank mereka atas nama perusahaan yang mempekerjakan mereka
sementara itu menempatkan dirinya di negara tuan rumah.
Ketika uang dimasukkan ke dalam rekening mereka, mereka diharuskan untuk segera
mengirimkannya ke rekening tertentu atau kepada orang yang menggunakan layanan pengiriman
uang, menukarnya dengan mata uang virtual, atau menggunakan rekening bank pribadi mereka
untuk mentransfer uang ke luar negeri. Mereka diizinkan untuk menyimpan jumlah tertentu
sebagai komisi, yang memperkuat keyakinan mereka bahwa mereka terlibat dalam usaha bisnis
yang sah.
Ini adalah waktu yang berisiko bagi penjahat dunia maya, karena mereka mempercayai
pihak ketiga untuk menjadi pihak yang tidak terpisahkan dari kejahatan dunia maya mereka.
Untuk mengurangi risiko, mereka dapat segera menghubungi bagal uang mereka melalui
telepon dan menyimpannya di telepon saat uang diperoleh dan ditransfer. Ini mungkin
memerlukan investasi beberapa jam dari waktu mereka, tetapi membantu mengurangi risiko
keledai uang memutuskan untuk menyimpan rejeki nomplok untuk diri mereka sendiri.
Ini adalah tipe orang yang sangat berbeda dari bagal uang bisnis, karena mereka percaya
bahwa mereka berada dalam hubungan yang mapan dengan orang lain. Hubungan ini mungkin
berlangsung selama beberapa tahun. Bentuk paling umum dari orang yang sesuai dengan
kategori ini adalah orang yang telah menjadi korban melalui penipuan hubungan online, di mana
mereka telah mengirim uang kepada teman baru mereka untuk mendukung mereka dan
membawa mereka ke negara asal mereka.
Seiring berkembangnya hubungan, korban diminta untuk menerima uang ke rekening bank
mereka untuk membantu memfasilitasi usaha bisnis yang dibutuhkan teman online mereka
Machine Translated by Google
menyelesaikan perjalanan mereka untuk menemui korban. Pada saat ini, ada ikatan
emosional yang sangat kuat antara korban dan penjahat dunia maya, dan korban percaya
apa yang diberitahukan kepada mereka.
Pertimbangan Penyidik
Untuk penyelidik yang belum menemukan contoh individu bertemu orang di Internet, jatuh
cinta atau percaya apa yang mungkin tampak jelas penipuan, kecenderungannya adalah
untuk mencurigai bahwa para korban terlibat dalam penipuan dan perlu dituntut. Meskipun
ini mungkin berlaku sesuai dengan undang-undang di yurisdiksi Anda, sayangnya ini
adalah kejadian yang sangat umum. Pada sebagian besar kesempatan, orang-orang ini
telah direkayasa secara sosial dan tidak memiliki pemahaman bahwa mereka telah
berurusan dengan penjahat profesional.
Untuk memajukan penyelidikan Anda, mintalah kerja sama dari bagal uang untuk
mendapatkan informasi sebanyak mungkin untuk mengidentifikasi informasi tentang
penjahat dunia maya. Komunikasi email, alamat Skype, rekaman komunikasi, nomor
telepon, nama kontak penerima uang yang dikirim melalui layanan pengiriman uang, dan
riwayat pekerjaan/hubungan dapat digunakan untuk memajukan penyelidikan Anda.
Alternatif lebih lanjut untuk penipuan ini adalah penjahat mendapatkan akses ke
akun email kreditur ke perusahaan dan mengirim email yang sah meminta pembayaran
yang akan datang dibayarkan ke rekening bank baru. Korban mengkonfirmasi ini sebagai
permintaan dari kreditur biasa dan tidak memiliki alasan untuk percaya bahwa email
tersebut adalah penipuan.
Pertimbangan Penyidik
Bukti dapat ditemukan dari konfirmasi strategi serangan melalui pemeriksaan email yang
berisi permintaan untuk mengubah rincian rekening bank.
Jika email tersebut merupakan salinan dekat dari alamat email biasa kreditur, kemungkinan
besar merupakan indikator bahwa kreditur belum dikompromikan dan penyerang telah
Machine Translated by Google
membuat nama domain yang sangat mirip dengan nama kreditur. Pemeriksaan catatan domain dari domain
yang dicurigai akan memberi tahu Anda kapan domain tersebut didaftarkan dan mungkin oleh siapa,
memungkinkan kenyataan bahwa banyak detail registri domain yang salah. Bahkan informasi ini akan
membawa Anda ke pertanyaan lebih lanjut, karena Anda akan tertarik untuk mengidentifikasi bagaimana
penyerang mengetahui pembayaran harus dilakukan kepada kreditur dan siapa di dalam perusahaan korban
email itu akan dikirim.
dikirim ke.
Jika email yang berisi permintaan palsu untuk mengubah detail rekening bank adalah email yang benar
dari kreditur yang dikenal, kemungkinan besar telah terjadi pelanggaran keamanan bisnis kreditur di mana
penyerang telah mengakses akun email perusahaan, memantau sistem piutang, dan diidentifikasi ketika
hutang usaha oleh perusahaan target harus dibayar.
Pemeriksaan di mana dana itu dibayarkan akan mengarah pada informasi lebih lanjut.
Seringkali penerima adalah bagal uang dan pertanyaan dapat dilanjutkan seperti yang telah dibahas
sebelumnya.
memungkinkan penjahat dunia maya untuk mencapai target potensial di setiap sudut dunia. Faktanya, lebih
mudah dan lebih aman untuk menipu seseorang di belahan dunia lain daripada tetangga Anda.
Ada banyak strategi yang tersedia untuk penjahat dunia maya; namun, dalam mengambil penelitian
tentang target mereka digunakan di semua strategi. Situs media sosial diteliti serta pertanyaan mesin pencari.
Bila diperlukan, mereka akan meneliti situs silsilah untuk memberikan latar belakang tentang target mereka,
sehingga ketika pendekatan awal dilakukan terhadap target, penjahat memiliki informasi pribadi yang dapat
dikuatkan.
Penipuan Hubungan
Kejahatan ini menargetkan kerentanan manusia akan kesepian dan memanfaatkan harapan bahwa seseorang
dapat menemukan pasangan secara online. Ini adalah bentuk yang sangat kejam dari
Machine Translated by Google
kejahatan, seperti yang dikatakan korban, mereka merasa sulit untuk memahami mana yang lebih
buruk: kehilangan uang mereka dalam penipuan atau ditipu secara emosional.
Seorang korban mungkin ditemukan di situs hubungan atau melalui media sosial. Situs hubungan
sangat berharga bagi penyerang karena mereka dapat mengidentifikasi banyak tentang korban dari
profil mereka, termasuk latar belakang mereka, status mereka saat ini, suka dan tidak suka, harapan
mereka untuk masa depan, dan atribut yang mereka cari. mitra masa depan. Penipu akan menggunakan
teknik yang disebut "mirroring" untuk mencerminkan nilai dan keinginan target mereka kembali kepada
mereka dengan membuat profil untuk tujuan itu atau memodifikasi profil penipuan yang ada. Misalnya,
jika target suka berjalan-jalan di pantai dengan anjing Labrador mereka dan minum segelas anggur
merah malam sebelum kebakaran, maka profil penipu akan mengatakan hal yang persis sama. Jika
profil korban mengatakan bahwa mereka telah kehilangan pasangan karena penyakit tertentu, penipu
akan mengungkapkan peristiwa kehidupan yang sangat mirip, memberikan hubungan emosional yang
kuat. Seperti yang dinyatakan, ini adalah kejahatan yang sangat kejam.
Dalam komunikasi awal, penjahat akan mencari informasi sebanyak mungkin tentang korban,
mengajukan banyak pertanyaan dan mengisi database pengetahuan mereka untuk mengeksploitasi
target mereka. Korban tidak akan terbiasa dengan tingkat ketertarikan mereka untuk ditampilkan dan
penjahat akan mulai menggunakan bahasa emosional. Bagi korban, tujuan pergi ke situs hubungan—
menemui pasangan yang cocok—akan tampak terpenuhi.
Selama beberapa hari dan minggu mendatang mereka akan menerima banyak pesan positif,
termasuk "Saya pikir saya mencintaimu." Meskipun mungkin tampak sangat tidak biasa untuk jatuh
cinta dengan seseorang yang belum pernah Anda temui secara fisik, ada ratusan ribu orang normal di
seluruh dunia yang telah direkayasa secara sosial oleh bentuk kejahatan ini dengan pemicu psikologis
kesepian yang disalahgunakan.
Korban akan mengirimkan uang kepada penipu untuk membantu mereka dalam perjalanan ke
negara korban, termasuk biaya menyelesaikan usaha bisnis, biaya pemerintah yang diperlukan, dan
sebagainya. Setiap pembayaran dipenuhi dengan permintaan baru untuk lebih banyak uang. Penjahat
dunia maya sangat ahli dalam hal ini, karena mereka akan mengetahui kapan korban menerima
pembayaran mereka, kapan rekening jatuh tempo, dan sejenisnya.
Kekejaman jenis kejahatan ini ditunjukkan dengan cara korban direkayasa secara sosial. Dalam
hubungan di mana orang-orang tinggal bersama, orang terakhir yang biasanya Anda ajak bicara di
malam hari adalah pasangan Anda. Orang pertama yang Anda ajak bicara di pagi hari adalah pasangan
Anda. Dalam penipuan hubungan, penjahat dunia maya akan menelepon hal terakhir di malam hari
untuk memberi tahu korban mereka, "Aku mencintaimu ... Selamat malam," dan lagi di pagi hari untuk
membuat komentar di sepanjang baris, "Aku punya
Machine Translated by Google
memikirkanmu sepanjang malam. Aku mencintaimu ... Semoga harimu menyenangkan.” Ini
adalah pesan yang sangat kuat.
Pertimbangan Penyidik
Penjahat dunia maya biasanya berada di yurisdiksi asing menggunakan akun web sekali pakai,
telepon sekali pakai, dan identitas palsu. Ini adalah kejahatan yang sangat sulit untuk diselidiki,
dan sangat sulit untuk mengidentifikasi tersangka di dunia nyata.
Anda akan memerlukan kerja sama dari penegak hukum atau penyelidik sipil di yurisdiksi
asing. Bukti lokal Anda akan mencakup catatan telepon, alamat Inter net Protocol, dan tanda
terima transfer uang, serta salinan komunikasi teks pada aplikasi seperti Skype.
Penipuan Warisan
Dengan banyaknya materi yang tersedia tentang orang-orang secara online, mempelajari latar
belakang orang menjadi mudah, dengan media sosial dan situs silsilah menyediakan sumber
daya yang berharga bagi penjahat dunia maya.
Penipu warisan akan menyiapkan surat pengantar ke target mereka menggunakan nama
firma hukum asing yang sah dan mengidentifikasi kerabat target mereka yang menurut penelitian
tinggal dan meninggal di luar negeri. Penipu akan menyatakan bahwa kerabat meninggalkan
sejumlah besar uang untuk target. Surat pengantar akan mencakup banyak referensi keluarga,
yang dapat diverifikasi secara independen oleh target.
Korban akan diinstruksikan untuk melakukan pembayaran biaya, retribusi, pajak, dan
sejenisnya sebelum dana tersebut dapat dikeluarkan. Tergantung pada keterampilan penjahat
cyber, biaya ini dapat mencapai ratusan ribu dolar.
Pertimbangan Penyidik
Seperti halnya penipuan hubungan, pelaku biasanya akan berada di luar negeri dan tersembunyi
di balik lapisan teknologi. Sejumlah besar uang yang dikirim dapat memberikan jalan penyelidikan
di yurisdiksi asing, seperti halnya catatan telepon, catatan pesan, dan alamat IP.
Ini adalah beberapa contoh dari banyak serangan terkait dunia maya yang mungkin Anda
terlibat dalam penyelidikan dalam karier Anda. Masih banyak lagi dan masing-masing
memerlukan tingkat pemikiran lateral oleh penyelidik untuk memahami metodologi serangan,
motivasi, dan konsekuensi.
Bab 3 akan mengidentifikasi serangkaian faktor yang memotivasi orang untuk melakukan a
kejahatan dunia maya, termasuk mengapa perusahaan atau individu tertentu menjadi sasaran.
Machine Translated by Google
Seorang pria berada di situs hubungan online ketika dia bertemu dengan seseorang yang dia rasa
memiliki masa depan. Dia menginvestasikan banyak waktu dengannya dan membangun hubungan
emosional yang kuat meskipun mereka berada di negara yang berbeda. Dia mendorong pembangunan
hubungan dengan mengatakan semua frasa yang perlu dia dengar, seperti "Aku mencintaimu," yang
merupakan ungkapan yang sangat kuat yang dia rasa tidak akan pernah dia dengar lagi.
Pada tahap tertentu dalam fase perawatan awal, dia mengungkapkan bahwa saudaranya telah
meninggal karena cacat jantung bawaan dan ini menempatkan beban emosional pada hidupnya.
Penipu mengidentifikasi ini sebagai bentuk kerentanan dan kemudian memperkenalkannya kepada
putranya. Seiring waktu penipu meyakinkannya bahwa mereka memiliki masa depan bersama, dan
putranya yang berusia empat tahun mulai bertanya, "Apakah kamu akan menjadi ayah baruku?" Ini
menutup hubungan sejauh menyangkut korban, karena dia sangat ingin menjadi orang tua.
Setelah hubungan itu diamankan, anak itu secara misterius mengembangkan cacat jantung
kongenital yang membutuhkan sejumlah uang secara teratur untuk pengobatan dan kemudian
operasi. Korban bertekad bahwa anak itu akan menerima perawatan kesehatan terbaik dan mengirim
sejumlah besar uang untuk perawatan kesehatan anak, obat-obatan, dan sejenisnya. Dia
menguangkan uang pensiunnya, membayar semua biaya saat terjadi, dan diberikan tanda terima
medis, yang kemudian terbukti palsu. Karena kesehatan anak itu menurun, ia membayar untuk
transplantasi jantung yang mendesak atas permintaan ibu, pendeta, dokter, dan “teman-teman
keluarga” lainnya.
Setelah identifikasi penipuan, surat perintah penggeledahan dilakukan di alamat tersangka
yang mengidentifikasi log komunikasi, catatan telepon, tanda terima keuangan, dan pengakuan
sebagian, membuktikan kesalahan wanita tersebut. Dia divonis lima tahun penjara.
CATATAN
Catatan _ 27
Tinjauan Hukum dan Keamanan Komputer 29, no. 2 (2013): 152–163, https://www
.sciencedirect.com/science/article/pii/S0267364913000241.
4. Roderic Broadhurst, “Perkembangan dalam Penegakan Hukum Global”
Cyber-Crime,” Pemolisian: Sebuah Jurnal Internasional Strategi dan Manajemen
Polisi 29, no. 3 (2006): 408–433, https://papers.ssrn.com/sol3/papers
.cfm?abstract_id=2089650.
Machine Translated by Google
3 BAB TIGA
Motivasi Penyerang
wilayah.
SEPERTI YANG TELAHBatas-batas pelanggaran
KITA lihat di Bab 2, pelanggaran hanya dibatasi
kejahatan oleh
dunia maya imajinasi
mencakup penyerang.
cakupan yang luas
Penjahat dunia maya datang dalam berbagai bentuk dan ukuran dan
dimotivasi oleh alasan yang masuk akal bagi mereka pada saat serangan mereka.
Setelah diidentifikasi, serangan, motivasi, atau metodologi tidak selalu harus masuk
akal bagi korban atau penyidik, karena mereka bukanlah orang yang memutuskan
alasan mereka cukup untuk memulai serangan pada awalnya.
contoh.
Sementara penyidik dapat memulai penyelidikan dengan pemahaman yang
dirasakan tentang apa yang akan mereka temukan dalam beberapa hari mendatang,
kenyataan dari apa yang mereka temukan mungkin sangat berbeda. Jika mereka
memulai penyelidikan mereka dengan pandangan terowongan tentang apa yang
terjadi, mereka akan salah membaca bukti dan mengabaikan apa yang tidak sesuai
dengan bias bawah sadar mereka. Singkatnya, ikuti bukti dan buat keputusan tentang
apa yang terjadi dan alasan mengapa di akhir penyelidikan. Jika Anda memiliki pikiran
terbuka, bukti akan membawa Anda ke jalan yang benar.
Tanpa mengetahui identitas penyerang, motivasi serangan dapat diidentifikasi
dari metodologi yang digunakan atau kerusakan yang ditimbulkan.
Atau, penyerang dapat menghubungi korban mereka setelah serangan ditemukan
dan menjelaskan motivasi mereka dengan membuat permintaan pemerasan.
29
Buku Pegangan Penyidik Kejahatan Dunia Maya, Edisi pertama. Graeme Edwards,
PhD. © 2020 John Wiley & Sons, Inc. Diterbitkan 2020 oleh John Wiley & Sons, Inc.
Machine Translated by Google
30 Motivasi Penyerang
Pemeriksaan jalur melalui jaringan yang telah dilalui oleh peretas eksternal dapat menunjukkan tingkat
keakraban mereka dengan jaringan internal, terutama jika mereka melakukan perjalanan langsung ke
target dan mengambil data yang dicari. Atau, penyerang yang tersandung di sekitar jaringan kehilangan
data kunci mungkin merupakan bukti penjahat dunia maya dengan keterampilan terbatas yang mencari
untuk melihat apa yang dapat mereka temukan. Pemeriksaan log sistem sebelum serangan dapat
menemukan bukti penyerang melakukan pengintaian ekstensif terhadap jaringan dan keamanannya.
Penjahat dunia maya mungkin internal atau eksternal jaringan, atau kontraktor. Sementara
pemahaman umum tentang penjahat dunia maya adalah orang yang secara fisik jauh dari jaringan yang
mereka serang, karyawan internal mungkin membawa salinan IP berharga bersama mereka ke majikan
berikutnya atau menjualnya ke pesaing. Seorang karyawan internal yang jahat juga dapat bersiap untuk
menjalankan program pada perangkat USB, memungkinkan penyerang yang mereka ketahui akses
jarak jauh ke jaringan perusahaan majikan mereka.
MOTIVATOR UMUM
Berikut ini adalah contoh motivator umum penjahat dunia maya untuk kejahatan mereka. Daftar ini tidak
lengkap, karena poin penting untuk dipahami adalah bahwa motivasi penyerangan akan masuk akal
bagi pelaku kejahatan selama mempersiapkan dan melakukan pelanggaran. Oleh karena itu daftar
motivasi potensial mungkin jauh lebih luas daripada daftar ini.
Pembalasan dendam
Seorang penyerang dapat melakukan tindak pidana terhadap perusahaan setelah ketidakadilan yang
dirasakan terhadap diri mereka sendiri. Penyerang mungkin adalah karyawan atau mantan karyawan,
pesaing, atau kelompok yang termotivasi oleh masalah. Seorang karyawan saat ini atau mantan
karyawan mungkin dimotivasi karena telah dilewati untuk promosi, karena tidak menerima kenaikan gaji
yang memenuhi harapan mereka, atau karena perilaku mereka yang didisiplinkan dan tidak memenuhi
standar kinerja.
Bentuk serangan akan bervariasi berdasarkan keterampilan dan sumber daya yang tersedia untuk
penyerang.
Peluang
Dalam kasus karyawan internal, mungkin tidak ada motivasi awal oleh karyawan untuk melakukan
segala bentuk kejahatan terhadap majikan mereka. Namun,
Machine Translated by Google
Motivator Umum 31
saat melakukan tugas mereka, mereka dapat mengidentifikasi kerentanan dalam sistem internal di mana
uang atau data dapat dihapus tanpa ada orang lain yang dapat mengidentifikasi tindakan mereka. Dari sana,
mereka dapat memutuskan untuk mengeksploitasi kerentanan untuk keuntungan mereka dan mulai mengambil
uang atau data untuk dijual ke pihak lain.
Keputusan untuk melakukan pelanggaran dapat berkembang dalam periode yang signifikan setelah
mengidentifikasi potensi kerentanan, ketika peluang terbukti terlalu banyak godaan bagi mereka. Contohnya
termasuk staf akuntansi menambahkan karyawan palsu ke sistem akuntansi dan mengirimkan pembayaran
ke rekening bank mereka, manajer akuntansi mengoperasikan serangkaian pembukuan kedua untuk
menyembunyikan perilaku tidak jujur mereka, dan pembuatan faktur palsu, dengan pembayaran kreditur
masuk ke rekening mereka. rekening bank pribadi.
Ketamakan
Tidak ada kejutan di sini. Keserakahan adalah motivator umum bagi penjahat, baik internal maupun eksternal
perusahaan. Potensi untuk memperkaya hidup mereka dengan mengorbankan orang lain adalah pilihan yang
menarik bagi mereka, dengan sedikit atau tanpa perhatian tentang kerusakan yang mereka lakukan terhadap
orang lain. Keserakahan tidak terdaftar sebagai salah satu dari tujuh dosa mematikan secara tidak sengaja.
Penyelidik dapat mengungkap motivator ini dengan sangat cepat, dalam hal ini penekanannya adalah
pada pencarian hasil kejahatan dengan maksud untuk mengurangi potensi kerusakan.
Tes Keterampilan
Beberapa penjahat cyber mungkin melakukan serangan teknis terhadap orang lain sebagai latihan untuk
mengembangkan keterampilan mereka untuk serangan yang lebih menguntungkan secara finansial. Mereka
juga dapat menggunakan serangan ini untuk mengiklankan keahlian mereka dan kompromi sistem mereka
yang berhasil untuk membangun kredibilitas mereka di situs web penjahat dunia maya.
Script kiddies adalah pendatang baru di komunitas kejahatan dunia maya yang sangat bergantung pada
teknologi dan pendidikan yang disediakan oleh penjahat dunia maya yang lebih berpengalaman. Mereka
mungkin memiliki tingkat keterampilan teknis yang rendah; namun, mereka memulai karir mereka dengan
mempelajari alat dan keahlian dari situs web dan forum kriminal. Saat mereka mengembangkan dan menguji
keterampilan mereka, pilihan mereka untuk melakukan kejahatan dunia maya meluas.
Pesaing Bisnis
Pasar dapat menjadi lingkungan yang sangat agresif untuk bisnis, dengan masing-masing menempatkan
penekanan pada pengembangan keunggulan strategis. Salah satu caranya adalah dengan mencuri IP
pesaing melalui peretasan komputer untuk memberikan keuntungan.
Machine Translated by Google
32 Motivasi Penyerang
Cara lainnya adalah merusak reputasi pesaing melalui serangan teknis, membuat klien yang
sudah ada dan calon klien khawatir tentang melakukan bisnis dengan perusahaan di bawah
serangan teknis.
Strategi-strategi ini mungkin sangat berhasil ketika tender melibatkan korban
perusahaan harus diputuskan.
Kriminal Profesional
Ini adalah serangan yang sangat pribadi dan korban mungkin menjadi sasaran untuk alasan
politik daripada peristiwa lainnya. Contohnya mungkin pengiklan yang menjadi sasaran boikot
konsumen atau bisnis yang menyediakan produk atau layanan yang mungkin tidak disetujui
oleh anggota komunitas. Bisa juga melibatkan target membuat komentar di media sosial
yang dianggap salah.
Geopolitik
Aktor negara adalah lembaga pemerintah atau kelompok yang terkait yang melakukan
aktivitas siber atas nama pemerintah tersebut. Motivasinya mungkin untuk mencari IP industri
tertentu di luar negeri untuk mendapatkan keunggulan kompetitif. Sebagai alternatif, mereka
mungkin berusaha untuk menargetkan infrastruktur perusahaan atau negara yang bermusuhan
untuk menyebabkan kerusakan sebanyak mungkin.
Terorisme
Dengan dunia yang terhubung, ada peluang bagi orang-orang di lokasi terpencil untuk
menargetkan infrastruktur penting dari suatu entitas yang mereka ingin menyebabkan
kerusakan ekstrim. Seseorang di lokasi terpencil mungkin melihat tujuan mereka maju dengan
menyebabkan kegagalan keamanan besar-besaran di infrastruktur penting negara lain—
seperti listrik, energi nuklir, atau pengiriman air—yang menyebabkan hilangnya nyawa dalam
skala besar.
Machine Translated by Google
Keahlian penyerang dapat bervariasi; namun, dengan beragamnya jaringan kerja dan
alat penyerang yang tersedia secara online secara gratis dengan instruksi dukungan yang
tersedia, ambang batas untuk menjadi penjahat dunia maya sangat rendah.
Seperti disebutkan sebelumnya, motivasi mungkin tidak masuk akal bagi pengadu atau
penyelidik. Bahkan, beberapa motivasi mungkin tidak pernah terungkap. Yang penting bagi
penyerang, motivasi itu masuk akal untuk memulai tindak pidana.
Sementara negara bangsa dan kontraktor kriminal dapat dianggap sebagai aktor,
mereka masih memiliki motivasi khusus untuk melakukan serangan.
Akuntan bisnis diarahkan untuk membuat faktur palsu untuk dipasok ke perusahaan
pembiayaan, yang membeli faktur sebesar 80 persen dari nilai nominalnya.
Perusahaan berada dalam kondisi keuangan yang buruk dan perusahaan anjak piutang
tidak melakukan penyelidikan menyeluruh terhadap kesehatan keuangan klien baru mereka
sebelum menyetujui untuk menyusun perjanjian anjak piutang. Dalam beberapa bulan
perjanjian pembiayaan, perusahaan membuat faktur palsu untuk dijual ke perusahaan anjak
piutang. Itu juga berusaha untuk menghasilkan faktur palsu untuk investor serta kantor pajak
pemerintah.
Karena buku perusahaan dibutuhkan oleh banyak sumber, termasuk perusahaan
keuangan, pemilik mengarahkan akuntan untuk membuat set buku yang berbeda untuk
audiens yang berbeda. Ketika penipuan diidentifikasi, perusahaan memiliki lima set pembukuan
yang terletak di jaringan perusahaan.
Bukti digital termasuk log yang menunjukkan faktur palsu yang dikirimkan ke perusahaan
pembiayaan yang dibuat oleh akuntan serta oleh pemilik perusahaan, yang akan membuatnya
setelah jam kerja menggunakan pengenal unik dan kata sandinya untuk mengakses sistem.
Dia kemudian akan membuat jadwal yang merinci faktur palsu untuk diberikan kepada akuntan
keesokan paginya untuk dimasukkan ke dalam set pembukuan palsu yang ditentukan. Jadwal
ini terletak di drive pribadi pemilik perusahaan di jaringan, dengan log yang menunjukkan tidak
ada pihak lain yang memiliki akses ke bagian penyimpanan ini.
Machine Translated by Google
34 Motivasi Penyerang
Seorang wanita bertemu seseorang di Internet melalui situs kencan dan selama bulan-bulan
berikutnya sebuah hubungan berkembang. Dia percaya dia berada dalam hubungan online yang
sah dan bahwa akan ada masa depan dengan pasangan barunya begitu dia pergi ke Australia.
Dia mewakili dirinya sebagai seorang insinyur yang harus menyelesaikan pekerjaannya di luar
negeri sebelum kembali ke Australia.
Untuk membantunya dengan keuangannya, wanita itu mengirim sejumlah uang untuk
membantunya membayar biaya hidup, biaya bisnis, dan biaya pajak pribadi yang katanya harus
dibayar sebelum dia meninggalkan negara itu. Selama enam bulan dia meneruskan sekitar
$250.000 kepadanya, yang harus dibayar kembali begitu dia berhasil sampai ke Australia dengan
hasil dari usaha bisnisnya.
Seperti halnya bentuk penipuan ini, selalu ada penundaan lain, permintaan uang lagi, dan
masalah lain yang hanya dapat diselesaikan oleh korban dengan mengirimkan lebih banyak uang
sebagai “pembayaran akhir” sebelum perjalanan dan pasangan dilakukan. bertemu. Korban
menyatakan bahwa dia tidak lagi memiliki akses untuk mengirim uang, karena dia telah mengirim
semua uang yang dia miliki, menggadaikan rumahnya sepenuhnya, meminjam apa yang dia bisa
dari teman, menjual mobilnya, dan mendapatkan uang dari dana pensiunnya dalam kesulitan.
mengeklaim. Meskipun demikian, ada permintaan lebih lanjut untuk uang dari mitra online-nya.
Pada saat ini, dia putus asa untuk menjaga hubungan tetap hidup dan bertemu pasangannya.
Dia juga putus asa untuk mendapatkan kembali uang yang dia pinjamkan padanya. Dia juga
seorang manajer akuntansi yang dihormati dalam bisnis yang memiliki arus kas yang signifikan.
Dalam keputusasaan, dia memutuskan untuk “meminjam” sejumlah uang dari majikannya
dengan janji internal untuk membayarnya kembali segera setelah pasangannya tiba dengan
uangnya. Dia meneruskan uang itu dan bertemu dengan permintaan lebih lanjut untuk uang dan
komitmen cinta yang teratur dan masa depan yang akan mereka miliki bersama. Setelah
menyadari bahwa tidak ada yang memperhatikan $10.000 yang dia pinjam, dia terus meminjam
dan mengirim uang sampai dia dengan curang memperoleh lebih dari $350.000 dari majikannya.
Ketika penipuan itu diketahui, dia meninggalkan perusahaan, melakukan perjalanan antar
negara bagian, dan berusaha memulai kembali hidupnya. Dia ditemukan, dituntut, dan dijatuhi
hukuman lima tahun penjara. Tidak ada reparasi yang bisa dilakukan.
Orang yang menjadi korban dalam penipuan hubungan online adalah kejadian yang sangat
umum dan kerugian finansial dan emosional yang dialami para korban dapat
ekstrim. Mereka telah ditipu secara finansial dan emosional dan beberapa korban menyatakan
mereka tidak tahu mana yang lebih buruk.
Machine Translated by Google
Catatan _ 35
Bagi penyidik, TKP adalah lokasi kantor dimana dia dengan curang mengakses
keuangan perusahaan dan mengambil uangnya. Tanda terima log pada perangkat,
termasuk perangkat lunak akuntansi, dengan jelas menunjukkan aktivitasnya dalam
membuat dan mengesahkan pembayaran, dan dana dikirim langsung ke rekening bank
yang sama dengan tempat pembayarannya.
Namun, ada TKP sekunder: perangkat komputernya di rumah, yang merekam
semua komunikasi dengan mitra online-nya, termasuk permintaan uang dan pemberian
pengenal transfer dana.
Ini dikuatkan dengan agen pengiriman uang.
Akibatnya, ini adalah penipuan yang signifikan dengan bukti yang mudah diikuti.
Motivasi korban adalah untuk mencari pasangan untuk berbagi hidupnya, yang
merupakan aktivitas yang sangat umum di lingkungan online. Hubungan ini begitu nyata
baginya sehingga dia mengirim semua asetnya dan mencuri dari pekerjaannya. Para penipu
memahami psikologi manusia tentang kesepian dan komunikasi Internet dan kejam
dalam cara mereka secara sosial merekayasa dan merusak korbannya. Sementara dia
dihukum karena penipuan serius, dia juga menjadi korban.
Interaksi berbasis teks menghasilkan rasa keintiman yang salah antara pengirim
dan penerima komunikasi. Ini mempromosikan pengembangan fantasi karena
berkurangnya ketersediaan informasi sensorik.1 Penipuan hubungan online adalah
contoh jelas dari rasa keintiman palsu yang dibangun antara penjahat dan target
mereka, yang seringkali sepenuhnya berbasis teks, dan tingkat keintiman dan
keputusasaan yang salah ini untuk memulihkan dana yang hilang membawanya untuk
membuat serangkaian keputusan kriminal.
Bab 4 akan memperkenalkan beberapa indikator serangan cyber telah terjadi
terhadap perusahaan. Indikator-indikator ini akan menyebabkan tim investigasi dipanggil
untuk mengidentifikasi tempat kejadian dan mulai merencanakan penyelidikan mereka.
CATATAN
4 BAB EMPAT
DI SINI ADA
terjadibanyak bentuk peringatan
yang memerlukan yangdan
respon insiden ditimbulkan oleh
kemungkinan insiden keamanan siber
investigasi.
Ini mungkin teknis, nonteknis, atau kombinasi keduanya. Dia
sangat bermanfaat bagi penyelidik untuk mengetahui peringatan seperti itu
memulai penyelidikan mereka, karena mereka akan memberikan jalan ke mana beberapa
bukti yang paling berharga akan ditemukan dan memberikan arahan mengenai
motivasi penyerang.
Peringatan dapat dihasilkan secara elektronik menggunakan teknologi seperti dinding api
atau Intrusion Detection System (IDS); sebagai alternatif, administrator sistem dapat menemukan
file sistem baru yang tidak mereka ketahui dalam bahasa asing. Sayangnya, peringatan mungkin
terlewatkan karena kekurangan staf teknis
tim atau karena begitu banyak peringatan diterima dari perangkat lunak yang dikonfigurasi dengan
buruk sehingga peringatan asli dianggap sebagai positif palsu.
Institut Nasional Standar dan Teknologi (NIST) menjelaskan a
insiden keamanan sebagai berikut:
37
Buku Pegangan Penyidik Kejahatan Dunia Maya, Edisi pertama. Graeme Edwards, PhD.
© 2020 John Wiley & Sons, Inc. Diterbitkan 2020 oleh John Wiley & Sons, Inc.
Machine Translated by Google
Ada banyak cara agar suatu pihak menyadari bahwa mereka adalah target serangan siber. Daftar
dalam bab ini, meskipun tidak eksklusif, mencakup banyak potensi peringatan yang mungkin dihadapi
oleh administrator sistem atau pengguna.
1. Peringatan dari aplikasi keamanan, seperti IDS atau Anti Virus (AV).
Baik IDS dan AV memantau anomali pada sistem dan dapat memberikan peringatan dini tentang
upaya penyusupan atau penyusupan. Hanya karena peringatan dibuat tidak berarti sistem
sedang diserang. Ini mungkin berarti ada anomali yang memerlukan penyelidikan untuk
menentukan apa yang ada di balik peringatan yang dihasilkan.1 Panduan Keamanan Informasi
Pemerintah Australia 2018 mengidentifikasi serangkaian sumber data yang dapat mengidentifikasi
insiden keamanan siber. Ini termasuk memantau log dari sistem nama domain, server email,
Sistem Operasi (OS), jaringan pribadi virtual, dan proxy web.2
2. Firewall yang mengidentifikasi penyusupan yang berhasil atau upaya untuk mendapatkan akses
yang melanggar hukum ke jaringan atau perangkat.1 3. Aktivitas jaringan yang tidak biasa,
seperti penggunaan yang berlebihan dalam semalam saat staf tidak bekerja atau pembaruan tidak
terjadwal diinstal di seluruh jaringan.3 4. A pengguna mengidentifikasi aktivitas yang tidak biasa
di perangkat mereka. Seorang pengguna mengetahui bagaimana perangkat mereka beroperasi
dalam keadaan normal.1 Tanda-tanda seperti pemrosesan yang sangat lambat atau baterai
yang panas pada perangkat yang tidak mereka gunakan mungkin merupakan indikator dari
proses yang tidak biasa yang beroperasi di latar belakang. Baterai yang terlalu panas pada
perangkat seluler yang tidak digunakan adalah tanda yang sangat baik bahwa aplikasi sedang
beroperasi, dan ini mungkin termasuk aplikasi yang menguntit.
5. Pemindai kerentanan adalah aplikasi sah yang digunakan oleh administrator sistem untuk menguji
keamanan jaringan dan situs web mereka. Penyalahgunaan perangkat lunak tersebut oleh pihak
yang tidak berwenang dapat menjadi bukti dari penjahat dunia maya yang mencari jalur yang
melanggar hukum ke jaringan, perangkat, atau situs web perusahaan.1,3 6. Perilaku masuk
yang tidak biasa, yang mungkin termasuk alamat IP yang tidak dikenal
8. Mengidentifikasi nama file dengan karakter yang tidak biasa, terutama jika baru saja diinstal
tanpa izin.1,3 9. Upaya log-on yang gagal dan berulang dari alamat Protokol Internet yang
tidak dikenal. Ini akan menjadi bukti upaya untuk memecahkan sandi menggunakan kekerasan
atau seseorang yang mencoba menebak sandi.1,3 10. Kesenjangan atau log yang hilang
menunjukkan upaya untuk menghapus bukti. Contohnya adalah semua log setelah tanggal
terbaru pada perangkat yang sudah ada akan dihapus total.
11. Upaya berulang untuk masuk ke file atau folder sensitif. Ini menunjukkan suatu pihak telah
memperoleh akses ke jaringan dan menargetkan data tertentu.
Serangan dapat berasal dari dalam atau luar jaringan.
12. Upaya yang tidak biasa untuk membuat profil atau meningkatkan hak istimewa. Umumnya
sebagai hak pengguna meningkat, akses ke informasi yang lebih berharga diberikan.
13. Proses yang tidak diketahui berjalan atau identifikasi aplikasi yang tidak diinstal atau disetujui
oleh personel keamanan sistem.
14. Pengunduhan file sensitif ke lokasi terpencil, yang menunjukkan bahwa akses tidak sah ke
data sensitif telah diperoleh dan sedang dihapus ke perangkat eksternal ke jaringan. Ulasan
tentang Protokol Transfer File
17. Email terpental, beberapa di antaranya mungkin berisi perangkat lunak atau tautan berbahaya.
Hal ini dapat menunjukkan bahwa seseorang mencoba menebak sintaks akun email orang
tertentu atau bahwa penjahat menggunakan daftar email usang yang berisi rincian orang
yang tidak lagi bekerja untuk perusahaan tersebut.1,3 18. A pelanggaran kebijakan
penggunaan yang dapat diterima. Ini dapat mengidentifikasi staf internal yang mengunduh konten
yang tidak pantas (seperti pornografi) atau menginstal aplikasi yang tidak disetujui (seperti
layanan komputasi awan pribadi).
Munculnya perangkat lunak peer-to-peer di jaringan perusahaan yang digunakan untuk
mengunduh film dan musik harus dilihat sebagai risiko serius bagi keamanan perusahaan.
19. Pihak eksternal mengidentifikasi email mencurigakan yang berasal dari akun perusahaan.3
Pesan tersebut mungkin sangat berbeda dalam kata-kata atau konten dari biasanya,
menunjukkan bahwa penjahat menggunakan akun perusahaan yang diretas untuk mencoba
melanggar keamanan perusahaan atau pengguna lain.
20. Tindakan nyata seperti serangan Distributed Denial of Service (DDoS). DDoS adalah serangan
siber skala besar terhadap perusahaan yang mencoba mengambilnya
Machine Translated by Google
offline dengan menyumbat server webnya dengan volume lalu lintas yang besar. Ini
adalah serangan langsung terhadap kemampuan jaringan untuk beroperasi,
menyebabkan kerusakan finansial dan reputasi yang signifikan.
21. Volume terenkripsi, seperti serangan ransomware. Ini bukti pemerasan terhadap sebuah
perusahaan.
22. Pemberitahuan yang datang dari sumber eksternal, seperti lembaga penegak hukum,
media, pelanggan, atau penyerang.3
23. Peringatan Keamanan Informasi dan Manajemen Peristiwa (SIEM) yang mengidentifikasi
log yang mengalami aktivitas tidak biasa, seperti satu atau lebih aktivitas dalam daftar
ini. Perangkat lunak SIEM memproses entri log yang dihasilkan dalam jaringan,
mencari anomali, dan memberikan peringatan untuk aktivitas yang mencurigakan.1
24. Identifikasi perubahan tidak sah oleh perangkat lunak pemantau integritas file. File
aplikasi memiliki nilai hash yang ditetapkan; ketika perubahan dilakukan pada aplikasi
tanpa otoritas, nilai hash berubah dan dapat memberikan pemberitahuan kepada
administrator sistem tentang modifikasi perangkat lunak yang tidak sah.1
25. Seorang pengguna masuk ke kekayaan intelektual atau file perusahaan yang berharga
dan keluar dalam waktu singkat tanpa melakukan upaya apa pun untuk mengambil file
dalam wilayah tugasnya.
26. Situs web perusahaan dirusak.
27. Ancaman dari aktivis berbasis isu.1,3
Ketika pelanggaran pertama kali ditemukan, administrator sistem tidak akan memiliki
banyak fakta dan akan mulai mencoba mengidentifikasi apa yang terjadi, apakah sebenarnya
serangan sedang berlangsung, seberapa buruk jika ada, apa yang menjadi sasaran, dan
sebagainya. pada.
Jika diidentifikasi bahwa sebenarnya ada serangan siber yang sedang berlangsung,
akan ada berbagai macam emosi manusia yang ditampilkan, yang mungkin termasuk rasa
takut, panik, stres, cemas, dan terkadang marah. Sifat manusia menentukan bahwa keputusan
yang dibuat dalam lingkungan ini mungkin tidak selalu konsisten dengan praktik terbaik.
Karena pengetahuan yang tersedia terbatas dan manajer akan menuntut jawaban dan segera
menahan serangan, tim yang ditugaskan untuk menangani serangan pada tingkat pertama
akan beroperasi di bawah banyak tekanan sampai tim IR berkumpul dan mulai mengeksekusi.
tugas mereka.
Pada saat inilah keputusan yang dibuat dalam lingkungan stres tinggi ini dapat secara
tidak sengaja menghancurkan bukti yang dibutuhkan oleh penyelidik dunia maya. Dengan
tingkat dan keseriusan insiden yang tidak diketahui, pemikiran tentang identifikasi dan
pelestarian bukti mungkin tidak menjadi perhatian utama bagi responden awal.
Machine Translated by Google
Metodologi Serangan 41
Untuk membantu tugas-tugas ini, penyelidik dunia maya dapat bergabung dengan tim IR terlebih
dahulu. Atau, mereka dapat dibawa masuk setelah semua aktivitas Incident Response (IR) telah selesai.
Penyelidik akan meninjau semua bukti dan mencari jalan investigasi dalam upaya untuk mengidentifikasi
siapa yang berada di balik serangan itu, motif mereka, dan potensi apa yang ada untuk memulihkan
data yang dicuri.
Mereka juga dapat bekerja dengan tim IR untuk mengetahui tingkat keseriusan dan tingkat serangan.
Karena tim IR telah beroperasi di TKP, penyelidik harus mengendalikan bukti yang dihasilkan dan
mengetahui aktivitas tim IR, tindakan mereka, dan apa yang telah mereka identifikasi. Biasanya bukan
peran penyelidik kejahatan dunia maya untuk memberikan analisis terperinci tentang kerentanan
keamanan dan strategi mitigasi, karena tim IR memiliki keterampilan yang telah ditentukan sebelumnya
di bidang ini dan lebih mampu memberikan saran ini kepada manajemen. Penyelidik kejahatan dunia
maya akan berusaha mengidentifikasi jalur penyelidikan potensial dari tim IR dan memulai penyelidikan
kejahatan dunia maya secara penuh.
METODOLOGI SERANGAN
Memahami indikator kejahatan dunia maya yang terjadi mengarah pada identifikasi metodologi
serangan yang dilakukan. Memahami metodologi serangan pelaku menempatkan ke dalam konteks
tujuan mereka dan memberikan beberapa indikasi bukti potensial yang tersedia. Ini juga akan
memberikan bukti tingkat keterampilan penyerang dan apakah itu serangan menggunakan alat khusus
yang mungkin dicari dalam pemeriksaan lanjutan dari komputer tersangka yang teridentifikasi. Penyelidik
dapat menggunakan informasi ini untuk mengarahkan jalur penyelidikan dan menemukan bukti. Daftar
12 metodologi serangan berikut.
1. Media eksternal/dapat dilepas (ancaman orang dalam).1 USB atau drive eksternal terpasang ke
jaringan internal dan file dengan perangkat lunak berbahaya (seperti virus Trojan) dibuka. Ini
membuka jalur untuk mengunduh lebih banyak perangkat lunak berbahaya yang menginfeksi
perangkat dan jaringan. Itu
keuntungan dari strategi ini untuk penyerang adalah bahwa mereka telah melanggar keamanan
jaringan eksternal perusahaan keamanan tanpa harus menyerang secara langsung.
2. Brute force (attrition).1 Penyerang mencoba untuk memecahkan kata sandi yang digunakan untuk
mendapatkan akses ke suatu sistem.
3. Serangan/peretasan berbasis web.1 Penyerang menghancurkan atau merusak situs web, atau
mendapatkan akses tidak sah ke jaringan atau perangkat.
Machine Translated by Google
4. Email (phishing/rekayasa sosial).1 Email palsu dirancang untuk memikat pengguna agar
mengklik tautan terlampir atau membuka lampiran file sehingga perangkat lunak
berbahaya dapat diunduh, memberikan penyerang akses tidak sah ke sistem. Seperti
halnya serangan yang menggunakan media eksternal/removable, serangan ini melanggar
keamanan perusahaan tanpa harus menemukan kerentanan yang belum ditambal di
infrastruktur yang menghadap ke eksternal.
5. Pelanggaran kebijakan penggunaan yang dapat diterima dan ancaman internal.1 Kebijakan
internal dirancang untuk menjaga keamanan jaringan dan untuk mencegah pengguna
mengakses situs berisiko tinggi (seperti situs pornografi). Banyak situs yang dibatasi oleh
kebijakan perusahaan berisi materi yang tidak pantas untuk dilihat di lingkungan kerja
atau berisiko tinggi menginfeksi jaringan perusahaan (seperti situs berbagi file).
Penggunaan yang tidak tepat juga dapat menyebabkan perangkat lunak berbahaya
diperkenalkan di dalam jaringan perusahaan oleh seseorang yang menggunakan drive
eksternal dari rumah yang telah terinfeksi oleh virus komputer.
6. Kehilangan atau pencurian peralatan (USB/komputer).1 USB dan drive eksternal berisi
sejumlah besar data perusahaan. Jika salah satu hilang yang tidak dienkripsi, penemu
akan memiliki akses ke catatan perusahaan.
7. Kompromi komputasi awan. Menyimpan data perusahaan di lingkungan komputasi awan
hanya boleh dilakukan dengan persetujuan manajemen dan administrator sistem. Jika
penyerang internal atau eksternal berkompromi dengan layanan cloud, data perusahaan
akan berisiko. Pengguna sering kali membuat penyimpanan komputasi awan untuk
membantu mereka saat bekerja dari rumah, mengunggah dokumen perusahaan ke akun
cloud baru tanpa sepengetahuan atau persetujuan administrator sistem yang bertugas
melindungi jaringan dan data perusahaan.
Akun cloud yang digunakan mungkin salah satu dari banyak yang tersedia di pasar,
dan data perusahaan yang berharga mungkin disimpan di yurisdiksi hukum yang tidak
diketahui dan dilindungi oleh sistem keamanan yang tidak dikenal. Dalam perjanjian
lisensi pengguna akhir, ada beberapa contoh layanan cloud kecil yang menetapkan
bahwa data yang disimpan dalam layanan cloud ditransfer ke kepemilikan Penyedia
Layanan Cloud (CSP) atau bahwa lisensi seumur hidup yang tidak dapat dibatalkan
untuk data diberikan kepada CSP.
8. Rekayasa sosial. Membangun hubungan pribadi dengan orang penting dalam suatu
organisasi dan memanfaatkan hubungan itu adalah cara umum hilangnya data
perusahaan. Hubungan tersebut tidak harus bersifat intim, tetapi hubungan profesional
pribadi di mana kepercayaan telah dibangun dari waktu ke waktu menghasilkan potensi
data perusahaan yang berharga untuk dikirim ke penyerang.
Machine Translated by Google
Metodologi Serangan 43
9. Pencatat kunci. Keylogger adalah perangkat fisik yang terpasang ke komputer atau
perangkat lunak yang diinstal pada perangkat/jaringan yang ditargetkan yang
merekam setiap penekanan tombol atau klik mouse. Ini memungkinkan penyerang
untuk menangkap semua aktivitas di perangkat, termasuk laporan dan kata sandi.
10. Ancaman orang dalam. Menggunakan karyawan tepercaya dengan akses ke jaringan
adalah metode lain untuk menembus firewall perusahaan. Karyawan memiliki akses
tidak hanya ke data perusahaan tetapi juga ke perangkat fisik. Orang dalam memiliki
motivasi mereka sendiri untuk melakukan tindak pidana terhadap majikan mereka,
dan penjahat dunia maya eksternal yang mengeksploitasi orang semacam itu sangat
memperluas platform serangan mereka.
11. Eksploitasi sistem operasi dan aplikasi. Sistem operasi dan aplikasi perlu diperbarui
secara berkala, karena penjahat dunia maya akan mempelajari kerentanan yang
diperbarui untuk diperbaiki. Produk teknis dapat melakukan pemindaian port untuk
mengidentifikasi sistem operasi dan aplikasi saat ini yang digunakan dan
mengidentifikasi versi mana mereka. Dengan informasi ini, penjahat dunia maya
dapat mengembangkan strategi serangan yang berupaya mengeksploitasi kerentanan
yang tidak diperbaiki.
12. Perangkat lunak berbahaya. Istilah “malicious software” atau “malware” umumnya
mencakup berbagai macam virus komputer, Trojan, worm, dan sejenisnya. Meskipun
bentuk serangan ini telah ada di Internet selama beberapa dekade, ini masih
merupakan metode serangan yang produktif bagi penjahat dunia maya.
Bentuk serangan yang sangat berbahaya adalah yang tidak diketahui dan tetap
tidak terdeteksi dalam sistem untuk jangka waktu yang lama saat data perusahaan
sedang diekstraksi. Seperti yang dibahas dalam Bab 2, ini disebut, Ancaman Persisten
Lanjutan atau APT. Penyerang yang menggunakan APT berusaha menyusup ke
jaringan dan membuat APT tetap tidak terdeteksi saat itu
mengumpulkan informasi sebanyak mungkin tentang jaringan dan aktivitasnya.
Pengontrol APT akan berusaha meningkatkan hak akses mereka dari waktu ke waktu
untuk mendapatkan akses ke data perusahaan yang paling sensitif.
APT umumnya terkait dengan sumber daya yang baik, kelompok terorganisir
yang bertujuan agar APT tetap tidak terdeteksi dalam jaringan selama mungkin. Ini
mungkin berbulan-bulan, jika tidak bertahun-tahun.
Keuntungan dari eksploitasi APT bagi penyerang adalah mereka mendapatkan
data yang diperbarui saat dihasilkan, dengan kemampuan untuk memantau aktivitas
keamanan sehingga mereka diperingatkan jika intrusi mereka terdeteksi.
Setelah menyadari bahwa mereka telah ditemukan, dalam beberapa kasus pengontrol
APT berusaha untuk menghancurkan bukti potensial dari penyusupan dan aktivitas
mereka, yang berarti tim IR akan mengalami kesulitan dalam mengidentifikasi batas-
batas intrusi dan keseriusannya. Ini kemudian akan
Machine Translated by Google
Seorang karyawan sebuah organisasi sedang dalam proses didisiplinkan untuk berbagai
kegiatan. Proses disipliner memanas, dan karyawan tersebut menghadapi pemecatan jika
tuduhan itu terbukti.
Pada suatu malam ia kembali bekerja dan menempatkan keylogger perangkat keras
di bagian belakang komputer manajer yang sedang menyelidikinya. Mouse dan keyboard
terpasang ke keylogger, yang berada di antara perangkat ini dan port perangkat di bagian
belakang komputer. Keylogger menangkap semua aktivitas di komputer.
Catatan _ 45
CATATAN
1. Paul Cichonski, Thomas Millar, Tim Grance, dan Karen Scarfone, Panduan
Penanganan Insiden Keamanan Komputer, Publikasi Khusus 800-61 Revisi 2,
Agustus 2012, Institut Nasional Standar dan Teknologi, Departemen Perdagangan
Amerika Serikat.
2. Direktorat Sinyal Australia, Keamanan Informasi Pemerintah Australia
Manual, 2018.
3. CREST, Cyber Security Incident Response Guide Versi 1, 2013, https://www.crest-
approved.org/wp-content/uploads/2014/11/CSIR-Procurement Guide.pdf.
Machine Translated by Google
5 BAB LIMA
Melakukan investigasi cyber dapat dimulai karena berbagai alasan dan bukan hanya untuk
mencari tahu siapa orang jahat itu dan menuntut mereka. Beberapa alasan termasuk
mengidentifikasi di mana kelemahan dalam sistem, bagaimana mereka dieksploitasi, bagaimana
47
Buku Pegangan Penyidik Kejahatan Dunia Maya, Edisi pertama. Graeme Edwards,
PhD. © 2020 John Wiley & Sons, Inc. Diterbitkan 2020 oleh John Wiley & Sons, Inc.
Machine Translated by Google
memperketat keamanan, dan mengembangkan paket pelatihan bagi staf untuk membuat
mereka lebih sadar akan keamanan dunia maya. Klien yang datanya dicuri mungkin
menginginkan jawaban tentang tingkat keparahan serangan, dan jika data yang dicuri milik
pihak lain, ada potensi litigasi untuk diikuti. Alasan terakhir adalah bahwa perusahaan asuransi
cyber mungkin ingin tahu apakah ada kegagalan keamanan yang memungkinkan serangan
terjadi atau jika kelemahan sistem memperbesar serangan.
Dari jumlah serangan siber yang terjadi setiap tahun, sangat sedikit yang dilaporkan ke
polisi atau bahkan diselidiki secara internal. Fokus utamanya adalah memperbaiki masalah,
memastikan hal itu tidak terjadi lagi, dan kembali berbisnis. Meskipun ini mungkin masuk akal
bagi para manajer, ini menyediakan platform untuk kejahatan yang hampir sempurna oleh
penyerang cyber. Masuk ke perusahaan, curi apa yang Anda inginkan, dan lakukan kerusakan
sebanyak yang Anda inginkan, aman karena mengetahui bahwa perusahaan tidak akan pernah
melaporkan Anda ke polisi atau bahkan mencoba mencari tahu siapa Anda. Tidak ada
kelemahan nyata dalam model bisnis kriminal ini.
PENYIDIK CYBER
Peran penyelidik siber berbeda dengan tim IR. Penyelidik itu seperti detektif di TKP. Detektif
utama mengarahkan penyelidikan, termasuk menugaskan ahli untuk melakukan fotografi,
pemeriksaan ilmiah, penyelidikan area, pemeriksaan forensik barang bukti, pemeriksaan
balistik, wawancara, dan sebagainya di tempat kejadian. Penyidik tidak harus ahli dalam
masing-masing bidang tersebut, tetapi harus memahami peran masing-masing ahli, mampu
mengarahkan para ahli, dan mampu memahami relevansi bukti yang dihasilkan masing-
masing, yang kemudian akan mengarah pada jalur penyelidikan lebih lanjut.
Sedangkan di televisi seorang penyelidik cyber mungkin ahli dalam segala hal digital yang
mereka lihat dan sentuh, dalam penyelidikan dunia nyata ini bahkan tidak mendekati kenyataan.
Ada terlalu banyak teknologi: terus berubah dan tidak ada satu orang pun yang ahli dalam
segala hal.
DUKUNGAN MANAJEMEN
Ketika keputusan dibuat untuk melakukan investigasi setelah peristiwa cyber, tingkat
manajemen yang tepat dalam organisasi harus memberikan wewenang dan dukungan aktif.
Ini akan mencakup pembiayaan dalam kasus investigasi sipil, serta memberi wewenang
kepada anggota staf yang tepat untuk memberikan
Machine Translated by Google
Dukungan Manajemen 49
bukti dan pernyataan, dan mengatur anggota tim IR internal/eksternal untuk membantu
penyelidikan. Tim IR dapat ditugaskan untuk memberikan salinan catatan yang diambil,
menjelaskan alasan tindakan yang diambil, menyediakan salinan file digital, dan bekerja sama
sepenuhnya dalam perekaman pernyataan untuk rujukan ke penegak hukum atau untuk
penggunaan internal. Ini mungkin perlu menjadi bagian dari persyaratan keterlibatan antara
klien dan tim IR.
Apakah pengaduan yang awalnya dirujuk bersifat perdata atau pidana, dalam perencanaan
penyidikan penyidik akan beroperasi dalam batas-batas yang digariskan oleh klien/pelapor.
Namun, batasan-batasan ini dapat berubah jika investigasi mengungkapkan bahwa peristiwa
siber secara signifikan lebih besar dari yang diyakini semula dan manajemen senior percaya
bahwa investigasi harus diperluas. Jika penyelidikan yang beroperasi dalam batas-batas awal
yang ditentukan mengidentifikasi penjahat dunia maya sebagai karyawan tepercaya dalam
organisasi, mungkin ada bukti kuat untuk mendukung litigasi perdata atau rujukan ke polisi.
Seorang penyelidik yang beroperasi dalam batas-batas awal yang ditentukan harus
menyadari bahwa persyaratan perikatan selanjutnya dapat berubah, dan bahwa identifikasi
bukti dan strategi pengumpulan dapat menjadi subjek pemeriksaan di masa depan. Akibatnya,
bukti yang diidentifikasi dan dikumpulkan harus selalu diperlakukan sebagai sesuatu yang
berharga dan dapat dipertanggungjawabkan, bahkan dalam apa yang disebut investigasi
“hanya untuk informasi manajemen”.
Barang bukti digital dapat menjadi sasaran kejahatan, instrumen kejahatan, atau gudang
bukti yang mendokumentasikan kejahatan itu sendiri. Bukti digital mungkin sangat mudah
berubah, dan tindakan anggota tim IR, yang diperlukan untuk mengurangi dan memberantas
serangan, dapat membatasi potensi untuk melakukan penyelidikan lengkap di mana semua
bukti potensial dapat diperoleh dan disita secara legal dan forensik. Faktanya, peran IR dan
pemimpin tim investigasi mungkin sering berkonflik, karena pemimpin IR berupaya melindungi
jaringan dan datanya sementara pemimpin investigasi berupaya mempertahankan dan
mengamankan bukti untuk memajukan investigasi pasca-peristiwa. Meskipun setiap acara
akan berbeda, pemahaman tentang peran dan tanggung jawab masing-masing, disertai
dengan komunikasi yang saling menghormati, akan membantu dalam mengelola lingkungan
stres tinggi dan tanggung jawab yang saling bersaing.
Dalam dunia yang ideal, ambang batas untuk bentuk peristiwa siber yang memerlukan
penyelidikan untuk dimulai akan ditentukan oleh manajemen senior sebelum suatu peristiwa
terjadi. Ini mungkin diatur oleh kebijakan internal atau oleh undang-undang, seperti undang-
undang pelaporan pelanggaran data. Namun, pada kenyataannya, hanya sedikit perusahaan
yang membuat keputusan seperti itu. Oleh karena itu, sangat membantu untuk menentukan
apa sebenarnya peristiwa dunia maya itu sebelum kita membahas secara mendalam bagaimana caranya
Machine Translated by Google
menyelidikinya. Institut Standar dan Teknologi Nasional Amerika Serikat (NIST) menggambarkannya
sebagai:
[Sebuah] kejadian yang teridentifikasi dari suatu sistem, layanan, atau status jaringan, yang
menunjukkan kemungkinan pelanggaran kebijakan keamanan informasi atau kegagalan
penjaga keamanan, atau situasi yang sebelumnya tidak diketahui yang mungkin relevan
dengan keamanan.2
Saat dipanggil ke tempat kejadian cyber sebagai penyelidik, bicaralah dengan administrator sistem
untuk melihat apakah peristiwa yang didokumentasikan sebelumnya telah terjadi yang dapat digunakan
untuk memberikan arahan pada investigasi baru. Insiden sebelumnya mungkin menunjukkan upaya
penyerang untuk memetakan sistem atau menemukan cara untuk menerobos tingkat keamanan yang
berbeda dan memberikan bukti bagaimana kejahatan itu dilakukan. Ini juga akan bermanfaat bagi
penyelidik eksternal untuk memahami sifat bisnis, di mana cocok di pasar, dan informasi dalam organisasi
yang paling berharga bagi penyerang.
Ketika tim IR tiba di lokasi kejadian siber, mereka harus berasumsi dari awal bahwa kejadian itu
berlanjut.2 Ini lebih kompleks di lingkungan komputasi awan, karena akses ke bukti kejadian dibatasi
oleh sifatnya. pelayanan yang dimiliki oleh pelapor. Infrastruktur platform cloud dapat terdiri dari penyedia
infrastruktur yang berbeda, yang berarti akses ke bukti dapat dibatasi dan oleh karena itu memakan
waktu untuk dikumpulkan.
Sebuah pertanyaan yang harus dipertimbangkan oleh direktur adalah jika perusahaan memiliki kekayaan
Intelektual (IP), pelanggan, atau file staf dicuri, apakah itu keputusan yang wajar atau rasional untuk
mencoba mendapatkannya kembali sebelum mereka dieksploitasi? Apakah pemegang saham
mengharapkan direksi untuk menyelidiki masalah ini dan mencoba mendapatkan kembali data sebelum
dieksploitasi, atau paling tidak menyerahkan masalah itu ke polisi?
Saat ini hanya ada sedikit rujukan yang dibuat ke polisi dalam kasus ini, karena entitas biasanya
berusaha untuk memperkuat pertahanan mereka dan memastikan pelanggaran tidak terulang kembali.
Prospek untuk menyelidiki masalah tersebut dan merujuk masalah tersebut ke polisi meningkatkan
potensi pengungkapan pelanggaran tersebut kepada publik dan
Machine Translated by Google
kerusakan reputasi yang mengikuti. Akibatnya, penjahat dunia maya beroperasi dalam lingkungan yang
aman di mana mereka memahami bahwa mereka dapat menyerang perusahaan mana pun yang mereka
inginkan dan hanya sedikit yang akan berusaha mengidentifikasi siapa penyerangnya atau merujuk masalah
tersebut ke polisi. Untuk penjahat dunia maya, ini benar-benar kasus terbaik
skenario.
Bill (bukan nama sebenarnya) adalah seorang karyawan web host yang merupakan administrator sistem
serta terlibat dalam pengembangan halaman web klien. Bill memiliki sikap yang sangat bermusuhan terhadap
bosnya, pemilik perusahaan, yang dianggapnya sebagai pembuat kode program yang lebih rendah. Bill
merasa dia tidak dihargai dan pantas mendapatkan gaji yang jauh lebih tinggi untuk mencerminkan pentingnya
dia bagi perusahaan.
Setelah mengundurkan diri, Bill pulang ke rumah dan melancarkan serangkaian serangan teknis
terhadap mantan majikannya. Ini termasuk menggunakan sumber daya perusahaan untuk menyerang
perusahaan lain—termasuk meluncurkan Denial of Service (DoS)—mengunduh pornografi dari alamat
Internet perusahaan, dan menghapus semua halaman web klien dan cadangannya dari server web.
Korban penyerang mengalami kerusakan reputasi, karena penyedia layanan Internet mereka memutus
akses Internet mereka karena serangan terhadap perusahaan lain.
Perusahaan juga dikenakan biaya untuk penggunaan data yang berlebihan yang digunakan dalam serangan.
Saat ditangkap, Bill menjelaskan bahwa dia sangat marah pada mantan majikannya dan merasa
tindakannya dapat dibenarkan. Dia mengaku bersalah atas pelanggaran di pengadilan. Pemeriksaan
komputernya menemukan bukti yang menguatkan serta Bahan Eksploitasi Anak (CEM), yang mengarah ke
tuduhan dan hukuman lebih lanjut.
Bab 6 akan mengidentifikasi dan membahas beberapa pertimbangan hukum yang harus dipahami oleh
tim investigasi. Diskusi adalah yurisdiksi netral dan mencakup berbagai konsep utama investigasi harus
beroperasi di dalamnya.
Karena yurisdiksi hukum memiliki undang-undang yang berbeda dan pengadilan telah memberikan hukum
kasus yang berbeda untuk panduan, itu adalah peran penyelidik untuk memahami undang-undang yurisdiksi
tempat mereka beroperasi. Ini meluas ke investigasi multiyurisdiksi, karena apa yang merupakan aktivitas
penyidik hukum di satu yurisdiksi mungkin merupakan pelanggaran pidana di yurisdiksi lain tempat mereka
beroperasi. Untuk contoh spesifik dari bahaya ini lihat Bab 12, yang membahas investigasi komputasi awan
dan menyoroti banyak hukum dan penyelidikan masalah teknis akan dihadapi ketika server komputasi awan
dan bukti yang mereka simpan berada di banyak yurisdiksi.
Machine Translated by Google
CATATAN
1. Eoghan Casey, Bukti Digital dan Kejahatan Dunia Maya, edisi ke-3. (Pers Akademik,
2011).
2. https://www.iso.org/obp/ui/-iso:std:iso-iec:27001:ed-1:v1:en.
Machine Translated by Google
6 BAB ENAM
53
Buku Pegangan Penyidik Kejahatan Dunia Maya, Edisi pertama. Graeme Edwards,
PhD. © 2020 John Wiley & Sons, Inc. Diterbitkan 2020 oleh John Wiley & Sons, Inc.
Machine Translated by Google
diidentifikasi secara positif dan tim manajemen memutuskan untuk memulai tindakan perdata
atau merujuk insiden tersebut ke polisi untuk penyelidikan lebih lanjut dan kemungkinan penuntutan.
Penyelidik mempertaruhkan kredibilitas pribadi mereka ketika melakukan penyelidikan, dan
tindakan mereka harus akurat, transparan, dan etis. Reputasi mereka berjalan bersama mereka
melintasi pekerjaan dan pengadilan. Hakim berbicara satu sama lain di balik pintu tertutup dan
bertukar catatan sebanyak kelompok pekerjaan mana pun, dan jika penyidik diidentifikasi bermain
cepat dan lepas dengan aturan bukti, mereka mungkin menjadi topik pembicaraan negatif di
antara anggota peradilan.
Sementara aturan pembuktian mungkin berbeda di antara yurisdiksi hukum, mereka umumnya
telah dikembangkan melalui proses legislasi, hukum kasus, dan konvensi hukum yang
dikembangkan selama bertahun-tahun sidang di mana masalah telah ditantang dan hakim telah
memberikan putusan, sebuah proses yang dalam gilirannya telah menetapkan preseden hukum.
Aturan ada untuk memastikan bahwa bukti yang dihasilkan dalam suatu masalah konsisten dan
akurat dalam arti, kualitas, dan integritasnya. Hal ini secara efektif agar petugas pengadilan yang
memimpin dapat memiliki tingkat kepercayaan yang diperlukan terhadap bukti yang ada di
hadapan mereka.
Saat mempertimbangkan untuk memulai penyelidikan, Anda akan terus-menerus meninjau
bukti untuk menentukan ke mana arah penyelidikan Anda. Anda akan segera memutuskan bahwa
beberapa di antaranya sangat relevan dan harus diajukan ke pengadilan jika penyelidikan Anda
berkembang sejauh itu. Namun, dalam banyak kasus Anda mungkin tidak memahami nilai penuh
dari bukti Anda sampai nanti dalam penyelidikan; namun, itu harus disimpan seaman yang Anda
segera identifikasi sebagai bukti kunci.
Hukum terus berkembang, dan Anda bertanggung jawab untuk mengikuti perkembangan
hukum. Sebaiknya memiliki pengacara yang merupakan bagian dari tim Anda atau yang mudah
diakses yang merupakan spesialis dalam bukti digital dan hukum kejahatan dunia maya untuk
memberikan bukti ahli jika diperlukan.
Machine Translated by Google
Bukti digital mungkin sangat fluktuatif dan diperoleh dari berbagai sumber.
Metode dan alat infrastruktur, penyimpanan, dan pengambilan yang digunakan dalam merebut
bukti mungkin sangat berbeda di seluruh penyelidikan dan itu adalah peran penyelidik untuk
memahami nuansa ini selama penyelidikan, bukan hanya sebelum
ke sidang. Penyelidik harus mengambil alih tempat kejadian dan segera
cara menilai nilai bukti potensial dan kemungkinannya hilang atau
rusak.
Apakah TKP digital adalah lokasi fisik atau logis (virtual
atau jaringan), sebaiknya bukti ditempatkan di tempat (dalam aslinya
tempat). Semua tindakan yang melibatkan TKP dan bukti perlu didokumentasikan dan
dipertanggungjawabkan jika terjadi tantangan di kemudian hari di pengadilan.
Untuk melindungi bukti digital, penyelidik tempat kejadian idealnya adalah seseorang
yang memiliki pemahaman yang kuat tentang bukti digital, memiliki pengalaman manajemen
adegan praktis, dan memiliki pemahaman tentang kemudahan yang
barang bukti dapat dirusak atau dimusnahkan. Pengarahan pra-pencarian tentang volatilitas
bukti digital dan adanya pedoman yang kuat mengenai pengelolaan barang bukti ini akan
bermanfaat bagi semua penyidik, terutama mereka yang
yang mungkin tidak memiliki pengalaman dalam bentuk pengumpulan bukti ini. Volatilitas bukti
dan urutan penangkapannya dibahas dalam Bab 10, dalam
bagian “Akuisisi Bukti Digital.”
Bukti digital mungkin sangat mudah berubah dan mudah rusak atau hilang. Ini adalah
tanggung jawab penyidik untuk melindungi barang bukti dan mempertanggungjawabkan keadaannya
dari saat penangkapan sampai dengan presentasi di pengadilan. Dimana ada?
perubahan, catatan ekstensif yang menjelaskan apa yang terjadi dan mengapa harus direkam
dalam buku catatan yang disusun secara kronologis dengan halaman bernomor untuk
meniadakan argumen bahwa catatan dibuat dengan baik setelah kejadian. Ketika kesalahan dibuat, itu
harus diakui dan alasannya dicatat. Mengakui kesalahan pengambilan dapat meningkatkan
persepsi integritas penyelidik, karena hal itu menunjukkan bahwa
mereka tidak mencoba untuk menutupi apa pun: menutup-nutupi secara signifikan lebih buruk dan
lebih merusak daripada kesalahan awal.
Asosiasi Kepala Polisi (ACPO) di Inggris telah
membuat serangkaian rekomendasi tentang bagaimana bukti digital harus ditangani
untuk memastikan kepatuhan dengan persyaratan pengadilan:
1. Tidak ada tindakan yang diambil oleh lembaga penegak hukum atau pihak lain yang boleh berubah
data, yang selanjutnya dapat diandalkan di pengadilan.
Machine Translated by Google
2. Dalam keadaan di mana seseorang merasa perlu untuk mengakses data asli, orang
tersebut harus kompeten untuk melakukannya dan dapat memberikan bukti yang
menjelaskan relevansi dan implikasi dari tindakan mereka.
3. Jejak audit atau catatan lain dari semua proses yang diterapkan pada bukti digital
harus dibuat dan dipelihara. Pihak ketiga yang independen harus dapat memeriksa
proses ini dan mencapai hasil yang sama.
4. Orang yang bertanggung jawab atas investigasi memiliki tanggung jawab keseluruhan
untuk memastikan bahwa hukum dan prinsip-prinsip ini dipatuhi.1
lacak balak adalah kombinasi pernyataan tertulis, laporan, dan bukti lisan yang
mendokumentasikan identifikasi, penyitaan yang sah, pemeriksaan, dan pemindahan
barang bukti dari saat identifikasi hingga presentasi di pengadilan sebagai alat bukti.
Sebagai contoh, sebuah komputer yang terletak di kantor dapat menjadi barang bukti, dan
lacak balak memerlukan identifikasi orang yang menemukan barang bukti tersebut,
menyitanya, mengangkutnya, menyimpannya, mengangkutnya untuk pemeriksaan forensik,
dan melakukan pemeriksaan, serta bagaimana mengamankannya setelah pemeriksaan
dan informasi lain mengenai tidak hanya komputer fisik yang disita tetapi juga gambar
yang dibuat oleh pemeriksa.
Semua pameran harus meminta seseorang menyiapkan pernyataan yang mendukung
kriteria ini. Membuat jadwal yang mencakup tanggal dan waktu penahanan
Machine Translated by Google
membantu untuk memastikan kesinambungan. Dengan gagal memastikan lacak balak, ada potensi
bukti untuk dikecualikan atau memiliki nilai yang berkurang di pengadilan, karena kredibilitasnya dapat
dipertanyakan.
Petugas barang bukti adalah orang yang ditunjuk pada saat dimulainya penyidikan untuk
mengambil alih dan mengamankan semua barang bukti yang disita. Mereka juga bertanggung jawab
untuk memastikan rantai bukti dari semua barang bukti, mencatat di mana mereka ditemukan dan oleh
siapa. Petugas barang bukti harus dapat mencatat riwayat barang bukti pada suatu waktu penyidikan
dan yang ditahannya pada waktu identifikasi, penyitaan, pemeriksaan, dan sebagainya. Jadwal
menyediakan metode akuntansi yang cepat, nyaman, dan transparan untuk bukti dan mengidentifikasi
setiap celah dalam lacak balak yang perlu diselidiki.
Yang perlu diperhatikan adalah bahwa barang fisik dan gambar yang diambil perlu diperhitungkan
saat berhadapan dengan bukti digital. Dokumen asli tidak boleh digunakan dalam pemeriksaan
forensik. Pemeriksa dapat memperoleh disk asli dari petugas pameran dan membuat serangkaian
gambar. Rantai pengawasan akan menjelaskan hal ini dan pernyataan pemeriksa akan membedakan
antara yang asli dan gambar.
Menjaga integritas lacak balak bukti digital dilakukan dengan membuat bukti dokumenter dari
semua tindakan yang melibatkan bukti mulai dari identifikasi hingga pengumpulan atau akuisisi hingga
status dan lokasi saat ini. Ini mungkin termasuk:
Identifikasi secara unik setiap pameran yang akan Anda sita dan catat dengan tepat di mana ia
ditemukan, kapan, dan oleh siapa. Foto membantu untuk mendukung keakuratan penyitaan.
Memelihara catatan tertulis peristiwa untuk setiap pameran yang dilampirkan ke pameran dengan
label atau label. Membuat catatan untuk mencatat waktu lokasi, penyitaan, penyimpanan,
pengamanan, pengangkutan, login ke fasilitas penyimpanan Anda, dan sejenisnya. Mencatat
waktu sangat penting untuk membuktikan bahwa Anda memiliki kendali atas barang bukti Anda mulai
dari identifikasi hingga presentasi di pengadilan.
Penandatanganan , penyegelan, dan penanggalan bukti digital yang disita. Dalam beberapa kasus,
bukti dapat disimpan dalam kantong yang dapat disegel, dalam hal ini Anda dapat menandatangani
dan mencatat tanggal di seberang segel untuk memberikan tingkat keamanan pameran yang
lebih tinggi.
Mencatat pengidentifikasi investigasi pada kemasan dan log pameran.
Ketika Anda bekerja di kantor yang sibuk dengan banyak penyelidik yang mengejar kasus
mereka, kesalahan manusia mungkin menyebabkan beberapa pameran berakhir
Machine Translated by Google
dekat dengan kasus lain. Meskipun ini bukan praktik terbaik, ini adalah kenyataan di
kantor detektif.
Mempertimbangkan kebutuhan akan perangkat lunak berpemilik untuk melihat bukti digital
yang dikumpulkan dari pelapor. Perusahaan membuat perangkat lunak mereka sendiri
yang unik untuk tujuan mereka. Meskipun bukti Anda beroperasi dengan lancar di
jaringan mereka, itu tidak akan beroperasi di jaringan Anda, karena Anda tidak memiliki
salinan perangkat lunak berpemilik. Dapatkan salinan untuk melihat data dan untuk
penggunaan potensial di pengadilan. Memperoleh pernyataan untuk setiap item yang
mencakup dari identifikasi hingga produksi di pengadilan. Satu penyelidik mungkin dapat
menjelaskan 10 item dalam pernyataan mereka dan tujuh item lainnya. Petugas pameran
akan mencatat penerimaan semua 17 dari dua penyelidik.
Termasuk jadwal pameran. Ini sangat membantu pengacara Anda selama persiapan mereka
dan di pengadilan. Rekaman tempat pameran ditemukan dan nomor seri, nomor model,
nama host, alamat Kontrol Akses Media (MAC), dan alamat Protokol Internet (IP) jika ada.
Alamat MAC dan IP sangat relevan ketika pemeriksa digital Anda menangkap lalu lintas
jaringan. Foto perangkat dan nomor seri/model sangat membantu dalam memastikan
ketepatan.
Memastikan Anda dapat mengidentifikasi setiap orang yang terlibat dalam menangani
pameran. Jika Anda memiliki anggota tim yang mengundurkan diri dan bepergian ke luar
negeri, misalnya, Anda dapat menggunakannya untuk mencari bukti tetapi tidak boleh
mereka menyitanya secara fisik, karena Anda mungkin tidak dapat menemukannya dalam
beberapa tahun untuk sidang pengadilan. . Dapatkan pernyataan dari semua orang pada
kesempatan pertama.
Merekam keadaan lokasi pameran. Apakah di ruang terbuka di mana semua orang dapat
mengaksesnya atau di kantor yang aman? Ini adalah pertanyaan penting di pengadilan
dan harus dibahas di awal penyelidikan.
Saat menyimpan barang bukti, catat siapa yang memiliki akses padanya dan alasan
mengapa barang itu dilihat atau dipindahkan baik di dalam maupun di luar fasilitas
pelestarian; alasan sah mungkin termasuk pemeriksaan forensik, melihat dokumen, atau
memotret bukti.
Merekam semua perubahan atau kerusakan pada setiap pameran, baik digital atau lainnya,
segera. Misalnya, bukti digital sangat fluktuatif dan merebutnya dari jaringan mungkin
melibatkan pemuatan perangkat lunak baru ke jaringan. Meskipun tidak merusak jaringan,
itu memperkenalkan perubahan.
Juga jika terjadi kecelakaan dan pameran terjatuh dan rusak (seperti layar laptop retak),
catatlah kejadian tersebut.
Machine Translated by Google
PERLINDUNGAN BUKTI
Sementara melestarikan rantai bukti sangat penting, ada juga berbagai pekerjaan yang harus dilakukan
dengan pameran untuk menjaga keasliannya. Setiap orang yang terlibat dalam pemeriksaan,
penyimpanan, dan pengangkutan pameran perlu memahami tanggung jawab mereka terhadap
keselamatan dan keamanan mereka. Tujuh pertimbangan untuk penyidik dan petugas pameran berikut:
1. Rantai penahanan
Lihat bagian sebelumnya, “Pelestarian Rantai Penelusuran,” untuk a
diskusi.
2. Penyimpanan yang
aman Mengamankan sebuah pameran mensyaratkan bahwa pameran tersebut ditempatkan
di lingkungan yang tidak memungkinkan untuk diganggu dan kredibilitasnya tercoreng. Penegakan
hukum menggunakan unit penyimpanan pameran yang ditunjuk dan fasilitas terkunci yang
aksesnya dibatasi dan dicatat. Hanya orang-orang yang memiliki alasan yang sah dan perlu
untuk mengakses sebuah pameran yang boleh berada di dekat tempat itu setelah disita.
Pertama, di mana perangkat memiliki akses ke jaringan nirkabel atau seluler, perangkat
harus ditempatkan ke mode penerbangan (atau mode serupa, tergantung pada perangkat) dan/
atau jika memungkinkan, ditempatkan ke dalam tas Faraday atau wadah serupa yang
menghambat jaringan mengakses. Saat perangkat terhubung
Pernyataan yang meliputi keutuhan barang bukti merupakan penjelasan kepada pengadilan
bahwa barang bukti tersebut dapat diandalkan sebagai barang bukti. Jika ada sedikit upaya
untuk menjelaskan integritas pameran atau haruskah celah dalam pelestariannya diidentifikasi,
itu membuka pintu yang sangat besar bagi tim hukum pihak lain untuk mengeluarkan pameran
dari kasus sebagai tidak dapat diandalkan.
4. Laporan pemeriksaan
Sebuah pameran digital dapat menjalani pemeriksaan forensik spesialis oleh orang yang
terlatih dengan baik. Pernyataan mereka perlu menjelaskan kredensial mereka
Machine Translated by Google
Saat mempertimbangkan untuk menyita barang apa pun untuk memajukan penyelidikan Anda, Anda
harus memastikan bahwa Anda memiliki wewenang hukum untuk memperolehnya dan menjaganya.
Bagian ini menyediakan tujuh area untuk dipertimbangkan terkait tindakan Anda.
barang yang disita tidak lagi relevan, pertimbangkan untuk mengembalikannya jika diperbolehkan,
karena itu berarti lebih sedikit bukti yang harus Anda pertanggungjawabkan.
2. Apa prioritas kita?
Bukti digital mungkin sangat fluktuatif, dan penyidik perlu memahami berbagai
bentuk bukti digital, volatilitasnya, dan konsekuensi dari tidak memprioritaskan
pelestarian bukti (mungkin hilang).
Lihat “Akuisisi Bukti Digital” di Bab 10 untuk diskusi tentang ini.
3. Apa yang kita cari?
Saat mengambil perangkat, ketahui apa yang Anda cari. Pengadilan tidak menyukai
apa yang disebut perjalanan memancing, di mana sejumlah besar bukti diambil dengan
kemungkinan bahwa hal itu mungkin terbukti relevan di kemudian hari.
4. Bekerja dalam batas-batas pemeriksaan dan penyitaan yang ditetapkan secara hukum.
Khususnya ketika beroperasi di bawah perintah pengadilan, pahami dengan
tepat apa yang diizinkan dan diambil oleh perintah tersebut. Jangan melebihi
wewenang perintah, karena bukti tambahan yang Anda sita atau kuasa yang
dieksekusi dapat menyebabkan bukti tersebut dibuang dan kasus Anda tercemar.
5. Memahami implikasi etis dari pemeriksaan dan penemuan kebetulan
materi ilegal yang tidak terkait.
Saat mencari perangkat digital, Anda mungkin akan menghadapi berbagai
macam materi yang mungkin ditemukan secara online di perangkat tersebut. Sangat
umum saat ini untuk menemukan banyak bentuk pornografi (diunduh atau dibuat
sendiri) pada perangkat seluler atau tetap yang disita dan diperiksa. Sebagai
alternatif, pemeriksa digital dapat menemukan materi kriminal, seperti identitas palsu,
curian, Kekayaan Intelektual (IP) atau Materi Eksploitasi Anak (CEM), yang
mengakibatkan kewajiban etis dan hukum segera. Khususnya dalam hal identifikasi
CEM, disarankan agar pemeriksa menghentikan pemeriksaan, segera melapor ke
polisi, mencari arahan, dan mencatat tindakan yang mengarah pada identifikasi
materi pidana.
Pemeriksaan perangkat juga dapat menemukan dompet cryptocurrency dengan
nilai besar yang disimpan. Ini dapat dilihat sebagai uang tunai, dan perhatian khusus
perlu diberikan untuk memastikan bahwa akses ke pameran ini dibatasi. Karena sifat
anonim dari cryptocurrency online, godaan mungkin ada bagi seseorang untuk
mengakses perangkat dan mentransfer nilai ke dompet cryptocurrency mereka,
mengambil langkah-langkah untuk memastikan bahwa tindakan tersebut tidak dapat
dicocokkan dengan mereka.
Hal yang sama berlaku untuk IP yang berada. Basis data dapat berisi informasi
yang sangat berharga dan pribadi, dan tergantung pada kasus yang sedang diselidiki,
data yang sangat pribadi mungkin ada, seperti halnya jika pusat medis disusupi.
Komunitas penjahat dunia maya menempatkan nilai yang sangat tinggi pada data
medis karena kapasitasnya untuk digunakan
Machine Translated by Google
dalam pemerasan terhadap pasien, terutama ketika penjahat dunia maya mengidentifikasi
pasien sebagai selebriti, eksekutif senior, atau individu dengan kekayaan bersih tinggi.
6. Seperti yang disebutkan sebelumnya, lakukan penyelidikan Anda pada salinan gambar yang
diperoleh dari pameran. Ini berarti pameran itu dicitrakan dan salinannya dibuat dari gambar
itu, di mana pemeriksaan dilakukan. Ini memberikan bentuk pemisahan yang jelas dari
pameran, jadi jika malware dieksekusi atau lonjakan daya menyebabkan kerusakan selama
pemeriksaan, kerusakan hanya terjadi pada salinan dan bukan gambar asli. Ini akan
melindungi integritas pameran dan pemeriksaan Anda.
7. Perlakukan semua bukti yang mungkin tunduk pada pengawasan hukum yang agresif sebagai
bukti pengadilan. Semua pihak yang terlibat dalam penanganan barang bukti, mulai dari
identifikasi hingga pembuatan di pengadilan, harus siap bersaksi di pengadilan tentang
tindakan mereka jika diperlukan. Bahkan sebuah dokumen yang dianggap mengandung nilai
minimal pada hari penyitaan dapat ditemukan mengandung informasi penting sekali lagi
fakta kasus terungkap.
Jika seorang terdakwa menghadapi bukti signifikan yang menunjukkan bahwa mereka
bersalah atas kejahatan atau pelanggaran perdata yang dituduhkan kepada mereka, strategi
hukum pembelaan adalah menemukan kelemahan dengan integritas bukti dan
mengesampingkannya oleh pengadilan sebagai tidak dapat diandalkan. Ada serangkaian
tantangan yang mungkin dibuat oleh suatu pihak yang melibatkan sisi teknis bukti digital.
Beberapa di antaranya adalah:
Barang bukti tidak terekam di TKP karena penyidik tidak merekam Random Access
Memory (RAM). Perangkat lunak berbahaya yang memengaruhi bukti awalnya mungkin
ada di dalam RAM tetapi dihapus dan tidak meninggalkan jejak setelah dimatikan
secara paksa.
Bukti tidak dikumpulkan karena keterbatasan anggaran. Contohnya adalah pengumpulan
bukti dari akun komputasi awan di mana biaya hukum untuk memperoleh data dari
beberapa perusahaan komputasi awan yang berpotensi membentuk komponen layanan
memerlukan perintah pengadilan untuk perusahaan yang berbeda di yurisdiksi yang
berbeda. Kegagalan untuk memperhitungkan rantai bukti.
Catatan _ 63
Sebuah bisnis digerebek oleh polisi karena dicurigai memberikan layanan keuangan
secara curang. Tuduhannya adalah bahwa bisnis tersebut terlibat dalam kombinasi penipuan
dunia maya, di mana situs web palsu telah dibuat yang menunjukkan keuntungan finansial
yang mengesankan selama tahun-tahun sebelumnya, dan rekayasa sosial para korban
melalui komunikasi telepon dan email.
Perusahaan mengklaim bahwa surat perintah penggeledahan menghalangi
kapasitasnya untuk menjalankan apa yang dinyatakan sebagai bisnis yang sah dan
bahwa perusahaan khawatir akan hilangnya perdagangan, server komputernya, dan
reputasi pribadi dan bisnisnya. Perusahaan juga khawatir bahwa karyawannya tidak
akan lagi bekerja jika ada kecurigaan bahwa perusahaan tersebut terlibat dalam serangkaian penipuan
Para penyelidik memahami kekhawatiran ini ketika menyita server perusahaan dan
banyak dokumen, dan juga memahami bahwa mereka secara efektif menutup bisnis secara
permanen. Selanjutnya ditemukan bukti-bukti yang menguatkan yang mendukung penyitaan
barang bukti dari TKP digital, antara lain bukti penjualan jasa keuangan tanpa izin, karyawan
yang menggunakan identitas palsu, dan klaim keberhasilan keuangan produk palsu. Juga,
tinjauan cetakan digital menemukan bukti beberapa perusahaan phoenix, memberikan daftar
panjang bukti dugaan penipuan keuangan.
CATATAN
1. Janet Williams, Panduan Praktik Baik ACPO untuk Bukti Digital, Maret 2012,
Persatuan Kapolri.
Machine Translated by Google
7 BAB TUJUH
PERTEMUAN PRA
peristiwa yangINVESTIGASI berusaha
memerlukan investigasi dan untuk memperoleh
menetapkan pemahaman
persyaratan perikatan. Initentang
adalah kesempatan untuk mengidentifikasi tingkat kejadian yang diketahui dan apa yang
persis yang diinginkan klien dari penyelidik mereka. Pertemuan investigasi awal mungkin mencakup
banyak hal dan perlu disusun untuk memungkinkan pemahaman penuh tentang peristiwa dan peran
penyelidik.
Orang-orang yang dapat diwawancarai dalam tahap awal ini mungkin termasuk:
manajer dengan tanggung jawab yang ditunjuk untuk pengawasan perusahaan atas insiden tersebut
tanggapan, anggota tim hukum (terutama berharga ketika tersangka
diidentifikasi dalam organisasi), administrator sistem dan orang lain yang bertanggung jawab untuk
pengoperasian jaringan (internal dan eksternal ke
organisasi), dan pengguna perangkat.
PEMBAHASAN AWAL
Pada tahap awal investigasi ini, para peneliti memperoleh pemahaman tentang peristiwa dan tujuan
manajemen. Ini dapat berubah selama penyelidikan, namun, pada awalnya, penyelidik sipil perlu
65
Buku Pegangan Penyidik Kejahatan Dunia Maya, Edisi pertama. Graeme Edwards, PhD.
© 2020 John Wiley & Sons, Inc. Diterbitkan 2020 oleh John Wiley & Sons, Inc.
Machine Translated by Google
Pada umumnya polisi tidak memerlukan pedoman tertulis formal seperti itu, karena
kewenangannya ada pada pengaduan yang diterima dan karena kewenangan legislatifnya.
Di awal percakapan, identifikasi potensi risiko keselamatan bagi tim investigasi atau
orang lain. Ini adalah titik kritis, karena saat wawancara awal sedang berlangsung, anggota
tim lain mungkin bubar untuk memulai tugas mereka.
Rincian potensi risiko apa pun, seperti keberadaan tersangka, harus segera dikomunikasikan
kepada semua anggota tim dan orang lain yang keselamatannya mungkin terancam.
Contoh pertanyaan yang mungkin diajukan penyidik dalam wawancara awal meliputi:
Diskusi Awal 67
Apa rencana investigasi dan bantuan karyawan yang diperlukan? Pelapor mungkin ingin
melibatkan staf mereka dalam membantu tim investigasi untuk mempercepat pekerjaan
di tempat kejadian dan memberikan bantuan apa pun yang tersedia. Seorang manajer
dengan wewenang untuk membuat keputusan atas nama perusahaan dapat ditugaskan
untuk bekerja dengan pimpinan investigasi untuk menjawab pertanyaan apa pun dan
memberikan wewenang langsung bila diperlukan. Apa kebijakan Bawa Perangkat
Anda Sendiri (BYOD) dari perusahaan? Komputer BYOD dimiliki oleh karyawan yang
menggunakannya, sesuai dengan persetujuan manajer mereka. Data yang tersimpan
di dalamnya adalah milik perusahaan yang tunduk pada perjanjian apa pun; namun,
mungkin tidak ada wewenang tersurat maupun tersirat untuk memeriksa perangkat
tanpa wewenang karyawan jika terjadi insiden keamanan siber.
Apakah ada persetujuan untuk mendapatkan data dan dokumen dari tim Incident
Response (IR)? Tim IR mungkin berada di luar organisasi dan mungkin memerlukan
biaya untuk mewawancarai mereka. Pengadu akan menanggung biaya ini; namun,
percakapan ini perlu dilakukan pada tahap awal wawancara pendahuluan dan
persetujuan yang diperoleh dari klien. Apakah ada persetujuan untuk mewawancarai
staf dan membuat pengaturan untuk mewawancarai staf IR sebagaimana diperlukan?
Kecuali ada alasan khusus untuk tidak melakukannya, idealnya seorang manajer
senior akan memberikan pengarahan kepada staf yang menjelaskan apa yang telah
terjadi dan mengapa tim investigasi hadir. Dapatkan persetujuan untuk wawancara ini.
Di mana penegakan hukum hadir, mereka memiliki protokol sendiri dalam hal ini
Machine Translated by Google
penting dan akan memberikan panduan kepada manajemen, termasuk kemungkinan memberi
pengarahan kepada staf itu sendiri.
Apakah ada persetujuan untuk mendapatkan dokumen Sumber Daya Manusia (SDM) klien sesuai
kebutuhan? Dapatkan persetujuan untuk mengakses dokumen-dokumen ini. Hal ini sangat relevan
ketika berurusan dengan BYOD atau karyawan internal yang dianggap sebagai tersangka dalam
peristiwa tersebut, termasuk kasus di mana seorang karyawan dapat diduga lalai dalam tugasnya
dan mengekspos perusahaan ke ancaman dunia maya melalui aktivitas seperti mengakses
jaringan peer-to-peer dari jaringan perusahaan.
Setelah garis besar umum penyelidikan selesai, tahap selanjutnya adalah mencatat rincian
pelapor dan petugas penghubung mereka untuk penyelidikan.
DETAIL PENGADUAN
Pelapor adalah orang yang membuat rujukan untuk penyelidikan. Dalam lingkungan perusahaan,
entitas dapat menjadi pelapor dan petugas yang secara resmi mengajukan pengaduan atau mencari
investigasi dapat dilihat secara kolektif sebagai informan. Terlepas dari struktur organisasi atau apakah
pelapor adalah individu, rincian kunci perlu diperoleh di awal.
Ini termasuk:
Rincian lengkap tentang perusahaan pengadu dan orang yang memberi wewenang, termasuk
peran mereka.
DETAIL ACARA
Peristiwa tersebut merupakan pelanggaran keamanan yang perlu diselidiki. Dalam fase wawancara
awal ini, penyelidik memperoleh pemahaman tentang pelanggaran dan
Machine Translated by Google
memperoleh fakta apa pun yang tersedia. Ini mungkin lingkungan yang dinamis di mana tim
investigasi beroperasi, karena peristiwa siber mungkin berlanjut selama wawancara awal.
Orang yang akan diwawancarai mungkin termasuk administrator sistem, pengguna perangkat,
orang yang mengidentifikasi insiden tersebut, dan anggota tim keamanan yang menanggapi peristiwa
tersebut. Pertanyaan untuk ditanyakan mungkin termasuk:
Apakah ada pembaruan sistem atau aplikasi baru yang diinstal baru-baru ini? Apa konsekuensi
dari peristiwa tersebut terhadap entitas? Siapa yang memiliki akses administrator ke jaringan dan
apakah bentuk akses ini
Memahami sejarah keamanan siber dari organisasi korban dapat memberikan pemahaman tentang
sifat dari peristiwa tersebut. Bukti jejak kaki akan menunjukkan bahwa peristiwa tersebut bukan
insiden acak dan bahwa pelaku mungkin telah mempersiapkan pelanggaran untuk jangka waktu
tertentu.
Diskusikan sejarah insiden cyber dan peristiwa keamanan. File log apa yang
tersedia untuk analisis peristiwa masa lalu jika riwayatnya
tidak dikenal?
Machine Translated by Google
DETAIL Adegan
Dalam beberapa kasus akan ada sedikit atau tidak ada manajemen adegan
awal yang terlibat, seperti ketika Anda dipanggil untuk memulai penyelidikan
beberapa minggu setelah kejadian dan semua perangkat subjek dan bukti yang
dikumpulkan oleh tim IR diamankan untuk koleksi Anda. Dalam hal ini Anda
mungkin masih diminta untuk memahami dinamika di mana serangan terjadi,
topologi jaringan, dan masalah terkait.
Machine Translated by Google
Mengidentifikasi Tersangka 71
MENGIDENTIFIKASI PELANGGARAN
MENGIDENTIFIKASI SAKSI
Saksi dapat berupa setiap orang yang memiliki pengetahuan atau hubungan dengan dugaan
pelanggaran. Seorang saksi dapat termasuk orang yang melaporkan pelanggaran tersebut.
Mengidentifikasi para saksi dalam wawancara awal dapat memberikan bantuan yang
berharga dalam merencanakan urutan wawancara, karena beberapa saksi mungkin akan
pergi cuti, menghadiri kursus, atau meninggalkan bisnis.
MENGIDENTIFIKASI TERGUGAT
Identifikasi tersangka pada wawancara awal memberikan arahan yang kuat mengenai
bentuk investigasi. Haruskah tersangka hadir saat wawancara awal?
Machine Translated by Google
terjadi, mereka dapat diperingatkan dan menghancurkan bukti. Jika pelaku cyber mengidentifikasi
bahwa mereka telah ditemukan melalui komunikasi digital di antara anggota tim manajemen,
mereka juga dapat menghancurkan bukti dari jarak jauh.
Jika tersangka adalah karyawan internal, mintalah izin untuk menghapus akses mereka ke
jaringan, secara lokal dan jarak jauh, serta akses mereka ke lokasi fisik.
Memahami modus operandi (MO) dari setiap serangan memberikan arahan untuk penyelidikan
dan lokasi bukti. Ini juga memberikan pemahaman tentang serangan dan potensi data yang
dicuri. Wawancara awal mungkin memberikan informasi terbatas pada awalnya, karena
mungkin ada pemahaman yang terbatas tentang detail ini saat pelanggaran sedang berlangsung.
Dalam hal ini, penyidik harus beroperasi dengan informasi yang mereka miliki dan mulai dengan
identifikasi bukti dan penyitaan dalam kemitraan dengan tim IR.
Apa target acara: data, hak istimewa sistem, Kekayaan Intelektual, sumber daya, atau yang
lainnya? Apa tindakan penyerang saat berada di sistem? Apakah mereka langsung
menuju target atau harus menavigasi sistem untuk menemukannya?
Alat apa yang digunakan: pemindai kerentanan atau alat individual? Perintah apa
yang digunakan? Ini akan memberikan bukti keahlian penyerang. Penyerang yang
menggunakan serangan baris perintah dapat dilihat memiliki berbagai keterampilan yang
berbeda dari penyerang yang menggunakan pemindai kerentanan yang tersedia secara
komersial.
Machine Translated by Google
Bukti: Teknis 73
Apa kerentanan yang diidentifikasi dan dieksploitasi dan sudah berapa lama diketahui? Jika
kerentanan baru, serangan itu dikenal sebagai serangan zero-day dan menunjukkan
penyerang yang sangat terampil.
BUKTI: TEKNIS
Wawancara awal dapat memberikan arahan mengenai bukti teknis yang terlibat dalam
pelanggaran dan apa yang dapat disita sebagai bukti. Area yang akan dicakup dalam
wawancara meliputi:
Sistem , jaringan, dan aset apa yang telah diserang/disusupi? Kapan keamanan sistem
pertama kali dilanggar dan berapa lama penyerang berada dalam jaringan?
Di bawah akun pengguna apa kerentanan dieksploitasi? Apakah akun ini menyertakan hak
administrator? Apakah hak istimewa telah ditingkatkan tanpa otoritas?
Apa detail perangkat yang disusupi, termasuk alamat subnet? Ini mungkin ditanyakan dalam
wawancara awal tetapi lebih mungkin ditanyakan kepada staf teknis.
BUKTI: LAINNYA
Bukti harus diperlakukan dengan hormat, karena mungkin diperlukan untuk disajikan di
pengadilan. Tahap wawancara awal investigasi akan memberikan arahan mengenai bukti
yang diketahui hingga saat ini, di mana ia dapat ditemukan, dan orang-orang yang terkait
dengannya.
Apa legalitas penahanan barang bukti karena hak istimewa, seperti untuk dokter,
pengacara, pendeta, psikiater, dan sejenisnya? Waspadalah terhadap kecurigaan
terhadap perangkat atau jaringan yang berisi Materi Eksploitasi Anak dan segera
minta nasihat polisi tentang tindakan apa yang mereka perlukan.
Berapa banyak ruang yang dibutuhkan untuk penyimpanan bukti digital? Ingatlah bahwa
jumlah yang dibutuhkan untuk pengambilan perangkat mungkin sangat berbeda dari
yang dibutuhkan untuk pengambilan jaringan. Apakah rantai bukti untuk semua bukti
fisik dan digital, termasuk yang diperoleh dari tim IR, telah dipastikan? Apakah ada logon
umum untuk perangkat yang dicurigai telah disusupi atau
Sebuah perusahaan besar menemukan bahwa seorang manajer senior terlibat dalam
pencurian suku cadang selama pembangunan switchboard listrik industri. Pria tua, yang
sangat ahli dalam pekerjaannya, sering kali diminta untuk membeli AC untuk switchboard
karena panas yang dihasilkan. Ia akan
Machine Translated by Google
sering membeli dua, memasang satu, dan menyimpan yang lain untuk dijual secara online.
Kelemahan dalam prosesnya adalah bahwa manajer merancang papan hubung, memesan
suku cadang, mengawasi konstruksi, dan menyetujui pembayaran suku cadang. Dia
dengan iri menjaga ruang kerjanya, bahkan dari pemilik perusahaan.
Keluhan awal kepada polisi dari manajemen adalah untuk menyelidiki 20 kasus
penipuan dengan total sekitar $50.000. Penyelidikan polisi mengidentifikasi tiga metodologi
penipuan lainnya. Pemilik perusahaan menghentikan ruang lingkup penyelidikan sekitar
$450.000 karena stres yang ditimbulkannya pada perusahaan, meskipun diperkirakan ada
lebih banyak lagi contoh penipuan.
Bab 8 memperkenalkan kegiatan yang dilakukan oleh tim IR untuk mengurangi dan
memberantas pelanggaran. Pengenalan ini diberikan untuk informasi penyidik, sehingga
mereka akan memiliki pemahaman tentang peran anggota tim IR, karena bukti mereka
akan dimasukkan ke dalam setiap masalah pengadilan yang potensial. Ini juga akan
memberikan pemahaman tentang tugas dan tindakan anggota tim IR, sehingga bukti yang
diidentifikasi dan diamankan dapat dipahami asal-usulnya.
Machine Translated by Google
8 BAB DELAPAN
Berisi acara keamanan cyber umumnya peran tim tertentu yang telah ditunjuk
sebelum acara tersebut. Tim IR dapat terdiri dari internal
77
Buku Pegangan Penyidik Kejahatan Dunia Maya, Edisi pertama. Graeme Edwards,
PhD. © 2020 John Wiley & Sons, Inc. Diterbitkan 2020 oleh John Wiley & Sons, Inc.
Machine Translated by Google
anggota staf atau menjadi tim ahli yang didatangkan dari luar organisasi.
Tim investigasi dapat diminta oleh manajer tim IR untuk berpartisipasi dalam manajemen
acara jika ada bukti pelanggaran perdata atau pidana yang memerlukan penyelidikan setelah
mitigasi.
Tujuan tim IR dalam fase penahanan adalah untuk membatasi kerusakan yang dapat
terjadi pada sistem, apakah itu hilangnya data rahasia perusahaan atau kerusakan integritas
jaringan. Fase ini juga memungkinkan penangkapan bukti.1 Jika penyerang masih berada
dalam jaringan, tim IR akan berusaha membatasi eksploitasi lebih lanjut dan menghapusnya
dari sistem dan perangkat. Saat ini bukti mungkin tersedia mengenai kemampuan kerentanan
jaringan yang diidentifikasi oleh penyerang dan bagaimana hal itu dieksploitasi. Ini harus
dikomunikasikan kepada tim investigasi sebagai jalur penyelidikan untuk investigasi Anda.
Ada serangkaian tindakan yang mungkin diambil oleh tim IR yang dapat menghasilkan
bukti untuk Anda di awal saat mereka menahan serangan. Ini mungkin tidak selalu terjadi
tergantung pada log yang dicatat dan kerusakan yang dilakukan pada sistem oleh penyerang;
namun, ketahuilah bahwa ada potensi untuk menemukan bukti oleh tim IR yang dapat Anda
gunakan untuk membangun fondasi di awal penyelidikan Anda. NIST mengidentifikasi contoh-
contoh seperti: 1
Pastikan tim IR memahami peran Anda dan persyaratannya. Karena Anda semua pada
dasarnya bekerja menuju tujuan yang sama, memiliki pemahaman bersama dan rasa hormat
terhadap tugas masing-masing dan bagaimana mereka saling bersinggungan adalah penting. Tim
IR profesional skala besar akan memahami kebutuhan Anda; namun, tim internal kecil mungkin tidak
akan melakukannya sampai Anda memberi tahu mereka.
Contoh lain dari jalur penyelidikan potensial yang dapat diberikan oleh tim IR meliputi:
dalam upaya untuk memecahkan kata sandi. Informasi ini akan menarik bagi
penyelidik, karena memberikan pemahaman tentang apakah penyerang adalah
orang dalam, orang luar yang entah bagaimana telah mengkompromikan kredensial
yang sah (jalur penyelidikan lain), atau penyerang yang tidak memiliki wawasan
sebelumnya tentang perusahaan. jaringan. Memperoleh salinan perangkat lunak
berbahaya yang digunakan oleh penyerang. Penyelidik dapat merujuk ke sumber daya
online untuk mendapatkan pemahaman tentang malware, atau jika serangan itu
adalah eksploitasi zero-day (yang, seperti yang telah dibahas sebelumnya, adalah
eksploitasi kerentanan yang sebelumnya tidak diketahui dalam Sistem Operasi (OS)
atau aplikasi) , penyelidik akan menyadari bahwa mereka berurusan dengan penjahat
dunia maya yang berpengalaman dengan keterampilan teknis yang signifikan.
Tim IR akan mencakup banyak area yang berbeda dari potensi kompromi dan
mungkin memiliki sedikit jawaban atas pertanyaan Anda sampai mereka memiliki
kesempatan untuk meninjau log, memahami metodologi serangan, dan mengklarifikasi
sifat dan tingkat serangan. Tergantung pada keadaan serangan dan ukuran entitas
pengadu, ini mungkin memakan waktu beberapa jam atau hari. Dalam beberapa kasus,
ini dapat berlangsung hingga berminggu-minggu. Sadarilah bahwa tim IR akan beroperasi
di bawah tekanan besar.
Beberapa area lain yang akan menjadi fokus tim IR, tergantung
pada keadaan, Anda mungkin menemukan sebagai sumber bukti termasuk:
Menutup port tempat data masuk dan keluar jaringan. Jika port diaktifkan dan tidak
memiliki fungsi dalam jaringan, ini mungkin merupakan jalur kompromi. Karena port
yang berbeda digunakan untuk berbagai bentuk lalu lintas digital, mengidentifikasi
port mana yang menjadi subjek kompromi dapat memberikan langkah kecil ke depan
dalam penyelidikan dan pengetahuan Anda tentang
Machine Translated by Google
bagaimana serangan itu dimulai. Misalnya, port 80 mungkin untuk lalu lintas
web, sedangkan port 25 mungkin terkait dengan lalu lintas email. Tim IR
akan dapat memberi Anda informasi ini dan penjelasan tentang artinya.
Mengidentifikasi dan menghapus perangkat yang disusupi atau dicurigai dari
jaringan jika memungkinkan. Ini sangat menarik bagi penyelidik, karena
Anda ingin bekerja dalam kemitraan dengan penyelidik digital Anda untuk
menggambarkan perangkat dan mengidentifikasi bukti kompromi. Masalah
dapat terjadi jika perangkat yang disusupi sangat penting bagi organisasi,
seperti database tempat semua catatan perusahaan yang diperlukan untuk
operasi sehari-hari disimpan. Mengambil database ini secara offline dapat
berarti bahwa perusahaan akan berhenti berfungsi. Contoh situasi ini adalah
perusahaan online yang server webnya rusak dan harus offline.
Ini berarti bahwa perusahaan tidak dapat berdagang sampai server
diamankan atau host alternatif ditemukan.
Contoh konflik antara IR dan tim investigasi adalah ketika mesin virtual telah
terinfeksi oleh perangkat lunak berbahaya (malware) dan tim IR ingin
mematikannya dan mem-boot ulang mesin virtual baru, menghapus malware.
Meskipun ini mungkin terbukti sangat efektif dalam menahan dan memberantas
serangan, itu juga akan menghancurkan bukti berharga yang tidak akan dapat
dipulihkan dan yang akan diminati oleh tim investigasi. Tindakan ini mungkin
disukai oleh manajemen, karena merupakan tindakan cepat. dan cara yang
bersih untuk memberantas malware; namun, bukti Anda sekarang akan hilang
dan tidak akan dapat dipulihkan.
Sementara penahanan adalah tanggung jawab utama tim IR, penyelidik
dunia maya dapat dilibatkan dalam proses ini untuk mengawasi pengumpulan
bukti dan memulai jalur penyelidikan baru. Bagian berharga dari bukti Anda
adalah mencari catatan anggota tim IR untuk memahami apa yang mereka lihat,
tindakan apa yang mereka ambil, alasan keputusan yang mereka buat, dan
konsekuensi dari menahan dan menghapus peristiwa tersebut. Catatan ini dapat
digunakan dalam penyusunan pernyataan oleh anggota tim IR, dan dalam hal
tersangka diidentifikasi dan dituntut, akan menjadi bagian dari bukti penuntutan.
Tercantum di bawah ini adalah contoh dari beberapa proses yang dilakukan tim IR
dalam fase pemberantasan, yang mungkin menarik bagi tim investigasi:
Mengidentifikasi perangkat lain yang mungkin telah disusupi.1 Penyelidik akan tertarik
untuk memeriksa perangkat ini, karena perangkat tersebut juga dapat berisi bukti baru
atau yang menguatkan untuk mendukung informasi yang diperoleh dalam fase
penahanan.
Menginstal ulang OS dan aplikasi terkait. Setelah OS dan aplikasi diinstal ulang, bukti
potensial akan ditimpa. Pastikan Anda memiliki semua bukti dari OS dan aplikasi
terkait sebelum menginstal ulang. Menginstal ulang salinan database, OS, dan aplikasi
lain yang terpercaya, yang kemudian akan dipantau. Tim IR akan menyadari bahwa
penyerang berpengalaman mungkin masih memiliki akses jarak jauh ke jaringan, yang
belum terdeteksi dalam fase deteksi dan pemberantasan. Atau, penyerang mungkin
meninggalkan malware yang belum diidentifikasi atau diaktifkan.
Akan bermanfaat untuk tetap berhubungan dengan tim IR dan administrator sistem
selama beberapa hari setelah penginstalan ulang untuk mengonfirmasi bahwa tidak
ada kompromi lebih lanjut pada jaringan.
Melakukan pengujian untuk memastikan kerentanan yang dieksploitasi oleh penyerang
telah diperbaiki.1 Anda akan tertarik dengan informasi ini sebagai konfirmasi tambahan
dari vektor serangan yang digunakan oleh penjahat dunia maya.
Ada banyak proses yang dilakukan tim IR dalam fase penahanan dan pemberantasan.
Contoh-contoh yang tercantum di sini dimaksudkan untuk memberikan wawasan tentang
tugas mereka dan bagaimana pekerjaan mereka dapat digunakan sebagai dasar untuk
penyelidikan Anda. Sangat disarankan agar Anda berkomunikasi dengan
Machine Translated by Google
CATATAN
1. Paul Cichonski, Thomas Millar, Tim Grance, dan Karen Scarfone, Panduan
Penanganan Insiden Keamanan Komputer, Publikasi Khusus 800-61 Revisi
2, Agustus 2012, Institut Nasional Standar dan Teknologi, Departemen
Perdagangan Amerika Serikat.
Machine Translated by Google
9 BAB SEMBILAN
MENDAPATKAN
komplekspemahaman
di lingkungantentang kejahatan
cyber daripada yang sedang
di domain diselidiki lebih
fisik. Sebanyak
bukti tersebut berbentuk digital, mungkin sangat mudah berubah dan
dapat hilang atau rusak jika tindakan segera tidak diambil untuk memastikan
pelestariannya. Selain itu, dengan server data terdistribusi—seperti komputasi
awan—menjadi lebih umum, bukti yang dicari penyelidik dapat tersebar di berbagai
yurisdiksi dan hilang dengan sangat cepat karena tersangka menghapus bukti
kejahatan mereka dari jarak jauh. Atau, kebijakan pemaksimalan sumber daya
Penyedia Layanan Cloud (CSP) dapat mengakibatkan bukti log utama ditimpa.
Pada tahap awal, penyelidik mungkin tidak menyadari luas atau batas-batas
penyelidikan—atau bahkan kejahatan yang sebenarnya sedang diselidiki—ketika
memulai tindakan. Seperti yang kami temukan di Bab 8, bukti mungkin lambat
diperoleh karena tim IR (Tanggapan Insiden) berusaha menahan ancaman dan
membangun pemahaman teknis mereka tentang serangan itu, terkadang dengan
pertimbangan terbatas terhadap persyaratan penyelidik dunia maya. Anda
mungkin juga menemukan dukungan manajemen yang lemah, dengan beberapa
manajer hanya ingin masalah tersebut hilang sehingga mereka dapat kembali ke
bisnis seperti biasa, meskipun dengan standar keamanan yang lebih tinggi agar
masalah tidak terulang kembali.
83
Buku Pegangan Penyidik Kejahatan Dunia Maya, Edisi pertama. Graeme Edwards,
PhD. © 2020 John Wiley & Sons, Inc. Diterbitkan 2020 oleh John Wiley & Sons, Inc.
Machine Translated by Google
TKP dalam investigasi cyber berbeda dari TKP fisik tradisional di mana penyelidik memiliki kendali
atas TKP sejak awal, memberikan arahan untuk semua penyelidikan, dan dapat memastikan TKP dan
barang bukti tidak terkontaminasi. Seperti yang telah dibahas, tanggung jawab pertama tim Incident
Response (IR) mungkin adalah untuk mengurangi dan memberantas serangan, dengan investigasi
peristiwa dan pengumpulan bukti forensik menjadi tanggung jawab penting—bukan fitur utama—
digabungkan ke dalam respons.
Untuk kejahatan tradisional, detektif yang memeriksa tempat kejadian akan ingin memulai
pemeriksaan mereka dengan tempat kejadian sedekat mungkin dengan keadaan tempat pelaku meninggalkannya.
mungkin. Itu berarti mengontrol akses ke tempat kejadian, melindunginya dari kerusakan dari peristiwa
seperti cuaca dalam kasus pemandangan di luar ruangan, memotret pemandangan dan bukti, dan
sebagainya. Penyelidik akan bekerja di lingkungan yang sangat berbeda dalam kasus serangan siber,
dengan konsekuensi berbeda terhadap manajemen tempat kejadian dan perlindungan bukti.
Apakah serangan siber berlanjut ketika penyelidik siber pertama kali hadir atau telah diperbaiki,
tempat kejadian dan bukti akan terlihat sangat berbeda dari saat kejahatan itu pertama kali diidentifikasi,
dan mereka perlu melihat secara retrospektif untuk mempertanggungjawabkan semua tindakan yang
diambil setelah serangan. identifikasi peristiwa siber dalam kemitraan dengan tim IR. Ini adalah investigasi
dinamis, dan keputusan untuk mengambil bukti berharga di kemudian hari selama respons mungkin
merupakan keputusan yang disesali di kemudian hari.
Bab ini akan membahas secara singkat serangkaian tantangan unik yang mungkin ditemukan oleh
penyelidik kejahatan dunia maya jika dibandingkan dengan jenis kejahatan lainnya.
TANTANGAN UNIK
Tantangan Unik 85
Pelanggar dapat ditemukan secara harfiah di mana saja di dunia dan bersembunyi di balik
aplikasi anonim dan teknologi lainnya. Pelanggar juga dapat ditempatkan di organisasi yang
diserang, sehingga ancaman orang dalam tidak dapat diabaikan.
Mereka juga dapat menghancurkan bukti kehadiran mereka bahkan sebelum suatu peristiwa
diidentifikasi.
Penjahat dunia maya yang berpengalaman dalam kejahatan komputer memiliki
kemampuan untuk mempersulit penyelidik untuk menemukan mereka. Bahkan mengidentifikasi
wilayah internasional tempat mereka berada merupakan tantangan tersendiri. Menggunakan
sumber daya teknis seperti Virtual Private Networks (VPN), server proxy, enkripsi, anonimizer,
identitas palsu, dan layanan cloud menghancurkan bukti saat dibuat; dengan serangan yang
berpotensi melintasi banyak yurisdiksi hukum, waktu respons mungkin secara signifikan
berada di belakang perkembangan pelanggaran.
Tidak ada metode cepat dan mudah untuk mengatasi masalah ini.
Tip: Melibatkan salah satu perusahaan IR besar dapat memberikan beberapa bantuan yang
berharga, karena perusahaan-perusahaan ini memiliki sumber daya internasional, visibilitas,
dan kesadaran luas tentang perilaku penjahat dunia maya.
Metodologi penyerang hanya dibatasi oleh keterampilan dan imajinasi mereka. Meskipun
mereka mungkin menerapkan metodologi umum yang berhasil, penyerang yang terampil
memodifikasi strategi serangan mereka agar sesuai dengan keadaan dan untuk mencerminkan
lingkungan tempat mereka beroperasi.
Penyelidik harus memahami berbagai metodologi serangan dan, jika mungkin,
mengidentifikasi motivasi penyerang di awal investigasi untuk memahami bagaimana mereka
bergerak di sekitar jaringan dan menghindari keamanan.
Tip: Tim
Pelatihan pra-acara
IR membawa staf keamanan
pengetahuan tentang sistem danserangan
metodologi akses kesaat
berpengalaman
ini ke dalam
tim IR dan investigasi Anda. Seringkali Anda mungkin tidak memiliki keterampilan
yang diperlukan untuk berhasil mempertahankan jaringan dan Anda akan memerlukan
bantuan ahli dari luar. Informasi ini dapat dibagikan kepada penyelidik untuk
memberikan arahan saat mereka memulai penyelidikan.
Machine Translated by Google
Tantangan Unik 87
Mengamankan Bukti
Peran utama tim IR adalah untuk menahan ancaman, menguranginya, dan mengembalikan
perusahaan ke standar keamanan yang lebih tinggi. Untuk mencapai hal ini, tim IR harus
bekerja dengan cepat dan membuat keputusan yang cepat, yang mungkin bertentangan
dengan keinginan penyelidik utama. Kami sebelumnya menjelaskan contoh tim IR yang
memutuskan bahwa mematikan server virtual dan mem-boot ulangnya dalam keadaan
aman akan menghilangkan ancaman yang datang dari server cloud yang telah terinfeksi.
Meskipun tindakan ini mungkin merupakan pilihan terbaik untuk mengatasi ancaman, data
log berharga, yang dapat memberikan bukti tersangka dan aktivitasnya, akan dihancurkan
dan tidak akan dapat dipulihkan.
Selama operasi tim IR, pemikiran untuk memulai penyelidikan pasca-kejadian untuk
menemukan tersangka mungkin tidak muncul ke permukaan. Namun, setelah tingkat
pelanggaran telah diidentifikasi, keputusan dapat dibuat untuk memulai penyelidikan dan
merujuk masalah tersebut ke polisi. Sayangnya, seperti yang dinyatakan sebelumnya,
barang bukti berharga akan dihancurkan dan tidak akan dapat ditemukan kembali.
Penyelidik dunia maya harus mencari semua bukti yang tersedia dari banyak sumber.
Namun, bukti mungkin tidak selalu tersedia tanpa kerja sama eksternal, seperti dalam
kasus di mana pihak ketiga, seperti penyedia komputasi awan, mengontrol perangkat
keras/lunak sistem.
Penyelidik perlu mengetahui semua sumber bukti berbeda yang dapat dihasilkan
oleh perangkat komputer dan memastikan bahwa ini segera diamankan.
Jika ada acara langsung dan tidak ada rencana IR, komunikasi dan rasa hormat
terhadap peran satu sama lain diperlukan, dengan manajemen memberikan arahan
kepada semua pihak.
Karena penjahat dunia maya mungkin tinggal di negara yang terpisah dari targetnya,
hukum negara tersebut mungkin sangat berbeda dengan hukum negara korban. Apa mungkin?
Machine Translated by Google
menjadi tindak pidana serius di wilayah hukum korban mungkin bukan merupakan pelanggaran
sama sekali di negara penyerang, dan bahkan mungkin merupakan kegiatan hukum.
Bukti digital dapat hilang dengan sangat cepat setelah suatu peristiwa, karena bukti seperti
data log sering ditimpa. Selain itu, penyerang mungkin masih memiliki akses ke sistem dan mulai
menghancurkan bukti setelah mereka mengidentifikasi bahwa mereka telah dijanjikan.
Penjahat juga diketahui menyeka ponsel mereka dari jarak jauh setelah disita oleh polisi jika
ponsel tidak dalam mode terbang atau disimpan dalam tas Faraday. Ponsel juga dapat digunakan
sebagai alat pendengar, artinya jika Anda secara sah menyita perangkat tersebut, pemiliknya
mungkin memiliki kapasitas untuk mengaktifkan aplikasi dari jarak jauh dan mendengarkan
percakapan Anda saat Anda melakukan penyelidikan.
Tantangan Unik 89
Ini sangat penting, karena log tidak selalu beroperasi di tempat yang sama
Tip: zona waktu. Pastikan semua log masuk atau dikonversi ke zona waktu yang ditentukan
dan merekam proses di mana ini dilakukan. Lihat juga untuk mengonfirmasi itu
kali dari log konsisten, karena bahkan perbedaan satu detik antara
kumpulan log yang berbeda akan membingungkan penyelidikan Anda.
Bersiaplah untuk perkiraan kerugian yang akan digugat oleh terdakwa, karena hukuman
atau hukuman mereka di masa depan akan ditentukan oleh faktor-faktor yang mencakup
biaya tindakan mereka. Menggunakan dukungan ahli yang memenuhi syarat dari kuasa
hukum, penyidik, dan/atau penilai yang dapat memberikan bukti ahli kepada pengadilan
tentang biaya kerugian.
Memahami tantangan ini adalah keterampilan yang dipelajari melalui pengalaman saja.
Pelajaran yang didapat akan dimasukkan ke dalam rencana IR yang diperbarui, tetapi juga
ke dalam pengetahuan kolektif tim investigasi. Dengan informasi ini, penyelidikan adegan
kejahatan dunia maya selanjutnya akan dilakukan.
Perceraian pernikahan diikuti oleh persidangan yang diperebutkan di pengadilan atas aset
perkawinan dan masalah terkait. Sang istri mengalami kesulitan di pengadilan di atas
tekanan normal yang terlibat dalam perpisahan pernikahan.
Dia telah berkomunikasi dengan pengacaranya dan jaringan dukungan pribadi melalui
akun webmailnya. Seiring berjalannya waktu, dia memperhatikan bahwa calon suaminya
tampaknya tahu apa yang dia lakukan dan dengan siapa dia bergaul, serta rincian tentang
komunikasinya dengan pengacaranya.
Tingkat pengetahuan yang dia miliki menjadi sangat spesifik dan diterapkan di berbagai
percakapan yang dia lakukan. Dia curiga bahwa dia mungkin meretas akun email online-
nya, yang telah dia buat bertahun-tahun sebelumnya. Dia mengubah kata sandi tetapi ini
membuat sedikit perbedaan untuk informasi yang dia ketahui tentang aktivitasnya.
Pertanyaan dibuat dengan seorang teman yang memiliki keterampilan teknis, dan dia
memeriksa pengaturan di akun emailnya. Ditemukan bahwa suami memiliki redi rect di
akun, artinya semua korespondensi email masuk dan keluar akun diteruskan kepadanya.
Pertimbangan ketika polisi meninjau pengaduan adalah yurisdiksi mana yang memiliki
tanggung jawab untuk menyelidiki pengaduan: Australia, tempat tersangka dan pengadu
berdomisili, atau Amerika Serikat, tempat server komputer berada. Ditetapkan bahwa karena
undang-undang setempat, pengadilan lokal memiliki yurisdiksi meskipun server komputer
berlokasi di Amerika Serikat, karena suami dan aktivitasnya berbasis di Australia.
Bukti digital termasuk alamat Protokol Internet yang digunakan untuk mengakses akun
serta bukti akun email pengalihan milik
Machine Translated by Google
10BAB SEPULUH
lokasi perangkat atau jaringan yang terpengaruh sebenarnya adalah TKP. Dia
MESKIPUN peristiwa kejahatan dunia maya dapat terjadi di lingkungan digital,
dimana tindak pidana itu terjadi dan/atau terdapat barang bukti. TKP
dimana penyidik memperoleh akses yang sah melalui persetujuan atau perintah pengadilan dapat
berupa tempat komersial dan/atau alamat rumah tersangka. Mungkin juga tempat umum di mana
tersangka telah bergabung dengan jaringan Wi-Fi gratis dan menggunakan akses yang tidak
diverifikasi sebagai sarana untuk menganonimkan aktivitas mereka.
Bab ini khususnya relevan bagi penyidik penegak hukum tetapi juga berlaku bagi penyidik sipil.
Misalnya, manajemen tempat kejadian yang terlibat dalam penyelidikan dugaan pencurian Kekayaan
Intelektual (IP) internal akan berbeda dari yang melibatkan serangan Distributed Denial of Service
(DDoS) eksternal, dan konten bagian ini akan berlaku berdasarkan keadaan serta pengalaman,
pengetahuan, dan persyaratan para penyelidik saat itu. Perawatan pameran harus memiliki standar
yang sama untuk semua adegan kejahatan dunia maya; namun, aktivitas seperti memotret
pemandangan mungkin tidak relevan dalam contoh serangan DDoS.
TKP berbeda dalam ukuran, dan satu kejahatan mungkin telah dilakukan di beberapa lokasi.
Adegan kejahatan dunia maya Anda mungkin kantor komersial besar atau kantor kecil tempat seorang
manajer yang melakukan penipuan terhadap klien mereka bekerja. Atau, Anda mungkin diminta untuk
menghadiri bisnis dan mengumpulkan satu perangkat untuk penyelidikan dengan sedikit pekerjaan di
tempat kejadian.
93
Buku Pegangan Penyidik Kejahatan Dunia Maya, Edisi pertama. Graeme Edwards,
PhD. © 2020 John Wiley & Sons, Inc. Diterbitkan 2020 oleh John Wiley & Sons, Inc.
Machine Translated by Google
Ini adalah pemeriksaan TKP dan bukti yang mengarah pada tindak lanjut
pertanyaan yang pada gilirannya dapat mengarah pada identifikasi pelaku dan
bukti untuk melakukan penuntutan yang berhasil jika diperlukan. Penyelidik yang berpengalaman
akan memahami bahwa investasi waktu dan usaha
dalam memeriksa adegan itu akan menunjukkan nilai sebenarnya beberapa tahun kemudian ketika
diperiksa silang tentang pekerjaan mereka oleh pengacara terdakwa. kata
“investasi” secara khusus digunakan, karena pekerjaan Anda di TKP dan identifikasi/penyitaan/
pengumpulan bukti akan terbukti menjadi bagian berharga dari
dasar penyelidikan Anda.
Manajemen TKP adalah keterampilan yang dihabiskan banyak detektif secara signifikan
periode pembelajaran karir mereka, karena setiap TKP mungkin berbeda. Sedangkan digital
TKP jelas akan terlihat sangat berbeda dari TKP pembunuhan, prinsip-prinsip seputar aturan
pembuktian tetap sama dan bukti harus
ditangani sesuai standar yang dituntut pengadilan. Meskipun komputer adalah alat bukti yang
berbeda dari pisau berlumuran darah di sebelah tubuh, itu tidak berarti
aturan bukti yang berlaku memiliki ambang akuntabilitas yang lebih rendah.
Jika tempat kejadian dan barang bukti tidak ditangani dengan baik, barang bukti dapat
dikecualikan atau diterima dengan enggan, dengan konsekuensi melemahnya
nilai. Banyak kasus telah dilemahkan di pengadilan karena TKP dan
pameran tidak dikelola dengan baik dan integritasnya tidak dapat dijelaskan kepada
standar yang disyaratkan oleh pengadilan. Hal ini dapat menyebabkan pemberian biaya kepada
kepentingan terdakwa, khususnya dalam perkara yang disidangkan di pengadilan perdata atau
pengadilan.
Pemeriksaan TKP yang lengkap dan berkualitas tinggi memberikan wawasan kepada
pengacara pihak lawan tentang kemampuan para penyelidik. Sebaiknya
mereka meninjau pemeriksaan dan menyimpulkan bahwa pemeriksaan tersebut tidak dikelola dengan
baik, dengan bukti yang tidak ditemukan atau dokumentasi yang tidak lengkap, pandangan mereka akan
bahwa sisa penyelidikan memiliki standar yang sama. Hal ini dapat membuat
perbedaan antara seorang pengacara yang merekomendasikan agar klien mereka mengakui tuduhan itu
melawan mereka dan pengacara menantang bukti, penyelidikan Anda, dan
tuduhan bersalah.
Machine Translated by Google
dari TKP tidak tersedia, karena mereka adalah milik dari lembaga penegak hukum
yang relevan.
Pertama kita akan memeriksa susunan tim investigasi.
TIM Investigasi
Anggota tim investigasi TKP adalah beberapa komponen paling penting dari
investigasi Anda, karena ini adalah orang-orang yang akan mengumpulkan bukti
yang akan diandalkan oleh sebagian besar sisa investigasi Anda. Penegakan hukum
menghabiskan banyak waktu untuk melatih petugas mereka dalam investigasi dan
manajemen tempat kejadian, yang mencerminkan fakta bahwa ini adalah keterampilan
yang terus dikembangkan dan diadaptasi, karena semua adegan berbeda dalam beberapa hal.
Ini akan ditentukan oleh keadaan penyelidikan Anda dan jumlah waktu yang Anda
miliki. Sadarilah bahwa keadaan dapat berubah dengan sangat cepat di lokasi karena
lebih banyak informasi tentang penyelidikan ditemukan, dan memiliki staf tambahan
yang tersedia sangat berharga. Meskipun lebih disukai untuk memiliki jumlah orang
yang tepat, memiliki orang tambahan yang tersedia selama fase awal pemeriksaan
tempat kejadian sampai Anda memiliki pemahaman penuh tentang dinamika situasi
mungkin bermanfaat. Jika Anda menemukan Anda memiliki terlalu banyak orang di
suatu lokasi, mereka selalu dapat dibebaskan untuk tugas lain.
Penyelidik digital adalah individu yang sangat terampil dan disarankan untuk memiliki
satu di tim Anda kecuali jika Anda mengumpulkan bukti untuk dikirimkan ke penyelidik
digital yang telah disimpan. Memahami keterampilan tim Anda di bidang-bidang
seperti wawancara, lokasi bukti, manajemen pameran, dan pencarian umum
diperlukan sebelum acara.
Adegan kejahatan dunia maya dapat berkisar dari komputer laptop hingga
serangkaian kantor perusahaan. Di lokasi fisik, penyidik pimpinan bertanggung jawab
untuk menjaga TKP dan penemuan, penyitaan, dan penyimpanan barang bukti yang
sah, tertib. Karena setiap adegan berbeda, sumber daya yang dibutuhkan akan
berbeda dan dikelola sesuai dengan pengalaman dan persyaratan manajer adegan
serta aturan bukti setempat.
Machine Translated by Google
Tim Investigasi 97
Pada awalnya mungkin ada tiga tingkat wewenang: penyidik utama, yang memiliki
wewenang penuh atas penyelidikan; manajer tempat kejadian, yang akan menjalankan
surat perintah penggeledahan/perintah pengadilan; dan petugas barang bukti, yang akan
mengamankan barang bukti yang disita dan menjaga lacak balak. Turut hadir petugas
pencari, yang melakukan pencarian/pemeriksaan fisik di lokasi. Manajer tempat kejadian
akan menjadi orang yang ditunjuk oleh penyelidik utama untuk mengontrol fase pencarian
dan pengumpulan bukti. Tergantung pada ukuran tempat kejadian, jumlah orang di lokasi,
dan sumber daya serta keterampilan yang tersedia, penyelidik utama dan manajer tempat
kejadian mungkin orang yang sama.
Memiliki manajer pameran yang terpisah mengambil beban kerja yang signifikan dari
penyelidik utama dan manajer adegan.
Setiap orang di tempat kejadian, seperti pencari, penyelidik digital, petugas pameran,
dan lainnya, akan memiliki tanggung jawab khusus. Pastikan bahwa orang-orang memahami
tugas mereka dan memiliki peralatan yang diperlukan sebelum tiba di
pemandangan.
Pencari Umum: Orang yang secara fisik mencari bukti dan menemukannya. Mereka akan
bekerja sama dengan petugas pameran dan mencatat apa yang mereka temukan, di mana
mereka menemukannya, dan jam berapa mereka menemukannya, dan memberikan
deskripsi pameran. Contoh entri notebook mereka setelah menemukan laptop Dell mungkin:
Butir 1: Terletak satu komputer laptop Dell, model ABC, nomor seri 12345678, di meja
Joe Smith pada 09:17 Laptop dimatikan. Warna silver dengan tas jinjing Dell hitam.
Mengarah ke laptop di tas diamankan juga. Goresan diamati di dasar perangkat.
Petugas Pameran: Menunjuk petugas pameran yang ditunjuk membantu mengurangi beban
kerja penyelidik utama; mereka bertanggung jawab untuk memastikan mereka memiliki
semua yang mereka butuhkan untuk mengelola pameran.
Butir 1: Menerima satu komputer laptop Dell, model ABC, nomor seri 12345678, dari Mary
Jones pada 09:22 Berwarna perak dengan petunjuk dalam tas jinjing Dell hitam.
Machine Translated by Google
Contoh perangkat dengan pengidentifikasi unik diilustrasikan pada Gambar 10.1 dan 10.2.
Manajer Adegan: Manajer adegan bertanggung jawab atas tim yang mengerjakan adegan.
Mereka akan berhubungan dengan pimpinan investigasi, yang mungkin, tergantung pada
situasinya, adalah orang yang sama. Mereka akan menggambar atau menggambar sketsa peta
lokasi dan dapat mengidentifikasi dengan tepat di mana setiap barang bukti berada.
Misalnya, peta sketsa yang disiapkan dan catatan terkait akan menunjukkan komputer Dell
yang terletak oleh Mary Jones berasal dari meja Joe Smith, yang merupakan meja pertama di
sisi kanan ruang utama di sebelah ambang pintu. Di kantor besar, ruangan akan memiliki sebutan
sendiri, seperti "kantor utama" atau "pusat panggilan telemarketer".
Manajer tempat kejadian akan menunjuk seseorang untuk menyiapkan tanda terima untuk
setiap pemilik barang bukti, memperhitungkan setiap barang yang disita. Biasanya orang ini akan
GAMBAR 10.1 Hard drive menunjukkan nomor seri sebagai pengenal unik.
Sumber: Foto © Graeme Edwards.
Machine Translated by Google
Tim Investigasi 99
GAMBAR 10.2 Printer komputer menampilkan nomor seri sebagai pengenal unik.
Sumber: Foto © Graeme Edwards.
menjadi petugas pameran, meskipun seorang anggota tim pencari umum dapat ditugaskan
untuk membantu petugas pameran dalam tugas ini setelah mereka menyelesaikan tugas
mereka yang lain.
Fotografer : Manajer adegan juga akan memastikan bahwa seseorang ditunjuk untuk
mengambil foto lokasi dan pameran saat ditemukan dan sebelum dipindahkan. Saat pertama
kali tiba di tempat kejadian, mintalah fotografer merekam adegan tersebut melalui foto atau
video sehingga nantinya dapat terlihat persis seperti saat tim investigasi tiba.
Fotografer akan mengambil foto pameran saat ditemukan. Tergantung pada situasinya,
foto umum dapat mengidentifikasi informasi yang kemudian menjadi penting, seperti catatan
tempel di dinding di atas meja pengguna.
Ketika Mary menempatkan laptop di meja Joe, dia akan memanggil fotografer untuk
mengambil foto umum di mana meja Joe berada di kantor, pameran seperti yang ditemukan,
ketika dikeluarkan dari tas jinjing. , dan pengenal unik apa pun, seperti nomor seri. Jika
komputer sedang berjalan, mereka akan mengambil foto layar dan jendela yang terbuka.
Machine Translated by Google
Untuk mencegah klaim bahwa goresan pada laptop disebabkan oleh tim investigasi,
fotografer akan mengambil foto goresan di dasar laptop pada saat ditemukan dan Mary
akan merekamnya di buku catatannya.
Untuk menguatkan bahwa meja tersebut adalah milik Joe, fotografer juga dapat
mengambil foto barang-barang pribadi di atas meja, seperti catatan tulisan tangan, foto
keluarga, dompet, dokumen pribadi, dan sejenisnya.
Manajer adegan juga akan menganggap fotografer itu sangat berharga ketika barang-
barang berharga, seperti uang tunai, ditemukan. Memfilmkan temuan uang tunai dan
jumlahnya dengan merekam secara elektronik nomor seri setiap uang kertas memberikan
tingkat keamanan bagi tim investigasi terhadap tuduhan pencurian yang dilakukan terhadap
mereka. Juga, jika uang tunai disita sebagai barang bukti, pencatatan nomor seri
memastikan bahwa jika ada salah hitung, rekaman dapat dengan jelas menunjukkan
bahwa itu hanya kesalahan dan tidak ada yang tidak jujur.
Digital Investigator: Seperti yang telah dibahas, orang ini akan memiliki keterampilan dan
pengetahuan khusus dan akan bertanggung jawab untuk mengawasi pengambilan data
digital, terutama dari perangkat yang sedang beroperasi.
Karena bukti mereka pada akhirnya akan sangat penting untuk penyelidikan, ketika
mengumpulkan tim investigasi Anda, pastikan bahwa mereka secara teknis kompeten
untuk tugas ini, dengan kapasitas untuk memberikan bukti mereka di pengadilan jika diperlukan.
Mereka harus mampu menghasilkan bukti independen tentang kualifikasi dan pelatihan
mereka, membuktikan bahwa keahlian mereka mutakhir, dan membuktikan bahwa alat
digital yang mereka gunakan cocok untuk tugas yang mereka lakukan dan mereka
memenuhi syarat dan kompeten untuk digunakan. mereka.
Pewawancara : Orang yang diberi tugas pewawancara dapat berupa anggota tim yang
memiliki keterampilan yang telah terbukti. Atau, mereka dapat diberi tugas ini jika Anda
memikirkan (a) orang tertentu.
Karena tim investigasi akan datang ke tempat kejadian sementara tim Incident
Response (IR) beroperasi, kenyataannya adalah bahwa mereka mungkin memiliki
pengetahuan yang terbatas tentang peristiwa tersebut selain dari garis besar awal yang
singkat. Ini adalah kasus di banyak penyelidikan polisi ketika penyelidikan dimulai dengan
informasi yang sangat terbatas, dan keputusan penting dibuat dalam lingkungan ini.
Meskipun mungkin tidak ada keputusan sadar untuk mewawancarai tersangka saat
berada di tempat kejadian, keadaan terkadang melampaui rencana ini dan tersangka dapat
diidentifikasi selama percakapan rutin tanpa perencanaan atau peringatan sebelumnya.
Akibatnya wawancara awal Anda akan dimulai dan memiliki suara digital
Machine Translated by Google
perekam (jika yurisdiksi Anda mengizinkan) akan sangat bermanfaat. Rincian tentang
wawancara tersangka dibahas dalam Bab 16, “Wawancara Tersangka.”
Singkatnya, dasar-dasar keanggotaan tim investigasi perlu ditetapkan sebelum
menghadiri adegan apa pun. Juga izinkan anggota tim yang memiliki liburan mendatang,
kursus pelatihan, dan pertimbangan Sumber Daya Manusia (SDM) lainnya yang berarti mereka
mungkin tidak tersedia pada waktu tertentu atau untuk penyelidikan lanjutan. Untuk mengatasi
masalah potensial ini, disarankan memiliki staf yang mampu menangani banyak posisi, serta
memiliki beberapa opsi yang tersedia untuk posisi spesialis penyelidik digital. Seiring waktu,
jika memungkinkan dan praktis, rotasikan staf ke posisi yang berbeda dalam tim investigasi
karena hal itu membantu mereka tetap termotivasi dan mengembangkan keterampilan mereka.
Sekarang kami memiliki pemahaman tentang orang-orang yang menjadi anggota tim
pencari, kami akan memeriksa peralatan yang mungkin mereka butuhkan di tempat kejadian.
Ada banyak hal yang dapat dibawa oleh pemeriksa tempat kejadian ke tempat kejadian untuk
membantu mereka menyita dan mengamankan barang bukti. Daftar berikut mencakup banyak
materi, dan pemeriksa adegan yang berpengalaman akan menambah atau menghapus item
sesuai dengan pengalaman mereka dan keadaan unik dari setiap adegan. Penyelidik digital
akan memiliki daftar persyaratan tambahan.
Wadah untuk membawa barang pameran dalam jumlah besar. Ini mungkin kotak papan
kartu, wadah penyimpanan khusus, tas jinjing, dan sejenisnya. Buku catatan dengan
halaman bernomor. Jangan pernah merobek halaman buku catatan, bahkan jika ada
kesalahan, karena pengacara pembela ingin tahu apakah ada sesuatu yang
disembunyikan. Coret kesalahan agar dapat dibaca. Kesalahan jujur dan salah eja terjadi.
Daftar pameran utama untuk mencatat semua barang yang disita dan pergerakan
pameran.
Buku atau dokumen tanda terima untuk memberikan tanda terima kepada pihak yang Anda
sita buktinya sehingga mereka tahu persis apa yang telah diambil. Dokumen ini juga akan
menjadi nilai saat merekam lacak balak. Sebuah contoh termasuk dalam Gambar 10.3.
Label untuk dilampirkan pada barang yang disita, seperti perangkat komputer, hard drive,
dan sejenisnya. Juga tag untuk dilampirkan ke lead dan kabel sehingga dapat dikaitkan
secara unik dengan perangkat tempat mereka berada/terhubung.
Machine Translated by Google
Kamera /perekam video/kamera GoPro atau perangkat serupa. Jangan gunakan telepon pribadi Anda
kecuali benar-benar diperlukan, karena pengacara pembela mungkin akan meminta untuk
memeriksanya. Kamera GoPro atau perangkat serupa mungkin sangat berguna jika berhadapan
dengan banyak orang atau jika mungkin ada konflik yang terlibat saat Anda menghadiri lokasi. Ini
juga dapat merekam tingkat profesionalisme tim investigasi dan mencegah tuduhan terhadap
Anda.
Periksa undang-undang di yurisdiksi Anda mengenai rekaman wawancara dan hal-hal terkait.
Tas Faraday untuk membatasi akses eksternal ke perangkat seluler langsung . Ini mencegah pihak
eksternal mengganggu perangkat seluler dari jarak jauh, seperti menghapus bukti. Jika tas Faraday
tidak tersedia, wadah logam kosong (tidak terpakai) terkadang merupakan pengganti yang sesuai,
seperti menggunakan aluminium foil untuk membungkus pameran. Sementara metode yang
terakhir ini mungkin tampak tidak canggih di dunia digital, selama mereka bekerja, tidak perlu
untuk mengabaikannya ketika tas Faraday tidak tersedia.
Laptop . Laptop berguna untuk berbagai alasan, termasuk untuk akses Internet, merekam pameran,
memiliki salinan bagian dari file investigasi, dan
segera.
Perekam digital untuk merekam percakapan sesuai kebutuhan. Hukum yurisdiksi Anda akan
menentukan legalitas rekaman percakapan. Hard drive eksternal untuk mengamankan barang
bukti dengan bantuan pemeriksa digital. Gunakan perangkat baru atau yang diformat ulang untuk
membuktikan bahwa bukti yang ditemukan tidak terkontaminasi oleh investigasi sebelumnya.
Ini bukan daftar definitif dan manajer adegan/petugas pameran akan menambahkan item lebih
lanjut sesuai kebutuhan. Manajemen teknologi juga berkembang dan pertimbangan kebutuhan untuk
mengembangkan teknologi akan diperlukan. Beberapa dari barang-barang ini serupa dengan yang
digunakan oleh penyelidik digital dan dapat dimasukkan ke dalam tas perlengkapan penyelidik sebagai
cadangan bagi penyelidik digital jika ada volume bukti digital yang lebih besar daripada yang diperkirakan
sebelumnya.
Gambar 10.3 menunjukkan contoh jadwal properti adegan. Ini adalah tema
gambar pelat yang dapat Anda tinjau dan modifikasi sesuai dengan kebutuhan Anda.
Machine Translated by Google
Nama:…………………………………………………..…………………………………
Alamat:………………………………………………………..…………………………
Nomor kontak
Petugas pelaporan:
Saya setuju item yang dijelaskan dalam dokumen ini adalah representasi akurat dari item yang diambil
oleh petugas pelapor
Nama:…………………………………………………………. Tanggal:……………………
Tanda tangan:……………………………………………………..
Tanda terima properti tempat kejadian merupakan dokumen yang sangat penting, karena
merupakan catatan atas apa yang telah Anda ambil sesuai persetujuan pemilik/penjaga properti. Tanda
terima itu dapat menjadi bukti tersendiri, dan salinannya diberikan yang menunjukkan tidak hanya apa
yang diambil tetapi oleh siapa dan di mana harus diamankan. Perhatikan juga di sudut kanan atas tanda
terima adalah nomor tanda terima, yang membantu kredibilitas dokumen.
Bagian ini mengidentifikasi dan membahas contoh bentuk-bentuk bukti digital yang ada. Tidak ada
daftar pasti yang mencakup setiap kemungkinan contoh bukti digital yang tersedia, karena teknologi
berkembang setiap hari; namun, bagian ini akan memberikan pemahaman kepada penyelidik tentang
teknologi apa yang termasuk dalam TKP dan mungkin menyimpan bukti.
Setiap data yang disimpan atau ditransmisikan menggunakan komputer yang mendukung
atau menyangkal teori tentang bagaimana suatu pelanggaran terjadi atau yang membahas
elemen-elemen penting dari pelanggaran seperti niat atau alibi.1
Ini adalah definisi yang luas; namun, ini sangat akurat karena teknologi yang tersedia saat ini
akan sangat berbeda dari yang tersedia saat Casey membuat pernyataan ini. Casey juga menyatakan
bahwa bukti digital harus memiliki nilai pembuktian dan dikumpulkan dengan cara yang dapat diterima
oleh pengadilan.1
Bukti yang Anda cari harus relevan, andal, dan memadai.
Artinya, bukti harus relevan dalam membuktikan bahan-bahan dari masalah yang diselidiki, dapat
diandalkan dalam hal apa yang dimaksudkan, dan cukup dalam bukti yang disita harus memungkinkan
masalah yang diselidiki diselidiki sepenuhnya.2 Dengan teknologi berkembang setiap hari, bentuk-
bentuk bukti digital yang mungkin dipertimbangkan oleh penyelidik hanya dibatasi oleh batas-batas
imajinasi mereka. Bukti digital dapat datang dalam bentuk tradisional, seperti komputer, drive
USB, router, sakelar dan telepon, dan perangkat yang dapat dikenakan, seperti iWatches.
Perangkat pintar berada di rumah dan di tempat bisnis dan mereka dapat membantu memberi tahu
penyelidik tentang siapa yang berada di lokasi tertentu atau melakukan kegiatan yang menentukan
pada saat dugaan pelanggaran. Internet of Things (IoT) telah menciptakan banyak item teknologi dalam
kehidupan kita, dan perangkat rumah mengumpulkan data, yang dapat memajukan penyelidikan Anda.
Machine Translated by Google
Untuk bukti teknologi, lihat sekeliling tempat Anda dan rekam semua teknologi teknologi
yang dapat Anda lihat. Pahami untuk apa dan pertanyakan diri Anda untuk memahami data apa
yang dikumpulkan dan di mana ia mungkin berada. Data dapat disimpan
di perangkat itu sendiri, di server lokal, atau di basis data komputasi awan. Memahami teknologi
yang Anda lihat dan apa yang dilakukannya dapat membawa Anda ke jalan baru
penyelidikan atau untuk menemukan bukti definitif yang menghubungkan tersangka ke lokasi
tertentu pada saat mereka menyangkal berada di sana.
Misalnya, tersangka dapat menyangkal berada di kantor pada saat data itu
diunduh dari komputer ke hard drive eksternal. Sebuah pemeriksaan
router di kantor dapat menunjukkan, bagaimanapun, bahwa pada waktu tertentu Media
Alamat Access Control (MAC) dari ponsel tersangka direkam meninggalkan pengenal uniknya
saat mencoba terhubung ke router. Itu berarti
bahwa ponsel tersangka ada di kamar pada saat pencurian data,
yang, meskipun tidak 100 persen konklusif, berarti tersangka ada di sana sebagai
baik, menempatkan Anda dalam posisi yang kuat karena daftar tersangka Anda dipersempit dan
bukti kuat untuk wawancara tindak lanjut dibangun.
Daftar berikut memberikan contoh bukti teknis, nonteknis, dan fisik yang dapat digunakan
untuk memajukan penyelidikan. Karena sifatnya
item tertentu, beberapa mungkin muncul di lebih dari satu daftar. Daftar ini adalah
tidak lengkap dan pengembangan teknologi baru akan memperluas daftar.
Penjelasan yang diberikan adalah untuk memberikan pemahaman kepada penyidik tentang
nilai potensial dari setiap item bukti.
BARANG TEKNIS
Log peristiwa. Log ini seperti kamera CCTV yang merekam apa yang terjadi di
adegan selama kejahatan. Log yang direkam dan dapat diakses akan
memberi tahu Anda apa yang terjadi dalam sistem, kapan itu terjadi, dalam urutan apa, dan
oleh siapa. Lihat Bab 11 untuk informasi lebih lanjut tentang log peristiwa dan
banyak bentuk log lain yang tersedia untuk membantu penyelidikan Anda. Sementara
penjahat yang terampil dapat memodifikasi kayu untuk menutupi aktivitas mereka, ini juga dapat membuktikan
bukti niat dan keahlian penjahat.
Jadwal daftar putih aplikasi. Daftar putih aplikasi adalah layanan
tersedia dari administrator sistem yang memungkinkan hanya program yang telah disetujui
sebelumnya untuk dijalankan pada sistem. Tujuannya adalah untuk memastikan bahwa program-program yang
kerentanan keamanan atau kebocoran data tidak dapat berjalan di sistem
dan menciptakan kerentanan keamanan baru. Jika sebuah aplikasi ada dalam daftar ini
tanpa persetujuan dari administrator sistem, maka penjahat mungkin telah
Machine Translated by Google
Log jaringan pribadi virtual. Virtual Private Network (VPN) menyediakan jalur
terenkripsi dari perangkat atau jaringan lokal ke Internet, di mana detail koneksi
tidak direkam pada file log normal.
Cari siapa yang memulai sesi VPN, waktu koneksi, di mana layanan VPN
terhubung, berapa lama koneksi dibuka, dan apakah kerangka waktu untuk
koneksi bertepatan dengan kerangka waktu untuk peristiwa yang Anda selidiki.
Tersangka yang menggunakan VPN mungkin memiliki bukti yang terletak di
perangkat mereka, dalam hal ini Anda dapat membandingkan waktu koneksi
dari perangkat tersangka dengan yang ada di perangkat atau jaringan yang disusupi.
Dalam beberapa kasus, Anda mungkin dapat melakukan kontak dengan
layanan VPN dan memperoleh catatan log dari akun tersangka. Ini bukan pilihan
dalam semua kasus, karena banyak layanan VPN tidak mencatat log klien
karena kerahasiaan klien atau meng-host layanan mereka di lokasi di mana
perintah pengadilan asing tidak dihormati. Namun, seperti semua opsi investigasi,
jika Anda tidak bertanya, Anda tidak akan mengetahuinya, dan dalam hal ini,
Anda membuat penyelidikan membuktikan bahwa penyelidikan Anda menyeluruh.
Log server nama domain . Log Server Nama Domain (DNS) menunjukkan layanan
yang terhubung ke komputer Anda saat mencari alamat situs web yang dicari di
Internet. Jika komputer pergi ke situs web yang dikunjungi secara teratur,
komputer tidak terhubung ke DNS karena sudah memiliki alamat situs yang
dicari. Namun, jika pengguna mencari situs web yang sebelumnya tidak
dikunjungi, komputer akan terhubung ke server DNS yang ditunjuk dan
menemukan alamat situs web, yang kemudian dikirim kembali ke komputer
klien, yang kemudian mulai membuat koneksi dengan situs web yang ingin
mereka hubungi. Log ini sangat berguna saat mencari jalur koneksi dan waktu
terkait untuk situs web yang dibuat untuk menerima data yang diambil dari
pelapor.
Log Protokol Konfigurasi Host Dinamis. Dynamic Host Con figuration Protocol
(DHCP) adalah proses dimana alamat Internet
Machine Translated by Google
(192.168.***.***, atau 10.***.*** *** dalam jaringan internal yang sangat besar)
dialokasikan ke komputer di jaringan internal . Jaringan internal disebut subnetwork,
atau subnet. Alamat DHCP akan dimulai dengan 192.168 atau 10.***, karena angka-
angka ini mewakili sistem pengalamatan internal dalam jaringan. Jika Anda memiliki
alamat Protokol Internet (IP) untuk perusahaan tetapi tidak tahu komputer mana di
jaringannya yang terlibat dalam suatu peristiwa, log DHCP yang diambil oleh
administrator sistem akan memberi tahu Anda komputer mana di jaringan yang Anda
cari.
Alternatif untuk DHCP adalah jika administrator sistem menunjuk setiap
komputer dan perangkat di jaringan internal dengan alamat IP tertentu dalam rentang
khusus.
Penyelidik dapat mencari informasi ini, misalnya, jika mereka memiliki alamat
Protokol Internet (IP) yang terhubung ke kantor perusahaan besar tempat seorang
karyawan melakukan ancaman terhadap orang lain. Penyelidik memiliki bukti untuk
menunjuk ke perusahaan, tetapi tidak tahu siapa di antara banyak orang dalam
organisasi yang merupakan orang di balik ancaman tersebut.
Berbicara kepada administrator sistem dan menyediakan situs web yang dimaksud
dan waktu ancaman dibuat memberikan kesempatan untuk memeriksa log jaringan
internal untuk mengidentifikasi siapa di perusahaan yang masuk ke situs web
tersebut pada saat ancaman dibuat.
Administrator sistem akan dapat melihat bahwa aktivitas tersebut dibuat oleh
seseorang di jaringan mereka dengan alamat 192.168.213.57 dan akan dapat
mengidentifikasi terminal asal ancaman tersebut. Dari situ bisa dilakukan penyelidikan
yang mencurigakan, seperti mewawancarai orang tersebut, melakukan pemeriksaan
perangkat secara digital, dan menanyakan kepada korban apakah mereka mengenal
orang yang masuk ke perangkat tersebut.
Penyedia layanan awan. Komputasi awan dibahas secara mendalam di Bab 12. Secara
umum, pelapor atau tersangka dapat menyimpan bukti di server awan yang dimiliki
dan dioperasikan oleh perusahaan seperti Apple, Dropbox, Amazon Web Services,
Microsoft, dan Cisco. Penyimpanan mungkin berlokasi di seluruh dunia dan bukti
yang dicari dapat tersebar di banyak pusat data di yurisdiksi hukum yang berbeda.
Bukti berbasis cloud dapat mencakup log, dokumen, rekaman audio, dan
sejenisnya. Detail pelanggan dapat mencakup alamat IP yang digunakan untuk
masuk dan mengakses akun cloud, detail kartu kredit, dan banyak lagi.
Akun email web. Penyedia email web seperti Gmail, Hotmail, dan Yahoo menawarkan
layanan gratis kepada pelanggan. Akun email web berisi sejumlah besar data,
termasuk detail pendaftaran, alamat IP pendaftaran dan log-on, konten komunikasi,
dan daftar alamat. Untuk layanan berbayar,
Machine Translated by Google
Aplikasi seperti Skype sangat populer. Dalam beberapa kasus, orang merekam
percakapan mereka. Penipu sering menggunakan layanan ini tanpa menggunakan
webcam dan berkomunikasi menggunakan teks tertulis. Percakapan terperinci dapat
memberikan bukti pelanggaran, informasi tentang tersangka, atau catatan waktu untuk
percakapan yang menghubungkan seseorang ke suatu lokasi pada waktu tertentu.
Pastikan Anda mengetahui zona waktu pencatatan log obrolan saat membandingkannya
dengan aktivitas yang dicurigai. Ada banyak bentuk aplikasi obrolan online yang
tersedia, banyak di antaranya menggunakan enkripsi.
Riwayat penjelajahan online . Riwayat internet menunjukkan halaman web yang pernah
dikunjungi pengguna perangkat. Ini juga dapat menampilkan pencarian Google dan
mengidentifikasi apa yang dicari oleh pengguna perangkat. Penyelidik pembunuhan
telah menemukan pertanyaan pencarian seperti "Cara membunuh seseorang" dan
"Cara membuang mayat" dari perangkat komputer tersangka.
Dokumen . Dokumen dan spreadsheet dapat disimpan di banyak tempat di perangkat.
Saat menggunakan perangkat lunak forensik, buka jalur ke folder Dokumen, di mana
Anda akan menemukan dokumen, spreadsheet, dan
Machine Translated by Google
Suka. Dokumen Word dan Excel juga akan disimpan di lokasi lain di
berbagai drive internal dan eksternal ke arsitektur jaringan.
Beberapa penjahat mengubah ekstensi file dokumen dengan harapan jika ada
pencarian di perangkat mereka, memiliki ekstensi file yang berbeda dari ekstensi biasa .doc
atau .docx untuk Microsoft Word doc
uments akan menipu perangkat lunak forensik dan dokumen kriminal mereka tidak akan
ditemukan. Misalnya, ekstensi default untuk dokumen Word akan menjadi identity.doc,
sedangkan penjahat dapat secara manual mengubahnya menjadi id
tities.exe.
Metadata dalam dokumen dapat menunjukkan siapa yang membuat dokumen, kapan
dibuat dan terakhir diakses, dan apakah dokumen tersebut dimodifikasi menggunakan
program seperti Photoshop. Ini sangat berguna ketika orang membuat atau memodifikasi
dokumen dan menolak melakukannya. Multimedia . Gambar dan video mungkin relevan
dengan penyelidikan. Mereka juga dapat menunjukkan bukti waktu perangkat sedang
digunakan. Pada beberapa kesempatan, metadata mungkin tersedia untuk memberikan
bukti tanggal pembuatan dokumen atau kapan/di mana foto diambil.
Layanan dan aplikasi obrolan online. Di ruang obrolan, orang bersembunyi di balik nama
pengguna dan cenderung berbicara dengan sangat bebas. Jika Anda dapat menautkan
tersangka ke nama pengguna, ruang obrolan dapat memberikan bukti yang sangat
berharga. Program peer-to-peer. Jaringan peer-to-peer memungkinkan data untuk dibagikan
di antara pengguna dari seluruh dunia. Contoh data yang dibagikan termasuk film dan
musik. Ini umumnya unduhan ilegal dan sering terinfeksi oleh perangkat lunak berbahaya,
karena ini adalah cara sederhana untuk menginfeksi komputer seseorang.
Bukti log. Jumlah log yang tersedia dan bagaimana mereka dapat digunakan dalam
penyelidikan Anda dibahas dalam Bab 11. Beberapa contoh juga disertakan di awal bagian
ini.
Pemeriksaan pendaftaran . Registri berisi data dari perangkat keras dan program yang
beroperasi pada perangkat Windows. Contoh data yang tersedia termasuk pengaturan dan
versi perangkat lunak yang digunakan. Registri disusun sebagai database.
Jalur akses nirkabel. Wireless Access Point (WAP) adalah tempat di mana perangkat dapat
terhubung ke Internet. Ini terletak di rumah, bisnis, kedai kopi, perpustakaan, dan banyak
tempat lainnya. WAP mencatat rincian alamat MAC perangkat dengan nirkabel dihidupkan.
MAC
alamat berasal dari Network Interface Card (NIC) pada perangkat pengguna dan merupakan
pengidentifikasi unik dari perangkat yang terhubung ke jaringan.
Perangkat mungkin memiliki alamat MAC terpisah untuk koneksi nirkabel dan Ethernet.
Machine Translated by Google
Jika Anda menggunakan layanan online seperti pencari EXIF (Exchangeable Image
File Format), ketahuilah bahwa Anda mengunggah foto itu ke layanan eksternal dan tunduk
pada Perjanjian Lisensi Pengguna Akhir (EULA) mereka, yang berarti Anda mungkin
kehilangan kendali atas gambar yang tunduk pada EULA.
Photoshop memiliki kemampuan untuk mengidentifikasi data geolokasi dan ini dapat
diperiksa di dalam perangkat Anda.
Metode pembayaran online. Detail koneksi ke server pembayaran web
kejahatan, seperti agen pengiriman uang.
Bukti terenkripsi. Mendapatkan akses ke folder atau drive terenkripsi akan menjadi prioritas
penyelidik. Kode akses dan kata sandi dapat diperoleh dari tersangka di awal melalui
perintah pengadilan yang mengarahkan pemilik perangkat untuk melewati kata sandi,
dengan menemukan kata sandi yang tertulis di kertas catatan, atau dengan cara lain.
Menemukan kata sandi adalah aktivitas penting yang harus diperhatikan saat melakukan
pencarian.
Pengkodean komputer. Pemrogram komputer mengembangkan ciri khas dalam pemrograman
mereka. Beberapa menyimpan salinan blok kode favorit mereka untuk digunakan di
beberapa proyek atau karena kodenya sangat kompleks dan membutuhkan waktu lama
dan pengujian untuk membuatnya berfungsi. Di kolom komentar baris kode adalah komentar
unik dari programmer untuk menjelaskan apa yang dilakukan oleh baris atau blok kode, dan
komentar ini dapat digunakan untuk mengidentifikasi pembuatan blok kode sumber program
komputer.
Sumber terbuka, termasuk akun media sosial. Media sosial adalah tambang emas informasi
tentang aktivitas dan lokasi seseorang.
Tergantung pada layanan, aktivitas, asosiasi dan lokasi, dan komunikasi dapat direkam.
Melalui komentar yang dibuat, keadaan pikiran seseorang pada saat melakukan pelanggaran
dapat ditunjukkan.
Mengakses jaringan media sosial terbuka individu mungkin diperbolehkan sebagai
bukti dalam yurisdiksi Anda. Mengakses data yang terkunci di media sosial mungkin
memerlukan nasihat hukum sebelum melakukan pencarian dan pengambilan. Materi open
source dibahas di Bab 14.
Akun Cryptocurrency . Banyak penjahat dunia maya menggunakan akun cryptocurrency,
seperti akun Bitcoin, untuk membantu dalam perdagangan mereka atau untuk pindah
Machine Translated by Google
hasil kejahatan mereka. Hati-hati jika Anda menyita akun seperti itu
penduduk di perangkat yang sedang diperiksa, karena konten akun dapat
menjadi nilai yang besar. Pertimbangkan apakah ada kebutuhan untuk memiliki kata sandi
ke dompet cryptocurrency. Kecuali ada kebutuhan khusus dan Anda punya
perintah pengadilan yang mengizinkan penyitaan dompet, berhati-hatilah, seperti yang Anda lakukan
tidak ingin ada tuduhan dari tersangka bahwa dompet itu diganggu
dengan dalam tahanan Anda.
Perangkat keras jaringan. Perangkat keras jaringan mencatat banyak informasi pengguna dan akan
memberikan arahan kepada penyelidik digital. yang pintar
perangkat yang dibawa seseorang terhubung ke router nirkabel, meninggalkan MAC
alamat sebagai pengenal unik.
Tanda Terima. Ini dapat digunakan untuk mengidentifikasi siapa yang membeli perangkat tertentu
sedang diperiksa, yang akan membantu dalam membuktikan kepemilikan perangkat.
Nama pengguna. Nama pengguna akan mengidentifikasi semua orang berbeda yang mungkin
menggunakan perangkat tertentu. Misalnya, orang-orang di shift yang berbeda dapat menggunakan
perangkat yang sama; selama seminggu, lima orang mungkin telah menggunakannya. Mengidentifikasi
kredensial pengguna membantu mempersempit aktivitas di perangkat dan
identitas pengguna.
Nama pengguna juga digunakan di situs online, termasuk untuk media sosial
dan di ruang obrolan. Seperti yang telah dibahas sebelumnya, orang mungkin memiliki pengguna online
nama yang digunakan di banyak situs, memberi Anda sumber pertanyaan
untuk mengidentifikasi aktivitas online mereka.
Nomor telepon. Dapatkan semua nomor telepon yang terkait dengan tempat kejadian dan
mengira. Ini mungkin termasuk perangkat seluler yang terhubung secara nirkabel ke jaringan. Nomor
telepon rumah sering digunakan dalam kejahatan dunia maya untuk memberikan level
legitimasi untuk penipuan. Memperoleh daftar kontak kantor akan membantu
sikap.
Perangkat komputer fisik. Perangkat komputer fisik termasuk komputer yang berdiri sendiri, laptop, tablet,
dan perangkat keras lainnya. Lihat juga
Machine Translated by Google
Ponsel dan perangkat. Ponsel sering kali menjadi cara utama seseorang berkomunikasi
secara online; oleh karena itu akan menjadi salah satu sumber bukti yang paling
signifikan bagi seorang penyelidik.
Perangkat penyimpanan eksternal. Perangkat eksternal membawa penyimpanan dalam
jumlah besar. Seringkali salinan cadangan dilupakan oleh penjahat atau tersedia di
ruang yang dihapus pada disk. Gambar 10.4 menunjukkan contoh perangkat
penyimpanan eksternal yang berbeda yang mungkin ditemukan. Perhatikan bahwa di
sebuah tempat kejadian, mungkin ada banyak perangkat ini dan masing-masing harus
dapat diidentifikasi secara unik dan lokasi yang ditemukan didokumentasikan, karena
Anda tidak tahu mana yang mungkin berisi bukti.
Printer , mesin fotokopi, dan kamera. Printer dan mesin fotokopi modern berisi hard
drive internal yang memindai gambar ke dalam drive sebelum mencetaknya. Gambar
yang dipindai dapat dipulihkan dari printer atau mesin fotokopi.
Ini dapat membantu Anda mendapatkan sejumlah besar dokumentasi yang telah
dicetak atau dipindai. Ini adalah sumber bukti yang sangat berharga yang sering
diabaikan, yang bergantung pada ukuran hard drive dan frekuensinya
penggunaan dapat menunjukkan garis waktu aktivitas dalam organisasi subjek atau
oleh individu. Sementara tersangka mungkin telah menghapus semua salinan bukti
yang memberatkan, mereka mungkin tidak menyadari bahwa mesin fotokopi akan
menyimpan sejarah lengkap kejahatan mereka.
Gambar 10.5 adalah gambar mesin fotokopi/printer. Meskipun model ini tidak
mengandung hard drive internal, ketika berhadapan dengan tersangka, mesin fotokopi
adalah tempat yang sangat baik untuk mencari bukti. Tempat sampah dan tempat
pengumpulan dokumen rahasia. Ini berisi dokumen yang dibuang oleh tersangka dan
mungkin berisi informasi berharga. Penjahat membuang barang bukti dan mungkin
lupa bahwa barang itu belum dikumpulkan untuk dimusnahkan atau sampah mingguan
belum dikumpulkan. Meskipun memeriksa sampah orang lain mungkin bukan tugas
yang paling menyenangkan, sangat berharga untuk menemukan bukti berharga yang
menghubungkan tersangka dengan kejahatan dan untuk mengembangkan jalur
penyelidikan baru.
Gambar 10.6 menunjukkan contoh sejauh mana Anda akan diminta untuk mencari
bukti digital dan fisik.
Detail pendaftaran akun. Memperoleh detail pendaftaran pemegang akun membantu
mengidentifikasi siapa yang terlibat dalam pembuatan akun dan mungkin terus
mengaksesnya. Misalnya, orang yang mendaftarkan akun secara online tidak dapat
menyangkal mengetahuinya jika mereka memiliki data pribadi seperti dari SIM atau
detail kartu kredit
Machine Translated by Google
diajukan sebagai bagian dari proses pendaftaran, kecuali mereka akan mengklaim
pencurian identitas.
Detail akun keuangan. Lacak uangnya dan Anda akan menemukan orang di balik
kejahatan itu! Transaksi keuangan saat ini dilakukan dengan banyak cara, jadi
sertakan detail penggunaan layanan perbankan tradisional, agen pengiriman
uang, PayPal, dan layanan pembayaran online lainnya. Bahkan penggunaan kartu
hadiah telah menjadi metode yang sangat umum bagi para penjahat untuk
mentransfer hasil kejahatan mereka melintasi perbatasan internasional.
Menghubungkan rincian kartu kredit dengan kejahatan dan aktivitas yang terlihat
pada kartu dapat memberikan bukti pelanggaran lebih lanjut atau pembelanjaan
hasil kejahatan. Ini dapat digunakan untuk mencari penyitaan aset tercemar.
Akun terkait . Kartu kredit dapat ditautkan ke akun online yang memberikan arahan
kepada siapa pemilik akun tersebut. Bagan organisasi perusahaan dan daftar
telepon. Ketika berhadapan dengan perusahaan yang dicurigai melakukan penipuan,
memperoleh bagan organisasi perusahaan akan membantu menempatkan setiap
orang secara formal di dalam organisasi, sehingga jika orang yang Anda
wawancarai menyatakan, misalnya, bahwa mereka hanyalah manajer lini. dan
tidak memiliki tanggung jawab untuk pengambilan keputusan, bagan organisasi
akan mengkonfirmasi atau menyangkal pernyataan itu.
Daftar telepon memberikan jadwal nomor kontak semua orang di organisasi
dan dapat memberikan nomor telepon yang terhubung dengan tersangka Anda
yang tidak Anda sadari.
Machine Translated by Google
Saat Anda meninjau prosedur ini, Anda akan melihat bahwa prosedur tersebut sangat
mirip dengan prinsip ACPO yang diperkenalkan di Bab 6 di bawah “Melindungi Bukti Digital.”
Machine Translated by Google
Kami telah membahas bahwa lokasi insiden dunia maya dapat dilihat sebagai TKP
oleh pengadilan yang pada akhirnya mengadili penuntutan. Aturan pembuktian
mensyaratkan bahwa bukti digital diperlakukan dengan perawatan dan rasa hormat
yang sama seperti bukti dari TKP, karena aturan hukum pembuktian untuk kedua jenis
kejahatan adalah sama, meskipun pelanggarannya jelas sangat berbeda dalam sifat
dan keseriusan. Siapa pun yang mengajukan bukti di pengadilan harus
mempertanggungjawabkannya sesuai standar yang dipersyaratkan, dengan integritas
bukti menjadi pertimbangan kritis.
Semua pengambilan dan penanganan data harus konsisten dengan aturan bukti
lokal dari yurisdiksi hukum yang relevan. Karena bukti digital berpotensi menjadi
penduduk di beberapa yurisdiksi hukum, seperti halnya dengan server cloud, mungkin
ada banyak yurisdiksi, yang mengharuskan dipatuhinya aturan bukti lokal dan undang-
undang penyitaan bukti di setiap contoh. Sebagai
ada potensi untuk ditanyai di pengadilan mengenai legalitas metodologi pengambilan
data yang digunakan, penyelidik kejahatan digital perlu melakukan penyelidikan dengan
pengacara untuk memastikan bahwa hukum di setiap yurisdiksi dihormati.
Identifikasi Bukti
Mengidentifikasi apa yang mungkin menjadi pameran tidak selalu jelas. TKP cyber
datang dalam berbagai bentuk dan ukuran, dan pameran juga. Sebelumnya di
Machine Translated by Google
bab ini kami mengidentifikasi contoh berbagai jenis bukti digital yang mungkin ada; namun,
jarang semua ini akan relevan dengan semua investigasi.
Anggota tim investigasi akan diberi pengarahan sebelum memasuki tempat kejadian tidak
hanya tentang peristiwa yang membawa mereka ke sana tetapi juga barang bukti yang mungkin
mengandung bukti. Namun, seperti yang akan dijelaskan oleh penyelidik tempat kejadian yang
berpengalaman, temuan kebetulan atau petunjuk yang ditindaklanjuti pada petunjuk awal dapat
mengarah pada lokasi pameran lebih lanjut yang pada awalnya dianggap tidak relevan atau
tidak dipikirkan sama sekali. Pahami apa yang dapat Anda sita dengan persetujuan atau perintah
pengadilan.
Penyidik harus tetap berpikiran terbuka saat melakukan investigasi TKP dan identifikasi
barang bukti. Sementara perintah pengadilan dapat membatasi apa yang sebenarnya dapat
diambil dari tersangka yang terlibat di tempat pengadu, bukti dapat diambil dengan persetujuan
pemilik. Namun, berhati-hatilah jika tersangka adalah karyawan internal, karena menyita properti
pribadi mereka (seperti ponsel) atau menggeledah meja mereka mungkin memerlukan
pertimbangan hukum dan arahan dari pengacara perusahaan. Kebijakan Bawa Perangkat Anda
Sendiri (BYOD) sangat menyusahkan, karena perangkat itu sendiri dimiliki oleh karyawan
dengan data dan bukti potensial milik pemilik perusahaan di atasnya. Jika tersangka telah
melakukan kejahatan yang dituduhkan menggunakan komputer BYOD, mencari nasihat hukum
sejak dini akan sangat menguntungkan tim investigasi. Melihat dalam perjanjian kerja dengan
pengguna dapat memberikan beberapa panduan untuk mengelola BYOD dan data perusahaan
tentangnya.
Bukti yang diidentifikasi mungkin fisik, seperti perangkat komputer, atau logis, seperti data
yang diambil melalui saluran komunikasi jaringan. Untuk perangkat komputer, identifikasi dan
catat waktu pada perangkat, termasuk zona waktu, karena ini akan memungkinkan sinkronisasi
bukti digital, terutama log.
Setelah bukti diidentifikasi, selanjutnya harus dikumpulkan.
Waspadai keselamatan anggota staf saat melakukan penyitaan barang bukti, termasuk
saat menangani perangkat listrik. Lokasi fisik dapat menimbulkan
Machine Translated by Google
bahaya, seperti yang mungkin terjadi pada ruangan di rumah tersangka di mana
perangkat subjek disita. Seperti disebutkan sebelumnya, ada kasus pelanggar yang
menyembunyikan senjata di kamar mereka. Juga kabel listrik mungkin dalam kondisi
buruk, yang menyebabkan potensi anggota tim tersengat listrik atau ruangan memiliki
lantai yang longgar.
Saat pameran dikumpulkan, pahami kompetensi dan pengalaman penyelidik dalam
peran yang mereka lakukan. Peran manajer pameran, misalnya, sangat penting untuk
penyelidikan apa pun, dan kontrol bukti dari awal pencarian hingga presentasi ke
pengadilan bergantung pada kompetensi dan keakuratan petugas pameran.
Setelah bukti telah disita, itu adalah tanggung jawab pimpinan investigasi untuk
menjaga keamanan dan integritasnya. Topik berikutnya adalah memperoleh bukti digital
dari jaringan atau dari perangkat fisik yang beroperasi, seperti server atau komputer
desktop.
Rencanakan juga untuk mencegah bukti diubah dengan cara apa pun. Ini sangat
relevan dengan bukti digital yang mudah menguap seperti di Random Access Memory
(RAM) dan Mesin Virtual (VM) di mana bukti tidak dapat dipulihkan. Diskusikan kegiatan ini
dengan penyelidik digital sebelum berangkat ke tempat kejadian. Bukti juga dapat hilang
jika perangkat ditutup dan data yang dicari berada dalam volume atau perangkat terenkripsi.
Bukti digital mungkin hilang melalui peristiwa rutin, seperti log yang ditulis berlebihan dan
memori yang dimatikan. Peramban web yang tidak mencatat log akan kehilangan bukti
jejak jika dimatikan, termasuk apa yang dilihat pengguna. Identifikasi bukti yang dapat
menyebabkan kehilangan tersebut dan rencanakan penangkapan awal dengan pemeriksa
forensik Anda.
Contoh urutan volatilitas seperti yang disediakan oleh tim Tanggap Darurat Komputer
Australia (AusCERT) adalah:
6. Jika perangkat dalam keadaan hidup, jangan dimatikan tanpa arahan penyidik digital. Jika
tidak aktif, tinggalkan dan kencangkan sebagai pameran fisik.
7. Jika perlu, hapus akses jaringan dari perangkat yang disita
jika aktif maka tindakan jarak jauh tidak dapat memengaruhinya.
8. Dalam hal terdapat dugaan bahwa suatu alat merusak barang bukti berdasarkan perintah
yang diberikan oleh tersangka, pihak luar, atau keadaan lain, mintalah nasihat penyidik
digital; jika tidak, crash perangkat dengan melepas daya. Ini adalah keputusan yang hanya
dapat dibuat pada individu
keadaan.
9. Catat semua pengidentifikasi pada perangkat, seperti nomor seri, nomor model dan merek,
kerusakan yang ada pada perangkat, dan bahkan pengidentifikasi lain (seperti stiker
pribadi) yang nantinya dapat digunakan untuk mengonfirmasi bahwa perangkat ditemukan
di lokasi tertentu dan di bawah kepemilikan tertentu
orang.
10. Jauhkan perangkat dari apa pun yang dapat merusak integritas data yang disimpan, seperti
air, pelepasan elektromagnetik, dan akses jaringan jarak jauh.
11. Kabel dan manual juga berharga, karena akan membantu investasi digital
tigator ketika kembali ke laboratorium mereka.
12. Dokumentasikan semua tindakan Anda dan pastikan bahwa petugas pameran mengetahui
semua bukti yang diambil. Setiap item harus memiliki pengidentifikasi unik yang melekat
padanya.
Begitu bukti telah dikumpulkan dan ditangkap, maka harus dilestarikan untuk dapat menjaga
integritasnya dan membuktikan keasliannya.
Tugas utama adalah mencatat anggota tim yang menemukan pameran, di mana ditemukan,
dan siapa yang menyitanya. Orang yang menemukannya mungkin berbeda dari orang yang
secara resmi menyitanya untuk pemeriksaan, dan mungkin membantu dalam pencarian yang lebih
kecil jika satu anggota tim ditunjuk sebagai petugas pameran yang menyita semua
Machine Translated by Google
bukti yang ditemukan oleh tim pencari tempat kejadian. Ini membantu dalam memastikan
bahwa jumlah minimum orang yang memiliki akses ke pameran dan bahwa mereka ditunjuk
untuk bertanggung jawab untuk menjaga integritas mereka.
Setelah keputusan dibuat untuk menyita sebuah pameran, ambil fotonya di tempat,
sehingga beberapa tahun kemudian Anda dapat mengingat dengan tepat seperti apa
pemandangan itu dan di mana bukti spesifik itu berada jika perlu. Tempatkan label pada
barang bukti yang merekam data, waktu penyitaan, identitas penyidikan, lokasi orang, dan
orang yang melakukan penyitaan. Melampirkan lembar berjalan pameran ke pameran akan
membantu menjaga rantai penjagaan.
Lembar berjalan juga dapat merekam:
Pengidentifikasi unik, seperti model dan nomor seri. Ini dapat dikaitkan dengan nomor
barang pada daftar tanda terima properti yang dikeluarkan di tempat kejadian ketika
barang bukti pertama kali disita.
Siapa yang mengakses pameran, dan waktu serta lokasi penemuannya
dan disita.
Siapa yang memiliki hak asuh atas pameran tersebut selama pameran tersebut diadakan.
Di mana pameran itu disimpan, terutama setelah dibawa pergi
dari tempat kejadian.
Siapa yang memeriksa barang bukti masuk dan keluar dari penyimpanan, dan kapan dan mengapa itu
selesai.
Pemeriksaan spesialis dilakukan pada pameran (jika ada), seperti pemeriksaan sidik jari
atau digital, beserta rincian orang yang memindahkan pameran.
Kerusakan pada pameran (jika ada), bagaimana hal itu terjadi, kapan ditemukan, dan
siapa yang menemukannya. Catat juga tingkat kerusakannya.
Dari laporan ini, laporan lacak balak untuk setiap pameran harus bisa disiapkan. Ini
akan sangat berguna jika Anda ditanyai tentang pameran di pengadilan.
INVESTIGASI Adegan
Setelah membahas prinsip-prinsip umum penyitaan barang bukti, sisa bab ini memperkenalkan
dan membahas kepraktisan pemeriksaan tempat kejadian.
Pertama kita akan membahas tindakan awal sebelum berangkat ke TKP.
Machine Translated by Google
Keamanan Staf
Definisi senjata sangat luas dan dapat mencakup benda apa pun yang dapat digunakan
seseorang untuk menyebabkan cedera pada anggota tim IR, tim investigasi, atau orang
lain. Itu juga bisa digunakan untuk melawan siapa pun yang hadir saat tersangka mencoba
meninggalkan tempat kejadian.
Tersangka mengetahui rumah dan tempat kerja mereka dengan baik dan kadang-
kadang akan menempatkan senjata di tempat yang dapat mereka jangkau jika perlu. Saat
menggeledah rumah, untuk alasan yang tidak diketahui, banyak percakapan dilakukan di
dapur tempat pisau berada. Idealnya, pindahkan percakapan apa pun dari lokasi di mana
senjata terlihat dan singkirkan godaan yang jelas; misalnya, letakkan pisau di laci atau
mesin pencuci piring, atau amankan dengan tim investigasi sesuai keadaan dan pengalaman.
tidak mengandung otoritas semacam itu, mengharuskan anggota pencari untuk memastikan
perlindungan pribadi mereka melalui pengamatan dan menggunakan keterampilan komunikasi
mereka. Jika ada potensi ancaman kekerasan dalam pelaksanaan perintah penggeledahan sipil,
pertimbangkan untuk meminta polisi hadir untuk memastikan keselamatan semua pihak.
Pengarahan Pra-pencarian
Lakukan pengarahan tim pra-pencarian sehingga semua orang memahami semua keadaan acara
yang sedang diselidiki dan peran mereka. Menyajikan risiko keselamatan dan strategi mitigasi.
Berbagi intelijen tentang lokasi, pencarian, bukti, dan individu, serta fakta-fakta kejahatan dunia
maya yang diketahui.
Legalitas Kehadiran
Pahami dan jelaskan legalitas kehadiran Anda di lokasi dan tindakan Anda. Ini mungkin atas
perintah pengadilan atau persetujuan dari pihak yang berada di bawah kendali lokasi dan bukti.
Pastikan Anda dan tim Anda memahami wewenang yang diberikan oleh perintah pengadilan.
Pada tahap awal penyelidikan, kemungkinan besar Anda tidak akan tahu siapa tersangkanya atau
bahkan apakah orang itu adalah karyawan internal. Banyak penyelidikan polisi telah mewawancarai
pelaku dalam tahap wawancara awal dan tidak mengidentifikasi mereka sebagai calon tersangka
sampai beberapa minggu kemudian. Ini bukan kegagalan, karena menyoroti fakta bahwa pada
tahap awal penyelidikan Anda akan memiliki pengetahuan yang sangat terbatas tentang semua
individu dan hubungan yang berbeda yang akan Anda hadapi. Anda juga kemungkinan besar akan
memiliki bukti terbatas untuk mengarahkan penyelidikan Anda kepada siapa tersangkanya atau ke
detail persis pelanggarannya.
Jika seseorang disebut sebagai tersangka dengan bukti yang mendukung klaim ini, penyelidik
sipil mungkin ingin mempertimbangkan pilihan mereka. Jika Anda berurusan dengan penyelidikan
yang kemungkinan akan dirujuk ke polisi, pilihannya adalah menyerahkan wawancara tersangka
kepada polisi, yang sangat ahli dalam wawancara tersangka. Atau, Anda dapat mewawancarai
orang tersebut jika anggota tim Anda memiliki keterampilan, tetapi ingat bahwa Anda akan
melakukan wawancara yang dicurigai dalam masalah serius.
Machine Translated by Google
dengan informasi terbatas, yang mungkin berarti banyak pertanyaan berharga tidak akan
ditanyakan. Meskipun hal ini tidak selalu terjadi, tersangka biasanya hanya mewawancarai
satu kali dan penyidik yang ahli akan memastikan bahwa mereka memiliki semua informasi
yang mereka butuhkan. Wawancara dibahas secara lebih rinci dalam Bab 16.
Karena tidak semua adegan yang Anda hadiri akan melibatkan tim IR, rencanakan untuk
mencegah siapa pun mengganggu bukti. Kontrol pergerakan orang-orang di tempat kejadian
dan Anda akan sangat membantu dalam mengontrol pelestarian bukti fisik. Ketika
berhadapan dengan situasi di mana tersangka mungkin hadir, bahkan tindakan yang
tampaknya tidak bersalah seperti seseorang yang menggunakan telepon mereka dapat
menghalangi penangkapan bukti Anda, karena mereka mungkin mengirimkan kode yang
telah disiapkan kepada rekanan untuk menghancurkan bukti potensial. Pastikan tersangka
tidak memiliki akses langsung atau tidak langsung ke perangkat digital, termasuk akses
jarak jauh melalui perangkat seluler.
Saat perangkat berbasis cloud, siapa pun dapat mengakses layanan dengan perangkat
seluler. Oleh karena itu, saat Anda dan tim Anda berada di lokasi kejadian, tersangka atau
rekan mereka dapat menggunakan layanan berbasis cloud untuk menghapus bukti penting
Anda sedang mencari. Ponsel mungkin berisi layanan penghapusan jarak jauh melalui fitur
seperti Temukan iPhone saya.
Rencanakan juga untuk mencegah bukti diubah dengan cara apa pun. Ini sangat
relevan dengan bukti digital yang mudah menguap, seperti pada RAM dan VM, yang tidak
dapat dipulihkan. Diskusikan kegiatan ini dengan penyelidik digital sebelum berangkat ke
tempat kejadian. Bukti juga dapat hilang jika perangkat ditutup dan data yang dicari berada
pada volume atau perangkat terenkripsi.
Barang bukti juga dapat dirusak oleh tindakan tidak bersalah seperti menyimpan
perangkat digital di dekat cairan atau sumber elektromagnetik. Listrik statis dapat merusak
barang bukti digital, dan mengamankan perangkat di dalam tas, kotak, atau tas Faraday
akan membantu menjaga integritas barang bukti. Cegah potensi pelepasan elektromagnetik
yang merusak barang bukti digital dengan menyentuh benda logam yang aman untuk
menghilangkan listrik statis pada orang Anda sebelum mengambil barang bukti digital.
Dalam keadaan sempurna, tidak akan ada perubahan status barang bukti yang diperoleh;
namun, jika ada, segera dokumentasikan dan jelaskan alasan mengapa perubahan dilakukan.
berusaha untuk merebut perangkat sebagai bukti, mereka dapat menekan tombol pemutus, yang akan
menghapus data atau mengenkripsi perangkat. Ini pada dasarnya adalah sakelar panik dari upaya
terakhir, yang digunakan ketika penjahat dunia maya tidak memiliki kesempatan untuk mempertahankan
perangkat mereka secara manual. Tergantung pada keadaan pencarian Anda dan apakah Anda
menghadiri tempat kejadian di mana kemungkinan tersangka berada, ini mungkin merupakan
pertimbangan yang sangat relevan.
Tim investigasi yang dipanggil ke lingkungan perusahaan akan sering hadir selama jam
kerja. Ini adalah saat sebagian besar karyawan hadir dan berusaha melakukan tugas
sehari-hari mereka. Kehadiran IR dan tim investigasi kemungkinan besar akan
menimbulkan kekhawatiran besar bagi karyawan karena mereka melihat banyak aktivitas
yang sebelumnya hanya mereka lihat di TV, seperti komputer dicitrakan dan teman-
teman diwawancarai, serta dinamika umum IR dan investigasi tim tentang bisnis mereka.
Tidak ada jawaban pasti untuk pertanyaan apakah Anda harus melakukan investigasi
terhadap TKP perusahaan selama jam kerja atau setelahnya, karena keadaan seperti
bekerja dengan tim IR dan ketersediaan saksi untuk diwawancarai akan mendorong
keputusan ini. Namun, manajemen dapat meminta agar kegiatan tertentu, seperti
wawancara, dilakukan di luar jam kerja sehingga para saksi dapat berpikir jernih dari
gangguan tugas sehari-hari mereka.
Hal ini dibahas secara lebih rinci dalam Bab 16. Isu-isu lain, seperti kebutuhan akan
tanggapan yang cepat dan ketersediaan sumber daya, akan mempengaruhi pencarian
penegak hukum.
Dalam persiapan Anda untuk melakukan penyelidikan dan pemeriksaan, Anda akan
merencanakan lingkungan yang jelas untuk bekerja. Namun, ini tidak selalu
memungkinkan, karena Anda mengambil TKP saat Anda menemukannya. Memindahkan
semua orang dari suatu lokasi sehingga penyelidik digital Anda dapat mengambil gambar
perangkat dan barang-barang lainnya dapat disita dapat dianggap sebagai praktik
terbaik, tetapi ketika sebuah perusahaan perlu tetap beroperasi, Anda mungkin harus
merencanakan untuk bekerja di lingkungan sebaik mungkin sambil merekam catatan
tentang keadaan di mana Anda beroperasi. Klien sipil mengundang tim investigasi ke
tempat kerja, dan meskipun Anda bertanggung jawab untuk mengerjakan tempat
kejadian, manajemen mungkin meminta agar tempat kejadian tidak sepenuhnya ditutup
seperti yang Anda inginkan. Petugas penegak hukum yang menanggapi pengaduan
mungkin memerlukan lokasi untuk ditutup dan ini akan menjadi diskusi terpisah.
Machine Translated by Google
TKP bersifat dinamis, dan bukan hal yang tidak biasa terjadi pencarian yang dilakukan
dan orang-orang berjalan ke TKP di tengah-tengah pencarian. Umumnya hal ini tidak
menjadi masalah, karena catatan yang dicatat akan menjelaskan terjadinya hal ini.
Khususnya di kantor perusahaan, orang mungkin datang dari pertemuan di tempat lain
sama sekali tidak menyadari bahwa IR dan tim investigasi telah bekerja di kantor selama
dua jam terakhir, dan mereka akan memerlukan pengarahan singkat tentang apa yang
terjadi. Persiapkan kemungkinan ini dan mintalah petugas yang ditunjuk ditugaskan untuk
bertemu dan mencatat rincian mereka.
Tidak semua TKP berada di kantor perusahaan profesional, dan keadaan penyelidikan
Anda akan menentukan di mana Anda bekerja. Rumah tersangka sangat bervariasi, dan
kami telah membahas potensi bahaya keamanan. Waspadai kabel yang longgar atau
rusak dan bahaya rutin lainnya, termasuk barang-barang yang tersebar di sekitar ruangan,
lantai yang tidak aman, dan sebagainya. Kebocoran air adalah bahayanya sendiri dan
perangkat magnet dapat membahayakan perangkat digital.
Dokumentasikan batas-batas sementara tempat kejadian yang akan diperiksa dan berikan
pengarahan kepada anggota tim tentang sifat pelanggaran, bukti yang dicari, risiko yang
diketahui, dan yang mungkin terjadi, serta identifikasi petugas tempat kejadian.
Pengarahan ini dapat mencakup bukti apa yang disita, yang akan diatur oleh apakah
penggeledahan dilakukan dengan persetujuan (seperti dalam kasus pelapor) atau di
bawah wewenang perintah pengadilan (seperti saat menggeledah tempat tinggal
tersangka atau lokasi bisnis. ).
Seperti yang telah dibahas sebelumnya, pastikan bahwa semua anggota tim telah diberi
pengarahan tentang cara yang aman untuk menangani bukti digital; sebagai alternatif, mintalah
anggota tim menemukan pameran digital dan petugas pameran yang ditunjuk (yang terlatih
dalam penyitaan bukti digital) mengamankan pameran secara fisik. Pastikan mereka memiliki
sumber daya untuk melakukan tugas mereka.
Machine Translated by Google
Identifikasi petugas pameran yang akan menangani bukti dari awal hingga presentasi di
pengadilan. Ini mungkin satu-satunya tugas mereka di tim besar, atau tanggung jawab ini dapat
didelegasikan bersama dengan tugas lain di tim yang lebih kecil. Mengerjakan
mengabaikan konsekuensi potensial dari prosedur penanganan bukti yang buruk.
Bahkan jika ini adalah fitur reguler dari pekerjaan Anda, memastikan kompetensi dalam pembaruan
undang-undang dan hukum kasus menguntungkan.
Tidak ada yang ahli dalam segala hal, jadi jangan takut untuk meminta bantuan. Dia
bukanlah tanda kelemahan untuk meminta nasihat kepada orang lain, bahkan staf yang lebih junior. Sebagai
Anda melibatkan spesialis untuk membantu dalam pencarian/pemeriksaan, izinkan mereka melakukannya
pekerjaan mereka tanpa perlu menunjukkan otoritas. Ini berlaku untuk briefing juga
sebagai kehadiran di tempat kejadian.
Rencana untuk Menghadapi Data Online Bervolume Besar yang Akan Disita
Misalnya, mengunduh terabyte data dari server cloud membutuhkan waktu yang sangat lama
waktu, bahkan pada jaringan berkualitas tinggi. Untuk memastikan lacak balak, penyelidik digital
yang berpengalaman akan diminta untuk hadir, atau memiliki metodologi
tersedia untuk membuktikan bahwa tidak ada orang yang memiliki kapasitas untuk mengganggu dan merendahkan
kualitas barang bukti. Pertanyaan ini dapat diputuskan dalam diskusi dengan
pelapor menggunakan keuntungan dari pengalaman Anda. Catat alasannya
bukti tidak dikumpulkan dan bersiaplah untuk ditantang di pengadilan jika
bukti potensial tidak dikumpulkan karena biaya yang terlibat.
Tangkapan langsung harus digunakan untuk merekam data saat bergerak melalui jaringan
tanpa mematikan jaringan. Ini sangat berharga dalam situasi di mana bisnis perlu terus beroperasi
sementara IR dan tim investigasi beroperasi.
Setiap pemeriksaan bukti digital harus dilakukan oleh penyidik digital yang berkualifikasi.
Ada banyak kasus di mana penyelidik telah "melihat cepat"
di perangkat untuk melihat apakah ada bukti, yang mengubah file log di dalam perangkat.
Ada biaya untuk mengumpulkan bukti digital, dan mungkin membutuhkan waktu yang lama,
sumber daya, dan biaya untuk mengumpulkan bukti secara sah dari server cloud. Keputusan
tentang berapa banyak bukti yang harus disita dan apa yang harus ditinggalkan dan
Machine Translated by Google
tidak menangkap perlu dilakukan. Ini adalah tindakan penyeimbangan yang sangat sulit, karena
apa yang Anda tinggalkan mungkin merupakan bukti yang diputuskan oleh pengacara pembela
adalah bukti penting yang akan membebaskan klien mereka. Memiliki anggota tim di lokasi
menimbulkan biaya yang signifikan, terutama dengan penyelidik digital yang berpengalaman.
Setelah Anda merencanakan pencarian/pemeriksaan, proses selanjutnya adalah
kehadiran di lokasi.
Saat mencari meja dan lemari, jangan lupa untuk mencari lantai, bawah meja, dan area lantai
di bawah lemari dan area di atas barang-barang tersebut. Mungkin karena tidak masuk akal untuk
menyimpan data berharga di lokasi tertentu (seperti yang ada di bawah lemari arsip), mungkin
masuk akal bagi orang yang memiliki data yang memberatkan dan mencari tempat orang tidak
akan repot melihat karena tidak mungkin atau sulit untuk dipindahkan.
Ingat, motivasi orang yang menyembunyikan bukti mungkin lebih besar daripada anggota tim
pencari untuk menemukannya, karena mereka menghadapi kemungkinan hukuman penjara jika
bukti kunci yang memberatkan mereka ditemukan.
Machine Translated by Google
Identifikasi dan pelestarian bukti adalah pertimbangan utama dan penghormatan terhadap
aturan bukti yurisdiksi tempat Anda bekerja harus menjadi tujuan utama investigasi. Permainan
akhir untuk tindakan awal di TKP atau saat menyita perangkat digital yang berisi bukti potensial
adalah pengadilan di mana aturan pembuktian akan diterapkan pada tindakan Anda. Anda
akan diperlakukan dengan standar yang sama dengan standar untuk penyelidikan kejahatan
serius, di mana seorang detektif yang memenuhi syarat menemukan, menyimpan, menyita,
dan memeriksa bukti.
Sejak awal, penyelidik siber akan memiliki banyak tugas yang harus dilakukan untuk
mendapatkan pemahaman tidak hanya tentang peristiwa yang mereka investigasi, tetapi juga
TKP, sifat dinamisnya, saksi, dan lokasi bukti potensial. Wawancara awal dengan pelapor,
sebagaimana dirinci dalam Bab 7, dapat memberikan beberapa informasi ini, tetapi kemungkinan
besar manajer yang memberikan pengarahan memiliki sedikit pemahaman tentang apa yang
telah terjadi. Ketika penyidik mengambil alih TKP dan memulai manajemen TKP, perlu diingat
bahwa setiap tindakan yang mereka ambil dan setiap keputusan yang diambil dapat diinterogasi
di pengadilan beberapa tahun kemudian jika tersangka diidentifikasi dan dituntut secara perdata.
atau pengadilan pidana. Dalam hal ini, volume catatan yang dicatat selama pemeriksaan akan
menjadi sumber bantuan yang sangat berharga dalam menyegarkan ingatan Anda tentang apa
yang dilakukan, kapan, mengapa, dan oleh otoritas siapa.
Perkenalkan Diri Anda dan Tim kepada Semua Orang yang Dibutuhkan
Jika menghadiri dengan otoritas perintah pengadilan, pastikan itu hadir dan tersedia untuk
dilihat, seperti yang dipersyaratkan oleh undang-undang yurisdiksi Anda. Jika diperlukan,
berikan perlindungan kepada tersangka, seperti hak untuk diam, akses ke nasihat hukum,
dan kemampuan untuk menghubungi perwakilan serikat pekerja mereka. Ini juga akan
dipandu oleh undang-undang di yurisdiksi Anda.
Jika hadir dengan persetujuan, temui orang yang mengundang Anda. Bab 7
mengidentifikasi bidang-bidang yang menarik untuk didiskusikan dengan pelapor dan Bab 16
membahas bidang-bidang untuk didiskusikan dengan tersangka dan saksi. Terus lakukan
analisis ancaman di semua tahapan selama Anda berada di lokasi.
Aktivitas Kontrol
Saat tiba di lokasi, kontrol tempat kejadian, orang, dan akses ke bukti.
Seperti yang telah dibahas sebelumnya, ini akan bervariasi tergantung pada keadaan
kehadiran Anda, karena Anda tidak akan secara langsung dengan staf pengadu seperti
halnya Anda dengan tersangka.
Mengambil serangkaian foto TKP saat pertama kali ditemukan memungkinkan calon hakim
dan juri untuk memahami tata letak TKP dan di mana bukti itu berada. Ini juga berfungsi
sebagai pengingat bagi penyidik jika mereka diminta untuk memberikan bukti dalam sidang
pengadilan di masa mendatang.
Karena bukti lebih lanjut ditemukan selama pencarian, fotolah di tempat (di mana itu)
sebelum dipindahkan. Tautkan semua bukti yang disita ke lokasi persisnya ditemukan. Ini
adalah alat investigasi yang berharga dan menunjukkan tersangka sebelum mereka punya
waktu untuk bereaksi terhadap apa yang terjadi.
Hindari menggunakan telepon Anda sendiri, karena di beberapa yurisdiksi, pertahanan mungkin
meminta telepon Anda untuk mengekstrak salinan gambar mereka sendiri.
Saat berhadapan dengan perangkat yang dicurigai, merekam apa yang ada di layar
mungkin menjadi sumber bukti yang berharga. Jika itu komputer tersangka, melihat jendela
apa yang terbuka dan apa yang dapat dilihat tanpa mengklik tautan dapat memberikan
arahan untuk penyelidikan dan ke lokasi bukti di masa depan. Untuk
Machine Translated by Google
misalnya, komputer tersangka mungkin terbuka ke akun email web yang tidak diketahui siapa
pun atau komputer korban mungkin menunjukkan permintaan ransomware.
Buat daftar apa yang terpasang pada perangkat yang dicurigai, seperti kabel Ethernet,
mouse, keyboard, dan perangkat penyimpanan. Jika perlu, buat diagram konfigurasi yang
menunjukkan bagaimana perangkat terhubung ke jaringan. Catat pengidentifikasi unik untuk
perangkat, seperti merek, model, dan nomor seri.
Foto semua kabel dan koneksi ke perangkat. Rebut kabel dan pengisi daya, terutama jika
perangkat ini jarang digunakan. Penyelidik digital mungkin perlu mengisi daya perangkat kembali
di kantor dan tidak memiliki pengisi daya yang diperlukan. Tandai semua perangkat sehingga
Anda dapat mengingat kabel mana yang termasuk dalam perangkat mana.
Tergantung pada kasusnya, bukti mungkin perlu diambil sidik jarinya. Ini adalah proses khusus
dalam penegakan hukum dan petugas spesialis melakukan tugas ini.
Di tempat kejadian, jika suatu barang bukti perlu diambil sidik jarinya, gunakan sarung tangan
dan ambil barang tersebut di tepinya di tempat-tempat yang paling tidak mungkin disentuh oleh
pelaku. Amankan item tersebut sehingga tidak ada anggota tim lain yang dapat menyentuhnya dan
tandai tas dengan label seperti “Pameran untuk diambil sidik jarinya” sebelum mengamankannya
untuk mengingatkan semua anggota tim bahwa pameran harus diperlakukan dengan sangat
hati-hati.
TKP bisa menjadi tempat yang sangat kacau, dengan keputusan dibuat dalam pelarian untuk
melestarikan bukti, mewawancarai saksi, dan mengendalikan tempat kejadian. Keputusan yang
dibuat di saat yang panas mungkin benar dengan informasi yang tersedia sangat terbatas, tetapi
kemudian terbukti salah setelah lebih banyak informasi tersedia. Sementara setiap orang
memiliki visi 20/20 setelah suatu peristiwa terkendali dan semua informasi tersedia, penyelidik
tempat kejadian tidak memiliki kemewahan untuk menunda semua keputusan sampai semua
informasi tersedia dan harus bekerja dengan apa yang mereka miliki dan menyeimbangkannya
dengan keputusan mereka. pengalaman.
Jika keputusan yang diambil pada saat yang panas ternyata tidak benar, dokumentasi yang
direkam pada saat itu akan menunjukkan bahwa keputusan itu dibuat dengan informasi yang terbatas dan
dengan itikad baik, dan bahwa itu mungkin merupakan keputusan yang bijaksana pada saat
mengingat terbatasnya informasi yang tersedia. Jika catatan terperinci tidak dicatat selama
proses pengambilan keputusan, membenarkan waktu yang menunjukkan keputusan yang salah
membuat penyelidik terbuka untuk klaim ketidakmampuan atau sengaja menghancurkan bukti.
Machine Translated by Google
Dalam pengarahan awal dengan manajemen, pahami dengan tepat apa yang mereka ingin
Anda lakukan dan batasan yang mereka inginkan agar Anda beroperasi di dalamnya.
Meskipun selalu ada anggapan bahwa penyelidikan mungkin berakhir di ruang sidang,
seorang manajer harus dapat memberi tahu Anda dengan tepat apa yang ingin mereka
investigasi. Misalnya, mereka mungkin hanya ingin Anda menyelidiki penyusupan terhadap
server web dan tidak menghabiskan waktu untuk melihat server email, yang mereka yakini
tidak terpengaruh dalam serangan.
Sebagai penyelidik sipil, dokumen persyaratan awal perikatan harus menunjukkan
batas-batas penyelidikan dan informasi terkait, seperti waktu yang tersedia, dukungan
internal yang tersedia, dan sebagainya.
Hanya sedikit bisnis yang ingin tutup saat investigasi dunia maya sedang dilakukan, karena
offline membutuhkan biaya. Selain itu, investigasi internal bisa sangat mengganggu dan
mengganggu anggota staf, yang mungkin memiliki kekhawatiran terhadap masa depan
perusahaan. Adalah peran penyelidik untuk mendiskusikan masalah ini dengan manajer
senior untuk merencanakan tanggapan agar perusahaan dapat melanjutkan perdagangan
selama penyelidikan dilakukan.
Jelaskan kepada staf apa yang sedang terjadi dan perlunya kerja sama mereka.
Jelaskan mengapa aktivitas tertentu, seperti pencitraan komputer, sedang berlangsung. Jika
Anda tidak menjelaskan kepada staf apa yang terjadi dan mengapa, rumor akan dimulai, dan
Machine Translated by Google
orang akan mengembangkan teori mereka sendiri dan tingkat kerjasama mereka dapat dikurangi.
Konfirmasikan dengan tepat di mana TKP berada. Ini mungkin lokasi fisik, seperti komputer di
meja di kantor, jaringan internal, atau server cloud yang terletak di yurisdiksi hukum asing.
Di beberapa lokasi, area yang akan digeledah mungkin berupa kantor besar yang berisi
serangkaian kantor di sepanjang lorong. Masing-masing perlu diperlakukan sebagai lokasi
potensial bukti dan didefinisikan seperti itu. Tindakan sederhana seperti yang tercakup dalam
Gambar 10.7 dengan jelas mendefinisikan kantor pada peta pemandangan dan dapat dikaitkan
dengan bukti yang terletak di dalamnya.
Hanya karena Anda melakukan investigasi teknologi tinggi tidak berarti
solusi berteknologi rendah tidak bisa sangat efektif. Gunakan bila perlu.
Pencarian Metodis
Secara metodis mencari lokasi dan menemukan barang bukti dan mencatat rincian penggeledahan
dan penyitaan barang bukti.
Buat urutan volatilitas bukti digital. Ini dibahas sebelumnya dalam bab ini, di bawah
"Akuisisi Bukti Digital."
Enkripsi
Tanpa kunci, enkripsi akan menimbulkan masalah. Saat investigasi TKP dilakukan, menemukan
sumber kata sandi potensial apa pun akan membantu penyelidik digital kembali ke laboratorium
mereka saat mereka berusaha mendapatkan akses ke perangkat dan bukti. Kunci dapat diberikan
oleh pemilik/pengontrol perangkat, atau diletakkan di atas kertas, di buku catatan, atau di catatan
tempel yang ditempel di bawah meja.
Jika perangkat beroperasi, pemeriksa forensik dapat melakukan akuisisi langsung
tion dari RAM sebagai kunci mungkin penduduk dalam teks biasa.
Peta sketsa tempat kejadian dan bukti yang ditemukan mungkin sangat berharga ketika
mengidentifikasi dengan tepat di mana bukti itu berada. Ini akan mendukung foto-foto
pemandangan.
Adegan dapat sangat bervariasi dan mengetahui siapa yang hadir pada waktu tertentu
memungkinkan penyelidik untuk memahami adegan: siapa yang termasuk di dalamnya, siapa
pengunjung, dan siapa yang tidak hadir.
Seperti halnya mencari kata sandi enkripsi, ini dapat disimpan di buku catatan atau pada catatan
tempel yang dilampirkan ke perangkat. Perangkat USB juga dapat berisi kumpulan kata sandi.
Anda juga dapat menanyakan kata sandi kepada orang yang mengoperasikan perangkat.
Saksi kunci mungkin tidak hadir dan mungkin perlu segera dihubungi. Misalnya, administrator
sistem mungkin sedang cuti dan memiliki bukti berharga mengenai jaringan, desainnya, dan
kejadian keamanan sebelumnya.
Jika perangkat ada di tempat kejadian di mana ada kekhawatiran bahwa serangan itu
diprakarsai oleh karyawan internal, memperoleh catatan elektronik staf yang memasuki
tempat kejadian pada waktu yang bersangkutan dapat membantu dalam memastikan siapa
yang hadir pada saat peristiwa itu terjadi. Kunci fisik mungkin diperlukan untuk akses; namun,
kartu gesek Radio Frequency Identification (RFID) akan sangat berguna bagi penyelidik,
karena mungkin ada entri log kartu gesek yang mendapatkan akses yang akan menunjukkan
kartu siapa yang digunakan dan waktu akses diperoleh.
Misalnya, jika log menunjukkan data telah dihapus dari perangkat di sore hari, log
keamanan mungkin menunjukkan siapa yang masih ada di lokasi tersebut. Juga pertimbangkan
rekaman CCTV yang menunjukkan orang-orang yang memasuki dan meninggalkan tempat;
ini dapat dibaca bersama dengan log otentikasi akses perangkat/jaringan.
Memiliki daftar lengkap staf dan tempat mereka bekerja membantu mengidentifikasi calon
tersangka dan saksi.
Dalam serangan jaringan, banyak infrastruktur perusahaan dapat disentuh oleh penyerang.
Mungkin ada kebingungan awal mengenai perangkat mana yang telah disusupi dan ini perlu
dikelola di tempat kejadian dengan administrator sistem dan tim IR.
Dalam beberapa kasus, perangkat subjek mungkin telah dihapus dari jaringan dan
diamankan menunggu kedatangan tim investigasi, yang berarti kerja keras untuk
mengidentifikasi perangkat yang dilanggar telah dilakukan.
Komputer biasanya diakses dengan kata sandi; namun, tidak jarang staf membagikan kata
sandi atau perangkat memiliki kata sandi umum. Jika perangkat memiliki kata sandi bersama
atau generik, mengidentifikasi tersangka mungkin terbukti sangat sulit. Jika kata sandi
tertinggal di selembar kertas di sebelah perangkat, daftar tersangka Anda melampaui mereka
yang diizinkan untuk mengakses perangkat.
Machine Translated by Google
Identifikasi siapa pengguna biasa perangkat subjek dan apakah ada orang lain yang
menggunakannya. Misalnya, beberapa kantor menjadi fokus pada hot desking untuk mengurangi
biaya.
Akses Pengguna/Administrasi
Apa tingkat akses ke perangkat subjek yang dimiliki pengguna? Apakah mereka memiliki akses
admin istrator atau pengguna umum?
Perlakukan semua barang yang disita sebagai barang bukti potensial di pengadilan dan patuhi
aturan pembuktian untuk setiap barang, terlepas dari nilai awal yang dirasakan.
Semua bukti harus ditandai dan diamankan dengan pengidentifikasi unik. Gunakan anti
tas statis dan catatan siapa yang mengamankan pameran, kapan, dan di mana.
Sebagaimana dibahas, kuitansi properti harus dikeluarkan untuk semua bukti yang disita dan
kuitansi petugas pameran dan orang dari siapa properti itu disita harus menunjukkan deskripsi
lengkap dan akurat tentang properti dan harus setuju. Memberikan salinan kepada pemilik properti
adalah praktik yang baik.
Di mana ada banyak pameran di serangkaian lokasi (seperti suite kantor), pameran mungkin
terlewatkan atau tertinggal saat Anda pergi. Ini adalah kesalahan logistik yang disebabkan oleh
kesalahan manusia ketika orang sedang stres atau terlibat dalam banyak hal, karena adegan bisa
menjadi lokasi yang mudah berubah. Untuk mencegah hal ini terjadi, beri tahu petugas pameran
untuk merinci setiap barang yang mereka sita dengan orang dari siapa barang itu disita sebelum
meninggalkan lokasi. Referensi silang jadwal pameran dengan tanda terima properti dan bandingkan
secara fisik dengan pameran fisik atau tangkapan digital. Ini adalah praktik yang baik, karena
memberikan kesempatan untuk mengonfirmasi keakuratan tanda terima properti yang Anda berikan
kepada pemilik atau penjaga properti. Pastikan bahwa bukti asli tunduk pada penanganan minimal.
Pengangkutan barang bukti dari lokasi merupakan persyaratan lebih lanjut dari pengelola
tempat kejadian dan pameran. Sebelum berangkat ke tempat kejadian, memiliki fasilitas penyimpanan
aman yang ditunjuk di mana semua bukti akan pergi setelah Anda kembali ke kantor Anda.
Begitu bukti disita, itu harus dipertanggungjawabkan sampai disajikan di pengadilan dan keputusan
dibuat tentang apa yang terjadi padanya dari sana.
Machine Translated by Google
Pertahankan lacak balak semua barang bukti dengan memperoleh pernyataan langsung selagi
ingatan orang masih segar.
Pemeriksa yang memenuhi syarat harus menjadi orang yang melakukan investigasi digital atas
bukti yang ada di tempat kejadian. Dalam beberapa kasus, perangkat subjek dapat disalin dan
diperiksa di TKP, dengan perangkat forensik seluler (seperti perangkat pemeriksaan perangkat
lunak seluler Cellebrite) yang umum digunakan.
Di mana bukti diperoleh di seluruh jaringan, catat waktu dan zona semua perangkat dan perangkat
lunak yang beroperasi di luarnya. Ini sangat relevan untuk investigasi yang melibatkan bukti
cloud, di mana penyedia yang berbeda dapat menyediakan perangkat lunak dari zona waktu
yang berbeda.
Ketika menyita Kekayaan Intelektual penyelidik bertanggung jawab untuk memastikan bahwa itu
aman dan bahwa mereka tidak kehilangan kepemilikannya. Pertimbangkan untuk mengenkripsinya
untuk diamankan.
Identifikasi media penyimpanan yang mungkin berisi barang bukti. Identifikasi perangkat di
gedung dan rumah pintar yang dapat merekam bukti. Bicaralah dengan penyelidik digital dan
utama untuk menentukan apakah bukti digital dari perangkat pintar yang dapat membantu
penyelidikan dapat disita secara sah.
Pisahkan semua perangkat elektronik dari sinyal elektromagnetik yang dapat merusak barang
bukti.
Catatan
Pastikan semua langkah yang diambil oleh semua penyelidik didokumentasikan secara menyeluruh.
Dokumen-dokumen ini dapat menjadi bukti dengan hak mereka sendiri dan dapat menjadi bahan kritis
penyelidikan.
Machine Translated by Google
Penyelidik digital akan mencitrakan perangkat yang disita menggunakan pemblokir tulis di laboratorium
mereka. Jangan pernah melihat perangkat di tempat kejadian, sebagai pemeriksaan cepat untuk melihat
apakah ada bukti saat memutuskan untuk menyita barang bukti atau tidak akan merusak integritas
forensik perangkat.
Di mana perangkat seluler disita, letakkan dalam mode terbang, rekam tindakan ini di catatan Anda.
Tas Faraday adalah perangkat khusus yang dirancang untuk mengurangi kemampuan perangkat seluler
untuk mengakses jaringan, mencegah peluang bagi tersangka untuk menghapus perangkat dari jarak
jauh dalam pengangkutan. Anda juga dapat mengeluarkan kartu SIM.
Identifikasi lokasi barang bukti, finder, perangkat nomor seri, nomor model, nama host, alamat
MAC (jika memungkinkan), alamat IP (jika memungkinkan), waktu, tanggal penyitaan, foto pameran in
situ, dan snapshot sistem sebelum perbaikan.
Memverifikasi dan mempertanggungjawabkan semua bukti yang disita dengan orang dari siapa
itu sedang diambil. Ini mungkin pelapor, saksi, atau tersangka.
Melakukan pemeriksaan akhir untuk memastikan tidak ada yang tertinggal, seperti buku catatan
penyidik, barang bukti, telepon genggam pribadi, dan lain-lain. Semua barang-barang ini telah
ditinggalkan di TKP sebelumnya, membutuhkan pengembalian cepat ke lokasi untuk memulihkan barang.
Penyelidikan semacam ini akan relevan ketika penyelidik perlu memahami bagaimana penyerang
bekerja melalui jaringan dari saat melanggar firewall perusahaan hingga menemukan dan menghapus
data.
Seorang administrator sistem jaringan mungkin memiliki diagram topologi atau dapat
untuk menghasilkan satu dari alat jaringan atau sumber daya mereka sendiri.
Arsitektur jaringan perusahaan bisa sangat kompleks. Sejarah organisasi dapat menunjukkan
serangkaian administrator sistem yang membangun pekerjaan
Machine Translated by Google
dari satu sama lain. Juga, akan ada serangkaian sakelar, router, dan kabel Ethernet
yang menghubungkan sakelar ke perangkat fisik melalui dinding dan mengikuti jalur
yang tidak dapat dilihat.
Gambar 10.9 hingga 10.12 menunjukkan betapa kompleksnya bagian dari dunia
maya ketika berhadapan dengan perusahaan besar. Meskipun ini tidak selalu menjadi
apa yang Anda temukan dan bahkan mungkin tidak relevan dengan penyelidikan
Anda, jika Anda menemukan pemandangan seperti ini, tergantung pada keadaannya,
mungkin ada persyaratan untuk memiliki setidaknya pemahaman tentang bagaimana
data berjalan melalui ini. jaringan dari sakelar ke perangkat fisik yang disusupi. Ingat,
ini semua adalah bukti dan pengacara pembela memiliki hak untuk mengajukan
pertanyaan di pengadilan tentang bukti ini jika mereka memutuskan untuk
melakukannya.
Ini akan sangat relevan dalam penyelidikan ketika seseorang telah menempatkan
perangkat fisik di jaringan dengan tujuan menangkap semua data saat berjalan
melalui jaringan.
Machine Translated by Google
Gambar 10.9 menunjukkan titik awal yang potensial jika Anda diminta untuk memetakan
jaringan Anda. Administrator jaringan harus dapat memberikan dukungan dan arahan yang
berharga dalam hal ini.
Anda mungkin menemukan pasca-insiden bahwa suatu organisasi mengambil kesempatan
untuk berinvestasi dalam arsitektur jaringan dan keamanan siber mereka. Perusahaan yang
berhubungan dengan Gambar 10.9 sampai 10.12 mengambil kesempatan seperti itu.
Berikut ini adalah daftar pertanyaan yang harus ditanyakan penyidik kepada com
staf TI penggugat untuk membantu dalam memahami arsitektur.
Diagram Jaringan
Diagram jaringan akan menunjukkan arsitektur jaringan. Diagram harus menunjukkan semua
perangkat; namun, dalam beberapa kasus penjahat akan memasang perangkat untuk menangkap
lalu lintas jaringan yang tidak direkam pada diagram jaringan apa pun.
Peta jaringan menunjukkan perangkat yang terhubung ke jaringan. Perangkat yang
terhubung ke Jaringan Area Lokal (LAN) mengidentifikasi diri mereka sendiri melalui MAC
Machine Translated by Google
alamat unik untuk setiap saluran komunikasi pada perangkat. Misalnya, komputer laptop yang
terhubung ke LAN mungkin memiliki alamat MAC unik untuk koneksi Ethernet dan alamat MAC
terpisah jika koneksi melalui saluran nirkabel.
Seperti disebutkan sebelumnya, perangkat juga memiliki alamat subnet yang dimulai
dengan alamat IP (misalnya, 192.168.***.***). Angka-angka ini dipetakan ke router. Di dalam
router terdapat tabel perutean yang menghubungkan alamat MAC (28:cf:e9:22:e7:b5) dan
alamat subnet (192.168 .212.75).
Penyelidik yang mempelajari lalu lintas pada jaringan yang berasal dari alamat IP
192.168.212.75 dapat melihat bahwa itu milik perangkat dengan alamat 28:cf:e9:22:e7:b5.
Pertanyaan kemudian dapat dilakukan untuk menemukan perangkat fisik ini, yang mungkin
memakan waktu beberapa menit atau lebih lama tergantung pada jumlah perangkat yang
terhubung ke router.
Jaringan nirkabel memungkinkan pengguna dalam jaringan untuk mengakses layanan
organisasi tanpa harus terhubung melalui kabel Ethernet. Pengguna
Machine Translated by Google
beroperasi dari rentang alamat IP internal (192.168.***.***) dan meninggalkan jaringan melalui
alamat IP pusat (seperti 207.123.***.***).
Dalam jaringan, ada dua cara perangkat dalam jaringan dapat memperoleh alamat IP
internal. Yang pertama adalah administrator sistem atau orang yang setara yang mengalokasikan
alamat IP ke alamat MAC tertentu dalam tabel perutean.
Cara lain adalah (seperti yang dirujuk sebelumnya) DHCP, di mana perangkat yang
diizinkan ke jaringan internal dialokasikan alamat IP internal tanpa langsung
intervensi langsung dari administrator sistem. Ini biasa terjadi di jaringan besar di mana ada
terlalu banyak perangkat untuk alamat internal yang dialokasikan secara individual.
Alamat internal ini berjalan di seluruh jaringan dan akan ditangkap oleh penyidik forensik
jika mereka perlu memeriksa lalu lintas jaringan.
Administrator sistem akan dapat mengarahkan Anda untuk mengidentifikasi perangkat mana
yang dialokasikan untuk alamat IP tertentu
Rentang alamat IP adalah rentang alamat IP yang dapat digunakan publik untuk mengakses
organisasi. Meminta administrator sistem atau mencari situs pencarian pendaftaran domain
(seperti centralops.net) dapat menghasilkan informasi yang berharga.5
Machine Translated by Google
Pengalamatan IP Pribadi/Internal
Ini adalah kisaran alamat IP subnet dalam organisasi yang tidak dapat dilihat atau diakses
oleh pihak eksternal. Dalam contoh yang dikutip di atas, rentang alamat ini akan dimulai
dengan 192.168 dan jumlah alamat akan ditentukan
ditentukan oleh kebutuhan organisasi dan ukuran subnetwork yang dibuat
Titik akses jarak jauh adalah perangkat keras yang memungkinkan pengguna untuk
menghubungkan perangkat tanpa kabel ke jaringan kabel. Contoh titik akses jarak jauh adalah router.5
Domain Name Server (DNS) berfungsi sebagai jalur dari pengguna dalam jaringan dan
Internet. Ketika pengguna mencari untuk pergi ke situs web yang belum pernah mereka
kunjungi sebelumnya, mereka tidak tahu jalurnya. Server DNS akan menerima permintaan,
menemukan alamat web yang dicari pengguna, dan mengirim balasan dengan alamat
tersebut ke perangkat pengguna. Pengguna kemudian dapat terhubung ke alamat web.5
Zona demiliterisasi (DMZ) adalah bagian jaringan yang menghadap ke luar, seperti server
web. Satu-satunya data yang dapat dilihat adalah data yang secara khusus diizinkan untuk
dilihat oleh pemiliknya, artinya pengunjung eksternal tidak dapat mengakses data pribadi
perusahaan secara langsung.5
Pengontrol Domain
Server/Database
Server dan database berisi data perusahaan yang bernilai bagi penyerang. Seorang
penjahat dunia maya mungkin berusaha mencuri salinan data, menghapus data, atau
memodifikasinya. Strategi terakhir sangat merusak perusahaan, karena mereka membuat
keputusan berdasarkan keakuratan data yang disimpan di database.5
Machine Translated by Google
Sistem Email
Sistem email merekam aliran email ke, di dalam, dan keluar dari jaringan. Bukti dapat
menunjukkan konten komunikasi email, asosiasi, stempel waktu, dan sejenisnya. Ini juga
dapat menunjukkan tersangka internal yang mengirim email IP rahasia di luar bisnis.5
Sistem Rahasia
Beberapa server berisi materi komersial yang sangat sensitif, yang mungkin tidak ingin
disertakan oleh manajer senior dalam penyelidikan. Hal ini perlu ditangani berdasarkan
kasus per kasus oleh penyelidik, yang akan mengidentifikasi bukti apa yang terkandung
dalam sistem dan bagaimana hal itu dapat memajukan kasus. Jika manajemen senior
menolak akses ke sistem yang menurut penyelidik mungkin penting untuk penyelidikan,
buat catatan terperinci tentang alasannya, identitas orang yang menolak akses, dan
pertanyaan apa yang Anda rasa perlu pada sistem.5
Bukti digital dapat dihidupkan atau dimatikan ketika penyelidik tiba di tempat kejadian. Jika
perangkat mati, jangan hidupkan. Jika aktif, jangan matikan sampai Anda
Machine Translated by Google
penyelidik digital, yang akan melakukan triase perangkat, memberikan persetujuan. Satu-satunya
pengecualian untuk aturan ini adalah jika Anda memiliki alasan untuk meyakini bahwa perangkat
sedang dalam proses menghancurkan bukti, seperti kasus pelaku menggunakan logon jarak jauh
untuk menghapus drive dengan bukti yang memberatkan.2
Sementara penyidik digital akan menjadi otoritas dalam penyitaan barang bukti digital, bagian
ini akan memberikan pemahaman kepada penyidik tentang apa yang akan dipertimbangkan oleh
pemeriksa digital ketika membuat keputusan. Informasi ini akan berharga ketika melakukan tinjauan
pasca-pencarian, menyiapkan dokumen pengadilan, dan ketika tim pencari hanya memiliki jumlah
anggota yang terbatas.
Ketika Anda tiba di tempat kejadian, kemungkinan besar akan ada perangkat yang beroperasi.
Kadang-kadang akan sangat jelas perangkat mana yang menarik bagi penyelidikan Anda dan pada
kesempatan lain Anda tidak akan tahu. Minat utama Anda mungkin adalah data yang berjalan
melalui jaringan, dengan lokasi dan pengamanan perangkat (seperti komputer desktop, laptop, atau
perangkat lain yang terhubung ke jaringan) sebagai perangkat sekunder. Seperti dalam diskusi
tentang melestarikan data yang mudah menguap, pemeriksa forensik akan membuat pilihan tentang
urutan bukti yang disita dari jaringan langsung, seperti yang diidentifikasi di bagian “Akuisisi Bukti
Digital.”
Setelah memprioritaskan volatilitas bukti, penyelidik digital akan memperolehnya menggunakan
alat dan metodologi yang baik secara forensik. Mereka akan mencatat waktu pada perangkat dan
pengaturan tanggal-waktu, yang sangat penting ketika penyelidik memeriksa aktivitas log proses,
aplikasi keamanan, dan sebagainya.
Setelah bukti telah disita dari perangkat hidup, penyelidik akan memutuskan apakah mereka
perlu mengambil perangkat atau membiarkannya beroperasi. Ketika itu adalah perangkat bisnis-
kritis seperti server web, klien mungkin menginginkan gambar digital dari bukti yang diambil dan
penyelidikan akan terus menggunakan gambar logis yang diambil. Dokumentasikan alasan Anda
untuk salah satu keputusan tersebut jika Anda ditanya di pengadilan mengapa perangkat tersebut,
yang kemudian ditetapkan sebagai barang bukti utama, disita atau tidak.
Penyelidik digital akan membuat salinan utama dari gambar perangkat subjek dan kemudian
membuat salinan kerja yang diverifikasi. Sementara apa yang akan dikerjakan oleh pemeriksa
adalah salinan, semua salinan adalah bukti potensial dan perlu diperlakukan sesuai dengan itu.
Memiliki salinan gambar untuk bekerja mempertahankan yang asli dan berarti masalah yang
dihadapi hanya terjadi pada salinan gambar.
Dengan mengambil gambar forensik dari perangkat hidup, ada potensi kata sandi untuk
ditempatkan di memori. Ini adalah kesempatan yang tidak boleh dilewatkan, karena perangkat lunak
enkripsi yang diinstal pada perangkat tersangka dapat melarang akses untuk diperoleh.
Machine Translated by Google
tidak muncul di peta jaringan resmi. Ini mungkin perangkat seluler atau server yang dipasang oleh
penjahat dunia maya dengan tujuan mencegat semua lalu lintas jaringan.
Melembagakan hard shutdown untuk mencegah kerusakan OS dan dokumen. Shutdown keras juga
akan mencegah perubahan pada stempel waktu dan mencegah perubahan pada atribut file.5
Shutdown keras memutus daya dari perangkat, seperti melepas kabel daya.
Melembagakan shutdown yang anggun untuk membantu menemukan koneksi jaringan.5 Sebuah
shutdown yang anggun menggunakan perintah OS seperti Cntrl-Alt-Delete Shutdown. Shutdown
yang baik dapat kehilangan beberapa file sistem dan dapat mengaktifkan program yang merusak.5
Mempertimbangkan perolehan data yang mudah menguap dalam memori ketika penggunaan
enkripsi dicurigai. “Akuisisi Bukti Digital” dalam bab ini memberikan urutan akuisisi yang disarankan
berdasarkan urutan volatilitas data, seperti yang disediakan oleh AusCERT.4 Menggunakan
sumber waktu yang andal dan mendokumentasikan waktu setiap dilakukan
tindakan.
Berhati -hati dengan keberadaan bom logika atau alat perusak yang dipasang oleh penjahat dunia
maya. Bom logika adalah aplikasi kecil atau kode yang dirancang untuk dieksekusi pada peristiwa
yang ditentukan, seperti tanggal atau upaya triase.
Machine Translated by Google
Merebut perangkat USB. Saat USB digunakan pada perangkat, nomor seri disimpan.
Penyelidik dapat membantu penyelidik digital dengan memastikan bahwa semua
perangkat USB yang mungkin relevan dengan penyelidikan disita dan kemudian dirujuk
silang ke perangkat yang disita. Ini menghubungkan perangkat USB ke a
komputer.
Setiap VM yang beroperasi pada sistem saat steker ditarik akan dimatikan dan tidak
dapat diambil kembali dalam keadaan semula. Ini berarti semua bukti pada VM akan hilang.
Jalan investigasi yang mungkin berasal sekarang akan ditutup dan bukti pelanggaran harus
ditemukan dari sumber lain.
Penyelidik juga dapat menghadapi pertanyaan di pengadilan tentang mengapa VM ditutup,
karena pengacara pembela mungkin secara agresif berargumen bahwa bukti yang akan
membersihkan klien mereka tersimpan di memori atau di VM pada saat penyelidik
menghancurkan bukti. .
Jika perangkat subjek berada di tempat kejadian dan dimatikan, jangan nyalakan meskipun
diduga mengandung bukti potensial.
Amankan perangkat sebagai pameran dan izinkan penyelidik digital untuk melakukan
pemeriksaan mereka di laboratorium forensik menggunakan alat dan metodologi yang baik
secara forensik.
Server Jaringan
Pada beberapa kesempatan, perangkat penyimpanan mungkin terlalu besar untuk dicitrakan sepenuhnya.
Contohnya termasuk sistem RAID (Redundant Array of Independent Disks) dan layanan
cloud. Server RAID berarti kumpulan drive digabungkan untuk beroperasi sebagai satu,
memberikan tingkat penyimpanan data, layanan, dan keandalan yang lebih tinggi. Dalam hal
ini, penyelidik digital akan mendiskusikan hal ini dengan pelapor dan staf teknis mereka untuk
mendapatkan pemahaman tentang tempat-tempat yang paling mungkin untuk menemukan
bukti. Sebagai alternatif, sistem mungkin terlalu penting bagi bisnis untuk dijadikan offline
untuk diambil gambar forensik, atau perintah pengadilan mungkin hanya mengizinkan aktivitas
tertentu pada perangkat subjek.
Penyelidik digital akan memulai pengambilan data secara langsung untuk perangkat yang
dihidupkan. Catat semua tindakan, termasuk penggunaan kata sandi dan alasan pembatasan
data langsung. Biasanya bukan praktik terbaik untuk membangunkan perangkat dari mode tidur
Machine Translated by Google
mode dan dapatkan akses ke perangkat menggunakan kata sandi yang diperoleh kecuali ada
alasan yang sangat kuat, seperti menangkap bukti memori sebelum dimatikan untuk transportasi.
Penyelidik digital dapat menangkap data langsung apa pun yang mereka mampu secara teknis
dan hukum. Gambar memori dan lihat untuk melihat proses apa yang sedang berjalan, siapa
yang masuk, dan bagaimana keadaan jaringannya.
Jika memungkinkan, minta penyelidik digital membuat gambar yang tepat dari perangkat
yang menangkap bukti dalam RAM dan VM.
Setelah semua data langsung diambil, cabut perangkat dari daya.
Ini dapat dilakukan dengan melepas kabel daya, atau dalam hal laptop, melepas baterai jika
memungkinkan. Alasan untuk merusak sistem setelah memori ditangkap adalah bahwa beberapa
penjahat dunia maya memasang jebakan di perangkat mereka sehingga ketika dimatikan dengan
cara normal, itu memberlakukan keamanan di dalam perangkat, seperti menghapus data atau
menghapus ruang kendur drive.
Ketika manusia terlibat, selalu ada potensi untuk melakukan kesalahan. Tidak peduli
seberapa berpengalaman tim, seberapa baik sumber daya, dipimpin, atau dikendalikan,
terkadang ada yang salah karena kesalahan terjadi, atau keadaan menguasai manajemen
Anda.
Ketika berhadapan dengan tersangka khususnya, hal-hal bisa salah dengan sangat
cepat dengan sedikit atau tanpa peringatan. Tersangka yang kooperatif dapat memanfaatkan
gangguan untuk menghancurkan barang bukti, melarikan diri, atau menyerang tim investigasi.
Bagian berikut merinci contoh kesalahan, yang perlu ditangani dan dikurangi saat peristiwa
terjadi.
Keadaan mencakup berbagai pelanggaran yang telah terjadi di TKP (tidak hanya di
TKP keuangan/kejahatan dunia maya) dan akan memberi Anda contoh volatilitas yang dapat
terjadi.
Penyerangan Penyidik
Ketika berhadapan dengan tersangka, meskipun ada pertanyaan, Anda akan beroperasi
dengan informasi terbatas tentang kepribadian dan perilaku mereka di bawah tekanan.
Bahkan individu yang paling sopan pun dapat berperilaku agresif ketika diketahui bahwa
perilaku kriminal mereka telah ditemukan
dan mereka menghadapi tuntutan dan perampasan perdata atas aset pribadi dan keluarga
mereka.
Penyidik penegak hukum terlatih dan memiliki sumber daya yang baik untuk menangani
keadaan ini, sedangkan penyelidik sipil mungkin tidak terlatih kecuali mereka berasal dari
latar belakang penegak hukum. Saat mengunjungi alamat rumah tersangka atau bahkan
tempat bisnis mereka, ingatlah bahwa orang yang putus asa membuat keputusan yang buruk
ketika sedang stres.
Penting untuk dipahami bahwa tidak ada investigasi yang sempurna setiap kali dan
kesalahan jujur terjadi. Ketika itu terjadi, penting untuk memperbaikinya jika memungkinkan.
Menutupi mereka dan menyangkal mereka ketika ditanyai di pengadilan adalah tindakan
yang jauh lebih buruk daripada kesalahan awal. Menutupi lebih buruk dari kesalahan awal.
Ketika Anda mengamankan beberapa ratus item di tempat komersial, mudah untuk
melewatkan satu item dan hanya menyadari bahwa itu telah tertinggal saat melakukan
audit di kantor. Kami telah membahas proses akuntansi fisik untuk setiap pameran pada
formulir tanda terima pameran untuk mencegah hal ini terjadi. Meskipun demikian, kadang-
kadang ada yang tidak beres dan sebuah pameran akan jatuh ke lantai dan terlewatkan
ketika tim investigasi meninggalkan tempat kejadian setelah hadir selama 12 jam terakhir.
Jika hal ini terjadi di kantor pelapor mungkin bukan masalah besar dan dapat dengan
mudah diperbaiki dan dicatat di buku catatan Anda; namun, ketika itu terjadi di alamat
tersangka yang aksesnya Anda peroleh melalui perintah pengadilan, ada kemungkinan
besar bahwa barang bukti itu tidak akan ada lagi saat Anda kembali.
Ukuran pameran berkisar dari perangkat fisik besar hingga potongan kertas kecil.
Ada juga perangkat penyimpanan data, seperti kartu SIM, yang dapat dengan mudah
salah tempat di mana ada ratusan item yang harus dikeluarkan dari tempat tersebut.
Petugas pameran bertanggung jawab atas ini dan membutuhkan rencana untuk memastikan
bahwa semua barang diperhitungkan saat meninggalkan tempat. Salah satu cara untuk
melakukannya adalah agar petugas pameran secara pribadi menempatkan setiap pameran
dalam urutan numerik ke dalam wadah penyimpanan besar dan menandai setiap pameran
pada salinan jadwal pameran mereka. Ini mungkin proses yang sangat lambat yang terjadi
setelah tim investigasi berada di tempat selama 12 jam dan semua orang sangat lelah,
tetapi ini juga merupakan investasi dalam infrastruktur investigasi dan petugas pameran
harus diizinkan untuk melakukannya. pekerjaan mereka secara profesional dan menyeluruh.
bukan pertimbangan. Ini pada gilirannya akan mempengaruhi metodologi Anda; namun,
seperti yang dibahas di awal buku ini, tujuan Anda dalam penyelidikan apa pun akan
selalu disiapkan untuk penyelidikan Anda dan bukti yang akan disajikan di pengadilan,
bahkan jika persyaratan awal Anda menyatakan bahwa ini bukan persyaratan. .
Rantai bukti menjaga integritas bukti Anda. Kehilangan jejak siapa yang memiliki bukti
dengan aman setiap saat dan tidak dapat mempertanggungjawabkan keasliannya membuat
bukti terbuka untuk ditentang dan berpotensi dikeluarkan dari kasus Anda.
Kekurangan sumber daya di sebuah adegan mungkin karena memiliki terlalu sedikit cadangan
drive untuk menangkap data atau peralatan yang ketinggalan zaman untuk tugas-tugas yang diperlukan.
Jika tersangka diidentifikasi di tempat kejadian, berhati-hatilah dengan apa yang Anda katakan. Mereka
mungkin memiliki teman setia di dekatnya yang mungkin mendengar komentar menghina yang dibuat
tentang tersangka, dan Anda tidak dapat berasumsi bahwa kesetiaan mereka akan ditujukan kepada
perusahaan/tim investigasi.
Dalam masyarakat saat ini, anggaplah seseorang merekam semua yang Anda lakukan dan katakan
di TKP. Telepon yang tertinggal di meja di sebelah tempat Anda berbicara dengan staf Anda mungkin
sengaja ditinggalkan di sana dengan fitur perekaman aktif untuk merekam percakapan Anda.
Tersangka yang memiliki pengetahuan teknis mungkin memiliki kapasitas untuk menyalakan perangkat
yang Anda ambil dari jarak jauh dan mengaktifkan mikrofon dari jarak jauh. Ini akan merekam percakapan
Anda, termasuk percakapan yang terjadi di kantor saat Anda melakukan wawancara dengan tim Anda.
Percakapan kemudian dapat disinkronkan ke akun cloud, dari mana tersangka atau rekan mereka dapat
mendengarkan Anda dan diskusi Anda. Seperti yang telah dibahas sebelumnya, menempatkan perangkat
seluler dalam mode penerbangan dan kemudian ke dalam tas Faraday atau wadah serupa akan membantu
keamanan tim Anda.
Studi kasus kejahatan dunia maya berikut memberikan contoh polisi yang hadir di kantor perusahaan
untuk mendapatkan bukti teknis dari dalam jaringan perusahaan setelah email ancaman diteruskan ke
orang lain dengan alamat IP perusahaan di header email.
Seorang pekerja seks perempuan memiliki klien yang mengembangkan fiksasi padanya dan percaya bahwa
mereka sedang mengembangkan hubungan pribadi, yang jelas-jelas salah karena pekerja itu telah
membuatnya sangat jelas bahwa hubungan itu hanya hubungan bisnis. Klien mulai meneliti pekerja tersebut
dan mengidentifikasi identitas dan tempat tinggalnya yang sebenarnya.
Machine Translated by Google
Dia mulai mengancamnya secara online dan secara pribadi bahwa kecuali dia bertemu
dengannya dan membiarkan hubungan pribadi mereka berkembang, dia akan menghubungi keluarga
dan teman-temannya dan memberi tahu mereka semua apa pekerjaannya. Hal ini menyebabkan dia
sangat tertekan dan dia mengkhawatirkan keselamatannya.
Email dikirim dari layanan email web, dan dalam membuka dan membaca header
alamat IP dari Penyedia Layanan Internet (ISP) pengirim yang terhubung ke layanan email
web diidentifikasi.
Pertanyaan tentang alamat IP dengan ISP, diidentifikasi pada waktu yang relevan,
mengungkapkan bahwa alamat IP diberikan ke perusahaan lokal.
Karena korporasinya sangat besar, alamat IP dalam jaringan dihasilkan oleh DHCP.
Semua perangkat di jaringan terhubung melalui jaringan internal dan memiliki alamat
subnet tertentu (192.168.***.***).
Pertanyaan dengan administrator sistem mengidentifikasi komputer tertentu dari mana
email dikirim dan identitas tersangka dikonfirmasi dengan pelapor. Log otentikasi
memberikan bukti yang menguatkan bahwa tidak ada orang lain yang menggunakan
perangkat pada saat email dikirim. Log mengkonfirmasi bahwa aktivitas lain pada
perangkat pada saat email dikirim konsisten dengan tugasnya.
Ketika diajak bicara, tersangka mengaku mengirim email dan menyatakan bahwa dia
percaya bahwa kasih sayang yang dia tunjukkan padanya adalah asli. Dia menyatakan
bahwa alasan dia mengirim email ancaman adalah untuk memaksanya menjalin hubungan
dengannya.
Sebelum penangkapannya, karena khawatir akan keselamatannya, pelapor menarik
pengaduannya dan pindah ke luar negeri. Tersangka dipecat oleh majikannya karena
menyalahgunakan layanan komputer yang disediakan untuk pekerjaannya.
Studi kasus ini menunjukkan nilai kerjasama dari perusahaan di mana kejahatan
dunia maya dilakukan. Ini juga menunjukkan perlunya memahami arsitektur jaringan dan
penetapan alamat IP, serta peran log, yang secara unik mengidentifikasi tersangka
sebagai orang yang mengirim email ancaman.
Informasi diperoleh bahwa seorang anggota komunitas menerima sejumlah besar uang di
rekening banknya dari Amerika Serikat dan Kanada
Machine Translated by Google
Laporan keuangan di tempat kejadian, yang sesuai dengan laporan bank yang
diperoleh dari lembaga keuangannya, menunjukkan sejumlah besar uang disetorkan ke
rekening banknya. Sekitar $ 14.000 ditempatkan di brankas yang terkunci dan disita, dan
akhirnya diperintahkan oleh pengadilan untuk dibayarkan secara proporsional kepada para
korban. Penerimaan pengiriman uang dari berbagai agen pengiriman uang memberikan
bukti lebih lanjut tentang hubungan antara dana yang diterima dan dana yang diteruskan
ke Nigeria.
Pencarian tempat kejadian diperumit oleh kekacauan rumah, di mana bukti berharga
terletak di bawah tumpukan sampah, dan dalam satu contoh di sebelah tikus mati. Ada
juga kurangnya kerjasama dari tersangka, termasuk permusuhan dengan pencarian. Juga,
ketika polisi berada di tempat kejadian, seorang tersangka di Nigeria mengetahui surat
perintah penggeledahan dan menelepon, mencoba untuk menyatakan bahwa dia tidak
bersalah.
Surat perintah penggeledahan kemudian dieksekusi pada akun email web tersangka
di Amerika Serikat melalui MLAT dan dalam kemitraan dengan penegak hukum AS.
Pemeriksaan rekening mengidentifikasi banyak contoh pelanggaran lainnya, dan bukti
tersangka berkomunikasi dengan penjahat cyber yang lebih berpengalaman tentang cara
mendapatkan lebih banyak uang dari korban.
Ketika tersangka ditangkap dan ditahan, rekan-rekannya menghubungi salah satu
korban di Amerika Serikat dan mulai membuat tuduhan serius tentang perilakunya dan
mengancam keselamatannya, yang dirujuk
Machine Translated by Google
CATATAN
1. Eoghan Casey, Bukti Digital dan Kejahatan Dunia Maya, edisi ke-3. (Pers Akademik,
2011).
2. Organisasi Internasional untuk Standardisasi (ISO) dan Komisi Elektroteknik
Internasional (IEC), Teknologi Informasi—Teknik Keamanan—Pedoman Identifikasi,
Pengumpulan, Akuisisi, dan Pelestarian Bukti Digital, ISO/IEC 27037:2012.
3. Komite Konvensi Kejahatan Dunia Maya, Akses Data Lintas Batas (Pasal 32),
Catatan Panduan T-CY #3, Desember 2014, Dewan Eropa.
4. Thomas King dan Phil Cole, “Penanganan Insiden Cyber” (ceramah, Konferensi
Keamanan Siber AusCERT, Gold Coast, Australia, 23 Mei 2017).
5. Biro Investigasi Federal, Panduan Lapangan Bukti Digital 2007, Departemen
Kehakiman AS.
Machine Translated by Google
11BAB SEBELAS
L OGS REKAM
bagian dari sebuahacara di komputer
jaringan. Aktivitas yang merekadan
rekambanyak perangkat
mungkin menjadi yang
bukti yang berharga
kepada para penyelidik ketika mereka mencoba untuk memahami apa
yang telah terjadi, sejauh mana kegiatan itu, dan identitas orang yang mungkin terlibat.
Sumber log komputer termasuk sistem operasi, program aplikasi, dan banyak
perangkat yang membentuk jaringan komputer.1 Contoh sumber log termasuk
firewall, perangkat lunak Anti Virus (AV), peralatan kerja jaringan (seperti
sakelar dan router), proxy server, server File Transfer Protocol (FTP), perangkat
lunak Intrusion Detection System (IDS) dan Intrusion Prevention System (IPS),
server web, perangkat komputer, log Domain Name Service (DNS) dan Dynamic
Host Control Protocol (DHCP), dan mengakses log otentikasi.1,2,5 Masing-masing
log ini merekam aktivitas di jaringan, dan bila digabungkan dengan log lain dapat
memberikan pemahaman kepada penyidik tentang apa yang terjadi pada saat
peristiwa keamanan dan siapa yang mungkin terlibat.
Penyelidik digital Anda akan berusaha menangkap log saat melakukan citra
forensik. Atau, administrator sistem dapat menyediakan log ini dan memiliki akses
ke catatan historis aktivitas log sebelum acara. Mereka adalah bukti sebanyak
perangkat lain atau selembar kertas yang dikumpulkan selama penyelidikan.
Administrator sistem mungkin menggunakan perangkat lunak Security Information
and Event Management (SIEM), yang mengumpulkan log dari berbagai sumber
dan menyajikan gambaran aktivitas jaringan.2
159
Buku Pegangan Penyidik Kejahatan Dunia Maya, Edisi pertama. Graeme Edwards,
PhD. © 2020 John Wiley & Sons, Inc. Diterbitkan 2020 oleh John Wiley & Sons, Inc.
Machine Translated by Google
Ini adalah alat yang sangat berharga bagi penyelidik, karena masalah seperti zona
waktu dan pemformatan log telah ditangani, yang berarti akan lebih mudah untuk
membaca bukti.
Yang menarik bagi penyelidik adalah bahwa log dapat direkam pada server
terpisah dari perangkat yang menjadi sasaran serangan yang dicurigai.2 Ini akan
bermanfaat, karena meskipun perangkat mungkin telah disusupi atau bahkan dicuri
secara fisik, server yang berisi log aktivitas pada perangkat mungkin masih dapat
diakses, merekam bukti serangan dan tidak dirusak oleh kejadian tersebut. Setelah
log dibuat, log harus disimpan dan diamankan dengan aman untuk menjaga keaslian
dan integritasnya, sama seperti bukti lainnya.
File log umumnya tidak datang dalam satu format standar.5 File log bervariasi
di antara sistem operasi, aplikasi, dan file sistem. Vendor aplikasi yang berbeda
mungkin menggunakan format yang berbeda. Terkadang mereka berada dalam
format yang dapat dibaca oleh manusia dan terkadang tidak. Ketika log dibuat,
biasanya diberi cap waktu.5 Para peneliti perlu memahami format dan zona waktu,
karena ini bukan fitur standar desain format log. Di sinilah sistem SIEM yang telah
dikonfigurasikan sangat membantu penyidik.
TANTANGAN LOG
Beberapa tantangan yang mungkin dihadapi penyelidik dengan file log meliputi:
Mengakses log di tempat pertama, terutama dari server cloud. Akses mungkin
dibatasi oleh layanan yang menyediakan infrastruktur dan arsitektur sistem.3
Akan ada banyak sumber log yang berbeda tergantung pada sistem operasi dan
aplikasi yang digunakan. Investigator perlu mendiskusikan dengan staf
dukungan teknis tentang metodologi serangan dan log apa yang diperlukan
untuk membantu penyelidikan. Jika ragu, dapatkan lognya; jika nanti Anda
berubah pikiran, mereka mungkin tidak lagi tersedia. Produsen dapat
menggunakan format yang berbeda.2,5 Data yang disertakan dalam file log
mungkin berbeda di seluruh aplikasi.3,5 Stempel waktu mencerminkan zona waktu
yang berbeda.2,5 Saat Anda memulai penilaian log dan membandingkan sistem
dengan aplikasi , Anda ingin semua log Anda direkam dalam format zona waktu
yang sama.
Waktu pada sistem yang menghasilkan file log mungkin tidak disinkronkan, artinya
akan ada variasi waktu yang direkam pada waktu yang berbeda.
Machine Translated by Google
devices.2 Di mana ada banyak log yang terlibat, jika sinkronisasi waktu dimatikan sepersekian
detik, hal itu dapat memengaruhi penyelidikan dan kemampuan Anda untuk menentukan apa
yang terjadi.
Kayu bulat hanya dapat disimpan untuk waktu yang singkat karena biaya penyimpanan jangka
panjang.3 Bisnis yang menghasilkan catatan kayu dalam jumlah besar dapat menyimpannya
hanya untuk waktu yang singkat, karena penyimpanan merupakan biaya tambahan. Karena
biaya yang terlibat dalam penyimpanan, tidak semua log yang dihasilkan dapat direkam.3 Selain
itu, administrator sistem mungkin merasa bahwa tidak perlu merekam atau menyimpan bentuk
log tertentu.
Log mungkin sangat rumit untuk dibaca dan tidak dapat dibaca tanpa spesialis
aplikasi.5
Log yang dihasilkan pada layanan cloud dapat disimpan di beberapa server, mungkin tidak selalu
berada di lokasi yang sama, dan mungkin tidak dapat diakses tanpa persetujuan dan bantuan
dari penyedia cloud.
Pemantauan log saat dibuat dapat mengungkapkan informasi penting tentang pelanggaran
yang sedang diselidiki dan mengarah pada orang di balik serangan tersebut.
Meskipun penyerang dapat menghancurkan file log, jika log tertentu tidak dapat ditemukan, ini
mungkin merupakan bukti kuat dari upaya untuk menutupi aktivitas seseorang dan harus dicatat
dan diselidiki. Ini juga dapat menunjukkan tingkat keterampilan dan pengetahuan penyerang
jaringan.
Karena log dapat menghabiskan banyak penyimpanan selama periode waktu tertentu, sistem
umumnya menimpa log secara berulang, yang berarti tindakan cepat akan diperlukan oleh
penyelidik untuk mengamankan sumber bukti yang berharga ini sebelum dimusnahkan.
Misalnya, server cloud dapat menimpa log setiap bulan tergantung pada aktivitas klien sementara
perusahaan yang memiliki sistem Teknologi Informasi (TI) internal dapat menyimpan log selama
enam bulan. Biaya menyimpan banyak log di banyak sistem tidaklah kecil dan data log yang Anda
perlukan sebagai bukti mungkin tidak disimpan atau mungkin telah dibuang sebagai ukuran
anggaran yang diambil beberapa bulan sebelum serangan.
Bagi penyelidik, memahami file log adalah keterampilan yang membutuhkan waktu untuk dipelajari.
Ada banyak bentuk log, dan mereka membingungkan dan berasal dari berbagai sumber. Namun,
terlepas dari ini, mereka memberikan komentar yang sangat baik tentang apa yang terjadi,
bagaimana hal itu terjadi, dan apa yang dilakukan penyerang, dan mereka juga dapat memberikan
arahan tentang siapa penyerangnya.
Machine Translated by Google
Untuk membantu penyelidik digital, pemeriksa digital di tim Anda akan terampil dalam
memahami dan menafsirkan log, dan administrator sistem perusahaan yang lognya Anda
selidiki juga akan dapat memberikan bantuan. Berkomunikasi dengan orang-orang ini akan
membantu penyelidik, karena mereka akan dapat menerjemahkan data log menjadi data
yang berarti bagi penyelidik untuk memajukan penyelidikan mereka. Seiring berkembangnya
teknologi, ada banyak alat yang tersedia yang mampu menyusun data log dari berbagai
sumber dan memberikan tampilan grafis peristiwa, yang membuat pemahaman data menjadi
lebih mudah secara signifikan.
Saat memeriksa log, cari bukti insiden serta peristiwa pengintaian selama beberapa
hari atau minggu sebelumnya. Log bahkan mungkin menunjukkan apa yang disebut dry run
atau studi pemeriksaan target sebelum serangan utama dilakukan. Peretas berpengalaman
akan melakukan pengintaian ekstensif pada target mereka sebelum melakukan kejahatan
mereka.
Di dunia yang sempurna, informasi berikut akan dimasukkan dalam struktur:
file log yang disita:
Stempel waktu dari setiap aktivitas, untuk direkam dalam format standar yang dapat dibaca
manusia di semua aplikasi, Sistem Operasi (OS), database, dan sejenisnya.3 Satu
zona waktu yang disinkronkan.2 Detail pengguna yang terkait dengan masing-masing
aktivitas, seperti detail pengguna untuk log-on
Seperti disebutkan, ada banyak bentuk log yang dibuat dari banyak sumber.
Sisa dari bab ini akan memberikan pemahaman umum tentang sumber dan arti dari berbagai
log yang mungkin ditemui oleh penyidik.
JENIS LOG
Log berasal dari banyak sumber, termasuk sistem operasi perangkat dan aplikasi, dan di
seluruh jaringan. Tidak mungkin mencakup semua sumber log, jadi bab ini akan fokus pada
sumber yang berasal dari sistem operasi Windows untuk memberikan pemahaman tentang
bukti apa yang tersedia dari log dan di mana
Machine Translated by Google
Saat Anda memeriksa Peraga Peristiwa, Anda akan melihat bahwa ada format
standar yang berisi struktur yang ditetapkan di berbagai sumber log. Contohnya
termasuk tanggal dan waktu acara, siapa pengguna, komputer tempat acara dibuat,
dan ID Windows tertentu yang memberikan detail tentang apa yang menyebabkan log
dibuat. Misalnya, file yang dihapus akan menghasilkan pengidentifikasi peristiwa
Windows 4660, yang dapat ditemukan di Peraga Peristiwa.
Contoh log Windows meliputi:
Log sistem. Rekam peristiwa yang dicatat oleh komponen sistem Windows.4 Contoh
komponen sistem termasuk aplikasi dan utilitas, sistem file, dan komponen startup.
Log keamanan. Menangkap informasi dari program keamanan yang berbeda yang
merekam data, seperti akses file dan direktori, upaya log-on, modifikasi dan
penghapusan file, dan penggunaan sumber daya.4
Log pengaturan. Rekam aktivitas selama penginstalan aplikasi.4 Peristiwa
yang diteruskan. Dihasilkan oleh komputer di jaringan yang sama ketika komputer telah
dikonfigurasi untuk meneruskan log peristiwa mereka ke perangkat ini.4
Sebuah bisnis memiliki sejumlah besar Kekayaan Intelektual (IP) yang dicuri oleh pihak
yang tidak dikenal. Ada bukti terbatas untuk mengidentifikasi apakah ini serangan internal
atau eksternal. IP memiliki nilai yang sangat tinggi dan inovatif dalam industri; pengembang
menyatakan itu adalah ancaman besar bagi pesaing.
Pertanyaan awal difokuskan pada file log untuk mempersempit waktu konfirmasi
bahwa IP telah dihapus dari server. Ini terhambat karena server memiliki banyak orang
yang mengerjakannya yang menggunakan nama pengguna dan kata sandi bersama
dengan akses administrator. Detail akses juga diketahui oleh pihak lain
Machine Translated by Google
Catatan 165 _
di kantor melalui perlindungan kata sandi yang lemah. File log disimpan di server dan tidak ada
cadangan yang disimpan.
Pemeriksaan lebih lanjut dari server mengidentifikasi bahwa file log dari tanggal tertentu
satu bulan sebelumnya telah dihapus. Karena server telah beroperasi selama beberapa tahun,
diharapkan setidaknya tiga bulan log aktif akan ditemukan sebelum ditimpa; namun, diidentifikasi
pada saat dugaan pencurian IP bahwa log sistem telah dihapus bersama dengan bukti waktu
dan tanggal pencurian data.
Ini memberikan bukti bahwa penyerang tahu apa yang mereka cari
ketika mengakses sistem dan memiliki keterampilan untuk menutupi jejak mereka.
Kelemahan dalam bisnis ini adalah meskipun mereka ahli dalam apa yang mereka lakukan,
memberikan layanan berkualitas sangat tinggi kepada klien mereka, dan menjaga staf mereka,
mereka tidak menempatkan fokus tingkat tinggi pada keamanan cyber. Mereka juga tidak memiliki
rencana Tanggap Insiden dan tanggapan mereka terhadap penyusupan dan penyimpanan bukti
sebagian besar dilakukan oleh penyelidik polisi dengan bantuan ahli teknis perusahaan.
Ketika sistem komputer berkembang jauh dari perangkat penyimpanan yang dapat diakses
secara fisik oleh pengguna, penyelidik menghadapi kenyataan komputasi awan di mana bukti
Anda dapat disimpan di server komputer di banyak lokasi fisik dan geografis. Bab 12
memperkenalkan komputasi awan dan menyoroti banyak alasan yang dibutuhkan peneliti untuk
memahami teknologi dan lingkungan yang berkembang ini.
CATATAN
1. Mark Krotoski dan Jason Passwaters, “Memperoleh dan Mengakui Bukti Elektronik,” Buletin
Jaksa Amerika Serikat 59, no. 6 (2011): 1–15.
2. Paul Cichonski, Thomas Millar, Tim Grance, dan Karen Scarfone, Panduan Penanganan
Insiden Keamanan Komputer, Publikasi Khusus 800-61 Revisi 2, Agustus 2012, Institut
Nasional Standar dan Teknologi, Departemen Perdagangan Amerika Serikat.
3. Raffael Marty, “Cloud Application Logging for Forensics” (Presentasi PowerPoint, Symposium
on Applied Computing, Taichung, Taiwan, 21-24 Maret 2011).
4. Kate Li, “Log Peristiwa—Daftar File evtx—Arti Konten,” TechNet (blog Dukungan Microsoft), 9
Januari 2019, https://bit.ly/2Spb0qC.
5. Karen Kent dan Murugiah Souppaya, Panduan untuk Manajemen Log Keamanan Komputer
Publikasi Khusus 800-92, September 2006, Institut Standar dan Teknologi Nasional,
Departemen Perdagangan Amerika Serikat.
Machine Translated by Google
SEMENTARA gayaANDA
penulisan, denganbab
membaca lebih
ini,banyak contoh
Anda akan referensi
melihat akademis.
sedikit Ini adalah
perubahan dalam
karena sebagian dari pengetahuan dalam bab ini berasal dari tesis doktoral
saya “Menyelidiki Kejahatan Dunia Maya di Lingkungan Cloud Computing” serta
pengetahuan praktis yang dipelajari tentang menyelidiki kejahatan dunia maya di
lingkungan ini. Sedangkan sebagian besar pengetahuan yang tercakup dalam bab-
bab lain dalam buku ini berasal dari bertahun-tahun melakukan investigasi keuangan
dan kejahatan dunia maya, karena beberapa pengetahuan berasal dari sumber
akademis, layak untuk referensi dari mana pengetahuan itu berasal dan mengakui
pekerjaan orang lain di bidang ini. .
Komputasi awan adalah nama yang digunakan untuk metode penyimpanan data
pengguna pribadi dan perusahaan yang semakin umum. Di mana dulu semua
penyimpanan data berada di perangkat yang dapat diakses secara fisik, seperti
komputer, hard drive eksternal, perangkat USB, DVD, dan sejenisnya, sekarang
perangkat penyimpanan dimiliki, dioperasikan, dan diamankan oleh perusahaan
eksternal yang dapat mengelola semua aspek operasi atas nama klien mereka, biasanya dari yurisdik
167
Buku Pegangan Penyidik Kejahatan Dunia Maya, Edisi pertama. Graeme Edwards,
PhD. © 2020 John Wiley & Sons, Inc. Diterbitkan 2020 oleh John Wiley & Sons, Inc.
Machine Translated by Google
Ada banyak keuntungan bagi entitas yang menggunakan layanan cloud ketika
dibandingkan dengan membeli, memelihara, dan mengoperasikan arsitektur sistem mereka
sendiri. Ini mungkin termasuk biaya, penghematan waktu, akses ke keamanan yang sangat khusus
staf, dan tidak harus memelihara banyak sistem operasi dan aplikasi
sebuah perusahaan dapat beroperasi. Semua masalah tradisional yang melibatkan pemeliharaan,
keamanan, memperbarui perangkat lunak, dan lainnya dapat dialihdayakan ke layanan cloud
(tergantung pada produk cloud yang digunakan), artinya klien dapat memfokuskan
sumber daya pada bisnis mereka, bukan masalah teknologi.
Bagi penyelidik kejahatan dunia maya, komputasi awan memiliki relevansi yang besar
karena industri dan pemerintah sedang mengembangkan kebijakan cloud-first yang menentukan hal itu
ketika infrastruktur teknis perlu diganti, argumen yang sangat kuat dan meyakinkan perlu diberikan
mengapa infrastruktur fisik dan arsitektur jaringan perlu dibeli, ditempatkan, dan dipelihara oleh
entitas
dan bukan Penyedia Layanan Cloud (CSP). Akibatnya, sebagai penyelidik kejahatan dunia maya,
Anda perlu mengenal baik lingkungan komputasi awan, sama seperti generasi penyelidik
sebelumnya perlu memahaminya.
iterasi teknologi sebelumnya.
Ada banyak bentuk layanan cloud, dan selain memberikan penjelasan singkat
pendahuluan, bab ini tidak dimaksudkan untuk mencakup semua kemungkinan awan
pilihan arsitektur yang mungkin ditemui penyidik. Kami akan mengambil tampilan
penyedia cloud internasional tempat data klien disimpan di komputer
server tersebar di banyak yurisdiksi lokal dan internasional (multiyurisdik nasional) dan bercampur
dengan data dari klien lain dari CSP (multitenancy).
Ini dikenal sebagai cloud publik dan versi yang paling sering Anda temui
investigasi.
Komputasi awan memberikan banyak tantangan yang tidak dihadapi oleh penyelidik
dengan bukti digital tradisional dan ini akan dibahas nanti di
bab dalam “Penghalang Cloud untuk Investigasi yang Berhasil”. Tahap awal dari
bab ini akan memberikan pemahaman umum tentang apa itu komputasi awan
layanan, tetapi itu sepadan dengan usaha untuk mendapatkan definisi spesifik tentang apa
layanan cloud tertentu dan apa fitur utama dari cloud. Dengan ini
informasi, penyelidik kejahatan dunia maya akan dapat menghubungkan investigasi mereka
strategi untuk teknologi yang berkembang ini.
Pada tahun 2014, Organisasi Internasional untuk Standardisasi (ISO) menghasilkan standar
ISO/IEC 17788:2014, yang mengidentifikasi enam karakteristik utama komputasi awan. Mereka:
1. Akses jaringan yang luas. Sebuah fitur di mana sumber daya fisik dan virtual
tersedia melalui jaringan dan diakses melalui mekanisme standar
yang mempromosikan penggunaan oleh platform klien yang heterogen.1
Machine Translated by Google
Ini berarti bahwa layanan cloud dapat diakses dari jarak jauh dari lokasi mana pun
menggunakan perangkat apa pun yang kompatibel. Layanan cloud Anda dapat diakses
dengan mudah dari kantor Anda di Singapura dan saat Anda bepergian di New York, Hong
Kong, Thailand, Melbourne, atau Johannesburg.
2. Layanan terukur. Sebuah fitur di mana pengiriman terukur layanan cloud sedemikian rupa
sehingga penggunaan dapat dipantau, dikendalikan, dilaporkan, dan ditagih.1
Ini berarti klien menggunakan dan hanya dikenakan biaya untuk sumber daya dan
layanan yang mereka gunakan dan tidak ditagih untuk penyimpanan berlebih dan kapasitas
pemrosesan yang jarang mereka perlukan.
3. Multitenancy. Sebuah fitur di mana sumber daya fisik atau virtual dialokasikan sedemikian
rupa sehingga beberapa penyewa dan perhitungan data mereka terisolasi dari dan tidak
dapat diakses satu sama lain.1
Ini berarti penyedia cloud berbagi infrastruktur dan arsitektur jaringannya dengan
banyak klien. Saat disimpan, data klien bercampur untuk memberikan efisiensi maksimum
dalam penyimpanan data.
4. Layanan mandiri sesuai permintaan. Sebuah fitur di mana pelanggan layanan cloud dapat
memperoleh kemampuan komputasi, sesuai kebutuhan, secara otomatis atau dengan
interaksi minimal dengan penyedia layanan cloud.1 Ini berarti layanan dapat diperluas atau
dikontrak sesuai kebutuhan oleh
klien tanpa perlu berinteraksi secara formal dengan staf CSP.
5. Kecepatan, elastisitas, dan skalabilitas. Sebuah fitur di mana sumber daya fisik atau
virtual dapat disesuaikan dengan cepat dan elastis, dalam beberapa kasus secara
otomatis, untuk menambah atau mengurangi sumber daya dengan cepat.1 Ini adalah
layanan di mana penyimpanan ekstra atau kapasitas pemrosesan dapat diperoleh
selama periode penggunaan saja. Penyimpanan/kapasitas kembali ke konfigurasi
sebelumnya setelah layanan tambahan tidak lagi diperlukan. Misalnya, sebuah bisnis
mungkin memerlukan kapasitas pemrosesan tambahan pada akhir tahun keuangan dan
dapat menggabungkan kapasitas ini selama beberapa minggu hingga akun diselesaikan.
Setelah penyimpanan/kapasitas ekstra tidak lagi diperlukan, layanan akan berkontraksi ke
level aslinya.
6. Pengumpulan sumber daya. Sebuah fitur di mana sumber daya fisik atau virtual penyedia
layanan awan dapat dikumpulkan untuk melayani satu atau lebih pelanggan layanan awan.1
Ini berarti Anda berbagi arsitektur dan sumber daya CSP dengan
Untuk penyelidik kejahatan digital yang mencari bukti dari layanan cloud, akan membantu
untuk memahami bahwa mereka berurusan dengan lingkungan yang sangat berbeda dari
lingkungan di mana mereka menemukan komputer di meja tersangka di kantor dan meminta
penyelidik digital untuk menemukan bukti. Faktanya, tidak ada
Machine Translated by Google
kesamaan antara keduanya, karena dengan server cloud, penyelidik tidak akan pernah
bisa melihat secara fisik adegan kejahatan dunia maya cloud atau server tempat bukti
berada. Pikirkan tentang ini dari perspektif suatu hari harus menjawab pertanyaan di
pengadilan tentang dari mana bukti Anda berasal, bagaimana diperoleh, yurisdiksi
internasional, rantai penahanan, dan sejenisnya.
Komputasi awan adalah lingkungan hukum yang dinamis dengan sedikit preseden
hukum yang diketahui untuk memandu penyelidik tentang apa yang akan diminta oleh
pengadilan. Sampai preseden hukum ditetapkan, penyidik harus siap untuk memandu
pengadilan tentang mengapa bentuk bukti ini dapat diandalkan. Diskusi dengan CSP
harus didorong dalam hal ini, karena mereka akan memiliki sumber daya untuk
membantu pengadilan dalam memvalidasi kredibilitas bukti mereka.
Sebagai pengantar bentuk layanan cloud, ada banyak produk yang ditawarkan
CSP kepada klien mereka. Tergantung pada kebutuhan mereka, klien umumnya
bermigrasi ke tiga penawaran utama: Software as a Service (SaaS), Platform as a
Service (PaaS), dan Infrastructure as a service (IaaS). Relevansi memahami produk
CSP ini adalah bahwa mereka menawarkan tingkat bukti yang berbeda kepada
penyelidik, karena masing-masing memberikan tingkat kontrol yang berbeda kepada klien.
Perangkat Lunak sebagai Layanan. Dengan produk SaaS, klien tidak memiliki
kepemilikan atau kontrol langsung atas aplikasi yang membentuk layanan atau
struktur infrastruktur.2 Kemampuan mereka untuk mengonfigurasi layanan terbatas
pada opsi dalam aplikasi (misalnya, Microsoft Office) dan klien memiliki sedikit
untuk tidak ada akses ke log. Ini berada di bawah kendali CSP dan penyedia
aplikasi. Akses ke aplikasi yang membentuk produk SaaS adalah melalui browser
web atau aplikasi, yang mungkin berisi bukti tersendiri.
Memperoleh bukti untuk memajukan penyelidikan akan membutuhkan kerja
sama CSP dan penyedia layanan pihak ketiga. Perjanjian Lisensi Pengguna Akhir
(End User License Agreement/EULA) dapat memberikan beberapa bantuan dalam
memperoleh bukti, tetapi ini tidak dapat diandalkan. Data yang dilihat klien dapat
diberikan melalui Mesin Virtual (VM) yang menyediakan rangkaian lognya sendiri
yang dapat digunakan untuk melanjutkan penyelidikan. Platform sebagai Layanan.
PaaS adalah produk yang mirip dengan SaaS; namun, add-on disediakan untuk
memungkinkan klien membuat aplikasi yang disesuaikan untuk memenuhi
kebutuhan mereka. Seperti SaaS dan IaaS, infrastruktur yang mendasari dimiliki
dan dikendalikan oleh CSP. Seperti model SaaS, bantuan signifikan akan
diperlukan dari CSP dalam penyitaan bukti.3 Dengan PaaS, pelanggan memiliki
kemampuan untuk mengarahkan bagaimana aplikasi berinteraksi dengan
infrastruktur. Mekanisme logging dapat diterapkan dan data ditransfer ke pihak
ketiga.1 Seperti SaaS, log
Machine Translated by Google
Sistem ini dapat memberikan lebih banyak informasi kepada klien jika terjadi
insiden karena mereka mempertahankan kendali atas aplikasi yang mereka instal.
Penyelidik digital atau klien dapat mengambil gambar aplikasi mereka sesuai
kebutuhan dan menyimpan log pada host yang terpisah.1 Ini adalah bukti yang
mudah diakses yang dapat diperoleh tanpa meminta otoritas CSP.
Setelah Anda memutuskan jenis layanan cloud yang Anda hadapi, masalah
yang lebih rumit adalah contoh model penyebaran cloud yang berbeda. ISO/IEC
17788:2014 menjelaskan hal ini sebagai:
Awan publik. Layanan cloud berpotensi tersedia untuk setiap pelanggan layanan
cloud dan sumber daya dikendalikan oleh CSP.1
Ini adalah layanan komputasi awan yang paling umum digunakan. Klien
bergabung dengan organisasi besar seperti Microsoft, Apple, Amazon Web
Services (AWS), atau Google untuk layanan komputasi awan mereka (seperti
SaaS). Contoh umum layanan SaaS di cloud publik adalah Office 365 yang
ada di layanan cloud publik Microsoft.
Awan pribadi. Layanan cloud digunakan secara eksklusif oleh satu pelanggan
cloud dan dikendalikan oleh pelanggan layanan cloud tersebut.1
Awan pribadi adalah model penyebaran yang dapat digunakan organisasi
besar untuk mendapatkan manfaat dari layanan komputasi awan sambil
mempertahankan kontrol atas layanan tersebut. Manajemen layanan dapat
dilakukan oleh organisasi itu sendiri atau oleh pihak ketiga. Misalnya,
universitas dapat mengoperasikan cloud pribadi untuk kepentingan staf dan
mahasiswa, dan menjadi tuan rumah layanan di tempat mereka tetapi kontrak
dengan CSP untuk mengawasi pengelolaan cloud secara eksternal.
Contoh lain dari pengguna private cloud adalah pemerintah dan industri.4
Machine Translated by Google
Awan komunitas. Layanan cloud secara eksklusif didukung dan dibagikan oleh
kumpulan pelanggan layanan cloud tertentu yang memiliki persyaratan bersama.1
Infrastruktur disediakan untuk penggunaan eksklusif komunitas dengan
kepentingan bersama.4
Awan hibrida. Dapat dimiliki, dikelola, dan dioperasikan oleh organisasi itu sendiri
atau oleh pihak ketiga dan mungkin ada di dalam atau di luar tempat.1
Awan hibrida menggunakan setidaknya dua model penerapan yang
dibahas. Ada kompatibilitas yang memadai untuk memungkinkan data dan
aplikasi dibagikan.4
Contoh cloud hybrid adalah perusahaan yang menempatkan informasi
nonvital di cloud publik di mana kerahasiaan tidak menjadi masalah, tetapi
menjaga IP berharga tetap aman di cloud pribadi internal.
Bagian berikut akan memberikan pengantar tentang relevansi komputasi awan bagi
penyelidik kejahatan digital.
Penyelidik kejahatan dunia maya bertanggung jawab untuk tidak hanya mengidentifikasi
apa yang telah terjadi selama peristiwa dunia maya, tetapi juga menemukan bukti yang
mengidentifikasi tersangka. Ini sama seperti dalam penyelidikan kriminal; penyelidik dapat
bergantung pada bukti digital yang berperan dalam hampir semua penyelidikan saat ini
karena perangkat digital menjadi lebih mengganggu dalam kehidupan kita. Sementara
sebagian besar tanggapan peristiwa dunia maya berfokus pada mengembalikan pelapor
ke lingkungan operasi normal, ada manfaat signifikan bagi perusahaan dalam menemukan
tersangka, mendapatkan kembali data curian mereka sebelum dieksploitasi, dan menuntut pelaku.
Ketika individu dan entitas perusahaan bermigrasi ke layanan komputasi awan,
pemeriksaan forensik perangkat tidak lagi memerlukan penyitaan perangkat fisik dan
meneruskannya ke penyelidik digital untuk secara forensik gambar, menyalin, dan
memeriksa perangkat untuk bukti. Server komputasi awan tempat bukti penyelidik berada
tidak tersedia secara fisik kecuali jika perusahaan mengoperasikan layanan awan pribadinya
sendiri, yang bukan merupakan model yang disukai banyak perusahaan.
Jadi dalam banyak kasus, ini membuat penyelidik dunia maya berusaha mendapatkan
bukti digital yang mereka butuhkan untuk melanjutkan penyelidikan dari CSP internasional.
Seperti yang dibahas sebelumnya dalam bab ini, tergantung pada model cloud yang Anda
hadapi, Anda mungkin memiliki akses ke beberapa bukti digital atau
Machine Translated by Google
tidak ada. Pertama, pertimbangkan di mana data/bukti itu berada dan otoritas hukum apa
yang Anda miliki untuk menyita data tersebut. Karena itu milik klien Anda tidak berarti
Anda memiliki wewenang untuk mengunduh apa yang Anda inginkan, karena data tunduk
pada undang-undang privasi yurisdiksi tempat data tersebut tinggal dan dilalui, dan entitas
pemerintah seperti Uni Eropa (UE) menempatkan kewajiban hukum yang sangat ketat
pada pihak-pihak yang menyimpan Informasi Identifikasi Pribadi (PII) pada komputer
penduduk di dalam UE. Ini mungkin termasuk data perusahaan Anda sendiri. Membaca
EULA dan mencari nasihat hukum yang memenuhi syarat mengenai legalitas penghapusan
data dari cloud bermanfaat.
Ketika menempatkan bukti apapun di depan pengadilan, itu adalah beban pihak
yang memberikan bukti itu untuk mempertanggungjawabkannya seperti yang disyaratkan
oleh hakim atau penasihat hukum lawan. Beban ini meluas untuk membuktikan bukti
diperoleh secara sah dan sesuai dengan rantai penahanan. Saat bab ini berkembang,
kami akan memeriksa masalah ini dan mengungkapkan mengapa bukti berbasis cloud
belum ditentukan oleh sebagian besar pengadilan yurisdiksi.
Pemikiran lebih lanjut yang dipertimbangkan di seluruh bab ini adalah menggunakan
bukti berbasis cloud untuk menguatkan bukti yang terletak dari lokasi fisik (seperti kantor
perusahaan). Contohnya adalah jika log komputer desktop menunjukkan bahwa tersangka
memiliki riwayat masuk ke server cloud tertentu dan melakukannya pada saat data
perusahaan dicuri.
Sementara komputasi awan sangat dihargai oleh komunitas bisnis dan semakin meningkat
oleh pengguna pribadi, komunitas kriminal juga telah melihat manfaat menggunakan
layanan komputasi awan. Layanan komputasi awan mungkin menjadi target kejahatan,
digunakan untuk melakukan kejahatan, atau digunakan untuk menyimpan informasi yang
dihasilkan selama melakukan kejahatan.5,6 Peretasan sebagai layanan sekarang
ditawarkan di komunitas kriminal, dan otomatis toolkit sedang dikembangkan untuk
membantu mereka yang tidak memiliki kapasitas teknis untuk menargetkan infrastruktur
cloud.7 Saat komunitas kriminal mengembangkan strategi baru untuk menyerang
infrastruktur cloud dan mengidentifikasi titik kelemahan baru, volume upaya kompromi
dapat diperkirakan akan meningkat.
Jika insiden seperti pelanggaran keamanan terjadi di lingkungan komputasi awan,
harus diperhatikan oleh penyelidik yang beroperasi di lingkungan ini bahwa manajemen
insiden dan investigasi tindak lanjut lebih sulit daripada di klien tradisional yang dimiliki
dan dioperasikan. sistem.8 Layanan
Machine Translated by Google
Level Agreement (SLA) menentukan kewajiban penyedia cloud, dan jika ini tidak
termasuk dukungan forensik, maka klien mungkin memiliki akses terbatas ke materi
bukti. Menemukan di mana di dunia data disimpan pada titik kompromi lebih lanjut
menghalangi tanggapan yang efektif dan upaya untuk mencari ganti rugi hukum melalui
pengadilan.10 Tidak tahu persis di mana data itu disimpan berarti bahwa mungkin ada
kebutuhan untuk mengidentifikasi yurisdiksi hukum mana ( s) bertanggung jawab untuk
melakukan penyelidikan.
Tantangan bagi penyidik dari perspektif penegakan hukum dan perdata adalah
untuk mendapatkan, menyimpan, memeriksa, dan menyajikan bukti secara transparan,
yang dapat diandalkan pengadilan sebagai representasi akurat dari data yang disimpan
di cloud pada saat itu. disita.5
atau perintah pengadilan pada ruang sewa CSP di AWS untuk bukti spesifik dan perintah
terpisah di AWS yang mencari bukti log arsitektur.
Karena data yang Anda cari ada di layanan cloud klien Anda, asumsinya adalah data
tersebut dapat diakses dan diunduh kapan pun diperlukan. CSP akan mempertimbangkan
legalitas transfer data di dalam yurisdiksi mereka menempatkan pusat data; namun, hukum
berubah dan preseden hukum dibuat oleh pengadilan yang tidak selalu menjadi pengetahuan
publik. Sementara EULA dapat memberikan panduan dalam hal ini, undang-undang privasi
di setiap yurisdiksi akan memiliki prioritas di atas EULA. Seperti yang disebutkan, UE sangat
ketat dalam menghapus PII dari yurisdiksi hukum mereka dan jika data yang Anda cari
diidentifikasi sebagai penduduk di UE, disarankan untuk mendapatkan nasihat hukum
spesialis sebelum mengunduhnya, meskipun itu adalah milik Anda. data klien dan Anda
beroperasi dengan persetujuan mereka. Jika data yang Anda cari ada di server cloud
tersangka, akan sangat baik untuk mempertimbangkan untuk mendapatkan nasihat hukum
tentang pilihan Anda.
Untuk menekankan hal ini: seorang CSP yang diwawancarai untuk tesis saya
menyatakan bahwa ada insiden dengan komputer yang mereka miliki di Prancis dan mereka
ingin melakukan diagnosa jarak jauh untuk menentukan apa masalahnya. Dari kantor
California mereka dari jarak jauh masuk ke perangkat yang berisi data perusahaan mereka,
menggunakan komputer mereka sendiri, kantor mereka sendiri, dan staf mereka sendiri,
dan mentransfer isinya ke Amerika Serikat untuk diagnostik. Mereka dihubungi oleh otoritas
Prancis dan diberi tahu bahwa mereka melakukan tindak pidana serius berdasarkan hukum
Prancis—penghapusan PII tanpa
persetujuan dari otoritas Prancis—dan jika mereka mengulangi tindakan itu, tuntutan pidana
akan menyusul. CSP yang bersangkutan adalah salah satu perusahaan IT terbesar di dunia
dan banyak pembaca akan sangat akrab dengannya (nama mereka tidak dapat diungkapkan
karena perjanjian persetujuan etika tesis).10 CSP lain yang diwawancarai menyatakan
bahwa jika mereka memiliki masalah dengan komputer di UE, mereka akan
menerbangkan staf mereka dari London untuk memeriksanya di lokasi daripada mengambil
risiko melanggar hukum UE. Saat merencanakan penerbangan mereka, jika mereka memiliki
PII warga negara UE, mereka akan memeriksa jalur penerbangan dari semua penerbangan
yang mereka tempuh sambil membawa data UE untuk memastikan bahwa mereka tidak
pernah meninggalkan UE dengan membawa PII yang tunduk pada UE. data dan undang-
undang privasi lokal. Meskipun ini mungkin tampak ekstrem, orang-orang yang diwawancarai
ini adalah operator yang sangat berpengalaman dalam layanan komputasi awan dan forensik digital dan
Machine Translated by Google
memiliki pemahaman yang sangat kuat tentang sifat multiyurisdiksi dari undang-undang dan
hukuman di berbagai negara dan wilayah.10
Untuk membantu para penyelidik, legislator dalam beberapa kasus telah membuat perintah
pengadilan yang mungkin tersedia di yurisdiksi tuan rumah Anda di mana pengadilan mengizinkan
Anda untuk masuk ke server cloud dan mengunduh data yang diperlukan.
Dan sementara ini mungkin legal di yurisdiksi Anda, penggeledahan dan penyitaan mungkin
sebenarnya perlu dilakukan di banyak yurisdiksi hukum asing yang mungkin tidak mengakui perintah
pengadilan domestik atau surat perintah penggeledahan kecuali ada perjanjian saling pengakuan.
Untuk menekankan hal ini: Apakah Anda akan pergi ke pengadilan di Amerika Serikat dan
mendapatkan surat perintah penggeledahan atau perintah pengadilan untuk mencari dan menyita
data dari layanan awan Microsoft Azure di Sydney, kemudian terbang ke Australia, menyerahkan
perintah pengadilan Anda, dan menuntut agar Microsoft menyerahkan data? Akibatnya, inilah yang
Anda lakukan.
Jadi, meskipun Anda mungkin memiliki perlindungan hukum di yurisdiksi Anda dalam kasus
ini, Anda tetap akan melakukan pencarian dan penyitaan bukti di yurisdiksi hukum asing tanpa izin
hukum lokal. Kebalikannya adalah jika sebuah perusahaan Australia mengeluh tentang diretas oleh
layanan penegakan hukum asing, dan ketika ditantang, kantor polisi asing memberikan surat
perintah penggeledahan lokal yang menurut mereka memberi wewenang kepada mereka untuk
melakukan penggeledahan dan penyitaan di Australia. , Anda beroperasi di banyak yurisdiksi hukum
yang berpotensi berbeda dan apa yang mungkin legal di satu yurisdiksi mungkin merupakan
pelanggaran pidana yang sangat serius di yurisdiksi lain.
Jika Anda cukup beruntung memiliki CSP dalam yurisdiksi Anda, proses mengamankan bukti
akan jauh lebih mudah, karena Anda akan berurusan dengan perintah pengadilan domestik.
CSP yang diwawancarai untuk penelitian doktoral saya setuju dengan pendapat mereka
bahwa jika Anda menginginkan data dari layanan cloud dan memiliki pertanyaan tentang legalitas
untuk memperolehnya, pertama-tama mintalah nasihat dari pengacara CSP dan mereka akan
memberikan arahan segera untuk membantu Anda melanjutkan penyelidikan Anda secara hukum.
Pengacara dan pemeriksa forensik untuk CSP yang diwawancarai menyatakan bahwa mereka
akan menghargai kesempatan untuk membantu ketika data cloud diperlukan untuk penyelidikan. Ini
untuk memastikan bahwa bukti yang benar diperoleh dan kata-kata dari perintah itu benar. Seorang
pengacara di CSP yang diwawancarai menyatakan:
Kami mendapatkan perintah pengadilan yang mengarahkan kami untuk melakukan hal-
hal yang tidak masuk akal, mengarahkan kami untuk melanggar undang-undang lain,
atau hanya meminta sebagian dari informasi yang tersedia. Saya menyarankan agar
setiap penyelidik, pidana atau perdata, yang mencari informasi dari CSP untuk menghubungi itu
Machine Translated by Google
Departemen hukum CSP terlebih dahulu dan meminta bantuan mereka dalam
menyusun perintah yang diminta sehingga masuk akal, tidak mengarahkan kami
untuk melanggar undang-undang lain, dan untuk memastikan penyelidik memperoleh
semua bukti yang tersedia untuk mereka. Saat ini, saya tidak percaya ada seseorang
yang meminta bantuan kami untuk mendapatkan data dari server kami sebelum
memberikan perintah pengadilan kepada kami dan itu menyebabkan masalah bagi
mereka dan kami.10
Karena cloud adalah lingkungan yang sangat dinamis, bukti seperti data log dapat hilang dengan
sangat cepat. Juga, jika tersangka memiliki akses ke layanan cloud, mereka dapat mengakses
layanan dari jarak jauh dan menghancurkan semua bukti yang Anda cari.
Penegakan hukum memiliki pilihan untuk mencari perintah pelestarian, di mana gambar
dari data yang dicari dibuat oleh pemeriksa forensik CSP dan ditahan sambil menunggu perintah
pengadilan melalui MLAT. Perintah ini umumnya tidak tersedia untuk pemeriksa sipil. Penyelidik
sipil dapat mengajukan permintaan pribadi melalui saluran komunikasi yang ada, legal atau
sebaliknya.
Saat berusaha untuk menyimpan bukti cloud, menghubungi CSP dan meminta salinan
preservasi adalah cara untuk memastikan bahwa bukti dapat disimpan sedekat mungkin dengan
waktu dugaan pelanggaran. CSP akan memberi tahu Anda apa yang dapat mereka pertahankan
dan bagaimana Anda dapat memperolehnya secara legal. Misalnya, mendapatkan salinan email
tersangka ketika bukti tersebut tinggal di Amerika Serikat hanya dapat dilakukan melalui surat
perintah penggeledahan oleh penegak hukum. Namun, CSP mungkin dapat membantu dalam
hal-hal lain, seperti log Internet, detail pelanggan, metode pembayaran, dan sejenisnya melalui
permintaan hukum.
Machine Translated by Google
Jika klien memiliki produk cloud IaaS, pengguna memiliki visibilitas dan kontrol
atas server virtual yang menyimpan data. Tunduk pada ketentuan EULA dan nasihat
hukum yang sesuai, penyelidik forensik mungkin dapat memperoleh salinan digital
dari bukti yang mereka cari.
INVESTIGASI FORENSIK
SERVER CLOUD-COMPUTING
Bagian berikut akan membahas bukti dari platform komputasi awan dan beberapa
pertimbangan yang terlibat dalam mengidentifikasi, mengumpulkan, memperoleh,
dan melestarikan bukti digital dari awan.
Identifikasi Bukti
Sifat internasional dan kompleks dalam memperoleh data dari CSP dapat
mempengaruhi kemampuan penyidik untuk mendapatkan gambaran bukti yang dicari.
Misalnya, penyelidik umumnya tidak akan dapat memperoleh citra lengkap secara
pribadi dari server cloud dan harus bergantung pada layanan CSP.11
Pengumpulan Bukti
Karena akses ke penyimpanan menjadi lebih murah dan lebih mudah, volume data
yang mungkin perlu diakses dan diperoleh oleh penyelidik diperkirakan akan
meningkat hingga hampir tidak mungkin bagi pemeriksa untuk melakukan
penyelidikan penuh.12 Laboratorium digital FBI memiliki mencatat peningkatan yang
signifikan dalam jumlah bukti digital yang terletak di setiap pemeriksaan. Sedangkan
pada tahun 2003 rata-rata kasus melibatkan 84 GB data,13 pada tahun 2013, ketika
angka terakhir tersedia, rata-rata kasus melibatkan 821 GB.14
Machine Translated by Google
Dalam penyelidikan, kami tidak menyentuh server. Saya punya satu contoh di mana
server memiliki 16 hard drive di dalamnya dan itu adalah yang terkecil yang kami
miliki. Kami bahkan tidak repot-repot mencoba dan membayangkannya. Gambar
forensik pada IaaS terlalu besar. Jika lebih dari satu terabyte, itu akan menyebabkan
masalah. Di dunia nyata, itu tidak praktis.10
Saat ini saya memiliki penyelidikan yang memiliki 50 juta baris data non-konten. Ini
perlu disimpan, diproses, dan dipahami.10
Seiring dengan mendapatkan bukti adalah biaya tindakan. Sementara lembaga penegak
hukum mungkin dapat mengandalkan dukungan dari mitra Mutual Legal Assistance Treaty
(MLAT), penyelidik sipil perlu mengandalkan dukungan dari CSP dan perwakilan hukum di
rumah Anda dan yurisdiksi target. Ini datang dengan biaya dan perlu dianggarkan, bersama
dengan biaya lain yang terkait dengan penyelidikan. Biaya ini meluas ke biaya penyimpanan
dan pelestarian volume besar bukti digital.
Bukti berbasis cloud memberikan tantangan unik yang harus direncanakan dan ditangani
oleh pihak investigasi untuk memastikan bahwa integritas lacak balak dipertahankan dan
dicatat.16 CSA telah mengakui pentingnya pelestarian lacak balak dan merekomendasikan
bahwa sebagai bagian dari rencana respons insiden CSP yang diberikan kepada klien mereka,
CSP memberikan dukungan forensik penuh—termasuk pelestarian rantai bukti—untuk
mendukung setiap tindakan hukum potensial yang dihasilkan dari insiden keamanan.3
bukti ada di server cloud dapat terdiri dari hambatan hukum dan teknis yang harus
diatasi. Bagian berikut memperkenalkan dan membahas masalah ini.
Akuisisi Bukti
Secara tradisional, bukti elektronik dalam penyelidikan telah dapat diakses secara
fisik oleh penyidik. Contoh bukti elektronik yang dicari termasuk barang-barang
seperti komputer, drive USB, perangkat penyimpanan eksternal, dan ponsel.
Dalam penyelidikan tradisional, alamat fisik tertentu di mana bukti potensial
berada dapat diidentifikasi, dan setelah surat perintah penggeledahan dijalankan
dan bukti yang diperoleh dapat dibawa ke laboratorium forensik untuk diperiksa.
Karena bukti elektronik berubah untuk menyertakan server web dan email,
metodologi untuk memperoleh bukti dimodifikasi untuk memasukkan permohonan
kepada perusahaan asing untuk mendapatkan bukti berdasarkan perintah
pengadilan setempat di yurisdiksi tempat bukti yang dicari berada. Dengan
penyimpanan data multi-yurisdiksi dalam komputasi awan, metodologi ini menjadi
lebih kompleks.17 Memperoleh data di lingkungan awan mungkin rumit, karena
data dipindahkan dari satu lokasi ke lokasi lain untuk memanfaatkan faktor-
faktor seperti penyeimbangan muatan dan pasokan yang murah listrik di lokasi
yang berbeda. Juga, banyak CSP tidak menyimpan metadata untuk periode waktu
yang signifikan karena biaya yang terlibat, dan oleh karena itu bukti berharga
dapat dimusnahkan sebelum penyelidik menyadarinya.19
Investigasi harus dilakukan pada waktu yang tepat untuk memastikan bahwa
bukti tidak hilang.5,18,19 Data yang dihapus merupakan sumber bukti penting
yang akan diperiksa dalam infrastruktur tradisional. Jika data dihapus, ruang
penyimpanan tersedia untuk ditimpa oleh data yang baru disimpan.20 Pemeriksaan
forensik mungkin tidak dapat mengakses sisa data atau ruang disk yang tidak
terisi yang mungkin menjadi sumber bukti.21
Karena klien melihat data mereka dalam contoh virtual, penutupan contoh
virtual menghancurkan bukti yang disimpan, yang tidak dapat dipulihkan setelah
contoh baru telah diinisialisasi.5 Akibatnya penyelidik perlu memastikan bahwa
upaya dilakukan untuk mengamankan bukti sebelum instance virtual ditutup atau
log ditimpa.9
Dalam lingkungan multitenancy, sumber daya dibagi di antara banyak klien,
dan sumber daya umum (seperti pencatatan log) dapat ditimpa sepuluh sebelum
penyelidik mendapatkan akses. Bukti penting—seperti pembuatan file, modifikasi,
dan waktu akses—mungkin hilang sebelum penyidik mendapatkan akses ke
sana.8 Bukti yang dicari dari komponen jaringan dapat
Machine Translated by Google
sulit bagi penyidik untuk memperolehnya, karena CSP mungkin tidak mencatat data
tersebut.2 Jika CSP menyimpan sejumlah kecil log atau tidak sama sekali, ada peluang
terbatas untuk mendapatkan potongan-potongan bukti forensik ini. Selanjutnya, mungkin
ada beberapa kesulitan dalam mengidentifikasi tingkat insiden yang sedang diselidiki.2
Tantangan baru akan diciptakan untuk pemeriksa forensik, karena kapasitas untuk
mendapatkan, melestarikan, dan menganalisis bukti digital potensial adalah jalur penting
bisnis dan proses investigasi. CSA berpendapat bahwa pelanggan CSP dan penyelidik
penegakan hukum yang ditugaskan untuk memperoleh bukti berbasis cloud akan semakin
meminta CSP untuk memberikan dukungan forensik, dan organisasi yang tidak siap
menghadapi tantangan ini akan berada pada posisi yang kurang menguntungkan.3 Dennis
Stewart berpendapat bahwa CSP sering kekurangan staf pendukung untuk membantu
dalam proses pemeriksaan forensik.20 Kekhawatiran lebih lanjut adalah bahwa
gambar disk tidak dapat divalidasi karena hash kriptografi tidak dapat divalidasi, dan ini
berpotensi mengurangi nilai bukti di pengadilan.16 Ketidakstabilan dan elastisitas
komputasi awan membuat tugas memulihkan data yang dihapus dari perangkat awan
menjadi tugas yang lebih menantang daripada dalam pemulihan tradisional, seperti
dengan USB atau hard drive. Namun, salah satu manfaat potensial bagi penyidik adalah
bahwa mungkin ada kasus di mana bukti dapat diperoleh kembali karena klien CSP tidak
memiliki akses ke perangkat untuk memastikan bahwa data yang dihapus benar-benar
dihancurkan.11 Kesulitan lebih lanjut untuk ujian iner adalah bahwa bukti yang berpotensi
berharga, seperti entri registri dan file Internet tempo rary yang secara tradisional ditulis
ke Sistem Operasi (OS), dapat hilang ketika instans virtual dihapus.5,8
Ukuran pusat data cloud mungkin melarang penyitaan penuh semua drive, karena
pemeriksa tidak mungkin memiliki penyimpanan yang tersedia untuk melakukan analisis
bit demi bit penuh terhadap komputer target dengan cara tradisional. Jika mereka
melakukannya, ini akan membawa biaya yang signifikan.8,11 Logistik yang terlibat dalam
pemeriksaan semacam itu akan ekstensif dan memerlukan keterlibatan sumber daya
keuangan dan personel yang signifikan. Stewart berpendapat bahwa karena data klien
dapat disimpan melalui beberapa server di lokasi fisik yang berbeda, kemampuan untuk
mengambil bukti yang dicari tanpa mengganggu data pengguna yang tidak terkait menjadi
sangat kompleks.20
Jika penyelidik digital dapat memperoleh akses fisik, teknologi distribusi data yang
digunakan dalam teknologi cloud akan memerlukan penyelidik untuk bergantung pada
bantuan CSP dan teknologi mereka untuk mengakses data dan mematuhi persyaratan
lacak balak dari CSP. pengadilan.6 Virtualisasi dalam komputasi awan dapat menyimpan
data yang dicari di banyak server fisik yang berbeda dengan antarmuka yang ada di
antara server fisik
Machine Translated by Google
dan data logis;11 selanjutnya akan menjadikan pencarian akses fisik ke server sebagai
metodologi pengumpulan data yang kurang layak.
Alat pemeriksaan forensik seperti Forensic Toolkit (FTK) dan EnCase biasanya
digunakan untuk memeriksa data. Pemulihan data yang dihapus, teknik pencarian file,
dan garis waktu yang menunjukkan proses kejahatan yang dilakukan adalah fitur
umum dari produk yang digunakan dalam proses pemeriksaan.11
Setelah bukti diidentifikasi dan disita, ada persyaratan bahwa itu disimpan dengan
cara yang memastikannya dapat diterima sebagai bukti, artinya tidak dimanipulasi,
dirusak, atau diperlakukan sedemikian rupa sehingga integritas forensiknya dapat
ditantang. . Bagian berikut membahas pelestarian bukti yang disita dari platform cloud.
Bagian berikut membahas potensi untuk memperoleh bukti dari platform komputasi
awan menggunakan teknik pemeriksaan komputer forensik antara lokasi fisik yang
jauh dan server data tempat bukti potensial berada.
Jika insiden terjadi dan penyelidikan diperlukan untuk mengidentifikasi fakta insiden
tersebut, penyelidikan forensik layanan cloud dapat dipertimbangkan untuk
mendapatkan bukti digital. Ini melibatkan penyelidik digital yang mengakses dari jarak jauh
Machine Translated by Google
server cloud dan melakukan pemeriksaan alih-alih memiliki akses fisik ke perangkat
seperti biasanya.
Definisi dari cloud forensik adalah:
pemeriksaan forensik, karena beban mereka tidak hanya untuk mendapatkan bukti
secara forensik dan legal, tetapi untuk memastikan bahwa mereka tidak merusak
lingkungan virtual di mana mereka beroperasi.
Seperti pada bagian sebelumnya, kami sekarang akan membagi pemeriksaan
forensik jarak jauh dari cloud ke dalam fase identifikasi, pengumpulan, akuisisi, dan
penyimpanan bukti.
Identifikasi Bukti
Pengumpulan Bukti
Karena tindakan mengumpulkan bukti secara fisik dari server cloud sangat kecil
kemungkinannya, bagian ini membahas pertimbangan penyelidik dan pemeriksa saat
meletakkan dasar perolehan bukti, terutama saat mengumpulkan bukti dari yurisdiksi
asing.
Yurisdiksi sangat relevan dengan investigasi yang melibatkan bukti berbasis cloud,
karena CSP memiliki pusat data di banyak yurisdiksi hukum internasional dan domestik
yang berbeda. Struktur teknis komputasi awan memindahkan data secara teratur di
Internet berdasarkan pertimbangan seperti penyeimbangan beban,
Machine Translated by Google
pengoptimalan data, dan pembagian biaya; praktik ini telah berkembang menjadi
fenomena internasional dan tumbuh dengan kecepatan yang belum pernah terjadi
sebelumnya. Internet telah berkembang menjadi platform penyimpanan dan data yang
saling berhubungan.20 Bagi penyelidik, ini berarti bukti Anda mungkin tidak berada di
lokasi yang sama dengan lokasi di mana pelanggaran yang Anda selidiki terjadi.
Dalam proses pengumpulan dan penyitaan bukti, kegagalan untuk mematuhi undang-
undang setempat tempat bukti berada dapat membuat pemilik data atau anggota tim
investigasi bertanggung jawab atas tuntutan pidana atau perdata.23 Seperti disebutkan
sebelumnya, UE membatasi penghapusan data konten dari yurisdiksi kecuali melalui
ketentuan seperti pemberian perintah pengadilan.24
Data yang disimpan dapat dicerminkan di server yang berbeda untuk menyediakan
cadangan jika terjadi insiden.8,9 Data yang disimpan oleh CSP dapat disimpan, diangkut,
dan diakses di yurisdiksi yang berbeda.25,26 Di mana beberapa server berada
di berbagai negara dan di mana kegiatan yang berbeda dalam insiden tersebut berada di bawah
diambil, harus dipahami di mana setiap peristiwa terjadi, karena beberapa pengadilan
mungkin memiliki yurisdiksi untuk aspek investigasi yang berbeda
Bahkan ketika bukti berbasis cloud yang dicari berada di yurisdiksi hukum tunggal,
teknologi distribusi data dapat membagi data ke ribuan perangkat penyimpanan yang
berpotensi dimiliki CSP di yurisdiksi tersebut.
Seorang petugas investigasi akan diminta untuk mencari dan mendapatkan dukungan dari
CSP dalam memperoleh bukti dan dalam menunjukkan integritas bukti.6 Sebagai alternatif,
data pengguna tertentu dapat ditemukan di beberapa yurisdiksi hukum, dan jika data
tersebut dipulihkan , tidak ada jaminan bahwa itu akan dalam format yang dapat dibaca
oleh manusia.17 Sekali lagi, dukungan dari CSP akan sangat berharga.
Lokasi data dan pencadangan pada platform komputasi awan mungkin sulit ditentukan,
dan undang-undang tentang penyimpanan dan transmisi data ini mungkin bertentangan
dengan kewajiban yang diberlakukan oleh yurisdiksi lain.25 Masalah yang lebih rumit
adalah bahwa model multiyurisdiksi dan multitenancy adalah default pengaturan untuk
CSP.9 Mungkin ada kejadian di mana lokasi peristiwa cloud tidak dapat diidentifikasi dan
penentuan pengadilan mana yang memiliki yurisdiksi tidak dapat dilakukan. Mungkin juga
ada kasus di mana beberapa yurisdiksi mungkin memiliki wewenang untuk mengadili suatu
kasus, yang menimbulkan pertanyaan tentang bagaimana urutan prioritas akan
ditentukan.27 Untuk menyimpan bukti yang berpotensi tidak stabil di server cloud,
pertimbangan hukum mungkin melibatkan berbicara dengan CSP untuk melestarikan
bukti, sebuah proses yang dikenal sebagai "penahanan litigasi." Untuk mengidentifikasi di
mana bukti itu berada dan untuk mencari otoritas hukum pengadilan itu untuk mendapatkan
bukti yang ditahan, seorang penyidik mungkin harus meminta pengadilan untuk melakukan
panggilan pengadilan atas CSP.18
Machine Translated by Google
CSP yang berbeda memiliki aturan yang berbeda mengenai penyimpanan data. Google menyediakan
klien dengan opsi untuk semua salinan data mereka yang berada dalam satu yurisdiksi;
namun, jika klien tidak menentukan opsi ini, maka data mereka
berpotensi berada di beberapa server di salah satu negara yang terdaftar
tempat server data Google berada. Beberapa negara menghasilkan banyak
yurisdiksi.29
Karena platform CSP dapat terdiri dari banyak komponen dari banyak pemasok, tidak
ada jaminan bahwa setiap komponen akan berada di dalam
yurisdiksi yang sama. Pertanyaan mungkin perlu dilakukan dari pemasok yang berbeda untuk
berbagai sumber bukti Anda.
Penyelidik perlu memahami di mana dalam infrastruktur cloud dan
dugaan peristiwa (seperti pelanggaran data) terjadi dan di negara mana yang
server terletak untuk mengidentifikasi yurisdiksi. Bahkan kemudian orang atau badan yang
diduga melakukan peristiwa tersebut berpotensi ditempatkan di negara dan yurisdiksi yang
terpisah sama sekali.
Ketika mencari bukti dari yurisdiksi hukum asing dan mengejar a
perintah pengadilan untuk mendapatkan data, penyidik mungkin perlu mengidentifikasi apakah
dugaan pelanggaran yang mereka selidiki adalah pelanggaran di yurisdiksi mereka
sedang mencari bukti dari. Karena suatu tindakan mungkin ilegal di satu negara tidak
tidak menjamin bahwa itu ilegal di tempat lain.5 Haruskah dugaan pelanggaran itu sah
aktivitas di yurisdiksi tuan rumah, mencari ganti rugi atau bantuan melalui pengadilan
dalam yurisdiksi itu mungkin memiliki peluang keberhasilan yang lebih rendah.
Ada kesepakatan antara penelitian akademis dan industri bahwa penyelidik mungkin
merasa tidak mungkin untuk mengidentifikasi yurisdiksi hukum tanpa memperoleh
dukungan CSP.23 Ini adalah perbedaan utama jika dibandingkan dengan menyelidiki kejadian
komputer di infrastruktur yang dimiliki dan dioperasikan oleh pengguna,
di mana pusat data atau server yang berisi bukti berada di tempat yang dikenal dan
lokasi yang dapat diakses secara geografis.
Singkatnya, identifikasi yurisdiksi tempat dugaan insiden
terjadi mungkin merupakan masalah kompleks yang membutuhkan bantuan dari CSP.
Mengumpulkan bukti dengan cara yang dapat diterima dari yurisdiksi asing adalah a
masalah yang harus direncanakan, mungkin dengan bantuan dukungan hukum yang luas
sebelum komponen aktif dari penyelidikan dan pengumpulan bukti
dimulai. Pahami bahwa lingkungan komputasi awan adalah lingkungan yang
sangat berbeda bagi penyidik untuk menavigasi dan memiliki pemahaman
lingkungan multiyurisdiksi tempat Anda beroperasi akan
bantuan kepada Anda.
Machine Translated by Google
Akuisisi Bukti
Bagian ini membahas kelayakan hukum dan teknis untuk memperoleh bukti dari platform
komputasi awan yang mungkin tinggal di yurisdiksi hukum asing. Bukti yang dicari dapat
berupa pelapor atau tersangka dan dapat dicari oleh pemeriksa sipil atau penegak
hukum. Yang sangat relevan dengan bagian ini adalah mengidentifikasi legalitas
tindakan semacam itu dan pemeriksaan tentang hambatan teknis apa yang mungkin
ada.
Melakukan pemeriksaan forensik di cloud menciptakan masalah yang tidak ada di
infrastruktur tradisional. Pertama, karena data mungkin berada di yurisdiksi asing,
nasihat hukum perlu dicari sehingga setiap analisis forensik jarak jauh tidak melanggar
hukum yurisdiksi asing.9 Kemampuan untuk melakukan pemeriksaan forensik jarak jauh
bergantung pada identifikasi host juris diksi dan undang-undangnya, karena data tunduk
pada undang-undang negara tempat tinggalnya.28 Yang juga menjadi pertimbangan
adalah perlindungan data klien CSP lain yang tidak tunduk pada pemeriksaan.9
Meskipun referensi berikut adalah dari tahun 2009, masih sangat relevan untuk
Hak rakyat untuk merasa aman atas diri, rumah, surat-surat, dan barang-barang
mereka, dari penggeledahan dan penyitaan yang tidak wajar, tidak boleh dilanggar,
dan tidak ada surat perintah yang akan dikeluarkan, tetapi atas kemungkinan sebab,
didukung oleh sumpah atau penegasan, dan khususnya menjelaskan tempat yang
akan digeledah, dan orang atau barang yang akan disita.31
Untuk membantu mengamankan bukti yang mungkin bersifat dinamis dan dapat dengan
mudah ditimpa sebelum layanan perintah pengadilan, permintaan dapat diajukan ke CSP
meminta mereka untuk menyimpan bukti sampai perintah pengadilan dapat diperoleh dan
dilayani. Di Amerika Serikat, instrumen yang digunakan untuk menyimpan data adalah surat
S2703(f) dari judul 18 Kode Peraturan Federal. Perintah S2703(d) dari judul 18 dari Kode
diperlukan untuk data nonkonten yang lebih detail daripada detail pelanggan dasar.32
Memperoleh bukti berbasis cloud dari yurisdiksi seperti UE berarti bahwa penyelidik harus
menavigasi arahan privasi Eropa serta undang-undang negara tuan rumah.24 Sebagai contoh,
Prancis memiliki Undang-Undang Perlindungan Data tahun 2004, yang dikelola oleh
Commission nationale de l'informatique et des libertés (CNIL), serta Petunjuk Perlindungan
Data UE untuk melindungi data di yurisdiksi mereka. Undang-undang ini menempatkan
tanggung jawab tambahan pada pihak yang ingin menghapus data dari Prancis ke negara lain,
termasuk yang berpotensi diminta untuk meminta pemberitahuan dan/atau otorisasi terpisah
dari CNIL sebelum data dihapus dari Prancis jika pemilik data tidak memberikan persetujuan
berdasarkan informasi. atau negara penerima tidak memiliki tingkat perlindungan data yang
diakui oleh otoritas Prancis sebagai setara dengan undang-undang domestik mereka di tingkat
Prancis atau UE.33 Menghapus data apa pun dari UE memerlukan nasihat hukum dari sumber
daya Anda sendiri dan sebaiknya CSP.
Enkripsi di lingkungan berbasis cloud juga dapat menimbulkan masalah bagi penyelidik.
Ini adalah ketentuan keamanan yang direkomendasikan oleh CSP. Enkripsi khususnya akan
menghadirkan rintangan ketika data dicari dari pihak yang bukan pemilik data, karena CSP
mungkin tidak memegang kunci untuk mendekripsi data.11 Kunci tersebut dapat dipegang oleh
pemilik atau pengguna data dan tidak dapat disimpan. dapat diakses oleh CSP.17 Karena
meningkatnya jumlah pelanggaran data dengan visibilitas tinggi yang dilaporkan di media,
konsumen beralih ke enkripsi untuk melindungi data mereka jika terjadi pelanggaran. Perjanjian
tingkat layanan CSP sering kali berisi jaminan bahwa:
Machine Translated by Google
data akan dienkripsi dan siapa pun selain pemilik data akan dicegah untuk mendapatkan
akses ke data tersebut. Ini berarti bahwa penyelidik mungkin dapat mengakses data secara
legal dari CSP tetapi tidak dapat membacanya tanpa kunci yang diberikan karena enkripsi.17
Biaya untuk melakukan penyelidikan mungkin besar mengingat jumlah yurisdiksi yang terlibat,
hukum dukungan yang dibutuhkan, jumlah bandwidth yang diperlukan untuk mengunduh
bukti,21 waktu penyidik, dan jumlah kapasitas penyimpanan yang harus disediakan. Volume
data yang besar yang dapat diakses menghadirkan tantangan bagi penyidik.19 Jumlah data
yang dapat diperoleh berpotensi membanjiri penyidik, dengan 1 GB data setara dengan
894.000 halaman teks biasa dan 1 TB setara dengan 916.000.000 halaman teks biasa. Tidak
realistis bagi penyidik untuk membaca dan memproses jumlah data ini.34 Sebelum dimulainya
pemeriksaan forensik awan, tujuan pemeriksaan harus didefinisikan dengan jelas.5 Prioritas
penegakan hukum dan CSP mungkin sering berbeda. CSP dapat memprioritaskan ketersediaan
layanan kepada klien sebagai prioritas utama mereka, sedangkan penegak hukum dapat
mempertimbangkan pengumpulan bukti dan penuntutan pelaku sebagai prioritas yang
lebih tinggi.5 Dari perspektif pelanggan, ketika sebuah insiden terjadi, mungkin merupakan
prioritas entitas untuk memulihkan sistem mereka dengan memulai instance virtual baru.
Meskipun hal ini mengakibatkan entitas memulai kembali operasinya, namun hal itu
menghancurkan bukti yang mungkin tidak dapat dipulihkan.
Mendapatkan kerja sama dari CSP akan memajukan penyelidikan di setiap contoh karena
log yang menghadap jaringan dan penyeimbang beban dikendalikan oleh CSP dan bukti ini
dapat membantu dalam mengidentifikasi yurisdiksi yang relevan. CSP dapat menggunakan
format data kepemilikan yang unik bagi mereka dan selanjutnya memerlukan bantuan yang
berpotensi ekstensif untuk memberikan bukti dalam format yang dapat dibaca.6 CSP memiliki
kekhawatiran terhadap pihak-pihak yang melakukan pemeriksaan forensik digital di
negara-negara server mereka. Kepala petugas keamanan CSP besar yang berbasis di AS menyatakan:
Kami tidak mengizinkan klien untuk melakukan forensik jarak jauh pada infrastruktur kami.
Ini adalah jaringan milik kami dan kami melindungi klien kami.
Jika orang mencoba forensik jarak jauh, maka kami akan mengambilnya. Kami
bahkan akan memblokir upaya untuk menyalin VM atau server virtual. Penggunaan
bandwidth yang lebih tinggi dari biasanya akan mengingatkan kami, dan setelah
diselidiki tentang apa yang sedang terjadi, kami akan memotong klien kami. Kami
tidak ingin klien kami berada di dekat infrastruktur fisik dan menyentuh struktur
direktori.10
Machine Translated by Google
(Identitas individu-individu ini dan majikan mereka adalah rahasia, sesuai dengan
perjanjian persetujuan etika yang ditandatangani sebelum wawancara untuk penelitian
doktoral saya.)
CSP tidak menyediakan klien dengan akses langsung ke infrastruktur yang
mendasarinya, mewakili platform ke klien sebagai contoh virtual.
Ini kemudian mengurangi akses ke apa yang mungkin menjadi bukti berharga. Selain itu,
Mesin Virtual (VM) itu sendiri mungkin didasarkan pada VM dari CSP klien yang telah
menyewa layanan dari CSP.11 Ini adalah proses yang dikenal sebagai penjualan kembali,
di mana pemilik mengontrol arsitektur cloud dan pengecer hanya memiliki akses ke server
virtual yang disediakan oleh pemilik infrastruktur.
CSA menyatakan bahwa jika penyelidik mempertimbangkan untuk melakukan
pemeriksaan forensik jarak jauh, pertimbangan harus diberikan pada fakta bahwa karena
komputasi awan adalah lingkungan yang dinamis, mungkin sulit bagi penyelidik untuk
mereplikasi keadaan asli data sejak saat dugaan serangan. Sifat dinamis, terdistribusi,
dan kompleks dari sistem cloud tidak dapat dengan mudah dibekukan, artinya dokumentasi,
kualifikasi, dan proses yang digunakan tidak dapat direkam.3 Saat mengunduh bukti dari
cloud, metadata mungkin hilang yang berisi informasi—seperti sebagai waktu dan tanggal
file dibuat, dimodifikasi, atau diakses—yang mungkin telah digunakan sebagai bukti.8
Akses ke bukti oleh pemeriksa dapat dibatasi tergantung pada apakah cloud bersifat
pribadi atau publik. Jika bersifat pribadi, maka penyelidik mungkin memiliki akses ke
infrastruktur fisik dan dapat secara akurat melakukan analisis di lingkungan tradisional.5
Berbagai titik akhir dapat terhubung ke platform cloud, yang memperburuk tantangan
penemuan data . Menyinkronkan log dan stempel waktu telah menjadi masalah dalam
forensik jaringan dan menjadi lebih menantang di lingkungan cloud. Bukti yang berbeda
dari yurisdiksi yang berbeda, infrastruktur,
Machine Translated by Google
dan klien jarak jauh, serta format log, membuat pemeriksaan bukti dengan cara yang
berarti menantang.9
Awan publik kemungkinan akan menimbulkan lebih banyak kekhawatiran bagi
penyelidik forensik jarak jauh, karena ada akses terbatas ke bukti potensial karena dimiliki
dan dioperasikan oleh organisasi independen terpisah dengan pihak ketiga yang berpotensi
menyediakan aplikasi. Tingkat data yang dapat diakses langsung oleh penyidik akan
berbeda tergantung pada produk yang dimiliki klien.35 IaaS menyediakan lebih banyak
akses ke bukti dan data log daripada PaaS, yang pada gilirannya menyediakan lebih
banyak akses ke data log daripada SaaS.2,11 Dalam Lingkungan SaaS, pelanggan tidak
memiliki kendali atas infrastruktur yang mendasarinya, seperti server, konfigurasi jaringan,
dan aplikasi yang digunakan. Jika CSP tidak menjalankan log, klien memiliki kesempatan
terbatas untuk melakukan pemeriksaan forensik. Selanjutnya, mungkin tidak dapat
ditentukan data apa yang telah dikompromikan.2 IaaS memberikan lebih banyak
kesempatan untuk pemeriksaan forensik jarak jauh, karena pelanggan dapat
menginstal dan mengatur gambar untuk tujuan forensik. Data log dapat dipertahankan.
Sebuah snapshot dari gambar virtual dapat diambil yang mungkin termasuk data dari
memori sistem secara real time, tanpa perlu mematikan sistem.2,16 Informasi log dapat
mencakup pengguna yang tercatat, port terbuka, proses yang berjalan, dan informasi
registri. Dalam contoh fasilitas IaaS virtual, jika tidak ada sinkronisasi penyimpanan yang
persisten, maka jika penyerang mematikan lingkungan virtual, semua data yang mudah
menguap akan hilang.2
Diharapkan dengan meningkatnya penggunaan perangkat seluler pintar dan berbagi
data, tantangan bagi penyidik dalam mengakses dan mengamankan data untuk
pemeriksaan forensik akan meningkat. Yang perlu diperhatikan adalah kesulitan dalam
memperoleh data jarak jauh yang terdengar secara forensik, volume data yang besar
yang berada di awan, dan sifat penyimpanan awan yang terdistribusi dan elastis, dan
membuktikan lacak balak dan mengidentifikasi pemilik data adalah beberapa di antaranya.
masalah yang dihadapi pemeriksa cloud forensik
Tergantung pada produknya, lebih banyak bukti log dapat diperoleh dari CSP yang
melakukan analisis forensik sendiri daripada dari analisis forensik jarak jauh oleh
pemeriksa jarak jauh. Karena infrastruktur yang mendasarinya tidak dapat diakses oleh
pemilik atau penyelidik data, bukti potensial seperti log akses host, log platform virtualisasi,
dan bukti registri mungkin tidak tersedia tanpa persetujuan CSP.3 Log infrastruktur hanya
dapat diakses melalui CSP .16 Keyun Ruan dan rekan juga mengamati bahwa log audit
sumber daya bersama di cloud publik dapat dibagikan di antara banyak penyewa dan
ditimpa secara teratur. Pelanggan tidak memiliki akses ke perangkat disk mentah tetapi
melihat instance tervirtualisasi. Pada tingkat fisik, log audit sistem dari sumber daya
bersama dibagikan di antara beberapa penyewa. Tantangan bagi seorang penyelidik
Machine Translated by Google
adalah untuk mendapatkan log sumber daya bersama tanpa melanggar kerahasiaan klien
lain.9
Jumlah data yang akan dicitrakan menciptakan masalah tersendiri bagi penyelidik jarak
jauh. Biaya yang terlibat dalam pencitraan dan kemudian menyalin drive target mungkin
menjadi penghalang untuk penyelidikan. IaaS menggunakan volume data yang sangat besar
yang mungkin tidak praktis atau tidak mungkin untuk dicitrakan atau diunduh.11
Kasing cloud tipikal dapat berupa 40.000 VM yang disediakan oleh 512 server
dengan 1.000 pengguna. Ini mungkin berisi penyimpanan 128 TB di beberapa
teknologi penyimpanan dan memori 48 TB.8
Sifat kepemilikan platform juga dapat menimbulkan masalah yang harus diatasi oleh
penyidik selama proses pemeriksaan forensik, karena teknologi unik yang digunakan mungkin
memerlukan bantuan ekstensif dari staf CSP. Ketidakpastian lebih lanjut adalah keterampilan
dan pelatihan anggota staf yang mengambil citra forensik untuk penyelidik yang pelatihan
dan metodologinya mungkin tidak konsisten dengan yurisdiksi yang mencari data.11
Sifat multi-yurisdiksi layanan cloud berarti bahwa meskipun pemeriksa berusaha untuk
menangani hanya satu CSP, data yang dicari dapat tersebar di yurisdiksi hukum yang
berbeda yang memerlukan beberapa perintah hukum untuk mendapatkan data forensik.
Selanjutnya, zona waktu yang berbeda akan membutuhkan sinkronisasi.11
Terlepas dari banyak masalah yang diidentifikasi di bagian ini dan fakta bahwa
pencitraan forensik di cloud masih belum matang, CSA percaya bahwa itu tidak berarti bahwa
bukti yang dikumpulkan dari platform cloud tidak dapat disita secara forensik dan dapat
dipertanggungjawabkan. .3 CSP yang diwawancarai untuk tesis doktoral saya menyatakan
bahwa mereka dapat mengatasi banyak dari masalah ini jika Anda meminta kerjasama
mereka pada awal penyelidikan Anda.
Pengawetan bukti yang diperoleh dari platform cloud di mana pemeriksa ujian berada di
lokasi yang asing bagi server adalah tanggung jawab pemeriksa.
Machine Translated by Google
Presentasi Bukti
Karena langkah-langkah standar ISO dipatuhi, mungkin ada persyaratan untuk
menunjukkan beberapa bukti yang diterima di pengadilan. Karena setiap yurisdiksi
memiliki undang-undang dan preseden hukumnya sendiri yang ditetapkan oleh
pengadilan, bagian ini akan memberikan pandangan yang sangat umum tentang
penyajian bukti di pengadilan.
Bukti dari awan diyakini sangat signifikan untuk litigasi pidana atau perdata di
masa depan.2 Josiah Dykstra dan Alan Sherman memperkuat pernyataan ini dengan
menambahkan bahwa bukti yang disita, dikumpulkan, dan disajikan harus dilakukan
dengan cara yang tidak hanya dapat diterima di pengadilan, tetapi mampu bertahan
dari tantangan hukum potensial oleh pihak lain.16 Pengadilan mensyaratkan bukti
otentik, dikumpulkan dengan andal, lengkap, dapat dipercaya, dan dapat
diterima.8 Setelah bukti diperoleh, diawetkan, disaring, dan ditentukan mengandung
nilai pembuktian, harus diajukan ke pengadilan dengan cara yang sesuai dengan
peraturan perundang-undangan dan putusan pengadilan. Setiap yurisdiksi memiliki
undang-undang dan preseden yudisialnya sendiri yang relevan dan penerimaan bukti
akan ditentukan berdasarkan yurisdiksi demi yurisdiksi. Meskipun bukti telah
diperoleh, tidak ada jaminan bahwa itu akan memenuhi kriteria penerimaan
pengadilan. Kegagalan untuk mematuhi aturan pembuktian dapat mengakibatkan
bukti yang ditentang dihilangkan dari proses dan kasus pengadu menjadi lemah.
Atau, bukti dapat membawa tingkat bobot yang berkurang. Singkatnya, produksi
bukti yang diperoleh dari layanan komputasi awan mungkin sulit untuk dihadirkan di
pengadilan.25 Dalam contoh pertama sebelum keluhan didengar dan bukti diajukan,
Cristos Velasco San Martin menyatakan bahwa pengadilan perlu mengidentifikasi
apakah mereka memiliki wewenang untuk mendengar masalah tersebut. Dengan
kasus yang melibatkan bukti cloud, mungkin ada kasus di mana lokasi dugaan
pelanggaran tidak dapat diidentifikasi dan penentuan pengadilan mana yang memiliki
yurisdiksi dibuat.27 Ruan dan rekan berpendapat bahwa karena CSP memiliki pusat
data di seluruh dunia di
Machine Translated by Google
yurisdiksi yang berbeda, dengan data yang direplikasi di masing-masing pusatnya untuk
menyediakan cadangan data,9 ini mungkin memerlukan pertanyaan yang dibuat dengan
CSP. Konsekuensinya, aturan pembuktian yang berbeda mungkin berlaku di berbagai sidang
pengadilan, dan ini mungkin mengharuskan adanya bukti lebih lanjut.
Jika penyelidikan menentukan tingkat kesalahan pihak lain, pengadu dapat mencari
ganti rugi melalui sistem peradilan. Ini mungkin di pengadilan perdata atau pidana. Proses
dasar untuk memperoleh bukti dalam bentuk apa pun untuk diajukan ke pengadilan adalah
mengumpulkan, melestarikan, dan menyaring, dan kemudian menyajikan bukti di pengadilan.21
Proses ini menggabungkan standar yang diperkenalkan oleh ISO dan dibahas di seluruh
bagian ini, dan diperluas batas-batas untuk memasukkan penyaringan dan penyajian bukti.
Ini mengakui bahwa meskipun bukti dapat diperoleh dan disimpan seperti yang dipersyaratkan
oleh standar ISO, tidak semua bukti mungkin diperlukan dalam sidang pengadilan; proses
penyaringan akan menghilangkan bukti yang telah diperoleh dan disimpan secara sah tetapi
tidak diperlukan setelah pemeriksaan.
Dengan terbatasnya proses hukum yang telah diterima oleh pengadilan dan perbedaan
yang ada antara pengumpulan bukti di lingkungan tradisional dan cloud, upaya harus
dilakukan untuk memandu pengadilan untuk memahami metode yang digunakan untuk
mengambil data, alasan mengapa metodologi baru telah harus dibuat, dan mengapa
pengadilan dapat mengandalkan kredibilitasnya. Integritas semua langkah perlu dijelaskan
dengan jelas dan kredibilitas CSP perlu dibangun. Poin ini diperkuat dalam Buletin Pengacara
Amerika Serikat Mei 2011, yang menyatakan bahwa badan hukum kasus yang koheren belum
ditetapkan tentang pengumpulan, pengelolaan, dan pengungkapan informasi yang disimpan
secara elektronik (ESI) yang sesuai untuk presentasi di pengadilan kriminal.
Prosedur telah, bagaimanapun, telah dikembangkan untuk pengadilan sipil, yang telah
dikodifikasikan ke dalam Aturan Federal Prosedur Perdata.36 Penelitian saat ini telah gagal
untuk menemukan penelitian terbaru yang signifikan tentang fakta ini.
Dengan masalah hukum yang akan ditangani oleh penyelidik, poin telah diangkat di
pengadilan AS bahwa kegagalan lembaga penuntut untuk mencari dan memperoleh bukti
potensial dapat melemahkan kasus atau menyebabkannya ditekan. Di Amerika Serikat v.
Cross pada tahun 2009, pengadilan memberikan mosi untuk menekan bukti berdasarkan
kegagalan penuntut untuk menghasilkan bukti metadata dari bukti elektronik.37 Ini relevansi
khusus untuk kasus yang melibatkan bukti awan, sebagai bukti proses pengumpulan mungkin
memakan waktu yang lama dan melibatkan proses MLAT dan kepatuhan terhadap praktik
terbaik ISO.
Karena potensi volume dan kompleksitas bukti, penyelidik harus memberikan
pertimbangan untuk memastikan bahwa pengadilan dapat memahami apa yang mungkin
merupakan bukti yang sangat teknis yang diberikan oleh banyak aktor yang berbeda.
Machine Translated by Google
dalam rantai tahanan. George Grispos, Tim Storer, dan William Glisson menjelaskan
bahwa pengadilan dan juri terdiri dari perwakilan masyarakat dan mungkin atau
mungkin tidak termasuk orang-orang yang memiliki pemahaman terbatas tentang
teknologi.11 Dennis Reilly, Chris Wren, dan Tom Berry menjelaskan lebih lanjut
bahwa teknologi informasi bukti rumit bagi mereka yang mungkin tidak memiliki
latar belakang yang mapan dalam teknologi dan yang mungkin kesulitan memahami
bukti yang disajikan.8 Penjelasan tentang masalah seperti hypervisor, multitenancy
drive/sumber daya, dan platform yang berbeda cukup sulit sebelum memperkenalkan
sub-sub yang terpisah. objek forensik komputer. Tantangannya adalah untuk
menyajikan bukti dengan cara di mana tema dan bukti dari saksi ahli dipahami.
Sebagai bagian dari produksi bukti, relevansinya dengan kasus harus
ditetapkan. Bukti forensik yang dihasilkan juga harus divalidasi sebagai integritas
tingkat tinggi dan representasi yang benar dari fakta yang diwakilinya.5 Joseph
Schwerha menjelaskan bahwa jika diperlukan, orang yang memberikan bukti ke
pengadilan bertanggung jawab untuk membuktikan kepada pengadilan bahwa
bukti diperoleh dengan cara yang sah di semua yurisdiksi dengan menggunakan
metodologi yang menunjukkan integritas penyelidikan, pengumpulan, dan
penyimpanan bukti. Selanjutnya, jika diperoleh dengan melanggar undang-undang
di negara target, mereka yang terlibat dapat dikenai hukuman berdasarkan undang-
undang perdata atau pidana.23 Juga, bukti harus diperoleh dengan cara yang
tidak memuaskan pengadilan yang disampaikan, tidak dapat diterima sama sekali
oleh hakim dan/atau juri, yang dapat menentukan bahwa mereka tidak yakin
terhadapnya.5,16
Cara memperoleh bukti harus diungkapkan dan
metodologi harus cukup kuat untuk memastikan integritas hasil. Prosedur harus
dapat diulang oleh pihak independen dan menghasilkan hasil yang sama.5,11,15,38
Taylor dan rekan menjelaskan bahwa jika cara di mana bukti diambil, diamankan,
dan dianalisis tidak dapat didokumentasikan sebagai standar yang dituntut oleh
pengadilan, maka tidak mungkin diterima sebagai bukti.5 Grispos, Storer, dan
Glisson menyatakan bahwa hakim ketua memiliki tanggung jawab utama untuk
memutuskan apakah bukti diterima atau tidak.11 Perhatian khusus harus diberikan
untuk memastikan bahwa privasi klien CSP lainnya tidak dilanggar.9 Adanya
pemasok pihak ketiga yang terlibat dalam penyediaan layanan ke platform cloud
membuat penyajian bukti di pengadilan menjadi lebih rumit. Bukti yang diperoleh
dari setiap pemasok pihak ketiga harus diperlakukan sebagai bukti unik yang
memerlukan kesaksian dari perwakilan entitas tersebut.
Stewart percaya bahwa tuntutan konstan pada sumber daya komputasi awan untuk
menyimpan, memindahkan, menghapus, dan mengakses data, serta perubahan oleh sistem
operasi, menyebabkan perubahan pada repositori awan. Penggunaan aplikasi juga mengubah file
Machine Translated by Google
metadata, dan program AV mengakses dan berpotensi mengubah data di seluruh ekosistem
cloud. Akibatnya hal ini dapat mempengaruhi kemampuan untuk menyajikan standar integritas
data yang diperlukan yang mungkin diperlukan oleh pengadilan.20 CSA berpendapat bahwa
kecuali ada bukti peretasan atau perusakan, dokumen yang dihasilkan di cloud tidak
boleh kurang dapat diterima sebagai bukti karena diproduksi dan disimpan di cloud daripada
dokumen yang dibuat dan disimpan di infrastruktur tradisional.39 Reilly, Wren, dan Berry
memiliki pandangan yang berbeda, dengan alasan bahwa sulit, jika bukan tidak mungkin,
untuk mempertahankan lacak balak untuk data yang disita dari cloud dan bahwa prinsip-prinsip
ACPO tidak dapat dipatuhi. Mereka berpendapat bahwa pedoman ACPO berlebihan dan hal
ini menimbulkan keraguan atas keaslian, integritas, dan dapat diterimanya bukti yang
diperoleh.8
Karena komputasi awan sangat berbeda dari bentuk penyimpanan data tradisional, bagian
sebelumnya telah menunjukkan kepada penyelidik bahwa mereka akan beroperasi dalam
lingkungan yang menantang ketika berhadapan dengan bukti komputasi awan. Beberapa
hambatan untuk penyelidikan telah diperkenalkan dalam konteks identifikasi bukti, pengumpulan,
akuisisi, dan presentasi.
Bagian ini memperluas daftar ini dan memperkenalkan hambatan lain, yang perlu ditangani
baik dalam tahap perencanaan atau selama investigasi saat peristiwa terungkap. Meskipun
daftar ini cukup banyak, ini mungkin tidak konklusif, karena Anda dapat mengidentifikasi
masalah lain untuk ditangani atau Anda mungkin beruntung dan tidak diharuskan untuk
mengatasi banyak dari mereka jika layanan komputasi awan berada sepenuhnya di dalam
yurisdiksi Anda.
Saat Anda membaca daftar ini, pahami bahwa banyak dari masalah ini dapat diatasi
dengan berkomunikasi dengan tim hukum CSP. Namun, mereka hanya dapat memberikan
bantuan jika Anda menghubungi, menjelaskan situasinya, dan mencari dukungan serta saran
mereka di awal penyelidikan. Perhatikan bahwa pengacara CSP yang diwawancarai meminta
agar kontak awal dilakukan dengan mereka ketika Anda memerlukan bantuan, dan bahwa
beberapa penyelidik digital untuk CSP yang diwawancarai sebelumnya adalah petugas
penegak hukum dan oleh karena itu sangat menyadari persyaratan untuk penyimpanan bukti,
melindungi rantai bukti, dan sejenisnya.10
Identifikasi penyedia komputasi awan. Seperti yang telah kami identifikasi, beberapa
layanan cloud terdiri dari komponen dari penyedia yang berbeda.
Ini berarti bahwa tidak semua layanan cloud berada di bawah kendali satu
Machine Translated by Google
perusahaan. Menggunakan produk SaaS cloud publik sebagai contoh, penyedia cloud dapat
menyediakan infrastruktur fisik yang mendasarinya, Microsoft sistem operasi dan office suite,
Oracle database relasional, dan seterusnya. Masing-masing membuat log sendiri, yang
kemungkinan besar tidak tersedia untuk pemasok lain. Misalnya, dalam kasus yang disajikan
Microsoft tidak akan memiliki akses ke log yang dihasilkan oleh database Oracle dan
sebaliknya.
Pada awalnya penyelidik tidak akan mengetahui detail arsitektur dan perjanjian sistem
yang mendasarinya, sehingga mereka perlu bertanya kepada CSP saat melakukan kontak
awal. Penyelidik kemudian mungkin perlu mengidentifikasi siapa di antara perusahaan-
perusahaan ini yang benar-benar menyimpan data dan log yang diminta.
Pada kenyataannya, beberapa permintaan bantuan mungkin perlu diteruskan ke perusahaan
yang berbeda.
Memperoleh kerjasama dari CSP. Sementara CSP paling populer memberikan dukungan
kepada penegak hukum dan penyelidik sipil, CSP yang lebih kecil mungkin tidak memiliki
keterampilan, kapasitas, atau minat untuk memberikan segala bentuk dukungan forensik.
EULA atau Service Level Agreement (SLA) dapat memberikan tingkat dukungan yang
disepakati dari CSP kepada klien/penyelidik jika terjadi investigasi cyber. Misalnya, mereka
mungkin bersedia memberikan beberapa bukti tanpa perintah pengadilan, seperti
penangkapan jaringan, gambar database, atau salinan server web. Memahami struktur
CSP. Cara data disimpan dan disajikan di CSP berupaya memaksimalkan kapasitas
penyimpanan fasilitas.
Akibatnya data yang disimpan bergerak dalam beberapa kasus dengan mikrodetik melintasi
yurisdiksi hukum lokal dan mungkin berbeda. Jika Anda diminta untuk menjelaskan hal ini di
pengadilan, Anda akan memerlukan bantuan dari CSP (yang tidak dapat dijamin karena
Anda tidak dapat memaksa mereka untuk memberikan bukti di pengadilan kecuali mereka
berada dalam yurisdiksi hukum Anda) atau Anda perlu mendapatkan ahli independen, seperti
arsitek awan, yang dapat memberikan pemahaman kepada pengadilan tentang bagaimana
data disimpan dalam arsitektur komputer awan. Memahami pemformatan log CSP di semua
komponen yang berbeda. Log peristiwa tidak memiliki format standar dan dapat direkam
menggunakan zona waktu dan format yang berbeda. Ini dibahas dalam Bab 11.
Ini adalah tanggung jawab penyelidik untuk memahami log dan mengidentifikasi apa yang
mereka katakan kepada Anda, sehingga mereka perlu distandarisasi menggunakan SIEM
atau perangkat lunak serupa.
Ini mungkin membantu ketika peristiwa keamanan cyber terjadi (atau bahkan dalam
penggunaan sehari-hari secara umum) jika CSP dapat memberikan umpan waktu nyata ke
dalam SIEM klien dan memiliki peringatan waktu nyata yang disediakan untuk merekam potensi
Machine Translated by Google
masalah. CSP dapat memberikan akses klien ke solusi pengelolaan log milik
mereka sebagai bagian dari layanan mereka.
Volume data yang disimpan. Layanan komputasi awan unggul dalam menyimpan
data dalam jumlah besar. Penyelidik perlu memahami batas-batas penyelidikan
mereka dan persis apa yang mereka cari sebelum mengamankan bukti. Jika
mereka diizinkan untuk mengunduh bukti langsung dari cloud, tuntutan pada
bandwidth perusahaan mungkin berlebihan. Ini membutuhkan banyak waktu dan
membawa biaya penyelidik digital yang mengawasi unduhan. Pengumpulan
bukti multiyurisdiksi . Seperti yang dijelaskan, arsitektur cloud berpotensi
melintasi banyak yurisdiksi hukum. Arsitektur juga menggunakan virtualisasi untuk
memperluas kapasitas dan layanan kepada klien. Server virtual dapat di-host
dari yurisdiksi yang tidak diketahui dan aplikasi dari pemasok yang berbeda
dapat dijalankan dari server virtual ini. Akibatnya, data yang dicari dapat tersebar
di beberapa yurisdiksi, dan arsitektur fisik CSP juga dapat melintasi yurisdiksi
hukum yang berbeda. Server virtual dapat di-host dari lokasi yang tidak diketahui
dan aplikasi yang di-host di lokasi lain sama sekali. Kemampuan untuk
menghubungkan tersangka dengan layanan atau aktivitas CSP. Komputasi
awan menyediakan banyak kemungkinan struktur untuk klien, menyediakan
berbagai tingkat akses ke log. Dalam semua kasus, beberapa log tidak dapat
diperoleh tanpa bantuan langsung dari CSP, karena log tersebut berada di
belakang firewall dan hypervisor CSP dan tidak dapat diakses kecuali oleh staf
CSP. Hypervisor adalah perangkat lunak atau perangkat yang mengoperasikan
sistem operasi VM.
Sayangnya, beberapa dari log ini (seperti log autentikasi) mungkin penting
untuk penyelidikan Anda dan bantuan langsung dari CSP untuk memastikan
pelestarian mungkin diperlukan.
Seperti halnya komputer yang terletak di atas meja, penyelidik harus
menemukan bukti untuk menghubungkan tersangka ke akun cloud yang sedang
diselidiki dan kejahatan yang diduga dilakukan. Beberapa bukti dapat ditemukan
di perangkat pribadi yang digunakan untuk terhubung ke akun cloud, seperti log
web yang menunjukkan waktu koneksi ke server cloud, log File Transfer Protocol
(FTP) yang menunjukkan data yang dihapus dari akun cloud ke eksternal. drive
portabel, dan sebagainya. Memvalidasi citra forensik awan. Karena infrastruktur
instans cloud bersifat dinamis, memperoleh gambar kedua dua menit setelah yang
pertama akan menghasilkan hasil yang berbeda meskipun tidak ada aktivitas
pengguna. Ini karena arsitektur sistem berubah saat data dipindahkan di latar
belakang oleh CSP per algoritme penyimpanannya.
Machine Translated by Google
Bagi penyelidik, ini berarti bahwa bukti log Anda berpotensi tidak selalu berada
di yurisdiksi hukum Anda, dan tergantung pada arsitektur cloud, mungkin berada di
negara asing. Jika Anda beruntung, layanan cloud akan sepenuhnya berada dalam
yurisdiksi Anda, artinya perintah pengadilan setempat dapat digunakan tanpa perlu
berurusan dengan yurisdiksi lain.
Machine Translated by Google
Jika Anda bahkan lebih beruntung, klien Anda dapat menggunakan layanan terkelola di
mana data log yang dihasilkan oleh CSP mereka diimpor ke usia penyimpanan lokal
mereka, di mana dapat diakses dengan mudah sesuai kebutuhan.
Karena log didesentralisasi dan lapisan yang berbeda dari platform cloud membuat
log yang berbeda dalam format yang berbeda, log dihasilkan dengan cepat dan dapat
disimpan untuk waktu yang sangat singkat karena tingkat besar log yang dihasilkan setiap
hari.
Seperti yang dibahas dalam Bab 11, menjaga keaslian file log cloud merupakan
tantangan yang perlu dipahami dan diatasi oleh penyelidik dunia maya dalam tahap
perencanaan investigasi mereka. Di lingkungan cloud, banyak layanan cloud terdiri dari
penyedia infrastruktur pihak ketiga, dan Anda mungkin tidak menemukan pihak yang
memiliki akses langsung ke semua log yang Anda perlukan.
Contoh log yang mungkin dihasilkan termasuk yang berasal dari antimal ware, (IDS)
Intrusion Prevention System (IPS), manajemen kerentanan, dan perangkat lunak akses
jarak jauh, dan yang berasal dari proxy web, server otentikasi, router, dan firewall. Contoh
log OS termasuk peristiwa sistem dan catatan audit. Beberapa program aplikasi
menghasilkan log mereka sendiri. Contohnya termasuk permintaan klien dan tanggapan
server, informasi akun, informasi pengguna, dan tindakan operasional yang signifikan.40
Apa arsitektur CSP? Apakah mereka menggunakan sumber daya dari CSP lain atau
pemasok pihak ketiga? Pemasok cloud datang dalam berbagai bentuk dan ukuran. Seperti
disebutkan sebelumnya, CSP hanya dapat menggunakan infrastruktur dan rangkaian
aplikasi mereka sendiri untuk membuat produk cloud mereka, yang berarti mereka memiliki
visibilitas atas infrastruktur lengkap layanan cloud mereka. Namun, banyak penyedia cloud
menggunakan penyedia pihak ketiga untuk menyediakan aspek infrastruktur mereka, dan
perusahaan yang menjual layanan akan memiliki visibilitas terbatas atas infrastruktur dan
cara pengoperasiannya.
Relevansinya bagi penyelidik adalah bahwa ketika mereka mencari bukti berbasis
cloud, perlu ditentukan siapa dan berapa banyak pihak berbeda dalam CSP yang perlu
mereka hubungi untuk mendapatkan bukti. Memperoleh log dari banyak pemasok
merupakan tantangan tersendiri, tetapi ini juga perlu disesuaikan dengan yang berasal dari
penyedia infrastruktur. Mengidentifikasi di mana pelanggaran itu benar-benar terjadi.
Karena mungkin ada banyak yurisdiksi hukum yang terlibat, pahami di mana pelanggaran itu
sebenarnya dilakukan. Karena suatu tindakan merupakan pelanggaran di wilayah hukum
Anda tidak berarti tindakan tersebut merupakan pelanggaran di wilayah hukum asing
tempat tersangka tinggal dalam kasus serangan dunia maya. Meretas komputer dan
Machine Translated by Google
Jika ada persyaratan untuk memenuhi rintangan ini, CSP akan diminta untuk
membantu dalam penyajian bukti. Meskipun mereka mungkin lebih memilih untuk
menangkap bukti itu sendiri dan menyajikannya sebagai bukti yang mereka
tangkap secara sah, ini adalah salah satu dari banyak masalah yang perlu
ditangani oleh penyelidik sebelum proses pengambilan bukti dimulai.
Pertanyaan tentang bukti berbasis cloud. Karena bukti berbasis cloud jarang
ditantang secara serius di depan pengadilan, penyelidik
Machine Translated by Google
mungkin tidak memiliki arahan yudisial dalam menentukan apa yang diperlukan pengadilan
untuk memverifikasi keaslian dan kredibilitas data yang diperoleh. Selain itu, pertanyaan
tentang yurisdiksi dan legalitas perintah pengadilan lokal yang sebagian dieksekusi di
yurisdiksi hukum asing belum diselesaikan, dan oleh karena itu tidak ada arahan yudisial
yang akan tersedia bagi penyelidik dunia maya mengenai masalah ini. Akibatnya, penyidik
akan mempertimbangkan untuk beroperasi di bawah aturan bukti yang ditetapkan yang
disetujui oleh pengadilan di yurisdiksi tertentu, seperti yang telah dibahas sebelumnya.
Kapasitas penyimpanan yang cukup. Bukti dari cloud bisa menjadi signifikan
Pemulihan data yang dihapus. Tergantung pada produk cloud yang digunakan, akan ada
berbagai tingkat akses ke data yang dihapus, yang dapat memberikan bukti berharga.
Tersangka memiliki akses jarak jauh terus-menerus ke perangkat yang disusupi dan
server cloud. Di dunia kita yang semakin terancam, tersangka mungkin memiliki kemampuan
untuk mengakses server cloud dari jarak jauh dan menghapus bukti yang ingin disita oleh
pemeriksa forensik atau penyelidik dunia maya. Untuk memperumit masalah lebih lanjut,
penyelidik mungkin tidak pernah tahu tersangka telah mengakses bukti cloud dari jarak jauh
dan menghapusnya.
Kurangnya kemampuan untuk memaksa orang-orang di yurisdiksi luar negeri untuk
mendukung penuntutan. Seorang pegawai CSP mungkin merupakan saksi yang kompeten
tetapi tidak dapat dipaksakan, artinya mereka tidak dapat dipaksa untuk memberikan bukti
dalam penuntutan. Ini akan mengurangi kemampuan untuk menyajikan bukti berbasis cloud,
tergantung pada keputusan pengadilan. Memperoleh gambar virtual perangkat atau
server mungkin tidak menangkap data yang diperlukan, seperti data yang dihapus.
Gambar VM tidak memiliki akses
Machine Translated by Google
Kiat yang Disarankan untuk Membantu Investigasi Berbasis Cloud Anda 203
ke log jaringan, yang disimpan oleh CSP. Tergantung pada produk cloud yang digunakan,
mungkin tidak ada akses ke log autentikasi. Setelah data dihapus di VM, mungkin sulit
atau tidak mungkin untuk dipulihkan. Data terenkripsi. Enkripsi data adalah perlindungan
standar dalam keamanan dunia maya. Tergantung pada produk cloud yang digunakan di
lingkungan cloud (seperti IaaS), data yang Anda cari mungkin dienkripsi tetapi kunci
enkripsi mungkin tidak disimpan di lingkungan cloud dan mungkin tidak tersedia untuk
keamanan CSP. Ini sangat relevan dengan petugas penegak hukum yang sedang
menyelidiki tersangka yang memiliki bukti yang disimpan di layanan cloud.
Seperti yang telah kita lihat, menyelidiki di cloud bisa menjadi lingkungan yang sangat
menantang karena banyak alasan yang dibahas di seluruh bab ini. Ini, bagaimanapun, tidak
berarti bahwa bukti berada di luar penyidik atau penyelidikan tidak boleh dilakukan. Ini berarti
bahwa penyelidik harus memahami dan menghormati lingkungan yang menantang ini dan
bahwa memperoleh bukti dari lingkungan komputasi awan bukanlah bisnis seperti biasa.
CSP menyediakan produk yang sah dan tidak suka layanan mereka disalahgunakan oleh
entitas kriminal. Banyak masalah yang dibahas dalam bab ini dapat dinavigasi dengan
komunikasi terbuka dengan CSP di awal investigasi.
Berikut beberapa ide untuk memajukan penyelidikan Anda.
Jalin kerjasama dengan CSP sebelum kejadian. Di dunia yang sempurna, mendapatkan
akses ke staf yang dibutuhkan di CSP akan semudah menanggapi insiden seperti saat
fase rekrutmen. Namun, ini tidak selalu terjadi. Direkomendasikan agar pemilik data
mendapatkan rincian kontak darurat dari orang-orang kunci di CSP mereka jika terjadi
insiden, dan informasi ini dimasukkan ke dalam rencana Incident Response (IR) mereka.
Hubungi CSP di awal penyelidikan. Isu-isu yang dibahas dalam bab ini bukanlah hal baru
dan pengacara CSP dan penyelidik digital memiliki kemampuan untuk sangat membantu
Anda. Seperti yang telah disebutkan secara teratur dalam ini
Machine Translated by Google
bab, memulai kontak pada awal penyelidikan dan mencari nasihat berpengalaman
mereka. Anda tidak akan menjadi penyelidik pertama yang menavigasi masalah ini, dan
jika Anda bertanya, CSP akan dapat membantu Anda mengatasi banyak masalah ini.
Bekerja dengan pengacara yang memahami lingkungan cloud dan kewajiban
kontrak dengan CSP. Sebelum memulai perolehan bukti, pastikan legalitas tindakan Anda
setelah mendiskusikannya dengan pengacara Anda dan pengacara CSP. Konsekuensi
dari kesalahan ini bisa sangat serius bagi tim investigasi dan pelapor.
Menetapkan persetujuan akses ke bukti, termasuk kayu bulat, sebelum insiden terjadi.
Memperoleh akses ke kayu umumnya perlu dilakukan dengan persetujuan CSP; namun,
log sering kali ditimpa karena banyaknya ruang yang digunakan seiring waktu. Akibatnya
pemilik data dapat membuat pengaturan agar log mereka disimpan sebagai bagian dari
perjanjian mereka atau untuk direkam ke perangkat eksternal di bawah kendali mereka.
Identifikasi sumber data yang relevan sebelum kejadian. Memiliki pemahaman tentang
data yang dapat diperoleh dari produk komputasi awan memungkinkan penyelidik untuk
memulai fase identifikasi bukti dan penyitaan dengan pengetahuan tentang batas-batas
tempat mereka beroperasi. Sebelumnya di bab ini, “Apa itu Cloud Computing?”
menjelaskan tiga konfigurasi utama dari bukti berbasis cloud dan apa yang dapat
diperoleh dengan dan tanpa dukungan langsung dari CSP.
Tentukan ambang batas untuk penyelidikan dan pemanggilan penegak hukum dari
awal. Batas-batas investigasi perlu ditetapkan dalam pertemuan awal dengan pelapor.
Namun, seperti yang akan diketahui oleh banyak penyelidik berpengalaman, batas-batas
ini dapat meluas seiring pemahaman yang lebih besar tentang peristiwa-peristiwa yang
terungkap dan skala aktivitas pelaku diketahui.
Memanggil polisi untuk penyelidikan dapat terjadi kapan saja antara penemuan awal
peristiwa dan penyelesaian penyelidikan, ketika laporan penyelidikan faktual dapat
diselesaikan untuk rujukan. Tidak semua hal akan dibawa ke polisi, dan apakah
pemberitahuan itu dibuat akan tergantung pada banyak hal, termasuk keseriusan acara
tersebut.
Ketika tampaknya suatu peristiwa sangat serius, panggilan telepon awal ke unit
kejahatan dunia maya polisi mungkin terbukti bermanfaat. Laporan online mungkin menyusul.
Contoh fasilitas pelaporan online antara lain:
Amerika Serikat . Pusat Pengaduan Kejahatan Internet (IC3), yang dapat
berlokasi di https://www.ic3.gov/default.aspx
Machine Translated by Google
Kiat yang Disarankan untuk Membantu Investigasi Berbasis Cloud Anda 205
Australia . Portal Australian Cybercrime Online Reporting Network (ACORN), yang dapat
ditemukan di www.acorn.gov.au Inggris . Polisi Metropolitan menyediakan fasilitas
pelaporan online untuk penipuan, termasuk kejahatan dunia maya, yang dapat ditemukan di
https://www.met.police.uk/ro/report/fo/fraud Masing-masing sistem ini memberikan nilai
bagi pelapor yang melaporkan kejahatan dunia maya melintasi perbatasan internasional.
Lembaga penegak hukum penerima menyebarkan pengaduan ke seluruh negeri ke
instansi di mana tersangka diyakini bertempat tinggal atau merujuknya ke yurisdiksi tempat
pengaduan akan memperoleh pemahaman yang lebih menyeluruh tentang kejahatan yang
dilaporkan.
Memahami sikap CSP terhadap pemeriksaan forensik jarak jauh. Ada banyak masalah yang
harus ditangani ketika berusaha memahami sikap CSP terhadap layanan forensik jarak jauh
yang dilakukan di server mereka. Beberapa adalah:
Saat data dihapus, bagaimana CSP dapat menentukan apakah klien atau penegak hukum
menyalin data karena alasan hukum? Peretasan ke server cloud melalui mesin klien
terlihat sama di CSP
CSP khawatir bahwa alat forensik yang digunakan dapat mengumpulkan data klien lain
bersama dengan data klien yang Anda cari. CSP prihatin dengan tuntutan bandwidth
yang terlibat dalam menghapus data klien, terutama klien korporat mapan yang mungkin
memiliki banyak terabyte data yang sedang diunduh.
CSP telah menyatakan bahwa jika pemeriksa forensik menyebabkan kerusakan pada
infrastruktur fisik atau virtual mereka saat melakukan pemeriksaan, mereka berhak untuk
memulai tindakan hukum terhadap klien mereka.
Machine Translated by Google
Karena komputasi awan adalah platform yang sangat berbeda bagi penyelidik untuk beroperasi
di dalamnya, cara di mana bukti diperoleh dapat menimbulkan tantangan hukum dan logistik.
Jika server awan sepenuhnya berada dalam yurisdiksi lokal Anda, banyak masalah yang
dibahas tidak akan relevan; namun, mengingat cara server cloud dibangun di seluruh dunia,
ada kemungkinan besar bahwa pada tahap tertentu dalam karier Anda, Anda akan mencari
bukti dari server komputasi awan di yurisdiksi internasional asing.
Bagian berikut menyajikan metodologi yang diusulkan yang dapat digunakan untuk
memperoleh bentuk bukti ini secara legal. Ini adalah metodologi yang diusulkan saja, dan
undang-undang di yurisdiksi hukum Anda akan mempengaruhi relevansi proposal ini. Seperti
banyak ide yang disajikan di seluruh buku ini, gunakan itu sebagai dasar untuk memperluas
pemikiran Anda tentang masalah hukum dan logistik yang mungkin Anda hadapi dan modifikasi
sesuai kebutuhan.
Sepanjang metodologi adalah referensi ke lembaga penegak hukum yang menggunakan
surat perintah MLAT sesuai dengan keadaan. Meskipun penyelidik sipil tidak memiliki akses
ke surat perintah ini, mereka dapat mengakses bantuan hukum menggunakan perintah
pengadilan di yurisdiksi target. Faktanya, penyidik sipil mungkin dapat memajukan penyelidikan
mereka lebih cepat daripada rekan penegak hukum mereka, karena proses MLAT dikenal
berbelit-belit dan birokratis.
Bagan alir juga mencoba untuk memasukkan proses penyidikan pidana dan perdata,
yang diidentifikasi dalam penjelasan yang diberikan untuk setiap langkah.
Gambar 12.1 menunjukkan kerangka kerja yang dapat digunakan dalam komputasi awan
lingkungan.
Machine Translated by Google
LANGKAH 1–17
S6. Bisakah
Untuk 28
bukti diperoleh dengan
S4. Identifikasi di mana
bukti cloud berada? persetujuan CSP?
S1. Identifikasi apakah Untuk 28
pidana atau perdata
S5. Hubungi departemen hukum
keluhan CSP untuk menentukan bukti
tersedia dan meminta
pelestarian bukti
Tidak ada Persetujuan
Ya
S10. Pertimbangkan
Butuh Bukti
Tidak
LANGKAH 18–22
Untuk 28
Izin
Untuk 28
pelapor bersama
Untuk 23
Dari 32
LEA
Dari 32
Non LEA Ya, LEA
S19. Memperoleh
bukti asing
S18. Pertimbangkan
Dari 17 legalitas dan kelayakan Untuk 30
LANGKAH 23–36
Dari 6
S32. Pertimbangkan
ke 22
perlunya perintah
Ya, bukan LEA pengadilan lebih lanjut
ke 20
Dari 18
Ya, sah
Tergantung pada situasinya, mungkin ada argumen kuat untuk salah satu opsi ini.
Penyelidik penegak hukum akan menilai apakah peristiwa tersebut cukup serius untuk
melakukan apa yang mungkin merupakan penyelidikan internasional jika dibandingkan
dengan pengaduan lain yang mereka proses, dan apakah
Machine Translated by Google
pelanggarannya cukup serius untuk mencapai ambang batas yang diatur dalam undang-
undang MLAT.
Penyidik sipil akan terus memantau biaya penyidikan terhadap anggaran yang
disediakan. Biaya hukum internasional mungkin sangat mahal dan pada akhirnya terbukti
menjadi penghalang untuk memajukan penyelidikan melewati anggaran awal yang
ditetapkan.
Jika penyelidikan akan dilanjutkan, lanjutkan ke langkah 4. Jika tidak, diskusikan
opsi lain dengan pelapor, seperti memulai prosedur pemulihan bencana dan meningkatkan
keamanan jaringan.
Langkah 4: Identifikasi di mana bukti cloud berada.
Menilai apakah bukti potensial yang akan diperoleh dari server cloud melibatkan
lokasi dan penyitaan bukti dari domestik atau
yurisdiksi internasional. Pengadu mungkin dapat memberikan saran apakah data CSP
mereka disimpan di wilayah tertentu atau yurisdiksi internasional. Jika pelapor tidak dapat
mengidentifikasi hal ini, disarankan untuk berkomunikasi dengan pengacara CSP. Jika
bukti terletak di dalam yurisdiksi lokal, lanjutkan penyelidikan menggunakan metodologi
pengumpulan bukti tradisional dan minta penyimpanan bukti. Jika bukti berada di yurisdiksi
internasional atau tidak diketahui, tanyakan kepada CSP.
Maju ke langkah 5.
Langkah 5: Hubungi departemen hukum CSP untuk menentukan bukti apa yang
tersedia dan minta agar bukti disimpan.
Diskusikan bukti apa yang tersedia dan apa yang mungkin telah ditimpa.
Pasal 29 Konvensi Budapest menyatakan bahwa penyidik penegak hukum dapat meminta
agar CSP atau otoritas pusat, terkait dengan undang-undang MLAT, menyimpan salinan
data yang dicari sambil menunggu layanan instrumen hukum yang mengizinkan pelepasan
data tersebut. Meskipun CSP menyalin data mereka untuk cadangan, tidak semua data
yang dibuat di pusat data dapat direplikasi di luar negara itu karena undang-undang
setempat, seperti di UE. Pertimbangkan apakah tersangka masih memiliki akses ke
formulir cloud plat yang berpotensi melakukan pelanggaran lebih lanjut atau menghapus
bukti. Juga menyarankan pelapor untuk memperbarui pengaturan keamanan dan kata
sandi untuk mencegah pengulangan serangan.
Penyelidik sipil juga harus mencari dukungan dari tim hukum CSP dan mengidentifikasi
perintah hukum mana yang harus mereka cari untuk mendapatkan semua bukti yang ada.
Isu-isu yang diidentifikasi di bagian sebelumnya juga dapat didiskusikan dengan CSP saat
ini.
Maju ke langkah 6.
Machine Translated by Google
Langkah 11: Apakah ada cukup bukti untuk mendapatkan perintah pengadilan?
Apakah ada cukup bukti yang tersedia untuk memuaskan otoritas kehakiman di
semua yurisdiksi ketika mencari perintah pengadilan untuk bukti dari platform cloud
bahwa suatu pelanggaran telah dilakukan dan bahwa bukti tersebut ada pada CSP?
Kegagalan untuk membuktikan poin ini mengurangi potensi untuk mendapatkan perintah
pengadilan dari salah satu yurisdiksi. Ini berlaku sama untuk penyidik pidana dan
perdata. Jika ada bukti yang cukup, lanjutkan ke langkah 12. Jika tidak, lihat kembali ke
langkah 2 dan tinjau kembali bukti yang ada.
Langkah 12: Identifikasi jumlah perintah pengadilan yang diperlukan.
Identifikasi dari diskusi dengan CSP apakah beberapa perintah pengadilan perlu
diperoleh untuk bukti yang diadakan di yurisdiksi hukum yang berbeda. Sifat
penyimpanan cloud yang multiyurisdiksi, di mana lokasi bukti potensial didistribusikan
ke banyak server yang berbeda, dan berpotensi di yurisdiksi hukum yang berbeda, telah
dibahas secara teratur di bagian lain buku ini. Ini sangat relevan ketika CSP adalah
reseller cloud
jasa.
Meskipun teknologi tersedia untuk melakukan pemeriksaan forensik jarak jauh dari
komputer target, hal ini seharusnya hanya menjadi pertimbangan ketika masalah legalitas
di semua yurisdiksi, kerjasama CSP, dan kelengkapan bukti yang dicari telah ditangani
sepenuhnya. Kegagalan untuk memperhitungkan secara sah pengumpulan data dapat
mengakibatkan bukti dikeluarkan dari proses pengadilan dan pihak yang melakukan
pengambilan data di yurisdiksi terpencil dapat menghadapi proses hukum di yurisdiksi
tersebut. Juga, tidak dapat membuktikan penangkapan data yang sah dapat membuat
bukti tidak dapat diterima. Jika keputusan dibuat untuk tidak menggunakan teknologi ini,
lanjutkan ke langkah 19; jika secara teknis dan hukum mampu melakukannya, lakukan
penangkapan bukti dan lanjutkan ke langkah 30.
Jika Anda seorang penyelidik sipil, Anda akan melanjutkan ke langkah 22 setelah langkah 19;
sebagaimana disebutkan sebelumnya, langkah 20 dan 21 hanya berlaku untuk penyidik penegak hukum.
Penyelidik Sipil
Langkah 22: Siapkan dan serahkan dokumentasi hukum.
Penyelidik sipil perlu menginvestasikan waktu dengan para pengacara di yurisdiksi
mereka saat mereka mempersiapkan permintaan bukti internasional mereka. Sebuah
kemitraan perlu dibentuk dengan pengacara di yurisdiksi asing.
Lanjut ke langkah 23.
Penyidik penegak hukum akan melanjutkan dari langkah 21 hingga 23; sipil
penyidik dari langkah 22 ke langkah 23.
Perhatikan bahwa aplikasi MLAT dari luar Amerika Serikat mungkin membutuhkan
waktu yang sangat lama untuk melewati lapisan birokrasi. Bukan hal yang aneh jika
permintaan MLAT memakan waktu hingga dua tahun dari waktu persiapan untuk
mendapatkan bukti dari CSP. Banyak CSP tidak mengetahui lapisan birokrasi yang terlibat
dan mungkin perlu diberi tahu bahwa penundaan antara permintaan penyimpanan bukti
dan perintah pengadilan yang mengizinkan pembebasannya bukanlah kesalahan penyidik.
data yang dapat dihasilkan oleh perintah pengadilan dan berapa banyak kapasitas penyimpanan
yang Anda perlukan.
Maju ke langkah 30.
Langkah 30: Pemeriksaan forensik bukti setelah diperoleh.
Setelah menerima bukti, teknik forensik tradisional dapat
diterapkan tergantung pada format di mana bukti diperoleh.
Lanjutkan ke langkah 31.
Langkah 31: Legalitas kepemilikan bukti.
Pertimbangan perlu dibuat dari sifat bukti yang dicari. Jika Anda mendapatkan
gambar virtual materi di akun cloud yang berhasil Anda cari, Anda mungkin menemukan
selama pemeriksaan materi ilegal, seperti IP curian, identitas palsu, nomor kartu kredit
curian, atau CEM. Jika Anda menemukan materi ini, segera dapatkan nasihat hukum
dan hubungi polisi setempat untuk mendapatkan arahan.
Jika bukti berbasis cloud diperlukan untuk diperkenalkan di pengadilan sebagai bukti,
pertimbangan harus diberikan mengenai kompleksitasnya dan kemampuan hakim dan juri untuk
memahaminya. Untuk membantu dalam hal ini, pertimbangkan penggunaan ahli independen.
Bab ini telah menyediakan sebuah template untuk dipertimbangkan dan dimodifikasi oleh
penyidik sipil dan penegak hukum. Ini tidak dimaksudkan sebagai panduan definitif, tetapi memberikan
dasar yang dapat dimodifikasi untuk memenuhi keadaan unik penyelidikan Anda dan batasan hukum
di mana Anda beroperasi. Sebagai poin terakhir yang harus diulang, Anda kemungkinan akan
beroperasi di beberapa yurisdiksi hukum, jadi selalu pertimbangkan legalitas yurisdiksi hukum target
dan carilah nasihat hukum profesional.
John (bukan nama sebenarnya) bekerja di posisi teknis di sebuah perusahaan yang sukses.
Dia sangat dihormati dan menghasilkan pekerjaan berkualitas tinggi bersama dengan dua
karyawannya. Namun, tanpa diketahui manajemen, John naksir salah satu staf wanitanya yang tak
terbalas.
Bisnis mengalami penurunan di pasar dan memutuskan untuk membiarkan beberapa staf
pergi, salah satunya adalah wanita yang membuat John tergila-gila. Pada hari dia diberitahu bahwa
dia akan meninggalkan perusahaan, dia sangat marah dan secara agresif melawan manajemen agar
dia mempertahankan pekerjaannya. Sementara paket pesangon itu murah hati dengan dukungan
pelatihan, John menolak untuk mengizinkannya meninggalkan perusahaan tanpa perlawanan.
Sebagai tanda solidaritas yang sangat terlihat, John mengundurkan diri dari posisinya dan
memastikan semua staf mengetahui alasannya. Setelah pertemuan di mana dia diberi kesempatan
untuk mempertimbangkan kembali keputusannya dalam beberapa hari mendatang, John bersikeras
bahwa dia akan pergi pada waktu yang sama dengan karyawannya.
Setelah pengunduran dirinya diterima dengan enggan, dia kembali ke mejanya dan bekerja di
depan komputernya selama beberapa menit sebelum keluar dari kantor.
Machine Translated by Google
Rekan-rekan pekerja curiga dengan tindakannya dan memutuskan untuk memeriksa aktivitasnya.
Karena komputernya tidak dimatikan, mereka dapat memeriksa emailnya, di mana mereka
menemukan bahwa dia telah meneruskan seluruh IP perusahaan, yang secara konservatif bernilai
$15 juta, ke akun komputasi awan pribadinya.
Pengaduan segera dilakukan ke polisi dan permintaan pelestarian diajukan ke CSP melalui
otoritas MLAT dan dengan kerja sama CSP. Permintaan tersebut meminta salinan akun cloud
tersangka, termasuk metadata.
Kekhawatiran langsung dari pelapor dan polisi adalah apa yang dilakukan tersangka
dengan data tersebut sejak dia meninggalkan kantor. Saat dikirim ke akun cloud, dia bisa
memindahkannya ke beberapa lokasi serta mengunduh salinan ke komputer rumahnya dan
perangkat penyimpanan eksternal. Penyebab kekhawatiran lainnya adalah bahwa pesaing
berusaha untuk mendapatkan IP perusahaan, termasuk melalui penawaran untuk membeli
perusahaan, dan jika John telah melepaskan IP kepada mereka, pelapor secara efektif
menghadapi kebangkrutan dalam waktu enam bulan.
Karena data berada di cloud pribadi tersangka, pelapor dan polisi tidak memiliki akses ke
sana untuk mencegah pelanggaran lebih lanjut sementara tahap awal penyelidikan berlanjut.
Surat perintah penggeledahan dieksekusi di alamat tempat tinggal John malam itu, karena
hubungan dapat dibuat antara pencurian data dan rumahnya. John sangat terkejut dengan polisi
yang menggerebek rumahnya dan menyatakan bahwa dia percaya paling buruk dia akan
bertanggung jawab untuk sidang Pengadilan Ketenagakerjaan dan bukan penyelidikan kriminal
untuk pencurian properti senilai $15 juta. Dia membuat pengakuan penuh, dan meskipun hukum
menjelaskan kepadanya, dia menolak untuk percaya bahwa dia telah melakukan kesalahan (yang
sangat umum ketika karyawan mengambil data perusahaan ketika mereka pindah ke pekerjaan
baru).
Meskipun dia telah menandatangani dokumen pada awal pekerjaannya yang menyatakan
bahwa dia tidak memiliki kepemilikan atau hak atas KI yang telah dia bantu kembangkan, dia
merasa bahwa saat dia bekerja di KI, dia memiliki hak untuk menyalinnya. ketika dia meninggalkan
perusahaan. Dia juga suka menyimpan koleksi karya terbaiknya, termasuk IP perusahaan dalam
jumlah besar, untuk resumenya.
Pemeriksaan perangkat komputer pribadinya menunjukkan bahwa dia belum mengunduh
IP dari layanan cloud. Pemeriksaan layanan cloud menunjukkan bahwa dia tidak memindahkan
IP ke akun lain mana pun. Pemeriksaan komputernya di rumah mengidentifikasi bahwa dia telah
mengambil beberapa salinan IP perusahaan selama tahun sebelumnya serta file personel, gaji,
dewan, dan manajemen.
Dalam hal ini, motivasi pelaku yang biasa tidak berlaku dan alasan kejahatan dipandang
tidak rasional. Namun, motivatornya adalah
Machine Translated by Google
Catatan 221 _
sangat penting baginya dan memotivasinya untuk melakukan tindak pidana yang sangat
serius.
Meskipun dia telah mengakui pelanggaran tersebut, karena buktinya tersebar melalui
yurisdiksi internasional melalui cloud, dia masih memiliki akses ke IP dan masih dapat
menyebabkan kerusakan pada perusahaan. Begitu dia mengetahui seberapa banyak
masalah yang dia hadapi, dia memutuskan untuk membantu polisi dalam penyelidikan
mereka dan setuju untuk menandatangani kepemilikan akun cloud ke layanan polisi, di
mana kata sandi dan opsi pemulihan akun diubah.
Komputer disita dengan bukti yang dihapus dari semua salinan IP setelah proses
pengadilan selesai.
CATATAN
6. Christopher Hooper, Ben Martini, dan Kim-Kwang Raymond Choo, “Cloud Computing
and Its Implications for Cybercrime Investigations in Australia,” Computer Law and
Security Review 29 (2013): 152–163, https://doi.org/ 10.1016/j.clsr.2013.01.006.
.semanticscholar.org/366e/05c9bb441247afee11f97f125c9a5ce0fc2a .pdf.
9. Keyun Ruan, Joe McCarthy, Tahar, Kechadi, dan Mark Crosbie, “Cloud Forensics:
An Overview,” 2011, Center for Cybercrime Investigation, University College
Dublin, https://www.researchgate.net/publication/
229021339_Cloud_forensics_An_overview.
10. Graeme Edwards, “Investigating Cybercrime in a Cloud-Computing
Environment” (tesis doktoral, Queensland University of Technology, 2016).
11. George Grispos, Tim Storer, dan William Bradley Glisson, “Calm Before the
Storm: The Challenges of Cloud Computing in Digital Forensics,”
Jurnal Internasional Kejahatan Digital dan Forensik 4 (2012), http://doi.org/
10.4018/jdcf.2012040103.
12. Neha Thethi dan Anthony Keane, “Investigasi Forensik Digital di Cloud,” dalam
Prosiding Konferensi Komputasi Lanjut IEEE 2014 (Gurgaon, India, 21–22
Februari 2014), https://ieeexplore.ieee.org/ document /6779543.
17. John Cauthen, “Executing Search Warrants in the Cloud,” FBI Law Enforcement
Bulletin, 7 Oktober 2014, https://leb.fbi.gov/articles/feature-articles/executing-
search-warrants-in-the- awan.
18. Allison Stanton dan Andrew Victor, “Apa yang Kita Lihat di Awan: Tinjauan Praktis
Litigasi Terhadap dan Atas Nama Organisasi yang Menggunakan Komputasi
Awan,” Buletin Pengacara Amerika Serikat 59, no. 3 (2011): 34–43.
19. Mark L. Krotoski dan Jason Passwaters, “Menggunakan Analisis Bukti Log untuk
Menunjukkan Aktivitas Internet dan Komputer dalam Kasus Pidana,” Buletin
Pengacara Amerika Serikat 59, no. 6 (2011): 1–15.
Machine Translated by Google
Catatan 223 _
20. Dennis Stewart, “Tantangan dengan Cloud Forensics, Masters of Cybercrime and
Security,” Utica College, 2014.
21. Scott Zimmerman dan Dominick Glavach, Forensik Cyber di Cloud, IAnewsletter
14, no. 1 (2011): 4–7.
22. Bernd Grobauer dan Thomas Schreck, “Menuju Penanganan Insiden di Cloud:
Tantangan dan Pendekatan,” dalam Prosiding Lokakarya Keamanan Cloud
Computing ACM ke-2 (Chicago, IL, 2010).
23. Joseph Schwerha, “Tantangan Penegakan Hukum dalam Akuisisi Bukti Elektronik
Lintas Batas dari 'Penyedia Cloud Computing,'” Januari 2010, Council of Europe.
24. Winston Maxwell dan Christopher Wolf, “A Global Reality: Government access to
Data in the Cloud,” (buku putih, Juli 2012, HI Data Protection).
25. Ivana Deyrup dkk., Komputasi Awan dan Hukum Keamanan Nasional, 2010,
Hukum.
26. Stephen Mason dan Esther George, “Bukti Digital dan Komputasi Awan,” Tinjauan
Hukum dan Keamanan Komputer 27, no. 5 (2011): 524–528. https://doi.org.10.1016/
j.clsr.2011.07.005.
27. Cristos Velasco San Martin, “Aspek Yurisdiksi Cloud Computing,”
Dewan Eropa.
28. Connie Carnabuci dan Heather Tropman, “The Cloud and US Cross-Border Risks,”
Austlii.
29. Todd Shipley, “Pengumpulan Bukti dari Internet: Bagian 2,” Forensik
Majalah, 2009.
30. Josiah Dykstra, “Merebut Barang Bukti Elektronik dari Cloud Computing Plat
formulir, "ResearchGate.
31. Konstitusi Amerika Serikat 1788, diakses 3 April 2014, https://www
.wdl.org/en/item/2708.
32. Kode Amerika Serikat 1874, diakses 2 April 2014, http://uscode.house
.gov/detailed_guide.xhtml.
33. Loi Informatique et Liberties 1978 Chapter XII (Prancis), diakses 22 Desember
2018, https://www.cnil.fr/sites/default/files/typo/document/ Act78-17VA.pdf.
34. John Haried, “Mobil Terbang dan Kacamata Web: Bagaimana Revolusi Digital
Mengubah Penegakan Hukum,” Buletin Pengacara Amerika Serikat 59, no. 3
(2011): 2–15, https://www.justice.gov/sites/default/files/usao/legacy/ 2011/07/08/
usab5903.pdf.
35. Kelompok Kerja Ilmu Forensik Cloud Computing NIST, Tantangan Ilmu Forensik
Cloud Computing NIST, Draf NISTIR 8006, Juni 2014,
Machine Translated by Google
36. Andrew Goldsmith, "Tren atau Kekurangannya dalam Kriminal eDiscovery: Survei
Pragmatis Hukum Kasus Terbaru," Buletin Pengacara Amerika Serikat 59, no. 3
(2011): 2–15, https://www.justice.gov/sites/default/files/usao/ legacy/2011/07/08/
usab5903.pdf.
37. Amerika Serikat v. Cross, WL 3233267 (EDNY Okt. 2009).
38. Christopher Marsico, “Bukti Komputer v. Daubert: The Coming Con
konflik,” Universitas Perdue.
39. Aliansi Keamanan Cloud, “Kategori Layanan yang Ditentukan 2011.”
40. Karen Kent dan Murugiah Souppaya, Panduan Manajemen Log Keamanan Komputer,
Publikasi Khusus 800-92, September 2006, Institut Standar dan Teknologi Nasional,
Departemen Perdagangan Amerika Serikat.
41. Janet Williams, Panduan Praktik Baik ACPO untuk Bukti Digital, Maret 2012, Asosiasi
Kepala Polisi.
Machine Translated by Google
SEPERTI mengganggu.
TEKNOLOGIDengan diperkenalkannya
berkembang, teknologi
perannya dalam generasikita
kehidupan barumenjadi lebih
ke rumah, tempat kerja, area komunitas, dan ruang lain kita, dengan cepat
mencapai tahap di mana hanya sedikit yang dapat dilakukan orang yang terhubung
yang tidak direkam pada perangkat digital di suatu tempat. Sementara diskusi terpisah
dapat diadakan tentang relevansi privasi dan keamanan dari pemantauan teknologi dan
pembuatan profil kepribadian DNA pada individu, bab ini menempatkan fokus pada
bagaimana penyelidik dapat menggunakan teknologi ini untuk memajukan penyelidikan mereka.
Generasi baru perangkat terhubung ini disebut "Internet of Things" dan menjadi mapan
di masyarakat dan kehidupan kita.
Internet of Things (IoT) mengacu pada miliaran perangkat yang terhubung ke Internet.
Meskipun kita terbiasa dengan komputer dan telepon yang terhubung, sekarang kita
memiliki pengering, lemari es, termostat, dan komponen mobil yang terhubung, serta
rumah dan gedung pintar. Sementara banyak perangkat IoT pada awalnya mungkin
tidak dianggap relevan dengan kejahatan dunia maya
225
Buku Pegangan Penyidik Kejahatan Dunia Maya, Edisi pertama. Graeme Edwards,
PhD. © 2020 John Wiley & Sons, Inc. Diterbitkan 2020 oleh John Wiley & Sons, Inc.
Machine Translated by Google
penyelidik, dengan sedikit pemikiran lateral mereka dapat menjadi sangat relevan dan memberikan
bukti yang sebelumnya tidak dapat dicapai.
Contoh perangkat IoT yang mungkin relevan dengan penyelidik (tidak termasuk perangkat
tradisional seperti komputer) termasuk sensor di gedung, perangkat akses kartu gesek, sensor
cahaya; Periferal kendaraan bermotor berkemampuan Bluetooth, kamera keamanan jarak jauh, dan
banyak lagi. Masing-masing dan banyak lagi mungkin relevan untuk memahami bagaimana
pelanggaran keamanan terjadi dan menempatkan orang tertentu di lokasi tertentu pada titik waktu
tertentu saat dugaan pelanggaran terjadi. Cakupan perangkat IoT yang dapat digunakan untuk
membantu penyelidik hanya dibatasi oleh pemahaman mereka tentang perangkat digital apa, atau
mungkin, di TKP.
Ide dengan perangkat IoT adalah untuk memahami apa yang dilakukan perangkat dan data apa
yang ditangkapnya. Asisten rumah akan menangkap banyak data yang dapat memberikan bukti
kepada penyelidik kriminal tentang siapa yang berada di TKP pada saat pembunuhan. Bangunan
pintar dapat memberikan bukti kepada penyelidik kejahatan dunia maya tentang siapa yang berada di
balik keyboard komputer yang disusupi pada pukul 14:00 ketika Kekayaan Intelektual (IP) perusahaan
disalin.
Bab ini berupaya memperluas pemikiran penyelidik kejahatan dunia maya sehingga lingkungan
IoT dimasukkan ke dalam rencana penyelidikan, terutama ketika tersangka adalah karyawan internal
sebuah bisnis atau orang yang memiliki akses fisik (disetujui atau tidak) ke tempat kejadian kejahatan
dunia maya.
Bukti digital ada di mana-mana, termasuk dalam teknologi yang dapat dikenakan seperti jam tangan
yang terhubung ke Internet. Segala sesuatu yang menangkap data menceritakan sebagian dari
sebuah cerita: bahkan jika itu adalah bagian data yang tampaknya tidak terkait, itu dapat memberikan
bantuan di masa depan.
Komputer merekam apa yang mereka amati dalam file log, dan sementara mereka dapat
memberi tahu penyelidik bahwa IP diambil oleh seseorang di kantor menggunakan perangkat tertentu,
mengetahui siapa yang menggunakan keyboard perangkat itu mungkin sulit untuk diketahui, terutama
jika itu adalah perangkat bersama dengan kata sandi bersama. Namun, bukti dari IoT dapat
memberikan beberapa petunjuk tentang siapa yang berada di dekat perangkat pada saat IP diambil.
Sebagai contoh yang sangat sederhana: sementara lima orang mungkin memiliki akses ke perangkat
tersangka yang digunakan untuk menyalin IP ke USB, perangkat dalam ruang pintar dapat
mengidentifikasi bahwa tiga dari orang ini tidak berada di dekat perangkat pada saat yang
bersangkutan, meninggalkan dua tersangka.
Machine Translated by Google
Perangkat seperti Bluetooth dan router nirkabel seluler terus mencari perangkat untuk
disambungkan, dan mereka meninggalkan jejak unik kehadirannya. Pemeriksaan router
dapat menemukan (Media Access Control)
Alamat MAC telepon tersangka, menempatkannya di TKP pada saat dugaan pelanggaran.
Dengan IoT, lokasi lokasi kejahatan dunia maya Anda berpotensi meluas hingga
mencakup banyak lokasi yang bervariasi. Rumah sakit telah melihat potensi produk IoT
untuk membantu pengiriman layanan perawatan kesehatan yang efisien, dengan item seperti
pompa pengiriman obat yang terhubung ke intranet.1 Perawatan kesehatan adalah area
potensi kejahatan dunia maya, karena perangkat implan seperti alat pacu jantung dan pompa
insulin terhubung secara online. Badan Pengawas Obat dan Makanan AS telah
mengidentifikasi potensi penjahat dunia maya untuk mengakses perangkat medis implan
secara tidak sah, seperti alat pacu jantung, dan memodifikasi perintah yang dikirim ke
perangkat tersebut.2 Pada saat penulisan buku ini, telah ada tidak ada serangan aktual
terhadap teknologi ini yang tercatat, tetapi ini tidak dapat dijamin di masa depan.
Serangan Distributed Denial of Service (DDoS) dapat diluncurkan menggunakan perangkat IoT
yang tidak aman. Botnet Mirai menggunakan perangkat IoT.3 Dengan banyak perangkat IoT yang
memiliki keamanan yang lemah atau tidak sama sekali, penyerang setengah terampil dapat menemukan
perangkat yang tidak aman ini secara online, membuat botnet IoT mereka sendiri, dan meluncurkan
serangan DDoS yang sangat kuat terhadap target mereka.
Bukti IoT juga akan sangat berharga bagi penyelidik yang menyelidiki kejahatan yang
bukan kejahatan dunia maya, karena IoT meluas ke semua aspek kehidupan kita. Detektif
pembunuhan di TKP pembunuhan domestik yang ingin
mengetahui apa yang terjadi dapat menggunakan bukti IoT dari rumah pintar untuk
mendapatkan log dari pintu, lampu, jam tangan pintar (mencatat waktu kematian), sensor,
asisten rumah, AC (menyesuaikan dengan pintu terbuka), kulkas (membuka), shower
(tersangka mandi setelah pembunuhan), dan banyak lagi. Ponsel pintar dengan koneksi
nirkabel yang tersisa akan meninggalkan bukti Kontrol Akses Media
(MAC) saat telepon mencoba untuk terhubung ke router. Log dari kendaraan bermotor
tersangka dapat digunakan untuk melacak pergerakan mereka, termasuk menempatkan
mereka di tempat kejadian pada saat pembunuhan. Potensi penggunaan IoT untuk
menyelidiki bentuk-bentuk tindak pidana tradisional hanya dibatasi oleh imajinasi penyidik.
berada di mana saja dekat pada waktu yang bersangkutan. Mereka juga sebagian besar tidak
akan menyadari banyak perangkat IoT di tempat kerja, yang akan merekam bukti aktivitas dan
lokasi mereka.
Seperti halnya bukti cloud, penyelidik harus memahami di mana perangkat IoT menyimpan
buktinya. Tidak seperti cloud, perangkat fisik dapat diakses, diurutkan, dan diperiksa dengan
cara tradisional. Jika log perangkat IoT tidak disimpan di perangkat, pertanyaan dapat diajukan
ke administrator sistem atau produsen perangkat untuk menemukannya. Membaca Perjanjian
Lisensi Pengguna Akhir (EULA) perangkat juga dapat memberikan beberapa arahan.
Seperti semua barang bukti, penyitaan harus sah. Pengadu akan dapat memberikan otoritas
dalam banyak kasus, tetapi waspadai nilai perangkat yang terhubung dengan IoT saat
mengajukan petisi ke pengadilan untuk surat perintah penggeledahan atau perintah pengadilan perdata.
Jika kemungkinan untuk memberikan bukti dan pemeriksaan dapat dibenarkan kepada pejabat
pengadilan, jelaskan relevansinya dan minta otoritas untuk menyita dan memeriksa alat
tersebut.
Poin kunci dari bab ini adalah untuk melihat secara luas ketika mencari bukti dalam
investigasi digital. Ketika masyarakat menjadi lebih terhubung, sidik jari digital ditinggalkan di
banyak lokasi, memberikan bukti untuk mengidentifikasi tersangka. Karena banyak perangkat
IoT memiliki sedikit atau tanpa keamanan bawaan, mereka dapat menjadi vektor serangan
yang sangat berharga bagi penjahat dunia maya, yang mengarah ke intrusi jaringan melalui
perangkat yang tidak terduga—seperti detektor asap, webcam, lemari es, dan televisi—yang
terhubung ke jaringan yang belum ditambal dan tidak aman.
Catatan 229 _
CATATAN
layanan
BUKTI OPEN seperti media
SOURCE sosial,
adalah apa database pemerintah
yang dapat dan perusahaan,
diambil secara online dari
dan situs berita. Ada banyak kategori open source sobat
rial tersedia untuk membantu penyelidikan dan ada penyelidik spesialis yang tidak
melakukan apa-apa selain mencari materi sumber terbuka untuk klien mereka. Intinya,
Internet adalah ruang kerja mereka.
Nilai materi open source adalah tersedia secara bebas sehingga untuk mendapatkannya
jarang memerlukan surat perintah penggeledahan. Situs open source yang paling sering
dicari adalah situs media sosial, seperti Facebook, di mana banyak penjahat dengan profil
terbuka tertangkap membual tentang kejahatan mereka atau meninggalkan bukti rekan
mereka. Sementara beberapa penjahat sangat protektif terhadap profil media sosial mereka,
yang lain sangat ceroboh, dan bukti yang mereka biarkan terbuka untuk penyelidik telah
digunakan di pengadilan oleh penuntut.
Materi open source sangat berharga karena dapat ditangkap oleh salah satu dari
banyak perangkat perekaman berbasis perangkat, seperti Microsoft Expression Encoder.
Jika situs web atau situs media sosial terbuka untuk umum, Eropa
231
Buku Pegangan Penyidik Kejahatan Dunia Maya, Edisi pertama. Graeme Edwards,
PhD. © 2020 John Wiley & Sons, Inc. Diterbitkan 2020 oleh John Wiley & Sons, Inc.
Machine Translated by Google
Konvensi tentang Kejahatan Dunia Maya memungkinkan negara penandatangan untuk melihat halaman
yang tunduk pada undang-undang yurisdiksi Anda.1 Expression Encoder mencatat halaman seperti yang
dilihat oleh pengguna web dan memungkinkannya untuk disimpan dalam format yang mudah dilihat.
Untuk menghasilkan versi rekaman yang paling akurat dan lengkap, unduh dan tampilkan
jam atom, yang dapat disesuaikan untuk akurasi waktu pada awal perekaman dan dilihat
selama pengambilan bukti. Hal ini memungkinkan pemirsa untuk melihat pengambilan bukti
yang lengkap dan waktu pengambilannya, memberikan bukti bahwa tidak ada manipulasi bukti
(seperti konten yang diedit dari rekaman) telah terjadi.
Ada banyak bentuk bukti sumber terbuka yang mungkin tersedia bagi penyelidik dan ada
banyak buku dan kursus bagus yang membahas materi ini. Toolkit open source diproduksi oleh
banyak organisasi dan individu, termasuk Toddington International (www.toddington.com),
IntelTech niques (https://inteltechniques.com), Qwarie (https://www.qwarie.com), dan OSINT
Kerangka (http://osintframework.com).
Jika Anda memutuskan untuk mengambil materi sumber terbuka, ada keahlian khusus
yang diperlukan untuk melakukannya tanpa mengorbankan penyelidikan Anda. Penjahat dunia
maya yang terampil secara teknis melakukan kontra intelijen di situs web mereka untuk melihat
siapa yang telah mengunjungi dan apa yang telah mereka lihat. Misalnya, dengan menggunakan
alat analitik web, mereka dapat menemukan alamat Protokol Internet (IP) yang ingin mereka
ketahui lebih lanjut dan menentukan bahwa alamat tersebut dapat dilacak ke lembaga penegak
hukum, penyelidik swasta, atau entitas investigasi serupa. Ini akan mengingatkan mereka
bahwa mereka sedang diselidiki dan dapat menyebabkan mereka menghancurkan bukti yang
Anda cari atau melancarkan serangan balik terhadap Anda.
Investigasi open source memerlukan keahlian mereka sendiri dan disarankan agar Anda
mencari saran spesialis sebelum maju di bidang ini. Beberapa contoh keterampilan yang Anda
perlukan meliputi:
Menggunakan perangkat laptop spesialis yang dapat memiliki Operating System (OS)
diinstal ulang tanpa khawatir
Menggunakan Virtual Private Network (VPN) untuk koneksi sebelum memulai
penyelidikan Anda
Menggunakan sistem virtual
Menggunakan koneksi yang tidak memiliki tautan ke organisasi Anda
Memiliki tingkat keamanan yang tinggi pada perangkat Anda dan memastikan bahwa OS dan
semua aplikasi baru saja ditambal
Ada banyak lokasi online untuk menemukan bukti, yang dapat diakses secara
bebas. Beberapa contoh mengikuti.
Blog . Blog adalah situs web tempat penulis mendiskusikan masalah yang menarik
bagi mereka dan pembacanya. Tergantung pada suasana hati dan minat
penulis, itu mungkin membahas subjek tertentu, seperti politik, atau mencakup
berbagai topik.
Ada beberapa ratus juta blog yang ada, dengan lebih banyak bermunculan
setiap hari. Nilai bagi penyelidik adalah potensi untuk menautkan seseorang ke
nama pengguna, yang dapat digunakan di berbagai situs. Hal ini juga membantu
untuk memahami dinamika topik tertentu yang relevan dengan penyelidikan.
Jaringan gelap. Web gelap adalah bagian dari Internet di mana alat mesin pencari
tradisional (seperti Google) tidak beroperasi karena pembatasan yang dikenakan
pada mereka. Meskipun ada alasan sah untuk menggunakan web gelap,
umumnya dipahami sebagai tempat di mana penjahat berkomunikasi dan
menjadi tuan rumah pasar yang menjual berbagai bentuk barang dan jasa ilegal,
seperti kartu kredit curian, identitas curian, Kekayaan Intelektual (IP) , dan
banyak lagi. Alat dan aplikasi khusus diperlukan untuk memasuki web gelap.
di atasnya. Sebagai contoh: jika Anda mengajukan permohonan perintah pengadilan, data
dari peta mungkin bermanfaat tetapi harus berhati-hati sebelum menyajikannya sebagai bukti
definitif di hadapan pengadilan. Gunakan data ini sebagai bukti yang membantu tetapi tidak
harus definitif. Alat jaringan. Ada banyak alat jaringan—seperti netstat dan
Contoh situs pencari orang yang populer adalah Pipl, PeopleSmart, dan Spokeo.
Beberapa situs ini fokus pada catatan AS tetapi tentu saja layak untuk dilihat.
Pencarian nomor telepon. Menemukan nama orang yang ditautkan ke nomor telepon sering kali
memerlukan perintah pengadilan, tetapi ada banyak situs online yang menyediakan informasi
ini melalui pemeriksaan telepon terbalik. Ini sangat berguna ketika mencoba mengidentifikasi
apakah panggilan telepon yang diterima terkait dengan situs penipuan.
Mesin pencari. Ada banyak mesin pencari online, dengan Google menjadi contoh yang jelas.
Jangan batasi pencarian Anda hanya ke Google; mencoba banyak mesin pencari lain yang
tersedia, seperti DuckDuckGo, Yahoo, Bing, dan lain-lain.
Hasil pencarian yang Anda terima dari masing-masing mesin pencari mungkin berbeda,
terutama jika seseorang telah mencoba untuk mengubur riwayat mereka di hasil pencarian
Google tetapi membiarkan riwayat mereka terbuka di hasil mesin pencari lainnya. Media
sosial. Platform media sosial yang paling umum adalah Facebook dan Twitter. Ada banyak
platform lain yang digunakan dan berbagai negara memiliki favorit mereka. Platform media
sosial meliputi:
Facebook Flickr
__
Instagram _
Machine Translated by Google
LinkedIn _
Myspace
Periskop
Tagged Tumblr
____
Twitter _
Alat terjemahan. Alat-alat ini menerjemahkan bahasa menjadi satu yang dapat digunakan
oleh pembaca. Meskipun seringkali tidak 100 persen akurat dan memungkinkan
perbedaan tata bahasa, mereka sangat berguna untuk memperoleh pemahaman tentang
isi komunikasi. Gunakan alat seperti itu sebagai panduan, dan jika Anda memerlukan
terjemahan definitif dari suatu komunikasi, pertimbangkan untuk menggunakan layanan
terjemahan profesional atau berkonsultasi dengan mahasiswa pascasarjana atau dosen
di universitas yang fasih dalam bahasa yang bersangkutan.
Salinan situs web. Kadang-kadang akan ada kebutuhan untuk mendapatkan salinan situs
web untuk bukti atau untuk memajukan jalur penyelidikan. Fasilitas penyalinan web
mengambil salinan seluruh situs web, termasuk kode yang mengoperasikan situs.
Saat mempertimbangkan untuk menggunakan alat ini, pahami hukum yurisdiksi Anda
serta hukum tempat situs web dihosting untuk memastikan ada otoritas yang sah untuk
pengambilan data tersebut.
Ada banyak alat sumber terbuka yang tersedia untuk penyelidik. Beberapa kategori telah
disebutkan dalam bab ini, tetapi memahami dan mengoperasikan materi sumber terbuka
merupakan kursus yang lengkap. Memiliki seseorang di tim investigasi Anda sebagai spesialis
open source mungkin merupakan sumber investigasi yang sangat berharga.
Setelah Anda mengumpulkan bukti Anda dari berbagai sumber yang terdaftar sejauh ini,
ada saatnya wawancara harus dilakukan untuk membawa penyelidikan ke tingkat berikutnya.
Wawancara dapat dilakukan saat bukti dikumpulkan, dan ini adalah ide yang bagus, karena
orang yang memberikan bukti kunci mungkin akan meninggalkan perusahaan besok dan tidak
dapat ditemukan.
CATATAN
1. Komite Konvensi Kejahatan Dunia Maya, Akses Data Lintas Batas (Pasal 32),
Catatan Panduan T-CY #3, Desember 2014, Dewan Eropa.
Machine Translated by Google
Web Gelap
237
Buku Pegangan Penyidik Kejahatan Dunia Maya, Edisi pertama. Graeme Edwards,
PhD. © 2020 John Wiley & Sons, Inc. Diterbitkan 2020 oleh John Wiley & Sons, Inc.
Machine Translated by Google
Gambar 15.1 menunjukkan browser Tor dengan jalur yang digunakan ditunjukkan di
sudut kiri atas. Alamat IP telah dihapus, karena tidak diketahui apakah alamat ini masih
merupakan bagian dari jaringan Tor.
Perlu diulang saat ini peringatan sebelumnya tentang web gelap. Sebelum
mempertimbangkan untuk beroperasi di lingkungan ini, pahami keterampilan yang
diperlukan untuk beroperasi di lingkungan yang terkadang sangat tidak bersahabat dan di
mana penjahat profesional suka melakukan penyelidikan kontra-intelijen tentang orang-
orang yang mengunjungi toko vendor mereka atau berkeliaran di pasar kriminal. Periksa
juga legalitas mengunjungi web gelap dan pasarnya di yurisdiksi Anda, karena beberapa
negara melarang keras warganya berada di web gelap atau memiliki aplikasi seperti
browser Tor di perangkat.
Jika Anda ragu tentang kemampuan Anda untuk mengamankan komputer dan
menavigasi web gelap dengan aman dan legal, pertimbangkan kembali perlunya
penyelidikan Anda di sana. Jika legal, dapatkan jasa penyelidik spesialis, banyak di
antaranya sebelumnya adalah penyidik penegak hukum dengan pelatihan spesialis di
lingkungan ini.
Komunitas kriminal telah mengidentifikasi web gelap sebagai manfaat khusus bagi mereka,
karena metode komunikasi yang aman ini sambil menyembunyikan identitas mereka berarti
bahwa mereka juga dapat berkomunikasi secara diam-diam dengan lebih sedikit peluang.
Machine Translated by Google
dari campur tangan penegak hukum. Pasar kriminal awal yang disebut Silk Road
diciptakan, memungkinkan penjahat dunia maya untuk membeli dan menjual barang dan jasa di
forum pasar di mana pembeli dapat memeriksa kredibilitas vendor dan produk/layanan mereka
sebelum melakukan pemesanan. Banyak pasar baru telah muncul sejak Jalur Sutra ditutup oleh
penegak hukum AS, beberapa hanya ada untuk waktu yang singkat dan yang lain beroperasi
selama bertahun-tahun. Sebuah keuntungan dari pasar kriminal yang dikutip oleh banyak pembeli
adalah bahwa mereka menghilangkan kebutuhan untuk bertemu penjual secara tatap muka,
yang meningkatkan anonimitas.
Ada banyak barang dan layanan kriminal yang tersedia di web gelap
pasar, antara lain sebagai berikut:
Narkoba
Senjata Bahan
Eksploitasi Anak (CEM ) Kartu kredit
Identitas _
Kekayaan Intelektual (IP) Rekening
bank Nama pengguna dan kata
sandi yang disusupi Layanan peretasan Akun escrow
kejahatan dunia maya Buku petunjuk
Kerentanan zero-day
Contoh iklan mata uang palsu ditunjukkan pada Gambar 15.2. Semua pengenal telah
dihapus, meskipun pasar Middle Earth sudah tidak ada lagi. Perhatikan bahwa di sudut kanan
bawah adalah jam waktu atom. Ini digunakan untuk merekam aktivitas dan waktu jika gambar
web digunakan sebagai bukti.
papan buletin di situs dan ajukan pertanyaan kepada komunitas tentang reputasi vendor yang
mereka minati atau siapa yang menjual barang atau layanan tertentu yang mereka coba temukan.
Gambar 15.4 menunjukkan contoh profil pengguna vendor dengan peringkat ulasan dan
komentar dari pembeli. Semua rincian identitas telah dihapus.
Penyelidik mungkin menemukan bahwa pasar gelap adalah tempat data klien mereka
berakhir setelah pelanggaran dunia maya. Mungkin juga tempat penyerang Anda mempelajari
keahlian mereka dari penjahat dunia maya yang lebih berpengalaman.
Machine Translated by Google
GAMBAR 15.4 Gambar profil pengguna vendor dengan peringkat ulasan dan komentar dari
pembeli.
Sumber: Sumber Terbuka.
Lembaga penegak hukum internasional telah menutup banyak pasar, tetapi lebih
banyak lagi yang terus didirikan untuk menggantikan yang ditutup. Contoh situs yang
dihapus oleh penegak hukum ditunjukkan pada Gambar 15.5.
Jika Anda memerlukan lebih banyak pengetahuan tentang web gelap dan pasar, ada
situs web permukaan yang didedikasikan untuk memahami apa yang terjadi di pasar. Situs-
situs ini memberikan informasi dasar tentang pasar apa yang ada dan memberikan banyak
informasi bagi mereka yang ingin mempelajari lebih lanjut.
Machine Translated by Google
GAMBAR 15.5 Gambar pasar kriminal yang ditutup oleh penegak hukum.
Sumber: Tangkapan layar diambil oleh Graeme Edwards.
Bab 16 akan memberikan beberapa gagasan tentang wawancara saksi dan tersangka.
Ini menyediakan banyak daftar yang dapat berfungsi sebagai template dan juga dapat
membantu dalam memperoleh informasi lebih lanjut, yang merupakan inti dari wawancara!
CATATAN
Wawancara Saksi
dan Tersangka
SAYA WAWANCARA
memperbaiki. ADALAH
Tidak seni,cepat
ada cara dan semakin banyak wawancara
untuk menjadi yangahli,
pewawancara Anda lakukan,
karena ini semakin banyak Anda
adalah keterampilan
yang membutuhkan bertahun-tahun latihan terus-menerus. Saat mewawancarai, terimalah bahwa
wawancara ke-100 Anda akan jauh lebih baik daripada yang pertama dan bahwa wawancara ke-200
Anda akan jauh lebih baik daripada ke-100 Anda. Ini adalah seni yang selalu Anda pelajari, karena setiap
mata pelajaran berbeda dan memiliki motivasi yang berbeda-beda, dan kepribadian manusia itu dinamis,
jadi strategi wawancara yang sukses luar biasa dalam satu contoh mungkin menjadi kegagalan dramatis
di kesempatan berikutnya.
Ada banyak faktor yang terlibat dalam menjadi pewawancara yang terampil, dengan model yang
berbeda yang digunakan oleh penegak hukum dan penyelidik swasta. Buku ini tidak berusaha untuk
mengajarkan seni wawancara, tetapi untuk menyediakan konten yang dapat digunakan dengan strategi
yang Anda pilih yang Anda anggap relevan dalam situasi yang Anda hadapi.
Wawancara adalah pencarian fakta untuk memperdalam pemahaman Anda tentang pengetahuan
orang tersebut dan relevansinya dengan masalah yang sedang diselidiki. Keterkaitan mereka mungkin
sangat jelas sejak Anda pertama kali mendekati mereka untuk mengambil bagian dalam wawancara, atau
Anda mungkin mewawancarai mereka secara menyeluruh dan untuk memastikan bahwa semua jalan
penyelidikan yang potensial tercakup. Dalam kedua keadaan tersebut, pemikiran awal Anda mungkin
terbukti benar atau sebaliknya, saat Anda mendengarkannya, pendapat Anda mungkin mengalami
perubahan radikal. Saksi yang Anda rasa memiliki bukti kunci mungkin
243
Buku Pegangan Penyidik Kejahatan Dunia Maya, Edisi pertama. Graeme Edwards,
PhD. © 2020 John Wiley & Sons, Inc. Diterbitkan 2020 oleh John Wiley & Sons, Inc.
Machine Translated by Google
tidak memilikinya sama sekali, dan saksi yang hanya Anda ajak bicara sebagai hal yang menyeluruh
dalam metodologi investigasi Anda dapat mengungkapkan informasi yang membawa mereka langsung
ke pusat penyelidikan sebagai saksi penting atau tersangka. Kunci dalam kedua kasus tersebut adalah
memperlakukan setiap wawancara sebagai peristiwa unik, untuk secara aktif menghilangkan bias yang
Anda miliki dalam apa yang Anda harapkan untuk didengar, dan bersiaplah untuk wawancara yang
sangat berbeda dari apa yang Anda harapkan.
Salah satu saran yang dapat diberikan bab ini adalah mendengarkan dan mengizinkan orang yang
diwawancarai untuk berbicara. Hal ini berlaku sama untuk tersangka dan saksi wawancara. Sebuah
perangkap wawancara banyak jatuh ke dalam mengajukan pertanyaan, kemudian fokus pada pertanyaan
berikutnya yang akan ditanyakan daripada secara aktif mendengarkan dan mencerna kata-kata yang
dikatakan orang yang diwawancarai. Dalam skenario ini, informasi berharga akan terlewatkan dan inti
wawancara, yaitu untuk mendapatkan semua pengetahuan yang ditawarkan subjek, dikalahkan. Di sinilah
memiliki rekan kerja sebagai mitra wawancara Anda akan membantu, karena mereka mungkin dapat
mengidentifikasi bukti yang mungkin terlewatkan oleh Anda sebagai pewawancara utama.
Diam juga merupakan strategi wawancara yang kuat. Tersangka khususnya dapat memberikan
jawaban yang sudah dilatih untuk pertanyaan yang mereka harapkan dan mengantisipasi bahwa
pertanyaan baru akan diajukan segera setelah mereka berhenti berbicara, memungkinkan mereka untuk
memimpin wawancara jauh dari area yang mereka rasa tidak nyaman. Dengan tetap diam, pewawancara
memproyeksikan kesan bahwa mereka melihat jawaban yang diberikan hanya sebagian yang lengkap
dan bahwa mereka menunggu tersangka untuk memberikan lebih banyak informasi. Tergantung pada
kepribadian tersangka dan pengalaman mereka dalam diwawancarai, banyak yang secara tidak sengaja
akan mulai berbicara lagi, mengatakan hal-hal yang sebelumnya mereka latih tidak mengatakannya.
Banyak pengacara di pengadilan yang ahli dalam menggunakan strategi ini ketika memeriksa saksi-saksi.
Anda sedang duduk di kotak saksi menunggu pengacara pembela menghabiskan beberapa jam
berikutnya menanyai Anda tentang keterampilan dan sikap komedi Anda terhadap klien mereka.
Hal ini dapat menyebabkan garis pertanyaan sepanjang baris, jika Anda kurang profesionalisme
dalam wawancara, apa lagi tentang penyelidikan Anda kurang profesionalisme? Juri juga
sepertinya tidak menyukai penggunaan sarkasme oleh inter
pemirsa.
WAWANCARA TERGUGAT
Jika Anda berada dalam posisi di mana Anda sedang mempertimbangkan untuk mewawancarai
tersangka, pikirkan apakah Anda orang yang tepat untuk melakukan wawancara atau jika ada
seseorang di tim Anda yang lebih tepat. Yang paling senior per anak tidak selalu pewawancara
terbaik. Juga pertimbangkan apakah anggota tim Anda memiliki hubungan baik dengan tersangka,
karena ini mungkin terbukti menjadi keuntungan taktis atau menguntungkan wawancara. Tidak
jarang seorang tersangka membangun kebencian terhadap penyidik utama yang telah ditunjuk
sebagai pewawancara, tetapi memiliki hubungan baik dengan orang yang ditunjuk untuk melakukan
pekerjaan lain, seperti mengumpulkan barang bukti. Ini mungkin masalah chemistry pribadi dan
ego tidak boleh memainkan peran apa pun dalam wawancara.
Sebagai contoh, di awal karir polisi saya, saya menangkap seorang laki-laki muda karena
mencuri mobil, tuduhan yang dibantahnya dalam wawancara meskipun ketahuan mengemudikannya
pada pukul 2:00 pagi, tidak dapat memberikan nama pemiliknya, dan memiliki banyak keyakinan
sebelumnya karena mencuri mobil. Dia tidak siap untuk membuat pengakuan apa pun tentang
mengendarai mobil curian, tetapi pasangan saya, seorang perwira wanita yang bersama suaminya
balapan mobil di balapan lokal, mengambil alih wawancara dan berbicara bahasa balap motor
kepadanya, dan dia bisa tidak mengaku mencuri mobil dan beberapa lainnya cukup cepat. Sebagai
petugas yang menangkap dan pewawancara utama, saya dengan senang hati menyerahkan
kendali wawancara kepadanya, karena hasil sedang diperoleh dan saya tidak peduli siapa di
antara kami yang memperoleh pengakuan sebagai hal yang dapat diterima.
bukti. Meskipun dia akan ditangkap karena mencuri mobil selama ini, pengakuan selama
wawancara berarti bahwa dia mengaku bersalah atas tuduhan awal dan beberapa lainnya segera
setelah dia menghadapi pengadilan.
Sebagai penyelidik sipil yang terlibat dalam penyelidikan yang kemungkinan akan dirujuk ke
polisi, pertimbangkan apakah kebijakan terbaik adalah tidak mewawancarai tersangka dan
menyerahkannya kepada polisi, seperti yang telah disebutkan sebelumnya. Seringkali seorang
tersangka hanya akan memberikan satu wawancara dan itu lebih baik diserahkan kepada polisi.
Terlepas dari apakah Anda atau kolega Anda mewawancarai tersangka, ingatlah bahwa mereka
harus diberikan perlindungan untuk melindungi diri mereka sendiri dalam wawancara di mana mereka dianggap
Machine Translated by Google
telah melakukan tindak pidana perdata atau pidana. Hak-hak ini bervariasi menurut yurisdiksi,
namun beberapa yang paling umum adalah:
Hak untuk berbicara dengan pengacara dan/atau orang pendukung dan memilikinya
hadir saat wawancara
Hak untuk membungkam dan/atau tidak memberatkan diri mereka sendiri
Hak untuk berbicara dengan perwakilan serikat pekerja dan meminta mereka hadir selama
wawancara dalam penyelidikan sipil Hak untuk memahami sepenuhnya tentang apa
wawancara itu dan apa yang dituduhkan kepada mereka Hak untuk menolak diwawancarai
kecuali dipaksa oleh undang-undang setempat Hak agar wawancara direkam secara
elektronik dan diberikan salinan rekamannya (periksa undang-undang setempat tentang
wawancara yang direkam secara elektronik)
Hak untuk mengakhiri wawancara sebagian jika diinginkan Hak untuk wawancara tidak
bersifat memaksa Hak atas penerjemah jika tersangka tidak dapat berkomunikasi dalam
bahasa tersebut
diucapkan oleh pewawancara
Kemungkinan hak agar kedutaan/konsulat negara asal diperingatkan jika tersangka adalah
warga negara asing (persyaratan ini mungkin ada dalam kasus penyelidik penegak hukum)
Kegagalan untuk memberikan salah satu atau semua perlindungan yang dituntut oleh
yurisdiksi berarti bahwa wawancara dan semua bukti darinya dapat dikecualikan ketika masalah
tersebut dibawa ke pengadilan atau nilainya dapat dikurangi. Hal ini pada gilirannya akan
merusak reputasi Anda di antara rekan kerja dan pengadilan, terutama jika Anda kalah dalam
kasus tersebut dan perusahaan Anda bertanggung jawab atas biayanya.
WAWANCARA SAKSI
Wawancara saksi berbeda dengan tersangka; namun, banyak dari keramahan yang sama
berlaku. Dalam kebanyakan kasus, saksi hadir secara sukarela dan ingin membantu. Anda
akan menemukan beberapa contoh langka di mana saksi lebih mengelak daripada tersangka
dan mengekstraksi informasi dari mereka hampir tidak mungkin. Ini karena alasan penting bagi
mereka, seperti yang mungkin terjadi jika Anda mewawancarai seorang manajer yang
karyawannya telah melakukan penipuan skala besar terhadap perusahaan. Sementara manajer
tidak dicurigai terlibat, mereka takut akan karier mereka, disalahkan karena lalai, dan kehilangan
pekerjaan.
Machine Translated by Google
Manajer ini tidak mencoba untuk mengganggu, tetapi tujuan wawancara mereka
adalah untuk melepaskan diri dari penyelidikan, karena mereka khawatir bahwa
wawancara akan memberikan bukti kelalaian mereka sebagai manajer, yang kemudian
akan digunakan oleh penyelia mereka untuk pemecatan. Ini berarti kehilangan pekerjaan
dan rumah mereka dan harus mengeluarkan anak-anak dari sekolah swasta mereka, jadi
dalam pikiran mereka menghindari pemecatan adalah prioritas yang lebih tinggi daripada
penyelidikan.
Atau, saksi mungkin mencoba untuk sangat membantu penyelidikan, dan ini harus
dihargai. Namun, kadang-kadang bukti dapat secara tidak sengaja dibumbui oleh saksi.
Ini bukan ukuran ketidakjujuran mereka, tetapi upaya bawah sadar untuk memberikan
informasi sebanyak mungkin untuk penyelidikan. Pembuktian mereka harus dibatasi
pada peristiwa yang mereka ketahui dan bukan desas-desus, termasuk menceritakan
peristiwa yang mereka dengar dari pihak lain (bukan tersangka). Informasi yang dikatakan
tersangka kepada mereka sendiri mungkin merupakan bukti yang dapat diterima, tetapi
cerita yang mereka dengar di ruang makan kemungkinan besar tidak.
Terakhir, pikirkan urutan Anda mewawancarai orang. Salah satu strateginya adalah
membangun pemahaman sebanyak mungkin tentang peristiwa dari saksi sebelum Anda
mendekati tersangka. Keadaan Anda dapat menentukan urutan wawancara karena
ketersediaan saksi, tersangka berada di dekatnya, atau kurangnya pengetahuan tentang
peristiwa dan kebutuhan untuk membangun pemahaman yang mendalam tentang
peristiwa dan lingkungan.
Terlepas dari apakah wawancara itu tersangka atau saksi, mempersiapkan wawancara
menghemat waktu dan rasa malu nantinya. Memiliki ruang wawancara yang disiapkan
dengan baik dengan pewawancara berpengalaman yang menyapa subjek memproyeksikan
citra profesional.
Apakah Anda sedang mewawancarai saksi atau tersangka, keberhasilan wawancara
ada dalam perencanaan. Menciptakan lingkungan yang memungkinkan orang yang
diwawancarai untuk memberikan informasi selama proses yang lebih menarik
Machine Translated by Google
lebih disukai daripada wawancara polisi tradisional di mana pertanyaan diajukan oleh petugas
polisi dan dijawab oleh orang yang diwawancarai dalam urutan yang menarik bagi petugas polisi.
Apa yang penting bagi petugas polisi yang melakukan wawancara mungkin sangat berbeda dari
informasi yang ingin diberikan oleh orang yang diwawancarai pada awalnya.
Saat mewawancarai anggota staf organisasi yang menjadi korban peristiwa siber, pahami
bisnis dan peran orang yang diwawancarai sebelum wawancara dimulai. Ini tidak hanya menghemat
waktu, tetapi juga menunjukkan kepada orang yang diwawancarai bahwa Anda diberi pengarahan
tentang topik Anda dan tidak perlu membuang waktu wawancara yang berharga untuk hal-hal
yang tidak perlu. Meski begitu, mengajukan beberapa pertanyaan yang sangat mendasar dari
orang yang diwawancarai memungkinkan mereka untuk masuk ke wawancara dengan beberapa
jawaban sederhana yang tidak terkait dengan mekanisme acara.
Beberapa contoh termasuk:
Bersamaan dengan perlindungan hukum yang disediakan oleh yurisdiksi tertentu, ada hal-
hal lain yang akan ditangani oleh pewawancara yang terampil. Contohnya meliputi:
Rencanakan keselamatan diri sendiri, orang lain yang hadir, dan antar
melihat
Rencanakan wawancara untuk waktu yang dapat diterima bersama jika keadaan
mengizinkan.
Lakukan wawancara di tempat yang tenang di mana tidak ada kebisingan latar belakang atau
kesempatan untuk diinterupsi oleh orang-orang yang masuk ke kantor. Kebisingan latar
belakang bisa berasal dari ruang makan di sebelah atau AC yang bising di dalam ruangan
itu sendiri. Sebagai alternatif, tergantung pada keadaan Anda mungkin perlu merekam
wawancara pendahuluan secara elektronik dengan seorang saksi di sisi jalan dengan lalu
lintas yang lewat—yang meskipun tidak diinginkan, mungkin diperlukan karena keadaan
kasus yang unik.
Bangun hubungan baik dengan orang yang akan diwawancarai. Pelajari latar belakang dan
minat mereka untuk mendorong percakapan yang bersahabat sebelum wawancara dimulai
untuk mendobrak hambatan dan meredakan ketegangan.
Berhati -hatilah dengan apa yang Anda katakan kepada saksi tentang suatu kasus. Jangan
membuat komentar langsung yang negatif tentang tersangka, karena hal ini kemungkinan
akan diulangi kepada saksi lain atau bahkan mungkin direkam oleh saksi yang menginginkan
salinan elektronik wawancara mereka sendiri.
Machine Translated by Google
Pastikan ada aliran udara yang cukup di dalam ruangan, sebagai ruang wawancara tertutup
dengan aliran udara yang buruk mengurangi wawancara untuk semua pihak.
Rekam wawancara secara elektronik sesuai dengan hukum Anda
yurisdiksi.
Berikan mereka salinan pernyataan mereka. Di
akhir wawancara, beri tahu mereka apa yang terjadi selanjutnya dan nilai kesejahteraan
mereka. Terima mereka untuk waktu mereka. Pastikan mereka bisa pulang dengan
selamat.
Perangkat seluler harus dimatikan atau disetel senyap, karena dapat mengganggu
alur wawancara.
Pertimbangkan nilai memiliki orang kedua saat wawancara sebagai pendukung untuk
mendukung Anda. Ini mungkin untuk keselamatan pribadi, manajemen pameran, atau
untuk meminta orang lain mengamati tingkah laku orang yang diwawancarai dan untuk
memberikan garis pertanyaan yang mungkin tidak terpikirkan oleh Anda tetapi yang dapat
diidentifikasi oleh koroborator melalui wawancara dengan orang yang diwawancarai.
jawaban.
Jika saksi adalah orang yang rentan atau mungkin terlihat sangat dirugikan sehubungan
dengan pewawancara, rencanakan kehadiran orang pendukung untuk memastikan bahwa
bukti mereka diperoleh secara adil sambil menunjukkan rasa hormat terhadap kebutuhan
mereka dan setiap gangguan, yang mungkin termasuk cacat kesehatan fisik / mental.
PROSES WAWANCARA
Ketika perlindungan telah diberikan dan Anda siap untuk memulai wawancara, mulailah dengan
dasar-dasar untuk menetapkan siapa yang diwawancarai dan relevansinya dengan penyelidikan.
Mampu menjawab pertanyaan yang membuat mereka nyaman juga memungkinkan mereka untuk
membangun kepercayaan diri mereka. Ini sama relevannya dalam wawancara saksi dan tersangka.
Pertanyaan yang Anda ajukan selama wawancara akan ditentukan oleh acara; namun, daftar
pertanyaan berikut dapat digunakan untuk wawancara saksi atau tersangka. Gunakan pertanyaan
terbuka (pertanyaan dimulai dengan “ex plain”, “who”, “what”, “when”, “where”, “why”, dan “how”),
yang menghalangi jawaban ya atau tidak. Juga buat pertanyaan singkat, karena ada beberapa hal
yang lebih sulit bagi orang yang diwawancarai daripada pertanyaan yang berlangsung beberapa
menit dan mencakup beberapa subpertanyaan.
Contohnya meliputi:
Pertanyaan-pertanyaan ini bersifat sangat umum dan memungkinkan subjek untuk memudahkan
jalan mereka ke dalam wawancara dengan mampu memberikan jawaban rinci atas pertanyaan-
pertanyaan yang mereka kenal dan nyaman. Saat kepercayaan orang yang diwawancarai meningkat,
lebih banyak pertanyaan terkait bukti dapat diajukan.
Machine Translated by Google
Tubuh Wawancara
Membiarkan orang yang diwawancarai untuk berbicara tentang apa yang penting bagi mereka
adalah cara yang berharga untuk membuka bagian utama dari proses wawancara. Saksi/
tersangka mungkin memiliki informasi berharga yang ingin mereka ungkapkan dan mencari
kesempatan pertama dalam wawancara untuk mengungkapkannya.
Perhatikan apa yang mereka katakan dan cara mereka mengatakannya.
Teknik ini juga memungkinkan pengungkapan bukti yang bahkan tidak Anda pikirkan.
Pewawancara yang berpengalaman akan mencatat bahwa seorang saksi dapat memberikan
perincian tentang banyak poin yang diajukan, sedangkan tersangka dapat memberikan perincian
besar tentang hal-hal yang tidak terkait tetapi sangat sedikit informasi tentang hal-hal spesifik
dari pelanggaran yang sedang diselidiki.
Setelah Anda menetapkan relevansi orang tersebut dengan masalah yang sedang
diselidiki, Anda dapat beralih ke pertanyaan yang lebih relevan. Sekali lagi, pastikan bahwa
pertanyaan yang diajukan bersifat terbuka dan dirancang untuk mendapatkan jawaban yang
terperinci. Jika Anda mengidentifikasi ketidakkonsistenan antara apa yang dikatakan subjek
dan apa yang Anda ketahui, jangan langsung masuk dan menentangnya, karena ini merusak
aliran dan kepercayaan diri mereka.
Jenis pelanggaran yang diselidiki akan menentukan arah wawancara mulai sekarang.
Mewawancarai eksekutif senior akan berbeda dengan mewawancarai manajer lini seorang
tersangka, karena pengetahuan mereka tentang kejadian mungkin sangat berbeda.
Daftar berikut mencakup berbagai pertanyaan wawancara yang mungkin tercakup dalam
wawancara; jika memungkinkan, akan sangat membantu untuk mengetahui beberapa informasi
ini sebelum wawancara. Ini tidak selalu mungkin; namun, persiapan pra-wawancara seringkali
sama pentingnya dengan wawancara itu sendiri. Daftar ini bersifat sangat umum, karena tidak
praktis untuk memberikan jadwal pertanyaan wawancara yang mencakup masing-masing dari
banyak jenis kejahatan dunia maya.
Siapa orang yang bertanggung jawab untuk menyediakan akses ke perangkat ini?
Siapakah orang-orang yang dapat mengubah hak akses sesuai kebutuhan?
(Di sini Anda ingin melihat apakah hak akses ke data telah ditingkatkan secara tidak
sah oleh peretas.) Berapa lama perangkat subjek berada di jaringan? Apa kata sandi
untuk perangkat? (Ini sangat penting untuk penyelidik digital dan dapat menyertakan
kunci enkripsi untuk perangkat dan lalu lintas jaringan.) Aplikasi dan protokol keamanan
apa yang ada di perangkat dan jaringan? Apa itu Kontrol Akses Media (MAC) dan
Protokol Internet subnet
Siapa yang memiliki daftar aplikasi resmi pada perangkat? (Identifikasi program yang
tidak sah dan bagaimana mereka sampai di sana. Identifikasi apa yang mereka
lakukan.)
Apa perilaku pengguna normal pada perangkat? Contohnya termasuk jumlah lalu lintas
dan pengguna.
Akses komputasi awan apa yang terlibat dalam jaringan? (Identifikasi apakah data
disimpan secara rutin di cloud.) Perangkat penyimpanan eksternal apa yang terkait
dengan perangkat subjek?
Contohnya termasuk perangkat USB, ponsel, dan hard drive portabel. Apa saja
contoh shadow IT (Information Technology) ? (Ini termasuk aplikasi dan layanan yang
diinstal oleh pengguna tanpa persetujuan atau sepengetahuan administrator sistem.)
Apa pengenal akun dan alamat email Anda? Apakah Anda memiliki nama pengguna lain
yang terkait dengan perangkat/jaringan? Program pembersih apa (seperti CCleaner
atau BleachBit) yang digunakan pada
komputer? Kapan dipasang dan oleh siapa?
Jika seorang karyawan internal melakukan pelanggaran yang dicurigai, bagaimana dapat
ditentukan bahwa itu adalah tindakan ketidakjujuran yang disengaja dan bukan orang
yang melebihi wewenangnya?
Machine Translated by Google
tigasi.)
Seperti apa hari-hari biasa bagi orang ini? (Pertanyaan ini relevan
untuk penyelidikan internal.)
Siapa manajer mereka? (Pertanyaan ini relevan untuk investigasi internal
tion.)
Seperti apa sikap mereka terhadap tempat kerja dan manajemen?
(Pertanyaan ini relevan untuk penyelidikan internal.) Jelaskan
setiap contoh perilaku negatif atau mencurigakan dari orang ini.
(Pertanyaan ini relevan untuk penyelidikan internal.) Jelaskan
pengetahuan Anda tentang keterampilan mereka sehubungan dengan teknologi.
(Pertanyaan ini relevan untuk penyelidikan internal.)
Siapa yang memberi perintah untuk mengamankan barang bukti? (Relevant ketika seseorang
telah diarahkan untuk mengamankan bukti)
Siapa yang mengidentifikasi bukti apa yang harus diamankan? Di
mana bukti yang dikumpulkan sampai saat ini disimpan dan siapa yang memiliki akses ke sana?
Tindakan apa yang telah diambil untuk mengidentifikasi, mengumpulkan, melestarikan, atau menganalisis
data dan perangkat yang terlibat?
Machine Translated by Google
Perhatikan bahwa semua pertanyaan bersifat terbuka, artinya orang yang diwawancarai tidak dapat
menjawab dengan ya atau tidak. Perhatikan juga bahwa semua pertanyaan sangat singkat dan langsung.
PENUTUP WAWANCARA
Setelah Anda puas bahwa Anda telah memperoleh semua bukti yang Anda dapat dari orang yang
diwawancarai, sekarang saatnya untuk menutup wawancara. Pada saat ini, akan sangat membantu untuk
mengulangi pemahaman Anda tentang informasi yang diperoleh dari orang yang diwawancarai dengan
kata-kata Anda sendiri, yang memungkinkan orang yang diwawancarai untuk mengoreksi pemahaman
Anda dan mungkin menambahkan materi baru yang tiba-tiba mereka ingat.
Menutup wawancara dapat melibatkan beberapa pertanyaan untuk membuktikan bahwa proses
wawancara telah adil bagi saksi/tersangka dan untuk melindungi integritas Anda di depan pengadilan.
Contoh pertanyaan tersebut dapat mencakup:
Apakah Anda ikut serta dalam wawancara ini atas kehendak bebas Anda
sendiri? Apakah Anda memiliki informasi lebih lanjut yang menurut Anda relevan dengan masalah ini
yang belum saya tanyakan kepada Anda? Apakah Anda memiliki keluhan tentang cara Anda
selama ini
diperlakukan?
Apakah ada ancaman, janji, atau bujukan yang diberikan hari ini untuk membujuk Anda untuk
melakukan wawancara ini?
Selalu ucapkan terima kasih kepada orang yang diwawancarai atas waktu mereka dan beri tahu
mereka tentang perkembangan yang praktis.
TINJAUAN WAWANCARA
Setelah wawancara selesai, godaannya adalah untuk melanjutkan ke pertanyaan berikutnya dan
membangun manfaat apa yang telah Anda peroleh dari wawancara tersebut.
Pewawancara yang berpengalaman memahami bahwa mungkin ada bukti atau indikator penting yang
mereka lewatkan selama wawancara, dan mereka akan meninjaunya
Machine Translated by Google
rekaman untuk melihat apakah ada sesuatu yang berharga yang mereka lewatkan. Beberapa
contoh indiktor adalah mengidentifikasi bahwa seseorang tidak nyaman dengan garis pertanyaan,
memberikan jawaban yang sangat spesifik untuk beberapa pertanyaan tetapi tidak jelas dalam
menjawab orang lain, mengubah referensi untuk diri mereka sendiri dari orang pertama ke orang
ketiga, bergerak di kursi mereka ketika tidak nyaman. , atau menggerakkan mata mereka dengan
gugup saat mendiskusikan hal-hal tertentu. Meskipun ini mungkin tampak jelas setelah fakta, ketika
melakukan wawancara pewawancara mungkin berkonsentrasi pada bukti dan kehilangan beberapa
indikator nonverbal vital ketidaknyamanan atau kegelisahan.
Terkadang seiring dengan berkembangnya investigasi, mungkin ada kebutuhan untuk melihat
kembali seorang saksi. Ini bukan tanda bahwa wawancara asli tidak dilakukan dengan baik,
melainkan bahwa informasi baru berkembang melalui penyelidikan apa pun dan jalur pertanyaan
baru berkembang, yang berarti pertanyaan yang semula tidak pernah dianggap relevan.
Bergantung pada undang-undang setempat Anda, catat pernyataan baru dan rujuk yang asli.
Misalnya, kalimat pengantar dari pernyataan baru dapat berbunyi:
Pernyataan ini merupakan tambahan dari pernyataan yang saya berikan pada tanggal 2 Oktober,
2018.
Apakah tujuan awal klien/pelapor adalah untuk mengajukan pengaduannya ke polisi untuk
penyelidikan lanjutan, akan ada contoh ketika fakta-fakta yang terungkap selama penyelidikan
memerlukan rujukan ke polisi.
Saat mempersiapkan penyelidikan untuk rujukan, ingatlah bahwa laporan peliputan Anda akan
dibacakan oleh polisi yang tidak mengetahui masalah tersebut dan perlu mengidentifikasi dalam
dua paragraf pertama informasi terpenting tentang rujukan Anda. Jika Anda meminta polisi
memeriksa laporan Anda untuk perincian tentang apa keluhannya, siapa pelapor/tersangkanya,
bukti apa yang Anda miliki, dan mengapa itu adalah masalah kriminal, kemungkinan besar polisi
akan kehilangan minat. dalam referensi Anda dengan sangat cepat. Mereka tidak punya waktu
untuk mencari fakta, yang harus disorot oleh orang yang membuat rujukan.
Ketika kejahatan dunia maya sangat serius, Anda dapat menghubungi pakar kejahatan dunia maya
polisi Anda untuk meminta nasihat dan mereka mungkin (bergantung pada sumber daya yang tersedia)
bersiap untuk menerima keluhan Anda sekaligus.
Machine Translated by Google
Saat merujuk pengaduan kejahatan dunia maya Anda ke polisi, menyajikan kasus yang
tajam dan akurat akan sangat dihargai oleh detektif yang akan menangani kasus tersebut. Hal
ini dapat menyebabkan keluhan Anda lebih diprioritaskan daripada rujukan lain di mana kurang
perhatian terhadap detail yang diberikan Jika memungkinkan, siapkan dan sediakan informasi
berikut:
Setelah bukti manusia dan digital dikumpulkan, proses selanjutnya adalah meninjau bukti;
ini dibahas dalam Bab 17.
Machine Translated by Google
Tinjauan Bukti
SETELAH pemeriksaan
disimpan adegan
dan disimpan dengan selesai,dilakukan,
aman, wawancara ujian pameran
dan pertanyaan
sumber terbuka selesai, ada saatnya untuk meninjau semua bukti yang
diperoleh dalam penyelidikan dan mencoba untuk mendapatkan gambaran yang jelas
tentang peristiwa tersebut dan bukti apa yang Anda miliki. Gambaran ini dapat
berkembang sangat cepat atau sangat kompleks. Anda mungkin menemukan bahwa
jalan penyelidikan yang awalnya tampak sangat menjanjikan akhirnya mengarah ke
jalan buntu dan bahwa jalur penyelidikan lain yang dilakukan terutama sebagai hal yang
menyeluruh mengarah pada bukti senjata api.
Selama fase awal penyelidikan Anda, Anda telah membangun fondasi. Seperti
disebutkan sebelumnya, meskipun selalu merupakan hasil yang bagus ketika Anda
menemukan bukti yang menghubungkan pelaku dengan kejahatan saat masih di tempat
kejadian, hal ini sering tidak terjadi. Melalui peninjauan bukti, gambaran menjadi lebih
jelas dan Anda memperoleh pemahaman yang lebih besar tentang apa yang telah terjadi.
Hindari memiliki prasangka tentang peristiwa dan tersangka saat Anda meninjau
bukti. Ini mungkin tidak selalu mudah, karena bukti awalnya mungkin tampak cukup
meyakinkan. Jika Anda menginginkan bukti dalam pikiran Anda untuk menunjuk ke
orang tertentu atau Modus Operandi (MO), pemikiran Anda secara tidak sadar akan
membuat bukti itu menunjuk ke teori Anda, bahkan jika itu salah besar. Jika Anda tidak
menentang bukti dan teori Anda, Anda dapat yakin bahwa pengacara terdakwa akan melakukannya
257
Buku Pegangan Penyidik Kejahatan Dunia Maya, Edisi pertama. Graeme Edwards,
PhD. © 2020 John Wiley & Sons, Inc. Diterbitkan 2020 oleh John Wiley & Sons, Inc.
Machine Translated by Google
memandu Anda melalui latihan secara rinci jika Anda muncul di pengadilan dan diminta untuk
membela penyelidikan Anda. Ikuti bukti dengan pikiran terbuka dan lihat ke mana bukti itu membawa
Anda!
Selama investigasi, Anda akan mendapatkan banyak materi dari banyak sumber yang
berpotensi. Beberapa akan membawa bobot lebih dari yang lain dan beberapa bukti akan ditentukan
tidak memiliki nilai. Di beberapa yurisdiksi akan ada persyaratan untuk mengembalikan barang bukti
yang disita setelah Anda memeriksanya dan mengidentifikasi barang tersebut tidak berharga. Dalam
keadaan ini, menyimpan salinan barang bukti mungkin bermanfaat, karena bukti yang dianggap
tidak berharga saat ini dapat berkembang menjadi barang bukti penting beberapa minggu kemudian
dalam penyelidikan.
Dalam investigasi besar ada manfaat untuk membuat spreadsheet yang merupakan siapa dari
banyak orang yang Anda temui dan yang mencakup peran mereka yang berbeda dalam investigasi
dan bukti yang terkait dengan mereka. Membuat garis waktu kronologis peristiwa juga akan
memungkinkan berbagai bukti kompleks disajikan dengan cara yang dapat digunakan oleh setiap
orang yang meninjau investigasi untuk memahami peristiwa dengan cepat.
1. Tinjau semua wawancara untuk memastikan bahwa Anda memiliki pemahaman yang kuat
tentang sifat keluhan dan apa yang diduga telah terjadi. Dapatkan addendum (pernyataan
kedua) jika diperlukan. Ini bukan tanda kelemahan dalam wawancara awal Anda, karena
meninjau kasus secara keseluruhan akan memberikan pemahaman yang lebih baik tentang
peristiwa, peran saksi, dan kemungkinan pertanyaan baru terhadap saksi. Memiliki
pernyataan tambahan adalah tanda bahwa Anda teliti dalam penyelidikan Anda dan Anda
mengejar setiap petunjuk.
2. Tinjau bukti digital, termasuk laporan yang diberikan oleh teknisi. Jika Anda tidak dapat
memahami bukti teknis, kemungkinan besar juri juga tidak akan memahaminya. Ini adalah
kesempatan bagi Anda untuk menelusuri bukti teknis, dengan para ahli Anda sehingga Anda
dapat memahami dengan tepat apa yang mereka katakan dalam laporan mereka.
Buat banyak catatan jika perlu, karena ini akan membantu dalam memahami bukti.
Salah satu cara yang berguna untuk mendapatkan pemahaman tentang bukti teknis
adalah memiliki kesempatan untuk menggunakan alat forensik yang digunakan pemeriksa,
di bawah pengawasan mereka dan pada perangkat yang terpisah. Ini akan dilakukan pada
salinan gambar awal untuk memastikan bahwa tidak ada kerusakan pada integritas barang
bukti. Orang yang belajar dengan melakukan suatu kegiatan akan merasa terbantu.
Machine Translated by Google
Misalnya, pemeriksa forensik mungkin dapat memandu Anda dalam mengikuti bukti
yang tercatat saat penyerang bergerak melalui jaringan dan memperoleh akses ke data
perusahaan yang berharga.
Idealnya teknisi Anda akan memberikan laporan mereka dalam bahasa yang jelas
dan menghindari istilah teknis jika memungkinkan. Saat Anda meninjau bukti, Anda
tidak perlu menjadi ahli tentang apa yang dikatakan ahli tersebut, tetapi Anda harus
dapat menjelaskan secara akurat bukti di pengadilan jika pengacara pembela meminta
Anda.
3. Pernyataan saksi harus dilengkapi dan ditandatangani selama tahap awal penyelidikan
Anda, karena orang dapat meninggalkan perusahaan atau bahkan negara dan mungkin
tidak mungkin untuk menemukannya nanti. Ini juga melengkapi garis penyelidikan.
Berkali-kali pernyataan akan direkam menggunakan rekaman digital di tempat kejadian
dan kemudian diterjemahkan ke dalam pernyataan wawancara formal di kantor.
Pernyataan-pernyataan ini kemudian perlu
diperiksa dan disahkan oleh saksi.
Godaan mungkin untuk merekam pernyataan dan fokus pada jalur penyelidikan
yang lebih menjanjikan, seperti identifikasi tersangka, dengan maksud bertemu saksi
untuk meninjau pernyataan di kemudian hari.
Anda akan menemukan penyelidikan Anda lebih jelas ketika Anda memiliki pernyataan
tertulis yang direkam dan ditandatangani oleh saksi, karena itu berarti mereka telah
secara resmi mengadopsi versi peristiwa saat penyelidikan berlanjut.
Ini adalah satu hal yang harus Anda rencanakan untuk diselesaikan dan memberikan
dasar yang kuat untuk penyelidikan Anda.
4. Dokumen Sumber Daya Manusia (SDM) sangat berguna ketika ada pelanggaran
keamanan internal. Amankan mereka lebih awal dan identifikasi anggota staf mana
yang dapat memperkenalkan mereka sebagai bukti dan menjelaskan isinya.
Investigasi Anda terhadap pelanggaran data internal mungkin bergantung pada
dokumentasi SDM, karena dokumentasi tersebut merinci penggunaan komputer yang
dapat diterima, kebijakan terkait penggunaan Bring Your Own Devices (BYOD), dan
kepemilikan Kekayaan Intelektual (IP) yang dibuat selama masa kerja. Saat menangani
dugaan pelanggaran data internal, berbicara dengan petugas SDM dan mendapatkan
file personel dengan dokumen-dokumen ini akan menentukan di awal penyelidikan
Anda potensi legalitas tindakan tersangka.
Saat meninjau bukti yang diperoleh dari pemeriksaan tempat kejadian, dokumen
HR dapat menentukan apakah penyelidikan Anda harus dilanjutkan atau selesai.
Misalnya, jika tidak ada dokumen yang merinci kepemilikan IP yang dibuat selama
masa kerja tersangka, mintalah nasihat hukum apakah ada pelanggaran yang dilakukan
saat tersangka menyalinnya.
Machine Translated by Google
5. Lanjutkan untuk memastikan lacak balak barang bukti saat melakukan peninjauan.
Siapkan jadwal yang menjelaskan semua pergerakan dan keamanan barang-barang
pameran, karena ini sangat berguna jika petugas pameran diperiksa di pengadilan
mengenai rantai penjagaan barang bukti. Tim hukum Anda juga akan sangat
menghargai dokumen ini untuk membantu mereka mengklarifikasi hak asuh barang
bukti.
Sebagai petugas investigasi, ketika meninjau rantai bukti, Anda mungkin
menemukan ada bukti yang tidak Anda ketahui telah disita atau bukti yang
relevansinya tidak Anda pahami saat itu. Misalnya, buku catatan yang disita dari
meja tersangka mungkin berisi banyak catatan yang mencakup tugas sehari-hari
mereka tetapi juga berisi kata sandi mereka atau rincian kata sandi anggota staf lain
yang telah mereka kumpulkan.
6. Tetap beri tahu klien tentang kemajuan investigasi. Tidak perlu menjelaskan setiap
teori, karena ini dapat berubah secara teratur, tetapi klien akan sangat tertarik
dengan kemajuan penyelidikan, biaya, dan potensi untuk mengidentifikasi tersangka,
terutama jika ada kecurigaan pelaku internal.
Saat Anda meninjau bukti, tersangka dapat berubah, teori baru berkembang,
masalah hukum dihadapi, dan relevansi bukti berubah. Pelapor telah menaruh
banyak kepercayaan pada tim investigasi, dan saat Anda meninjau bukti dan kasus
secara umum, mereka akan bertanya-tanya tentang apa yang terjadi dan
perkembangan bukti, dan akan menghargai komunikasi reguler dari Anda, bahkan
jika itu hanya panggilan telepon lima menit.
7. Saat membuat rekomendasi kepada klien atau membuat keputusan untuk menuntut,
pastikan setiap klaim dalam rekomendasi didukung oleh bukti yang dapat diterima.
pada kesalahpahaman yang jujur tentang keadaan. Mereka mungkin lega menemukan
penyelidikan Anda tidak menemukan bukti penipu internal atau pelanggaran
keamanan.
Sebagai penyidik, akan ada saatnya Anda diminta untuk memberi tahu pelapor/
klien hal-hal yang tidak ingin mereka dengar, seperti setuju dengan mereka bahwa
ada pelanggaran data dan bahwa ada karyawan tertentu yang menjadi tersangka
kuat, tetapi ada tidak ada standar bukti untuk membuktikannya. Meninjau bukti dan
penyelidikan akan mengarahkan Anda ke pelaku, tetapi akan ada saat-saat dalam
karir Anda ketika Anda tahu siapa pelakunya tetapi tidak akan dapat memenuhi
standar bukti yang diperlukan untuk membuktikannya di pengadilan. Dalam keadaan
ini hindari godaan untuk menafsirkan bukti untuk memenuhi asumsi Anda atau
harapan klien, karena ini akan menyebabkan masalah besar bagi Anda sebagai
penyidik dan pelapor ketika ditantang di pengadilan.
9. Buat garis waktu peristiwa dalam urutan kronologis untuk kejelasan visi untuk
membantu peninjauan. Saat Anda meninjau bukti Anda, Anda akan menemukan
banyak contoh aktivitas di sekitar tanggal dan waktu tertentu dan menjadi sangat
sulit untuk mengikuti apa yang terjadi. Garis waktu kronologis menempatkan setiap
peristiwa dalam urutan yang benar sehingga Anda dapat memahami apa yang telah
terjadi.
Saat Anda meninjau garis waktu kronologis, tambahkan kolom di spreadsheet
Anda yang menunjukkan dari mana bukti berasal. Misalnya: 25/10/2018 10:43am
Akses tidak sah ke komputer desktop Jake Smith ABD 1234E Bersumber dari
pernyataan Jacobs (penguji digital)
10. Bersiaplah untuk meminta pihak independen meninjau kasus tersebut untuk
mendapatkan pandangan baru tentang penyelidikan, bukti yang diperoleh, dan
kesimpulan yang dicapai.
Terlepas dari upaya terbaik Anda, Anda mungkin telah memutuskan motif,
tersangka, dan metodologi. Memiliki orang independen yang meninjau bukti dapat
mengkonfirmasi hal ini atau menantang persepsi Anda. Tinjauan orang lain juga
dapat mengidentifikasi bukti atau teori yang belum Anda ketahui, karena orang
tersebut membawa pengalaman dan pengetahuan profesionalnya ke dalam
penyelidikan Anda.
Tidak ada orang di bidang investigasi yang mengetahui segalanya, dan
perspektif baru juga dapat menemukan kelemahan dalam penyelidikan Anda yang
tidak Anda sadari.
Machine Translated by Google
11. Tantang diri Anda dan bukti yang diperoleh untuk memastikan bahwa Anda memiliki
kesimpulan yang kuat.
Saat Anda meninjau penyelidikan Anda, pikirkan juga dari sudut pandang apa
yang mungkin ditanyakan oleh pengacara pembela ketika mereka meninjau kasus Anda.
Mereka akan sangat kritis dan mungkin berusaha untuk meningkatkan kecurigaan
tentang orang lain yang telah Anda singkirkan dari daftar tersangka Anda.
12. Semua pernyataan penyelidik harus lengkap dan lengkap sebelum melanjutkan ke
penyelidikan berikutnya. Ini termasuk penyimpanan catatan yang dibuat selama
penyelidikan, karena mungkin diperlukan sebagai bukti dalam hak mereka sendiri.
Saat meninjau bukti dalam investigasi teknologi, hindari menempatkan fokus total pada
bukti digital dengan mengorbankan pemahaman pribadi dan motivasi penyerang yang terlibat.
Hal ini terutama terjadi ketika Anda mengidentifikasi calon tersangka, seperti karyawan internal
atau pesaing bisnis. Pikirkan tentang motivasi mereka dan manfaat apa yang akan mereka
peroleh dari tindakan tersebut, dan bukti apa yang dapat Anda peroleh dari memeriksa aktivitas
offline mereka.
Melihat perilaku tersangka pasca-pelanggaran adalah cara yang sangat baik untuk
menguatkan bukti yang Anda peroleh selama penyelidikan Anda. Misalnya, apakah mereka
tampak memiliki gaya hidup yang lebih mewah pasca-pelanggaran, atau apakah mereka tiba-
tiba melunasi hutang-hutang yang sebelumnya tidak mampu mereka bayar?
Atau, apakah karyawan internal telah memperoleh pekerjaan baru di pesaing melebihi
keterampilan yang mereka ketahui?
Mengikuti tema tersebut, pemeriksaan TKP di rumah tersangka seringkali menunjukkan
tanda-tanda gaya hidup yang jauh di atas penghasilan tersangka. Bukti ini mungkin juga dapat
ditemukan di ponsel atau akun media sosial mereka, di mana mungkin ada foto rumah mewah,
makanan di restoran mahal, atau perjalanan belanja besar di pengecer berkualitas tinggi.
Gunakan materi sumber terbuka ini untuk keuntungan Anda. Surat Pemberitahuan Pajak dan
rekening koran yang terletak di alamat tersangka memberikan bukti kuat tentang penghasilan
mereka yang sah dan mungkin menjadi bukti yang sangat relevan jika dibandingkan dengan
pengeluaran tersangka. Juga, lihat
Machine Translated by Google
menyimpan kuitansi yang terletak di alamat tersangka, yang akan memberikan informasi
mengenai kegiatan pembelanjaan.
Ini adalah teknik investigasi umum dari pemeriksa penipuan.
Menemukan tanda terima atau foto pembelian bernilai tinggi akan memberikan tanggal
pengeluaran, yang pada gilirannya dapat dikaitkan dengan waktu dugaan pelanggaran.
Tergantung pada keadaan dan otoritas hukum Anda, bukti pengeluaran besar dapat
ditelusuri kembali melalui rekening bank untuk mengetahui dari mana uang ini berasal. Pada
saat ini, membawa seorang akuntan dengan keahlian khusus dalam investigasi keuangan dan/
atau pemeriksa penipuan akan memberikan dukungan yang berharga bagi penyelidik kejahatan
siber.
Setelah Anda meninjau penyelidikan dan bukti, tiba saatnya Anda memutuskan apakah
akan memulai penuntutan. Jika ini terjadi, Bab 18 akan memberikan beberapa ide untuk
menyajikan bukti Anda, digital dan lainnya, ke pengadilan. Anda akan menemukan ada
kalanya meskipun penyelidikan Anda bersifat ekstensif, Anda tidak dapat menemukan
tersangka. Ini mungkin karena bukti yang Anda butuhkan seperti file log tidak ada, penyerang
telah menggunakan teknologi seperti server proxy, anonimizer, atau perangkat yang disusupi,
atau sebagai alternatif, mereka tidak dapat ditemukan di yurisdiksi asing. Menyiapkan laporan
terperinci tentang penyelidikan dan temuan Anda memberikan informasi kepada pelapor untuk
memahami tingkat serangan dan kerusakan, memberikan mereka informasi untuk memahami
serangan dan cara memulihkan kompromi sistem dan data.
Machine Translated by Google
mengidentifikasi siapa yang dapat dituntut atas peristiwa tersebut. Ini mungkin dalam
SETELAH MENINJAU investigasi dan bukti, seseorang mungkin:
pengadilan (seperti pengadilan ketenagakerjaan), atau menjadi penuntut sipil—atau
bahkan kriminal. Dengan pengecualian yang jarang terjadi, pihak yang membawa masalah ke
pengadilan memiliki beban untuk membuktikan kasus tersebut terhadap pihak lain.
Di sinilah profesionalisme dan ketelitian investigasi Anda akan diuji secara kritis. Pengacara
pembela akan melihat pekerjaan mereka sebagai menantang kesimpulan Anda bahwa klien
mereka telah melakukan pelanggaran yang dituduhkan, tetapi mereka juga dapat memperpanjang
tantangan mereka dengan menanyai tim Anda tentang pemeriksaan tempat kejadian, pengumpulan
bukti, perlindungan lacak balak, dan kualifikasi Anda tim investigasi untuk pekerjaan yang mereka
lakukan. Sementara tinjauan Anda tentang penyelidikan berfokus pada mempertanyakan bukti,
tugas pengacara pembela adalah untuk mewakili klien mereka dengan kemampuan terbaik mereka
dan ini melibatkan fokus yang kuat pada penyelidikan, bukti, dan kesimpulan Anda.
Akibatnya, dalam evaluasi pra-pengadilan Anda, bersiaplah untuk tidak hanya menjelaskan
mengapa orang yang dituduh melakukan pelanggaran, tetapi juga mengapa orang di sebelahnya
tidak melakukannya. Misalnya, jika perangkat komputer digunakan bersama oleh lima orang yang
menggunakan nama pengguna dan kata sandi yang sama, mengapa tersangka ini di pengadilan
sebagai terdakwa dan bukan empat lainnya? Sebagai bagian dari persiapan pengadilan Anda, jadilah
265
Buku Pegangan Penyidik Kejahatan Dunia Maya, Edisi pertama. Graeme Edwards,
PhD. © 2020 John Wiley & Sons, Inc. Diterbitkan 2020 oleh John Wiley & Sons, Inc.
Machine Translated by Google
mampu menjelaskan dengan bukti mengapa orang-orang tersebut tidak juga hadir di ruang sidang
sebagai terdakwa.
Seorang pengacara pembela dapat memperkenalkan teori-teori alternatif tentang siapa pelakunya,
dan dalam persiapan Anda mengantisipasi teori-teori ini dan memikirkan apakah mereka memiliki
validitas. Bangun kasus Anda tidak hanya untuk menghasilkan bukti mengapa terdakwa diajukan ke
pengadilan, tetapi juga mengapa orang lain yang mungkin terlibat bukanlah terdakwa.
Keadaan umum adalah di mana seorang karyawan mencuri Kekayaan Intelektual (IP) untuk
dibawa ke majikan baru mereka karena pemahaman ketika mereka ditawari pekerjaan baru adalah
bahwa mereka akan mendapatkannya hanya jika mereka membawa IP.
Hukum persekongkolan untuk melakukan pelanggaran mensyaratkan bahwa setidaknya dua orang
terlibat: dalam hal ini, orang yang mencuri HKI dan majikan baru yang menawarkan pekerjaan kepada
orang tersebut selama mereka membawa HKI tersebut. Anda mungkin memiliki bukti kuat untuk
menuntut karyawan tersebut, tetapi tidak lebih dari kecurigaan yang kuat tentang orang yang diduga
menerima IP. Penjelasan mereka mungkin setuju bahwa karyawan tersebut membawa IP tetapi mereka
tidak mengetahui bahwa IP itu dimiliki oleh pesaing mereka karena terdakwa menyatakan bahwa mereka
adalah pemiliknya.
Pengacara pembela dapat memperkenalkan teori ini kepada Anda dalam pemeriksaan silang di
pengadilan dalam upaya untuk mengurangi keterlibatan klien mereka, jadi bersiaplah untuk mengakui
bahwa meskipun ini adalah suatu kemungkinan, Anda tidak memiliki bukti untuk memajukan teori ini.
Mengakui bahwa tidak ada cukup bukti untuk menuntut seorang tersangka coconspirator akan
menunjukkan bahwa Anda objektif dalam pengambilan keputusan. Penuntutan Anda kemudian akan
bergantung pada tuduhan berdasarkan pencurian IP dan bukan tuduhan konspirasi.
Bukti Anda akan teknis dan nonteknis. Secarik kertas yang ditemukan di meja tersangka pada hari
pemeriksaan TKP yang dianggap bernilai terbatas mungkin akan menjadi bukti paling penting dalam
keseluruhan kasus. Meskipun Anda sedang menyelidiki masalah teknis, jangan mengabaikan nilai
selembar kertas yang Anda temukan di tempat kejadian.
Semua bukti menceritakan sebuah kisah dan tugas Anda adalah memastikannya diceritakan
sejelas dan sesingkat mungkin. Pekerjaan pengacara pembela mungkin melibatkan kebingungan juri
dengan rincian teknis sampai-sampai tidak ada yang bisa mengerti apa arti bukti, dan ini telah terbukti
menjadi strategi yang sukses dalam dirinya sendiri.
Itu adalah tugas mereka dan tugas Anda adalah meniadakan strategi hukum yang sah ini sebelum dapat
digunakan untuk melawan kasus Anda.
Seperti semua bukti, pertimbangan utama adalah mempertimbangkan keabsahannya di
pengadilan di mana Anda ingin masalah Anda diadili. hukum
Machine Translated by Google
perwakilan di tim Anda akan memainkan peran utama di sini, jadi mintalah saran mereka sejak dini
dan teratur. Bukti terbesar yang Anda miliki tidak ada nilainya jika tidak dapat diterima.
Dalam masalah perdata, seorang pengacara perdata berpotensi ditambahkan ke tim investigasi
untuk membantu mendapatkan perintah pengadilan, mencegah tersangka menggunakan data yang
diperoleh secara tidak sah, memperoleh bukti komputer, atau membekukan rekening bank dan
aset tersangka. Hal ini kemudian dapat mengarah pada tindakan pengadilan lebih lanjut atau
bahkan menjadi awal dari pengaduan pidana yang diajukan ke polisi. Karena setiap yurisdiksi
berbeda, memperoleh nasihat hukum dari seorang pengacara yang berpengalaman mungkin akan
menghabiskan waktu dan uang dengan baik sebelum merencanakan tindakan semacam itu.
Bukti digital Anda akan relevan dengan sidang pengadilan seperti halnya bukti lainnya.
Namun, bukti digital membutuhkan perawatan dalam penyajiannya untuk memastikan relevansinya
dipahami.
Semua masalah bukti akan diputuskan oleh yurisdiksi lokal Anda dan aturan pembuktian
diputuskan dengan undang-undang lokal dan keputusan pengadilan.
Contoh pertimbangan ketika mengajukan bukti di depan pengadilan dengan uraian non-hukum
yang sangat singkat adalah sebagai berikut:
1. Relevan. Bukti yang mengarah pada pembuktian atau penyangkalan suatu elemen dari
dakwaan di depan pengadilan.
2. Otentik. Aturan ini adalah untuk menunjukkan bahwa bukti yang diajukan ke pengadilan adalah
apa yang dimaksudkan. Misalnya, bahwa dokumen yang disajikan sebagai bukti adalah
otentik dan bukan dokumen yang dibuat secara curang untuk membuktikan atau menyangkal
suatu unsur dakwaan. Seorang saksi yang memberikan bukti yang kredibel, diterima oleh
pengadilan, bahwa mereka membuat dokumen tertentu dapat membuktikan keaslian dokumen
tersebut.
3. Bukan desas-desus atau desas-desus yang dapat diterima. Bukti di mana saksi memberikan
bukti yang berada dalam pengetahuan langsung mereka. Misalnya, mendengar desas-desus
di ruang makan kantor bahwa orang tertentu yang mengaku melakukan kejahatan tidak akan
menjadi bukti yang dapat diterima di sebagian besar yurisdiksi karena saksi tidak memiliki
pengetahuan langsung tentang pengakuan yang dituduhkan.
4. Bukti terbaik. Di dunia yang sempurna, salinan asli dokumen dan gambar disajikan ke
pengadilan. Dengan bukti digital, aslinya dapat berupa salinan digital yang dihasilkan dan
disajikan sebagai bukti. Pengadilan umumnya akan menerima ini kecuali ada alasan hukum
atau alasan lain mengapa tidak.
Machine Translated by Google
5. Tidak terlalu merugikan. Bukti-bukti yang dihadirkan tidak menimbulkan prasangka yang
tidak adil terhadap terdakwa, seperti menghadirkan bukti-bukti yang sama di masa lalu.
Juga, karena Anda menemukan materi di komputer mereka yang menunjukkan bahwa
tersangka memiliki karakter buruk tidak berarti materi tersebut dapat diajukan ke
pengadilan sebagai bukti kecuali jika relevan dengan kasus tersebut.
penuntutan. Misalnya, menemukan bukti di komputer tersangka bahwa mereka telah
melakukan kesalahan di media sosial tidak mungkin menjadi bukti yang dapat diterima
ketika Anda menyelidiki mereka karena mencuri data perusahaan dari majikan mereka.
Teknologi bisa menjadi sangat kompleks, dan meskipun bukti yang disajikan mungkin sangat
relevan, pihak yang mempresentasikannya perlu memastikan nilainya sangat terang dan
tidak hilang dalam kompleksitas teknologi yang mendasarinya, seperti halnya dengan bukti
berbasis cloud. Akibatnya, menginvestasikan waktu dalam mengembangkan rencana
teknologi untuk pengadilan menghabiskan waktu dengan baik, terutama ketika pengacara
tergugat menggunakan strategi untuk membuat teknologi terdengar serumit mungkin bagi
juri.
Jika bukti teknologi Anda sangat kompleks, memiliki ahli independen sebagai saksi
yang tahu sedikit tentang kasus tersebut tetapi banyak tentang teknologi membantu
memberikan pemahaman kepada pengadilan tentang teknologi penting dalam kasus tersebut
tanpa sedikit pun bias terhadap pihak yang meminta mereka untuk memberikan kesaksian.
Orang ini adalah saksi ahli di pengadilan dan bukan dari pihak yang membawanya ke
pengadilan untuk bersaksi. Jika Anda memperkenalkan seseorang sebagai ahli di bidangnya,
mereka tidak akan diterima oleh pengadilan sebagai ahli sampai mereka telah menetapkan
kualifikasi dan keahlian mereka dan pengacara pihak lain memiliki kesempatan untuk
menantang mereka jika mereka mau. Di sebagian besar yurisdiksi, seseorang hanya menjadi
ahli di pengadilan ketika hakim menyetujuinya.
Masalah yang dihadapi juri adalah mengikuti volume bukti dalam kasus yang kompleks.
Bukti bergerak cepat melintasi saksi, dan merupakan sifat manusia untuk mengambil waktu
untuk memahami bukti yang kompleks dan maknanya dalam konteks kasus. Jika sepotong
bukti sangat kompleks tetapi memberikan nilai terbatas, tinjau dengan pengacara Anda
apakah itu harus disajikan, karena nilainya mungkin diliputi oleh kompleksitasnya.
Menyediakan monitor dan/atau perangkat (tablet) bagi para juri untuk mengakses bukti
digital seperti yang disajikan memungkinkan mereka untuk mendengar kesaksian pada saat
yang sama ketika mereka melihatnya beroperasi. Mereka juga dapat meninjau pameran dari
Machine Translated by Google
perangkat seperti yang mereka butuhkan. Ini membantu mereka yang belajar dengan melakukan serta mereka
Ketika meninjau berbagai pelanggaran oleh terdakwa, jika ada periode pelanggaran
yang panjang, pertimbangkan apakah ada manfaat dalam menuntut setiap kasus
pelanggaran selama beberapa tahun dan membingungkan pengadilan. Strategi alternatif
adalah mengidentifikasi periode utama pelanggaran dan menuntut berdasarkan kerangka
waktu ini. Hukuman potensial untuk menggunakan teknologi untuk mendapatkan $15 juta
secara curang tidak jauh berbeda dengan menggunakan teknologi untuk mendapatkan $16
juta secara curang, terutama ketika tidak ada kemungkinan reparasi. Jadi, jika periode
utama pelanggaran melibatkan $15 juta dan bukti Anda sangat kuat, tetapi buktinya lebih
lemah dan membingungkan untuk sisa $1 juta, strategi umum adalah tetap berpegang pada
kekuatan Anda.
Saat memilih ahli Anda, tentukan kualifikasi dan pengalaman mereka. Meskipun tidak
semua penyelidik digital harus ahli, mereka harus mampu menunjukkan kualifikasi dan
pengalaman mereka dalam menggunakan teknologi yang digunakan untuk menangkap dan
menilai bukti digital dengan standar yang dipersyaratkan oleh pengadilan. Akibatnya,
pengadilan ingin melihat kompetensi dalam tindakan mereka dan kredibilitas hasil dan
interpretasi.
Membantu pengacara Anda dalam memahami penyelidikan Anda adalah bahan
penyelidikan yang sering diabaikan. Pengacara sering dibanjiri dengan masalah dan
terkadang memiliki waktu terbatas untuk memahami nuansa kasus yang akan mereka
tangani. Adalah kepentingan Anda untuk menyiapkan ringkasan lengkap masalah dan bukti
untuk memastikan mereka memiliki pengetahuan untuk mewakili kasus Anda di pengadilan/
pengadilan. Ringkasan eksekutif yang dibuat dengan baik sepadan dengan waktu yang
dibutuhkan untuk mempersiapkannya. Sertakan jadwal bukti utama dan mengapa itu
relevan. Mempersiapkan jadwal lacak balak juga akan sangat dihargai. Jika Anda tidak
dapat meyakinkan pengacara Anda tentang bukti dan kasus Anda dengan cara yang jelas
dan tepat, Anda akan berjuang untuk meyakinkan juri.
Bekerja dengan pengacara Anda adalah investasi. Anda mungkin memiliki perwakilan
hukum di tim Anda dan ini mungkin bukan orang yang sama yang mengajukan kasus di
pengadilan. Bersiaplah untuk menerima nasihat dari pengacara Anda bahkan ketika Anda
tidak menyukainya, karena merekalah yang harus mengajukan kasus Anda di pengadilan
dan telah mempelajari pelajaran yang diperoleh dengan susah payah dari ruang sidang dan
persyaratan peradilan. Jika mereka ingin jalur penyelidikan diselidiki lebih lanjut, ini harus
diperlakukan sebagai prioritas.
Sejak pertama kali memulai penyelidikan Anda, pahamilah bahwa semua yang Anda
lakukan mungkin akan ditanyai di pengadilan di mana Anda akan diminta untuk membenarkan
tindakan Anda. Ini berlaku untuk metodologi investigasi Anda serta manajemen bukti. Kami
telah membahas mencatat keputusan yang dibuat dan
Machine Translated by Google
keadaan yang diketahui pada waktu tertentu, dan di sinilah mereka akan terbukti berharga.
Keputusan yang dibuat mungkin kemudian terbukti salah; namun, ketika Anda bekerja di
tempat kejadian atau berbicara dengan tersangka, Anda tidak memiliki kemewahan untuk
menunggu semua informasi yang Anda butuhkan, dan keputusan itu mungkin masuk akal
pada saat itu. Anda bekerja dengan apa yang Anda ketahui dan menggunakan pengalaman Anda.
Jarang terjadi ketika Anda melakukan tinjauan pasca-penyelidikan dan tidak berpikir bahwa
Anda akan membuat keputusan yang berbeda pada saat-saat penting jika Anda memiliki
informasi yang tersedia kemudian pada saat keputusan dibuat.
Saat Anda mengajukan klaim di depan pengadilan, pastikan bukti Anda cukup kuat
untuk membuktikannya. Seperti disebutkan, memiliki pihak independen, seperti pengacara,
meninjau kasus Anda dan bukti akan bermanfaat, karena memberikan kesempatan untuk
keyakinan yang telah Anda kembangkan selama penyelidikan untuk ditantang. Sayangnya,
terlepas dari upaya terbaik dari tim investigasi, mereka mungkin menjadi begitu yakin akan
teori mereka yang melibatkan bukti dan tersangka sehingga teori alternatif untuk fakta yang
terungkap mungkin terlewatkan. Memiliki bukti Anda ditantang sebelum Anda memulai
penuntutan dan memperbaiki kekurangan apa pun lebih baik daripada kekurangan yang
diidentifikasi dan disorot oleh pengacara terdakwa di ruang sidang. Standar pembuktian
untuk memenangkan suatu kasus dapat berbeda antara hukum pidana dan perdata. Pahami
ambang batas untuk keyakinan yang diperlukan di pengadilan tempat Anda ingin menuntut.
Teknologi baru berkembang lebih cepat daripada yang dapat diperkenalkan pengadilan
kepada mereka. Misalnya, teknologi komputasi awan bukan lagi hal baru di pasar dan
Internet of Things (IoT) sudah berkembang pesat, artinya bukti diajukan ke pengadilan yang
mungkin tidak dikenal oleh petugas pengadilan dan mungkin tidak dimiliki oleh petugas
pengadilan. preseden yang jelas untuk diandalkan ketika mereka mempertimbangkan
integritas dan keasliannya. Mungkin ada contoh di masa depan ketika
Machine Translated by Google
bukti penting berasal dari bentuk baru perangkat digital dan pihak lawan menempatkan teknologi dan
akurasinya di pengadilan daripada fokus pada bukti yang dihasilkan dan implikasinya bagi klien
mereka. Bukti ini seringkali tidak ditantang karena pihak-pihak yang terlibat tidak memahami teknologi
itu sendiri dan tidak tahu pertanyaan yang diajukan.
Sebagai bagian dari persiapan Anda untuk pengadilan, siapkan saksi Anda. Banyak orang yang
menjadi saksi belum pernah berada di ruang sidang sebelumnya dan pemahaman mereka tentang
pengadilan adalah apa yang mereka lihat di TV. Adalah umum bagi para saksi untuk gugup menghadiri
pengadilan, karena mereka melangkah ke tempat yang tidak diketahui melawan pengacara terampil
yang melihat ruang sidang sebagai rumah kedua mereka dan mengetahui aturan pengadilan secara
dekat.
Strategi positif adalah dengan mengambil saksi kunci atau saksi gugup untuk menunjukkan
kepada mereka ruang sidang yang kosong sebelum mereka memberikan bukti. Tunjukkan pada
mereka di mana mereka harus duduk, di mana para pengacara akan ditempatkan, dan ajari mereka
protokol pengadilan, seperti bagaimana berbicara dengan hormat kepada hakim dan menampilkan diri
mereka dalam sudut pandang positif yang terbaik. Akibatnya, bawa misteri itu keluar dari ruang sidang.
Izinkan mereka untuk meninjau kembali pernyataan mereka untuk menyegarkan ingatan mereka (jika
undang-undang setempat mengizinkan), karena sidang pengadilan dapat berlangsung beberapa tahun
setelah dugaan pelanggaran saat pernyataan mereka diambil. Juga perkenalkan mereka kepada
pengacara Anda, yang akan menghargai kesempatan untuk meninjau bukti dengan saksi mereka dan
mengklarifikasi masalah apa pun.
Jelaskan prosedur ruang sidang, seperti peran panitera pengadilan (atau pejabat serupa,
tergantung pada yurisdiksi Anda), yang memberikan sumpah atau penegasan dan apa peran mereka.
Dalam hal high profile, mungkin ada media yang hadir dan mereka memiliki peran masing-masing,
yaitu merekam peristiwa di ruang sidang. Jelaskan bahwa mungkin ada anggota masyarakat yang
tidak terlibat dalam kasus tersebut tetapi tertarik karena media
laporan.Mengajar saksi Anda beberapa trik memberikan bukti adalah strategi berharga yang dapat
Anda terapkan dalam mempersiapkan pengadilan. Beberapa nasihat yang baik termasuk berpegang
teguh pada apa yang Anda ketahui; tidak memberikan bukti pendapat kecuali Anda adalah saksi ahli
dan pengadilan mengizinkan bukti tersebut; dan menyadari taktik diam, di mana saksi memberikan
jawaban mereka dan pengacara tetap diam, menunggu informasi lebih lanjut saksi tidak berniat
memberikan. Keheningan mendorong saksi secara tidak sadar bahwa lebih banyak informasi
diperlukan, dan mereka mungkin mengatakan sesuatu yang kemudian mereka sesali.
Tips lainnya adalah tetap profesional, tidak memberikan komentar yang merendahkan terdakwa,
tidak berkomentar yang cerdas/sarkastis, dan menghadiri persidangan dengan berpakaian profesional
dan terhormat. Saksi tidak boleh menggunakan bahasa kotor kecuali kutipan langsung yang relevan
dengan bukti dan
Machine Translated by Google
kesaksian, seperti “Ketika ditantang untuk mencuri kekayaan intelektual, terdakwa mengatakan
*******.” Hakim dan juri akan menilai karakter orang yang memberikan bukti seketat bukti itu
sendiri, dan menunjukkan profesionalisme dan rasa hormat kepada pengadilan adalah dasar untuk
menjadi saksi yang berkualitas dan kredibel.
Tip lebih lanjut untuk memberikan saksi Anda adalah bahwa mereka diperbolehkan untuk
mengatakan bahwa mereka tidak tahu jawaban atas sebuah pertanyaan atau bahwa mereka tidak
dapat mengingat ketika mereka memberikan bukti. Membuat jawaban dari fragmen memori
bukanlah bukti yang berkualitas dan mereka mungkin akan mempertanyakan mengapa memori ini
tidak dimasukkan dalam pernyataan aslinya tetapi baru diingat beberapa tahun kemudian.
Jika ada sesuatu yang diingat yang tidak termasuk dalam pernyataan asli, pernyataan tambahan
harus dicatat dan diberikan kepada pengacara pembela sebelum sidang.
Pengacara pembela adalah praktisi yang terampil dalam membaca saksi dan mengidentifikasi
strategi untuk mengurangi dampak dari bukti mereka. Ini adalah tugas mereka dan mereka ada di
sana untuk mewakili klien mereka dengan kemampuan terbaik mereka.
Singkatnya, penyelidikan Anda dapat memberikan bukti yang sangat kuat untuk
mengidentifikasi pelaku, metodologi mereka, dan motivasi mereka untuk melakukan kejahatan
dunia maya. Namun, kecuali Anda dapat membuktikan fakta-fakta bila diperlukan, kesimpulan
Anda akan tetap tidak terbukti.
Machine Translated by Google
Kesimpulan
SEMENTARA
ke dalamdunia menjadi
setiap aspek lebihkita,
kehidupan terhubung danlebih
target menjadi teknologi berkembang
mudah ditemukan dan
serangan untuk penjahat dunia maya. Dengan perkembangan teknologi, sering
dikatakan bahwa Anda dapat menjangkau dan menyentuh dunia dari rumah Anda. Namun,
kebalikan dari ini adalah bahwa penjahat dunia maya sekarang dapat menjangkau rumah dan/
atau bisnis Anda dari lokasi mereka di mana pun di dunia. Penjahat dunia maya telah menyadari
bahwa lebih mudah dan lebih aman untuk melakukan kejahatan dunia maya terhadap seseorang
atau perusahaan di belahan dunia lain daripada melakukan kejahatan terhadap tetangga mereka.
Ambang batas untuk menjadi penjahat dunia maya sangat rendah, dan tidak ada perang
wilayah antara penjahat dunia maya yang menuntut agar tidak ada orang lain yang mengganggu
wilayah mereka, yang tidak terjadi pada semua jenis kejahatan. Internet adalah anak laut terbuka
pada semua orang oleh siapa saja. Penjahat dunia maya yang muncul hanya perlu memiliki
keahlian yang sangat terbatas, karena ada banyak sumber daya pelatihan yang tersedia secara
online yang disediakan oleh penjahat dunia maya yang lebih berpengalaman untuk berbagi
perdagangan mereka, serta alat otomatis yang melakukan kerja keras untuk membobol
perangkat rumah dan jaringan perusahaan. Sayangnya, imbalannya besar, dan kerusakan yang
terjadi pada korban yang tidak bersalah sering kali mengerikan dan mengubah hidup.
Karena banyaknya masalah teknis yang dibahas dalam buku ini, dari sudut pandang
penyelidik kejahatan dunia maya menemukan pelaku dan menahan mereka.
273
Buku Pegangan Penyidik Kejahatan Dunia Maya, Edisi pertama. Graeme Edwards,
PhD. © 2020 John Wiley & Sons, Inc. Diterbitkan 2020 oleh John Wiley & Sons, Inc.
Machine Translated by Google
274 Kesimpulan _
untuk mempertanggungjawabkan tindakan mereka mungkin merupakan operasi yang sangat sulit dan
kompleks yang membutuhkan investasi waktu dan sumber daya yang signifikan, terlepas dari apakah
penegak hukum atau penyelidik sipil ditugaskan untuk menangani kasus tersebut. Sebagian besar
keberuntungan dan keuntungan ada pada penjahat dunia maya; Namun, penyidik akan menemukan
banyak remah roti yang mengungkapkan identitas aslinya. Remah-remah roti ini berasal dari adegan
kejahatan dunia maya dan banyak penjahat dunia maya terkejut menemukan ketukan di pintu depan
mereka berasal dari penegak hukum yang mencari penangkapan mereka, terutama ketika mereka percaya
bahwa mereka 100 persen anonim secara online.
Terlepas dari persepsi tersebut, tidak semua penjahat dunia maya berada di yurisdiksi internasional,
bersembunyi di balik banyak lapisan teknologi. Banyak yang berada di dalam organisasi kita, atau memiliki
hubungan dengan mereka, seperti menjadi pesaing bisnis.
Orang-orang ini dapat diakses dalam yurisdiksi Anda dan dapat dimintai pertanggungjawaban. Di sinilah
pemeriksaan tempat kejadian dan manajemen bukti Anda sangat penting, karena metodologi investigasi
Anda akan diperiksa secara mendalam di ruang sidang.
Seiring berkembangnya teknologi, semakin banyak bukti yang tersedia bagi penyidik pidana dan
perdata. Menemukan bukti hanya dibatasi oleh imajinasi penyelidik, karena dunia kita yang semakin
terhubung mengumpulkan semakin banyak data tentang aktivitas kita. Internet of Things (IoT) dapat
mempermudah pekerjaan penjahat dunia maya, tetapi juga dapat digunakan untuk keuntungan Anda saat
Anda menyelidiki pelanggaran di mana Anda mencurigai pelaku secara fisik berada di TKP.
Sebagai penyelidik, pekerjaan Anda menjadi lebih kompleks; namun, ada lebih banyak bukti yang
tersedia untuk memajukan penyelidikan Anda jika Anda tahu di mana mencarinya dan perangkat apa yang
berfungsi serta bukti yang mungkin ada di dalamnya. Memasukkan bukti ini ke dalam penyelidikan Anda
adalah keterampilan yang akan Anda perbaiki sepanjang karier Anda, dengan hasil positif yang dicapai,
kesalahan jujur yang dibuat, pelajaran yang dipetik, dan penyelidik berketerampilan lebih tinggi muncul.
Bukti digital yang Anda peroleh mungkin sangat mudah berubah, dan keterampilan yang Anda
pelajari dan praktikkan akan sangat penting dalam banyak penyelidikan. Sebagai penyelidik digital/siber,
Anda akan berguna bagi banyak bentuk investigasi, tidak hanya yang melibatkan penipuan siber atau
internal. Di mana pun pelanggaran terjadi, dalam masyarakat saat ini ada harapan yang sangat kuat
bahwa bukti digital akan dilibatkan dalam penyelidikan. Misalnya, adegan pembunuhan di rumah dengan
banyak perangkat yang terhubung dapat mengungkapkan banyak hal kepada penyelidik tentang tindakan
yang menyebabkan kematian almarhum dan siapa yang bersalah.
Saat Anda menyelidiki berbagai bentuk kejahatan dunia maya, Anda akan mendapatkan kemenangan
dan Anda akan memiliki penyelidikan di mana Anda tidak dapat mengidentifikasi tersangka. Pada beberapa
kesempatan, penyelidikan Anda akan bekerja dengan sempurna menggunakan metodologi yang Anda
Machine Translated by Google
Kesimpulan 275 _
telah berkembang melalui pengalaman Anda, dan pada kesempatan lain Anda akan menggunakan metodologi
yang sama dan menemukan bahwa Anda tidak turun dari basis pertama. Ini adalah sifat melakukan segala
bentuk investigasi dan aparat penegak hukum yang telah menangani kasus akan memahami frustrasi melakukan
segalanya dengan benar dan tidak menyelesaikan kasus seperti yang mereka inginkan.
Setiap penyelidikan adalah kesempatan untuk belajar dan mengembangkan keterampilan Anda dan
berbagi pelajaran yang didapat.
Machine Translated by Google
Glosarium
DAFTAR ISTILAH
terdapat memberikan
di seluruh pemahaman
buku ini. Ini untuk memberikanumum tentang
pemahaman kerja istilah teknis
saja dan tidak memberikan analisis rinci tentang istilah yang tercantum.
APT: ancaman persisten tingkat lanjut Kompromi perangkat atau jaringan, biasanya oleh
penyerang, kelompok, atau negara bangsa yang sangat terampil. Setelah serangan berhasil
dan penyerang berada di dalam perangkat/jaringan, mereka menavigasi ke data yang ingin
mereka ekstrak. Banyak penyerang APT tetap berada di dalam perangkat/jaringan selama
berbulan-bulan, mengumpulkan data baru saat dibuat.
ARP: Address Resolution Protocol ARP digunakan dalam jaringan untuk
menghubungkan alamat IP internal ke alamat kontrol akses media (MAC).
Alamat MAC secara unik mengidentifikasi perangkat di jaringan. Alamat MAC dapat
ditemukan di NIC, yang merupakan perangkat fisik yang memungkinkan komunikasi antara
satu perangkat dengan perangkat lainnya. Perangkat juga memiliki alamat IP internal, yang
dikenal sebagai alamat subnet. Tabel ARP menghubungkan MAC
dan alamat IP dan berada di dalam router tempat perangkat terhubung.
server otentikasi Server komputer yang menentukan apakah seseorang atau aplikasi
mewakili dirinya sendiri ketika mencoba mengakses jaringan komputer.
277
Buku Pegangan Penyidik Kejahatan Dunia Maya, Edisi pertama. Graeme Edwards,
PhD. © 2020 John Wiley & Sons, Inc. Diterbitkan 2020 oleh John Wiley & Sons, Inc.
Machine Translated by Google
278 Glosarium _
CERT: tim tanggap darurat komputer Tim CERT memiliki peran yang berbeda di setiap
negara; namun umumnya memberikan pendidikan dan pelatihan, berbagi informasi
(indikator kompromi, pengarahan keamanan siber), hubungan antara Pemerintah dan
industri, kolaborasi internasional dan dukungan respons insiden langsung kepada
pemerintah serta infrastruktur penting. Beberapa tim CERT menyediakan layanan
berbayar kepada klien industri.
CSP: penyedia layanan cloud Sebuah bisnis yang menyediakan layanan komputasi awan
kepada pelanggan. Contohnya termasuk Amazon Web Services dan Microsoft Azure.
DHCP: Dynamic Host Configuration Protocol DHCP adalah metode di mana server
secara dinamis memberikan alamat IP ke komputer di jaringannya; itu menggantikan
administrator sistem yang menetapkan alamat secara manual.
DMZ: zona demiliterisasi Lapisan keamanan yang dihadapi Internet yang memberikan
garis pertahanan pertama ke jaringan area lokal terhadap serangan cyber.
DNS: server nama domain DNS adalah lokasi yang dikirimi permintaan oleh komputer
Anda ketika mencoba menemukan alamat komputer di Internet Inter yang belum pernah
Anda kunjungi sebelumnya. Komputer Anda menanyakan alamat server DNS dan dikirim
lokasinya. Komputer Anda kemudian mengarahkan permintaannya ke situs yang ingin
Anda kunjungi. Dalam kebanyakan kasus, DNS Anda juga merupakan penyedia layanan
Internet Anda.
DDoS: penolakan layanan terdistribusi DDoS adalah banyak komputer yang menyerang
perangkat dengan tujuan merusak kapasitas perangkat target agar berfungsi dan dapat
diakses oleh komputer lain.
DoS: penolakan layanan DoS adalah serangan komputer dari perangkat dengan maksud
merusak kapasitas perangkat target untuk berfungsi dan dapat diakses oleh komputer
lain.
Tas Faraday Tas yang dirancang untuk menghentikan saluran komunikasi eksternal
menjangkau perangkat di dalamnya. Tas Faraday dapat digunakan untuk menyimpan
ponsel untuk mencegah tersangka masuk dari jarak jauh ke perangkat dan menghapus
bukti Anda.
FTP: File Transfer Protocol Sebuah protokol untuk mentransfer file dari satu bentuk plat
ke yang lain, misalnya, dari komputer laptop ke drive USB.
GDPR: Peraturan Perlindungan Data Umum GDPR adalah undang-undang Uni Eropa
yang mencakup keamanan dan respons dalam pelanggaran informasi pengenal pribadi
warga negara Uni Eropa.
hash Sebuah algoritma hash membuat kompilasi matematis data dan menghasilkan output
tertentu. Nilai yang dikembalikan adalah angka unik, jadi jika Anda mengubah satu
karakter dalam data yang tunduk pada proses hash, Anda
Machine Translated by Google
Glosarium 279 _
akan mendapatkan hasil yang berbeda. Misalnya, nilai hash untuk kata "kejahatan dunia
maya" adalah 507C9BFA28900497DE242262C755ECDE. Namun, jika kita menambahkan
karakter lain ke kata—misalnya, mengubahnya menjadi “cybercrime!”—nilai hash menjadi
FF5D162B91779BD2897F277972E1A2CC, menggunakan salah satu protokol hash yang
tersedia.
Nilai hash digunakan untuk memvalidasi keaslian bukti yang telah Anda amankan untuk
memastikan bahwa itu memiliki integritas dan belum dimanipulasi, seolah-olah bahkan satu
karakter diubah dalam data sumber, output berubah. hypervisor Hypervisor adalah
perangkat lunak atau perangkat yang mengoperasikan virtual
sistem operasi mesin.
IaaS: infrastruktur sebagai layanan Suatu bentuk komputasi awan di mana CSP menyediakan
infrastruktur dasar dan klien menyediakan sistem operasi dan aplikasi. Contoh IaaS adalah
Amazon EC2.
IDS: sistem deteksi intrusi Memantau perangkat atau jaringan untuk aktivitas
yang dapat membahayakan dan melaporkannya untuk ditinjau dan tindakan yang mungkin dilakukan.
IP: Data kekayaan intelektual yang telah dibuat oleh entitas yang
unik dan memiliki nilai.
IP: Protokol Internet [alamat] Pengidentifikasi unik untuk akun ISP.
ISP memberikan alamat IP ke klien mereka untuk jangka waktu tetap atau dinamis. Saat
Anda melacak alamat IP, Anda biasanya melacaknya ke akun di ISP.
IPS: sistem pencegahan intrusi Memantau jaringan untuk aktivitas yang dapat
membahayakannya dan memiliki kapasitas untuk merespons ancaman secara otomatis.
IR: respons insiden Tindakan yang terlibat dalam menanggapi peristiwa dunia maya.
ISP: Penyedia layanan Internet Menyediakan akses klien ke Internet.
Mungkin juga bertindak sebagai server DNS.
TI: teknologi informasi Deskripsi yang sangat umum untuk berbagai bentuk
teknologi di masyarakat kita.
LEA: lembaga penegak hukum Polisi atau lembaga terkait
terlibat dalam penyelidikan pelanggaran hukum.
MAC: kontrol akses media [alamat] Pengidentifikasi unik untuk perangkat yang mencoba
mengakses sumber daya jaringan. Alamat MAC ada di kartu antarmuka jaringan fisik (NIC)
di dalam perangkat. Perangkat mungkin memiliki satu alamat MAC unik untuk akses Ethernet
dan yang terpisah untuk nirkabel
mengakses.
Machine Translated by Google
280 Glosarium _
MLAT: perjanjian bantuan hukum timbal balik Sebuah perjanjian internasional di mana hukum
lembaga penegak memberikan bantuan satu sama lain atas permintaan dari sesama
anggota perjanjian.
NIC: kartu antarmuka jaringan NIC adalah papan fisik dalam komputer yang memfasilitasi
akses ke jaringan. Perangkat mungkin memiliki NIC terpisah
untuk koneksi Ethernet dan nirkabel.
NIST: Institut Nasional Standar dan Teknologi NIST adalah sebuah
badan Departemen Perdagangan Amerika Serikat.
OS: sistem operasi Sistem operasi adalah program komputer yang
memungkinkan perangkat komputer fisik untuk beroperasi dan berinteraksi dengan banyak
aplikasi yang terpasang padanya. Sistem operasi umum termasuk:
Microsoft Windows 10 dan Apple Mojave.
PaaS: platform as a service Suatu bentuk komputasi awan di mana CSP menyediakan
infrastruktur dasar dan alat yang diperlukan untuk pengembangan aplikasi.
Contoh PaaS adalah Google App Engine.
PII: informasi pengenal pribadi Data pengenal khusus tentang a
individu unik, seperti nama lengkap, alamat, nomor Jaminan Sosial, dan
tanggal lahir.
port Sebuah lokasi dalam komputer di mana data perjalanan ke dan dari. Pelabuhan adalah
khusus untuk aplikasi yang menggunakannya; misalnya, port 80 digunakan untuk web
lalu lintas dan port 25 untuk lalu lintas email.
proxy server Sebuah server komputer yang berfungsi untuk menerima permintaan dari
perangkat jaringan mencari sumber daya dari perangkat jaringan lain. Contoh
termasuk server web dan email.
RAID: Redundant Array of Independent Disks [sistem] Data disimpan
di serangkaian drive dalam sistem untuk meningkatkan redundansi dan kualitas kinerja.
RAM: memori akses acak Menyimpan data dan kode saat sedang digunakan sehingga
bahwa perangkat tidak perlu mengarahkan setiap instruksi ke sistem operasi dan aplikasi
tertentu di dalam perangkat.
SaaS: perangkat lunak sebagai layanan Suatu bentuk komputasi awan di mana CSP
menyediakan infrastruktur dasar serta sistem operasi dan aplikasi yang dipilih oleh
pengguna. Pengguna memiliki sedikit atau tidak ada kontrol atas sistem SaaS,
karena mereka telah membuat kontrak dengan CSP untuk menyediakan dan mengelola layanan.
Contoh SaaS adalah Microsoft Office 365.
SANS Institute SANS Institute menyediakan pendidikan berkualitas tinggi dan
pelatihan untuk profesional keamanan di berbagai disiplin ilmu TI.
Aplikasi shadow IT dan layanan online yang diinstal pada perangkat/jaringan
tanpa wewenang dari administrator keamanan sistem. Contoh
Machine Translated by Google
Glosarium 281 _
subnet Subnet adalah divisi dalam alamat IP yang menyediakan dua atau lebih jaringan
yang berbeda dalam alamat IP tersebut. Ini digunakan di lingkungan domestik dan
perusahaan dengan subnetwork yang berkomunikasi satu sama lain melalui router di
jaringan internal itu. Misalnya, mungkin ada subnet terpisah untuk departemen sumber
daya manusia, keuangan, dan penelitian.
perangkat lunak manajemen kerentanan Proses mengidentifikasi dan memperbaiki
kerentanan dalam sistem operasi atau aplikasi. zero-day exploit Bagian baru dari
malware komputer yang tidak diketahui keamanannya
vendor, sistem operasi, dan aplikasi.
Machine Translated by Google
Indeks
283
Buku Pegangan Penyidik Kejahatan Dunia Maya, Edisi pertama. Graeme Edwards,
PhD. © 2020 John Wiley & Sons, Inc. Diterbitkan 2020 oleh John Wiley & Sons, Inc.
Machine Translated by Google
284 Indeks _
Indeks 285 _
286 Indeks _
Indeks 287 _
32
balas dendam,
30 keterampilan,
ujian, 31 terorisme, 32–33
Pengaduan
pidana/perdata peristiwa dunia maya,
identifikasi, 207
Investigasi peristiwa dunia maya, dukungan
manajemen, 48–50
Machine Translated by Google
288 Indeks _
Indeks 289 _
290 Indeks _
Indeks 291 _
292 Indeks _
Indeks 293 _
294 Indeks _
Indeks 295 _
296 Indeks _