Graeme Edwards - Cybercrime Investigators Handbook-John Wiley & Sons (2020)

Machine Translated by Google
Kejahatan dunia maya
Penyidik
Buku Pegangan
Penyidik
Buku Pegangan
GRAEME EDWARDS,PhD.
Hak Cipta © 2020 oleh John Wiley & Sons, Inc. Semua hak dilindungi undang-undang.
Diterbitkan oleh John Wiley & Sons, Inc., Hoboken, New Jersey.
Diterbitkan secara bersamaan di Kanada.
Tidak ada bagian dari publikasi ini yang boleh direproduksi, disimpan dalam sistem
pengambilan, atau ditransmisikan dalam bentuk apa pun atau dengan cara apa pun, elektronik,
mekanis, fotokopi, perekaman, pemindaian, atau lainnya, kecuali sebagaimana diizinkan berdasarkan
Bagian 107 atau 108 dari 1976 United Undang-Undang Hak Cipta Negara, tanpa izin tertulis sebelumnya
dari Penerbit, atau otorisasi melalui pembayaran biaya per salinan yang sesuai kepada Copyright
Clearance Center, Inc., 222 Rosewood Drive, Danvers, MA 01923, (978) 750-8400, faks (978) 646-8600,
atau di Web di www.copyright.com. Permintaan izin kepada Penerbit harus ditujukan ke Departemen
Perizinan, John Wiley & Sons, Inc., 111 River Street, Hoboken, NJ 07030, (201) 748-6011, faks (201)
748-6008, atau online di www .wiley.com/go/permissions.
Batas Tanggung Jawab/Penafian Garansi: Meskipun penerbit dan penulis telah melakukan upaya
terbaik mereka dalam mempersiapkan buku ini, mereka tidak membuat pernyataan atau jaminan
sehubungan dengan keakuratan atau kelengkapan isi buku ini dan secara khusus menyangkal segala
jaminan tersirat tentang dapat diperjualbelikan. atau kebugaran untuk tujuan tertentu. Tidak ada
jaminan yang dapat dibuat atau diperpanjang oleh perwakilan penjualan atau materi penjualan tertulis.
Saran dan strategi yang terkandung di sini mungkin tidak cocok untuk situasi Anda. Anda harus
berkonsultasi dengan seorang profesional jika perlu.
Baik penerbit maupun penulis tidak bertanggung jawab atas hilangnya keuntungan atau kerugian
komersial lainnya, termasuk namun tidak terbatas pada kerusakan khusus, insidental, konsekuensial, atau
lainnya.
Untuk informasi umum tentang produk dan layanan kami yang lain atau untuk dukungan teknis, silakan
hubungi Departemen Layanan Pelanggan kami di Amerika Serikat di (800) 762-2974, di luar Amerika
Serikat di (317) 572-3993, atau faks (317) 572 -4002.
Wiley menerbitkan dalam berbagai format cetak dan elektronik dan dengan print-on-demand.
Beberapa materi yang disertakan dengan versi cetak standar buku ini mungkin tidak disertakan dalam e-
book atau cetak sesuai permintaan. Jika buku ini merujuk pada media seperti CD atau DVD yang tidak
disertakan dalam versi yang Anda beli, Anda dapat mengunduh materi ini di http://booksupport.wiley.com.
Untuk informasi lebih lanjut tentang produk Wiley, kunjungi www.wiley.com.
Library of Congress Katalogisasi-dalam-Publikasi Nama Data:

Edwards, Graeme (Penyelidik keuangan dan kejahatan dunia maya), penulis.
Judul: Buku pegangan penyidik kejahatan dunia maya / Graeme Edwards.
Deskripsi: Hoboken, New Jersey : John Wiley & Sons, Inc., [2020] | Termasuk
indeks.
Pengenal: LCCN 2019023231 (cetak) | LCCN 2019023232 (ebook) | ISBN 9781119596288
(kain) | ISBN 9781119596325 (adobe pdf) | ISBN 9781119596301 (epub)
Subyek: LCSH: Kejahatan komputer—Investigasi.

Klasifikasi: LCC HV8079.C65 E39 2020 (cetak) | LCC HV8079.C65 (buku elektronik)
| DDC 363.25/968—dc23
Catatan LC tersedia di https://lccn.loc.gov/2019023231 Catatan
ebook LC tersedia di https://lccn.loc.gov/201902323
Desain Sampul: Wiley

Gambar Sampul: © South_agency/iStock.com
Dicetak di Amerika Serikat
10 9 8 7 6 5 4 3 2 1
Untuk Marie dan Bob. Sudah lama berlalu tapi tidak terlupakan.
Untuk Liz dan para gadis. Terima kasih telah bertahan dengan banyak waktu yang saya
habiskan untuk bekerja, belajar, dan meneliti buku ini dan semua dukungan yang Anda berikan.
Isi
Daftar Gambar xi
Tentang Penulis xiii
Kata Pengantar xv
Ucapan terima kasih xvii
Bab 1 PENDAHULUAN 1
Bab 2: Pelanggaran Kejahatan Dunia Maya 9
Potensi Pelanggaran Cybercrime 11
Studi Kasus Kejahatan Dunia Maya 26

Catatan 26
Bab 3: Motivasi Penyerang 29

Motivator Umum 30
Studi Kasus Kejahatan Dunia Maya I 33
Studi Kasus Kejahatan Dunia Maya II 34

Catatan 35
Bab 4: Menentukan Bahwa Kejahatan Dunia Maya Itu Terjadi

berkomitmen 37
Peringatan Insiden Cyber 38
Metodologi Serangan 41

Catatan 45
Bab 5: Memulai Investigasi Kejahatan Dunia Maya 47
Mengapa Menyelidiki Kejahatan Dunia Maya? 47
Investigator Cyber 48
vii
viii Isi _
Dukungan Manajemen 48
Apakah Ada Tanggung Jawab untuk Mencoba Mendapatkan Data Kembali? 50
Catatan Studi Kasus Kejahatan 51
Dunia Maya 52
Bab 6: Pertimbangan Hukum Saat Merencanakan

sebuah investigasi 53
Peran Hukum dalam Investigasi Kejahatan Digital 54

Melindungi Bukti Digital 55
Pelestarian Chain of Custody 56
Perlindungan Barang Bukti 59
Implikasi Hukum Pengumpulan Barang Bukti Digital 60
Catatan 63
Bab 7: Pertemuan Awal dengan Pelapor 65

Diskusi Awal 65
Detail Pengadu 68
detail acara 68
Sejarah Keamanan Cyber 69
Detail Adegan 70
Mengidentifikasi Pelanggaran 71
Mengidentifikasi Saksi 71
Mengidentifikasi Tersangka 71
Mengidentifikasi Modus Operandi Serangan 72
Bukti: Teknis 73
Bukti: Lainnya 74
Bab 8: Menahan dan Memulihkan Dunia Maya

Insiden Keamanan 77
Berisi Insiden Keamanan Cyber 77

Memberantas Insiden Keamanan Cyber 80
Catatan 82
Bab 9: Tantangan dalam Insiden Keamanan Cyber

Investigasi 83
Tantangan Unik 84
Isi _ ix
Bab 10: Menyelidiki TKP Cybercrime 93
Tim Investigasi Sumber 96

Daya yang Diperlukan 101
Ketersediaan dan Pengelolaan Barang Bukti 104
Teknis Investigasi TKP Apa yang Mungkin 105
Salah? 123
152
Catatan Studi Kasus Kejahatan 155
Dunia Maya I Studi Kasus Kejahatan 156
Dunia Maya II 158
Bab 11: Identifikasi File Log, Pelestarian,

Koleksi, dan Akuisisi 159
Log Tantangan 160

Log sebagai Bukti 161
Jenis Log 162
Catatan 165
Bab 12: Mengidentifikasi, Merebut, dan Melestarikan Bukti

dari Platform Cloud-Computing 167
Apa itu Komputasi Awan? 167

Apa Relevansinya dengan Penyidik? 172
Daya Tarik Cloud Computing untuk Penjahat Siber Dimanakah 173
Lokasi Bukti Digital Anda? 174
Penyitaan Awan yang Sah Secara Hukum 175
Pelestarian Bukti Digital Awan Investigasi 177
Forensik Server Cloud-Computing Pemeriksaan Forensik 178
Jarak Jauh Penghalang Awan untuk Investigasi yang 182
Berhasil Kiat yang Disarankan untuk Membantu Investigasi 196
Berbasis Cloud Anda Kerangka Investigasi Cloud-Computing 203
Catatan Studi Kasus Kejahatan Dunia Maya 206
219
221
Bab 13: Mengidentifikasi, Merebut, dan Melestarikan Bukti

dari Perangkat Internet of Things 225
Apa itu Internet of Things? 225

Apa Relevansinya dengan Investigasi Anda? 226
x Isi _
Di mana Lokasi Bukti Digital Internet of Things Anda? 228

Catatan Bukti Penyitaan Internet of Things yang Sah 228
229
Bab 14: Bukti Sumber Terbuka 231
Nilai Bukti Sumber Terbuka 231

Contoh Bukti Sumber Terbuka 233
Catatan 236
Bab 15: Web Gelap 237

Kejahatan dan Web Gelap 238
Catatan 242
Bab 16: Mewawancarai Saksi dan Tersangka 243
Wawancara Tersangka 245

Wawancara Saksi 246
Mempersiapkan Wawancara 247
Proses Wawancara 250
Menutup Wawancara 254
Ulasan Wawancara 254
Penyusunan Brief untuk Rujukan ke Polisi 255
Bab 17: Tinjauan Bukti 257
Bab 18: Menghasilkan Bukti untuk Pengadilan 265
Bukti Digital dan Penerimaannya 267

Mempersiapkan Pengadilan 268
Bab 19: Kesimpulan 273
Glosarium 277
Indeks 283
Daftar Gambar
Gambar 10.1 Hard drive menunjukkan nomor seri sebagai unik

pengenal. 98
Gambar 10.2 Printer komputer menunjukkan nomor seri sebagai unik

pengenal. 99
Gambar 10.3 Contoh jadwal properti adegan. 103
Gambar 10.4 Perangkat penyimpanan eksternal. 113
Gambar 10.5 Pencetak. 114
Gambar 10.6 Kantong sampah berisi barang bukti potensial. 115
Gambar 10.7 Pengenal lorong kantor. 135
Gambar 10.8 Gambar iPhone rusak. 136
Gambar 10.9 Pengkabelan jaringan. 142
Gambar 10.10 Kabel Ethernet. 143
Gambar 10.11 Menelusuri kabel Ethernet 1. 144
Gambar 10.12 Menelusuri kabel Ethernet 2. 145
Gambar 11.1 Sistem log di Peraga Peristiwa. 163
Gambar 11.2 Aplikasi log di Peraga Peristiwa. 164
Gambar 12.1 Kerangka investigasi komputasi awan. 207
Gambar 15.1 Gambar koneksi browser Tor. 238
Gambar 15.2 Gambar mata uang palsu untuk dijual. 240
Gambar 15.3 Gambar layanan hacking. 240
Gambar 15.4 Gambar profil pengguna vendor dengan peringkat ulasan

dan komentar dari pembeli. 241
Gambar 15.5 Gambar pasar kriminal yang ditutup oleh hukum

pelaksanaan. 242
xi
tentang Penulis
Graeme Edwards adalah penyelidik keuangan dan kejahatan dunia maya yang berlokasi di
Brisbane, Australia. Dia memiliki pengalaman 26 tahun di kepolisian, dengan 17 tahun sebagai
detektif yang mengkhususkan diri dalam penyelidikan kejahatan keuangan dan kejahatan dunia maya.
Ia telah berhasil menyelesaikan gelar doktor di bidang teknologi informasi dengan tesisnya,
“Investigating Cybercrime in a Cloud-Computing Environment.”
Ia juga berhasil menyelesaikan magister teknologi informasi (keamanan).
Dr Edwards adalah presenter konferensi reguler, berbicara tentang berbagai topik yang
berkaitan dengan kejahatan keuangan dan kejahatan dunia maya; ia juga mengadakan acara
pelatihan untuk organisasi dan manajemen senior serta melakukan analisis pasca investigasi
peristiwa siber. Dia adalah presiden Asosiasi Pemeriksa Penipuan Bersertifikat cabang Brisbane
dari 2016 hingga 2018.
xiii
Kata pengantar
INVESTIGASI
audiensCYBERCRIME
yang beragam. Ini adalah disiplin
adalah profesi yang
yang telahrelevan
berevolusidengan semakin
dengan teknologi
dan itu selalu dihadapkan pada tantangan dalam menentukan
kebenaran di balik peristiwa yang dituduhkan. Sebagai bagian dari profesi keamanan siber
yang lebih luas, sebagian besar penyelidik dihargai karena pengalaman praktis mereka,
sertifikasi vendor, dan kepercayaan dalam memberikan hasil investigasi—apakah itu untuk
membuktikan atau menyangkal dugaan pelanggaran.
Graeme Edwards mewujudkan kualitas-kualitas ini. Dia menempa karir sebagai salah
satu detektif kejahatan dunia maya pertama di Australia di Queensland Police Service.
Seperti banyak orang dalam profesi kami, dia mengambil inisiatif untuk terus mengembangkan
diri, melalui belajar dan beradaptasi dengan lingkungan teknologi baru, dan dengan memajukan
pendidikannya sendiri. Gelar doktornya melanjutkan keahliannya dalam investigasi cloud dan
forensik, mengantisipasi meningkatnya kebutuhan akan subspesialisasi ini.
Buku Pegangan Penyidik Kejahatan Dunia Maya adalah pekerjaan seumur hidup untuk Graeme. Ini
memberikan kesempatan bagi pembaca untuk mendapatkan manfaat langsung dari keahliannya yang unik
dan pengalaman belajar sepanjang hayatnya. Kontennya memandu pembaca melalui proses investigasi
dari perspektif kejahatan dunia maya, menangkap permata praktis dan observasional utama yang dapat
dengan mudah diterapkan oleh pembaca pada tantangan mereka sendiri.
Terima kasih kepada penulis seperti Graeme, profesi kami dapat terus berkembang dan
mendapat manfaat dari meneruskan pelajaran dan pengetahuan kunci untuk kemajuan praktisi
dan mereka yang ingin pindah ke bidang investigasi kejahatan dunia maya yang menarik. Ini
adalah kontribusi yang sangat tepat waktu. Saya percaya Anda akan mendapat manfaat dari
isinya sebanyak yang saya miliki. Terima kasih, Graeme, telah memajukan profesi kami
dengan cara yang sangat berarti ini.
Profesor David Lacey

Direktur Pelaksana, IDCARE
Direktur, Institut Investigasi dan Forensik Cyber, USC
xv
Ucapan Terima Kasih
TEPATNYA mengucapkan terima kasih kepada pihak-pihak yang telah mendukung penulisan
buku ini.
Pertama, terima kasih kepada keluarga saya karena telah bertahan dengan banyak waktu
yang saya habiskan untuk belajar, meneliti, dan bekerja di jam-jam yang sangat antisosial yang
dipersembahkan oleh seorang petugas polisi pada pekerjaan shift untuk profesi mereka. Tanpa
dukungan Anda, buku ini dan bertahun-tahun studi dan penelitian tidak akan tercapai.
Saya juga ingin mengucapkan terima kasih kepada Dennis Desmond, mantan agen FBI
National Computer Crime Squad di Washington, DC, dan Profesor Lacey, keduanya sekarang
menjadi anggota Institute for Cyber Investigations and Forensics di Queensland, atas peer
review mereka terhadap konten ini. buku. Saya juga ingin berterima kasih kepada Profesor
Lacey atas kata pengantarnya.
xvii
Penyidik
Buku Pegangan
1 BAB SATU
pengantar
SERANGAN CYBER
terjadi selama TERHADAP
beberapa dekade. bisnis
Banyak yang telah begitudan
suksesindividu
mereka tidaktelah
pernah
ditemukan oleh para korban dan hanya diidentifikasi selama data itu
dieksploitasi atau dijual di pasar kriminal. Serangan siber merusak keuangan dan reputasi bisnis
dan menyebabkan kerusakan signifikan pada mereka yang datanya telah dicuri dan dieksploitasi.
Dari sudut pandang penjahat, lingkungan dunia maya saat ini secara efektif memberi mereka
kebebasan untuk menyerang target mereka. Mereka dapat melakukan apa pun yang mereka suka
untuk individu atau bisnis online, menyebabkan kerusakan besar yang bersifat profesional atau
pribadi, dan menghasilkan uang dalam jumlah besar dengan pengetahuan bahwa pelapor jarang
akan melaporkan masalah tersebut ke polisi. Faktanya, ini adalah anomali aneh tentang kejahatan
dunia maya: sebuah perusahaan memiliki jutaan dolar kekayaan intelektual (IP) yang dicuri dari
mereka, semua informasi pengenal pribadi (PII) staf dan klien dicuri, dan tindakan melaporkannya
kepada polisi atau investigasi siapa yang berada di balik serangan jarang dipertimbangkan atau
dilakukan kecuali jika dipaksakan oleh undang-undang setempat. Akibatnya, dari sudut pandang
penjahat, tidak ada kerugian menjadi penjahat dunia maya. Mereka beroperasi pada model
pengembalian keuangan tinggi, risiko rendah.
Karena tingginya volume dan kompleksitas serangan dunia maya, jika seorang korban
memutuskan untuk merujuk pengaduan ke polisi, mereka tidak dapat selalu mengandalkannya untuk
Buku Pegangan Penyidik Kejahatan Dunia Maya, Edisi pertama. Graeme Edwards,
PhD. © 2020 John Wiley & Sons, Inc. Diterbitkan 2020 oleh John Wiley & Sons, Inc.
2 Pendahuluan _
tersedia untuk melakukan penyelidikan dan menemukan pelaku. Sumber daya polisi
terbentang dan penyelidik siber yang terampil dalam penegakan hukum sedikit dan
terlalu banyak bekerja. Ini berarti organisasi yang menjadi sasaran serangan siber yang
ingin mencari informasi tentang siapa yang berada di balik serangan tersebut perlu
menyewa penyelidik siber yang berpengalaman (langka dan sangat mahal) atau
menyelidiki sendiri masalahnya. Atau, mereka tidak akan melakukan penyelidikan dan
malah fokus pada peningkatan keamanan.
Keputusan korban untuk tidak menyelidiki kejahatan dunia maya dibuat karena
berbagai alasan, termasuk waktu dan uang yang dikeluarkan untuk penyelidikan, fokus
bisnis yang diarahkan pada penyelidikan, gangguan internal yang ditimbulkannya, dan
kerusakan reputasi yang ditimbulkan. ketika komunitas menemukan keamanan
perusahaan telah dilanggar dan semua data yang dipercayakan kepada mereka dicuri.
Selain itu, para direktur tidak akan menantikan hari ketika mereka berdiri di depan rapat
umum tahunan publik dan menjelaskan kepada para pemegang saham bahwa semua
data perusahaan dicuri dari arloji mereka dan bahwa mereka tidak berusaha untuk
memulihkannya atau mengidentifikasi siapa yang mengambilnya.
Bagi anggota tim respons insiden (IR) atau penyelidik dunia maya, menanggapi
serangan seringkali merupakan ilmu yang tidak tepat karena motif dan tingkat keterampilan
penyerang bervariasi. Sementara serangan terhadap satu komputer desktop dapat
dengan mudah diatasi dan diselidiki, serangan terhadap jaringan perusahaan terdistribusi
lengkap akan membutuhkan sumber daya yang signifikan dan tim respons yang
berpengalaman untuk melindungi perusahaan, data mereka, dan klien. Karena metodologi
serangan bervariasi, strategi investigasi tidak selalu mengikuti jalur yang sama persis
setiap waktu.
Menyelidiki serangan cyber mungkin menjadi bagian penting dari kelanjutan bisnis.
Ketika serangan ditemukan, campuran panik, stres, kecemasan, dan ketakutan terlihat di
antara staf, dan mereka yang ditugaskan untuk mengurangi dan memberantas serangan
mungkin merasa masa depan perusahaan berada di pundak mereka.
Banyak karyawan akan khawatir dengan masa depan pribadi mereka, karena mereka
akan terbiasa dengan banyak cerita bisnis yang terkena serangan cyber yang tidak ada
lagi enam bulan kemudian. Anggota staf organisasi yang diwawancarai sebagai bagian
dari respons insiden mungkin juga merasa bahwa mereka bertanggung jawab dan bahwa
wawancara adalah metode untuk menyalahkan mereka.
Jadi mengapa melakukan penyelidikan dan mengumpulkan bukti? Mengapa

perusahaan harus mulai menyelidiki kejahatan dunia maya dan mencoba melacak pelakunya?
Dengan menjamurnya kasus-kasus kejahatan dunia maya, ada harapan di antara
masyarakat bahwa mereka yang dipercayakan dengan PII mereka mengambil tanggung
jawab mereka dengan serius dan memastikan data mereka aman.
Pendahuluan _ 3
Pemegang saham perusahaan yang mengetahui bahwa nilai saham dan/atau dividen
mereka dipengaruhi oleh pelanggaran dapat menuntut upaya perusahaan untuk
mengidentifikasi dan menuntut penyerang. Pada awal setelah serangan, mungkin ada
kemungkinan untuk menemukan tersangka dan properti digital yang diambil dan
memulihkannya sebelum dieksploitasi. Dapat dikatakan bahwa tugas dan tanggung jawab
seorang direktur termasuk mencoba memulihkan data perusahaan yang dicuri sebelum
dieksploitasi.
Di luar penegakan hukum dan beberapa bisnis besar, seperti perusahaan akuntansi
besar, ada beberapa pilihan bagi mereka yang ingin melakukan investigasi terhadap
serangan cyber yang dilakukan. Tim IR mungkin menemukan bukti yang mengarah pada
tersangka, tetapi umumnya bukan tugas mereka untuk menyiapkan kasus untuk dirujuk
ke polisi atau pengacara. Seorang penyelidik dunia maya adalah posisi yang sangat
khusus dan kira-kira setara dengan seorang detektif polisi yang melakukan investigasi
kriminal, karena aturan pembuktian yang dituntut pengadilan adalah sama apakah Anda
seorang detektif berpengalaman atau penyelidik sipil.
Penyelidik dunia maya dipandang sebagai orang yang ditugaskan untuk menemukan
bukti orang di balik serangan itu, dan dalam beberapa kasus menyiapkan rujukan ke polisi
atau memulai penuntutan perdata. Meskipun banyak serangan berasal dari luar negeri
dan tersembunyi di balik berbagai yurisdiksi hukum, anonim, bot, atau teknologi lainnya,
orang-orang memiliki motivasi mereka sendiri untuk melakukan kejahatan—dan orang-
orang ini mungkin termasuk karyawan saat ini atau mantan karyawan yang tinggal di
yurisdiksi lokal Anda.
Peran penyelidik dunia maya adalah perpanjangan dari penyelidik digital.
Untuk kepentingan buku ini, penyelidik digital adalah orang yang melakukan pemeriksaan
forensik perangkat atau jaringan dan menghasilkan laporan tentang bukti yang disita dan
diidentifikasi.
Buku ini ditujukan bagi orang yang diberi tugas untuk menyelidiki peristiwa siber
dengan maksud untuk memperoleh pemahaman penuh tentang peristiwa tersebut dan
jika mungkin memulihkan IP/PII sebelum dieksploitasi. Mereka juga dapat ditugaskan
untuk menemukan bukti untuk mendukung suatu tindakan di pengadilan (misalnya,
pengadilan ketenagakerjaan) atau kemungkinan penuntutan di pengadilan perdata atau
pidana jika penyerang diidentifikasi. Ini juga akan bermanfaat bagi manajer/eksekutif/
pengacara yang ditugaskan untuk meninjau investigasi untuk memahami tindakan tim
investigasi dan mengapa keputusan tertentu dibuat dan untuk mendapatkan pemahaman
tentang bukti yang tersedia dari tempat kejadian kejahatan dunia maya dan tindak
lanjutnya. investigasi -up. Ini bukan buku yang menjelaskan bagaimana secara teknis
menanggapi dan mengurangi serangan cyber, karena ada banyak buku yang membahas
topik ini dengan sangat rinci. Ada juga banyak kursus yang ditawarkan oleh organisasi
yang mengajarkan banyak aspek dalam menanggapi serangan siber dari perspektif teknis.
4 Pendahuluan _
Meskipun buku ini membuat beberapa referensi materi dari pihak ketiga,
itu tidak dimaksudkan untuk menjadi buku akademis. Hal ini karena banyak dari pasangan
rial bukan dari literatur akademis atau sumber web, tetapi dari pengalaman
penulis sebagai penyelidik kejahatan dunia maya. Pengecualian utama untuk ini adalah Bab
12, yang bergantung pada bukti dari tesis doktor penulis tentang kejahatan dunia maya
penyelidikan di lingkungan komputasi awan dan di mana referensi akademis dari tinjauan literatur
dicatat. Di mana penjelasan diberikan, sebagai
dalam glosarium, sebagian besar disimpan pada definisi teknis tingkat rendah untuk memungkinkan
mereka yang baru dalam bidang pekerjaan ini untuk memahami materi dan relevansinya
tanpa harus mempelajari bahasa baru yang disebut teknologi.

Karena sifat bukti yang dinamis, kemajuan teknologi, dan
evolusi undang-undang/keputusan pengadilan, buku ini tidak dimaksudkan untuk menjadi panduan
eksklusif di setiap yurisdiksi hukum atau untuk mencakup setiap potensi peristiwa cyber.
Jika materi dalam buku ini bertentangan dengan hukum yurisdiksi Anda, lingkungan hukum tempat
Anda beroperasi akan selalu diutamakan.
Buku ini bermaksud, bagaimanapun, untuk memprovokasi pemikiran kritis di antara manajemen,
Manajer tim IR, dan penyelidik yang menghadapi lingkungan hukum dan teknis yang kompleks jika
tersangka diidentifikasi dan bukti selanjutnya perlu
diajukan ke pengadilan atau pengadilan.
Buku ini berisi banyak langkah yang akan diambil oleh penyelidik kejahatan dunia maya, mulai
dari identifikasi awal peristiwa dunia maya hingga mempertimbangkan
penuntutan di pengadilan. Ada banyak daftar hal-hal yang dapat dipertimbangkan oleh penyelidik. Ini
bukan daftar lengkap dan disediakan untuk memperluas pemikiran sebagai:
apa yang harus dilakukan, di mana bukti dapat disimpan, dan bagaimana memperoleh dan mengelolanya
secara legal. Gunakan buku ini sebagai petunjuk dan bukan sebagai templat langkah demi langkah yang pasti,
karena setiap investigasi cyber berbeda dan setiap yurisdiksi memiliki hukumnya sendiri
persyaratan.
Daftar dalam buku ini memberikan petunjuk arah yang berguna dalam setiap tahap dari
penyelidikan. Seperti yang akan Anda temukan, pada setiap tahap ada banyak hal yang harus dilakukan
dilakukan dan tidak ada yang bisa mengingat semuanya setiap saat. Jadi, daftarnya disediakan
sebagai pengingat tentang hal-hal yang perlu dipertimbangkan dan diterapkan sesuai dengan keadaan,
undang-undang di yurisdiksi Anda, dan pengalaman Anda. Tidak semua item dalam daftar
akan relevan dalam semua kasus. Penjelasannya dalam bahasa sederhana dan
istilah teknis dijaga seminimal mungkin untuk membantu pemahaman Anda tentang yang baru
konsep.
Di Bab 2 kami memberikan pengantar tentang penjahat dunia maya dan seri
pelanggaran, penyidik dapat dipanggil untuk menyelidikinya. Ini akan bervariasi
sesuai dengan hukum yurisdiksi tempat Anda beroperasi dan persyaratan untuk
pelanggaran akan bervariasi. Dengan mendapatkan pemahaman tentang kejahatan dunia maya dan
Pendahuluan _ 5
kejahatan dunia maya pilihan mereka, kami memperoleh pemahaman tentang bagaimana
kejahatan itu dilakukan dan mengapa itu dilakukan dengan cara itu, serta mendapatkan
beberapa pemahaman tentang jenis identitas yang kami cari.
Setelah kita memahami pelanggaran tipikal, di Bab 3 kita melihat motivasi penyerang.
Dalam beberapa kasus, memahami motif penyerang akan memberikan petunjuk yang kuat
tentang siapa pelakunya, terutama dalam kasus pelanggaran internal. Motivasi akan
bervariasi di berbagai bentuk serangan dunia maya yang akan Anda selidiki. Penting untuk
memahami alasan mengapa seorang penjahat menyerang target tertentu, karena ini akan
sangat masuk akal bagi mereka, bahkan jika motivasinya tampak tidak biasa bagi
penyelidik.
Dalam Bab 4 kita akan melihat contoh peringatan yang mungkin menjadi indikator
pertama dari peristiwa siber, serta metodologi pelaku. Peringatan dan metodologi ini dapat
menjadi bukti dalam hak mereka sendiri dan memberikan indikator mengenai identitas
pelaku. Sementara peringatan akan dibuat sebelum penyidik didatangkan, bukti dari
peringatan itu akan memberikan arahan bagi penyidik untuk digunakan sebagai platform
untuk penyelidikan mereka.
Dalam Bab 5 kita akan mempelajari proses memulai penyelidikan kejahatan dunia
maya. Kami akan membahas banyak alasan mengapa penyelidikan dimulai dan
memperkenalkan siapa penyelidik dunia maya. Sementara tanggapan umum terhadap
peristiwa cyber adalah untuk memperbaiki sistem dan mencegah serangan terjadi lagi,
kami juga akan menanyakan apakah ada tanggung jawab di pihak pemilik data untuk
mengidentifikasi penyerang dan berusaha untuk mendapatkan kembali data yang dicuri sebelum itu dieksp
Setelah kita memahami pelanggaran, motivasi pelaku, peringatan awal, dan
metodologi serangan, di Bab 6 kita akan mempelajari tentang peran hukum dalam
penyelidikan Anda. Jika seorang penyerang diidentifikasi dan diajukan ke pengadilan,
setiap aspek penyelidikan Anda harus diperiksa secara kritis di pengadilan oleh pengacara
terdakwa, dan tindakan Anda serta legalitasnya mungkin sama seperti aktivitas terdakwa
di persidangan.
Apakah Anda sedang melakukan penyelidikan perdata atau pidana, pelapor akan
memberikan arahan untuk penyelidikan yang mereka inginkan dari Anda. Mereka akan
memiliki informasi yang menjadi dasar penyelidikan Anda serta wewenang untuk
menyediakan sumber daya yang Anda butuhkan. Dalam Bab 7 kami akan membahas
banyak aspek dari pertemuan awal Anda dengan pelapor, termasuk banyak pertanyaan
yang mungkin Anda anggap relevan untuk diajukan kepada mereka pada pertemuan ini.
Bab 8 memberikan pengenalan umum tentang peran penyelidik digital bagi penyelidik
dunia maya. Meskipun penyelidik dunia maya tidak perlu terlibat dalam aspek teknis dari
respons insiden saat serangan sedang berlangsung, akan bermanfaat bagi mereka untuk
memahami apa yang dilakukan pemeriksa IR dan konsekuensi dari tindakan mereka yang
melibatkan bukti digital.
6 Pendahuluan _
Penyelidik dunia maya akan terlibat dalam melestarikan bukti dan dalam diskusi dengan
penyelidik digital dan tim IR mengenai penyitaan bukti, termasuk memprioritaskan pelestarian
bukti digital, terutama yang paling mudah berubah.
Lingkungan cyber memberikan banyak tantangan unik bagi penyelidik, dan berbagai
tantangan ini diperkenalkan di Bab 9. Saat Anda beroperasi di lingkungan yang dinamis,
tantangan yang Anda hadapi akan bervariasi sesuai dengan keadaan kasus Anda dan bukti.
Anda sedang mencari.
Dalam Bab 10 kita beralih ke investigasi TKP dan mencakup banyak bidang pencarian
yang perlu Anda ketahui dan pahami.
Investigasi kejahatan dunia maya melibatkan tantangan unik bagi penyelidik dan ini diidentifikasi
dan didiskusikan. Saat Anda beroperasi di lingkungan fisik dan digital, tantangan yang dihadapi
akan berbeda di antara investigasi, dan penyelidik perlu memperluas pemikiran mereka untuk
memahami lingkungan mereka yang berubah.
File log sangat penting untuk investigasi kejahatan dunia maya: ketika diaktifkan dan
diamankan, mereka akan memberi tahu Anda banyak hal tentang penyerang, metodologi
mereka, dan data yang mereka akses. Dalam Bab 11 kami akan memperkenalkan banyak
jenis log, di mana mereka dapat ditemukan, dan apa artinya bagi Anda sebagai penyelidik.
File log seperti kamera video di TKP. Mereka bisa efektif—atau, seperti kamera, jika
dimatikan atau outputnya tidak dipertahankan, bisa sama sekali tidak bisa digunakan. Aktivitas
pencatatan log pada perangkat dan jaringan dapat memberikan bukti yang sangat berharga
tentang apa yang terjadi, bagaimana terjadinya, kapan pelanggaran terjadi, dan dalam
beberapa kasus, siapa yang berada di baliknya. Penyelidik mungkin perlu bekerja dengan
penyelidik digital untuk memahami apa yang dikatakan log; namun, bentuk bukti teknis ini
mungkin penting untuk penyelidikan Anda—sampai pada titik di mana Anda dapat dikritik di
pengadilan jika Anda tidak mengikuti jejak bukti potensial ini.
Bab 12 membahas masalah hukum dan teknis yang terlibat dalam mencari dan
mengambil bukti secara sah dari platform komputasi awan. Karena data sekarang disimpan di
beberapa server komputer di beberapa yurisdiksi hukum, identifikasi dan penyimpanan bukti
telah menjadi prosedur yang jauh lebih kompleks daripada ketika pemeriksa dapat secara fisik
menyita perangkat yang diduga dilanggar. Bab 12 mencakup banyak masalah hukum dan
teknis yang harus dipertimbangkan oleh penyelidik, dengan jalur yang disarankan untuk
memajukan penyelidikan Anda di cloud.
Bab 13 memberikan pengenalan yang sangat singkat tentang Internet of Things (IoT),
yang mencakup banyak perangkat yang sekarang terhubung secara online. Bukti
Pendahuluan _ 7
sekarang dapat dikumpulkan dari mana saja selama ada perangkat yang terhubung ke Internet,
dan penyelidik digital dapat menggunakan teknologi ini untuk mendukung penyelidikan mereka.
Materi open source adalah materi yang dapat diambil dari sumber online.
Ada banyak bentuk informasi sumber terbuka yang tersedia secara online dan banyak
penyelidik dunia maya menemukan informasi berharga untuk mendukung penyelidikan mereka
dengan melakukan pencarian online. Bab 14 memperkenalkan contoh dari banyak bentuk
informasi sumber terbuka yang tersedia dan bagaimana informasi ini dapat membantu
pertanyaan Anda.
Karena kejahatan dunia maya telah menjadi lebih profesional selama dekade terakhir,
komunitas kriminal telah menciptakan pasar khusus di mana mereka dapat memperdagangkan
barang dan jasa dengan pelanggan. Pasar kriminal seperti Silk Road dan AlphaBay memperoleh
banyak publisitas melalui pengidentifikasian cara anggota komunitas kriminal beroperasi dan
tingkat dukungan yang diberikan satu sama lain dalam pelatihan dan mekanisme dukungan
lainnya.
Dalam Bab 15 kami akan memperkenalkan web gelap dan membahas relevansinya dengan
penyelidik, dengan peringatan untuk tidak menjelajah ke pasar kriminal kecuali Anda sebagai
penyelidik terlatih dengan baik dan memahami lingkungan di mana Anda akan beroperasi. Di
beberapa yurisdiksi, mengakses dark web merupakan pelanggaran.
Mewawancarai saksi dan tersangka adalah seni yang harus dikuasai oleh banyak petugas
polisi dan penyidik selama bertahun-tahun. Ini bukan proses yang sederhana, karena setiap
wawancara adalah unik dan bisa menjadi bukti tersendiri. Bab 16 akan membahas banyak
pertimbangan yang harus dilakukan saat melakukan wawancara dan penjagaan keamanan
yang mungkin diterapkan tergantung pada yurisdiksi tempat Anda beroperasi.
Bab 17 membahas bagaimana meninjau kembali bukti yang dikumpulkan dan

memberikan arahan tentang bagaimana melanjutkannya. Terkadang Anda memiliki petunjuk
yang kuat terhadap tersangka, terkadang Anda mungkin memiliki cukup bukti untuk memulai
atau merujuk penyelidikan, dan terkadang Anda akan menghadapi jalan buntu dengan
rekomendasi untuk menyelesaikan penyelidikan Anda.
Jika Anda memiliki cukup bukti untuk dirujuk ke pengadilan, pengadilan sipil, atau polisi,
Bab 18 membahas gagasan tentang bagaimana mempersiapkan bukti Anda untuk pengadilan.
Setiap yurisdiksi memiliki aturannya sendiri, dan prioritas Anda adalah mendapatkan nasihat
hukum yang berpengalaman untuk memastikan persyaratan hukum dan pengadilan terpenuhi.
Bagaimana Anda menyajikan bukti Anda terkadang sama berharganya dengan kekuatan
penuntutan Anda.
Akhirnya, di Bab 19 kami memberikan ringkasan isi buku.
8 Pendahuluan _
Glosarium juga disediakan. Ini disusun dengan menggunakan bahasa nonteknis,

karena pembaca akan datang dari berbagai latar belakang, banyak di antaranya tidak teknis.
Tujuannya adalah untuk memberikan pemahaman yang sangat umum tentang terminologi
baru yang disebutkan, sehingga Anda dapat melanjutkan membaca dengan pemahaman
tentang konsep dan keadaan di mana istilah tersebut dirujuk. Jika Anda memerlukan
pemahaman yang lebih teknis tentang konsep-konsep ini, ada banyak sumber daya online
yang tersedia untuk Anda.
Karena alasan utama keberadaan keamanan siber adalah kejahatan siber, kami
memulai buku ini dengan pemeriksaan potensi pelanggaran pidana yang mungkin dilakukan
dalam lingkungan digital dan siber.
2 BAB DUA
Pelanggaran Kejahatan Dunia Maya
POTENSIatau
pelanggaran yang dapat
individu hanya dilakukan
dibatasi oleh pelaku
oleh imajinasi kejahatanPenjahat
penyerang. terhadapdunia
suatumaya
entitas
mungkin adalah karyawan tepercaya jangka panjang di dalam organisasi
ization atau seseorang yang terletak di sisi lain dunia. Mereka juga bisa menjadi
kontraktor yang mengambil keuntungan dari operasi dalam jaringan perusahaan untuk
menginstal perangkat lunak berbahaya atau mengakses informasi dengan menginstal
server di jaringan untuk mencegat dan merekam semua lalu lintas tanpa wewenang
administrator sistem.
Bab ini berusaha memberikan pemahaman kepada penyelidik tentang berbagai
bentuk kejahatan dunia maya yang mungkin perlu mereka selidiki. Meskipun teknik
investigasi yang disajikan dalam buku ini mungkin serupa di setiap jenis kejahatan,
pemahaman tentang kejahatan sangat membantu dalam memahami pelakunya. Ini
kemudian memberikan arahan ke mana harus menemukan bukti digital dalam TKP
fisik dan digital serta untuk memahami motivasi penjahat.
Seiring berkembangnya teknologi, begitu pula peluang bagi komunitas kriminal

untuk berkembang bersamanya. Ketika produk teknologi baru dirilis ke pasar, penjahat
melihat produk atau layanan dengan pandangan tentang bagaimana hal itu dapat
dieksploitasi untuk memajukan usaha kriminal mereka. Misalnya, ketika konsol game
menyediakan hard drive internal untuk menyimpan game serta menyediakan
9
10 Pelanggaran Kejahatan Dunia Maya
Konektivitas internet, penjahat mulai menyimpan bukti kejahatan mereka—seperti Child Exploitation
Material (CEM)—di dalam hard drive konsol, jadi jika polisi melakukan surat perintah penggeledahan
di alamat mereka, mereka cenderung tidak akan merebut konsol game daripada laptop atau komputer
desktop. Ketika penjahat mengembangkan keterampilan ini, penegak hukum bereaksi terhadap
mereka dan mengembangkan bidang pengetahuan investigasi mereka yang terus berkembang.
Penjahat dunia maya berbagi pengetahuan mereka di forum kriminal open source dan tertutup,
menghasilkan standar kriminal yang lebih tinggi yang dapat mencari bantuan berpengalaman ketika
percobaan kejahatan mereka menemui rintangan. Penjahat dunia maya juga memberikan tutorial bagi
mereka yang baru mengenal industri ini, termasuk metodologi langkah demi langkah tentang cara
melakukan kejahatan dunia maya tanpa meninggalkan bukti digital yang mengarah ke identitas
mereka. Jika diperlukan, beberapa situs menyediakan tutorial satu-satu dan tinjauan sejawat. Pada
dasarnya kejahatan dunia maya adalah sebuah profesi, dengan banyak sumber daya yang tersedia
bagi para penjahat. Sumber daya yang sama ini juga dapat berguna
kepada penyidik dalam memahami metodologi yang berkembang dan cara pelaku melakukan
kegiatannya.
Keuntungan kejahatan dunia maya bagi penjahat, jika dibandingkan dengan bentuk kejahatan
lainnya, adalah tidak adanya kompleksitas struktural. Jika dibandingkan dengan kejahatan seperti
perdagangan narkoba ilegal, kejahatan dunia maya tidak memiliki kompleksitas manajerial struktural
yang lazim dalam kejahatan yang melibatkan properti fisik. Seorang pengedar narkoba mungkin
diminta untuk menyusun bisnis, distribusi, pemrosesan, pengangkutan, persaingan, ancaman fisik,
jaringan penjualan, dan pencucian uang. Dalam kejahatan dunia maya, ada lebih sedikit pertimbangan
yang terlibat. Berbeda dengan perdagangan narkoba ilegal, di mana pihak-pihak yang terlibat mungkin
saling mengenal secara pribadi dan membangun hubungan, mereka yang terlibat dalam kemitraan
dalam kejahatan dunia maya mungkin tidak pernah bertemu secara fisik, saling membantu berdasarkan
bidang keahlian mereka. Juga, pertimbangan yang berharga adalah tidak ada perang wilayah yang
terlibat dalam kejahatan dunia maya, seperti halnya dalam perdagangan obat-obatan terlarang.1 Ada
banyak alasan lain mengapa kejahatan dunia maya menarik bagi penjahat.
Salah satunya adalah imbalan finansial yang tersedia dibandingkan dengan bentuk kejahatan lainnya.
Joseph Schafer dan rekan-rekannya menemukan bahwa rata-rata perampok bank dapat memperoleh
$2.500, penipu bank $25.000, dan penjahat dunia maya $250.000.
Mereka juga menemukan bahwa biaya pencurian teknologi untuk sebuah organisasi adalah sekitar
$1,9 juta.2 Di samping imbalan finansial, daya tarik lebih lanjut dari kejahatan dunia maya kepada
penjahat adalah bahwa tindakan yang diperlukan mudah dilakukan dan sulit dideteksi.
Internet menyediakan anonimitas untuk penjahat dunia maya yang terampil, yang menggunakan
sumber daya teknologi yang tersedia (seperti akun email berbasis web gratis). Schafer dan rekan-
rekannya menemukan bahwa penjahat cyber anonim beroperasi di bawah
Potensi Kejahatan Dunia Maya 11
online mengurangi hambatan pribadi mereka, terutama karena potensi untuk diidentifikasi
dan dimintai pertanggungjawaban atas tindakan mereka rendah.2 Manfaat lebih lanjut bagi
penjahat dunia maya adalah bahwa hasil kejahatan (data) mereka dapat divirtualisasikan
dan didistribusikan secara geografis, menciptakan teknis dan yurisdiksi tantangan bagi
penegak hukum dan lembaga investigasi lainnya.
Investigasi forensik digital untuk mendapatkan bukti mungkin tidak dapat diperoleh pada
waktu yang tepat, artinya bukti yang berharga mungkin tidak tersedia bagi penyelidik.3
Manfaat tambahan bagi penjahat dunia maya adalah bahwa kejahatan mereka dapat
dilakukan di mana saja. Data dapat disebarluaskan dengan sangat cepat, dan cara
kejahatan lintas yurisdiksi mengakibatkan perlunya kolaborasi antara layanan kepolisian di
tingkat nasional dan internasional.2 Untuk menambah lapisan kompleksitas lebih lanjut bagi
lembaga investigasi, penjahat dunia maya dapat beroperasi dalam kegagalan atau negara
gagal yang menyediakan tempat berlindung yang aman.4 Tindak pidana perdata atau
pidana tertentu dalam setiap kasus tergantung pada yurisdiksi hukum dan kata-kata spesifik
dari pelanggaran sebagaimana didefinisikan dalam undang-undang. Meskipun ada
banyak bentuk pelanggaran perdata dan pidana yang melibatkan teknologi, bab ini
mencantumkan contoh pelanggaran di mana teknologi merupakan faktor utama dalam
kejahatan yang harus ditanggapi oleh penyelidik dunia maya. Juga dipahami bahwa ketika
Anda berurusan dengan peristiwa dunia maya dan tersangka tinggal di yurisdiksi hukum
asing, meskipun tindakan mereka mungkin merupakan pelanggaran pidana atau perdata
yang sangat serius di yurisdiksi Anda, tindakan tersebut mungkin bukan pelanggaran di
negara mereka. . Akibatnya, dalam yurisdiksi mereka, mereka tidak melakukan kesalahan.
Sebagai penyidik, ketahuilah bahwa mungkin ada lebih dari satu pelanggaran yang
terjadi pada saat yang bersamaan. Saat Anda merespons bentuk kejahatan dunia maya
tertentu, ini mungkin hanya pengalih perhatian untuk mengalihkan perhatian tim keamanan
Incident Response (IR), karena tujuan utama penyerang mungkin ada di tempat lain di
jaringan. Misalnya, mungkin ada serangan terhadap server web perusahaan, dan sementara
tim IR berfokus untuk mengurangi serangan ini, penjahat dapat mencuri data dari server
email atau database perusahaan.
Sisa dari bab ini memberikan contoh berbagai bentuk kejahatan cyber yang diikuti
dengan penjelasan singkat. Ini tidak terdaftar sebagai pelanggaran khusus, karena setiap
yurisdiksi akan memiliki kata-kata yang berbeda untuk aktivitas ini dan mungkin ada
beberapa pelanggaran yang dapat Anda identifikasi dari satu deskripsi.
POTENSI PELANGGARAN CYBERCRIME
Masing-masing bagian berikut akan memberikan beberapa pertimbangan yang mungkin

dipikirkan oleh penyelidik untuk mendukung penyelidikan mereka. Akan ada replikasi di seluruh
pelanggaran; namun, komentar disajikan untuk memberikan beberapa pemikiran untuk

memajukan penyelidikan Anda.
Spionase Industri
Pelanggaran ini juga kadang-kadang disebut spionase perusahaan. Ini adalah bentuk
standar kejahatan dunia maya, dengan penjahat menerobos pertahanan perusahaan untuk
menemukan Kekayaan Intelektual (IP) untuk dijual atau digunakan sendiri. Pesaing dapat
melakukan serangan itu sendiri, atau serangan itu mungkin acak, dengan penjahat
menerobos untuk melihat apa yang dapat mereka temukan dan eksploitasi. Pelanggaran
ini telah mendahului Internet, dengan orang dalam digunakan untuk mencuri IP atau
dokumen yang dicuri dari tempat sampah setelah dibuang.
Ketika perusahaan mengembangkan produk baru, pesaing dapat menemukan
keuntungan strategis dalam mengetahui di mana pesaing mereka berencana berada dalam
12 bulan. Pencurian strategi dan rencana pengembangan memungkinkan penyerang untuk
mengembangkan tindakan pencegahan mereka, menghemat tahun pengembangan dan
biaya dalam desain produk baru.
IP tertentu dapat diajukan untuk dipatenkan oleh pengembang, memastikan tingkat
perlindungan industri agar tidak disalin oleh pesaing. Namun, jika IP dicuri sebelum paten
diterbitkan dan kemudian diajukan untuk paten oleh pencuri, kasus pengadilan yang rumit
dan mahal atau bahkan kerugian keseluruhan dari IP yang dikembangkan dapat terjadi.
Selain IP perusahaan, dokumen tender yang akan diserahkan pada hari-hari berikutnya
menjadi target yang berharga. Dengan informasi ini, pesaing bisnis yang memprakarsai
atau mengontrak peretas untuk melakukan serangan atas nama mereka dapat memperbarui
dokumen mereka untuk meningkatkan peluang memenangkan tender terhadap korban.
perusahaan.
Pertimbangan Penyidik
Spionase industri atau ekonomi adalah tindak pidana yang sangat serius, karena masa
depan perusahaan korban dapat dipertaruhkan. Perusahaan menaruh uang yang sangat
serius ke dalam pengembangan IP, dan setelah itu dicuri oleh pesaing atau dijual kepada
penawar tertinggi akan menyebabkan tekanan yang sangat serius bagi para pengadu.
Dalam kasus perusahaan publik, pengungkapan IP yang dicuri dapat berdampak negatif
pada nilai saham mereka.
Sebagai penyelidik di tempat kejadian, selalu hormati dan pahami tekanan para
eksekutif dan pemilik perusahaan. Identifikasi siapa yang mungkin mendapat manfaat dari
pencurian IP, seperti pesaing atau perusahaan baru yang ingin membangun diri.
Mungkin bermanfaat untuk membuat kontrak dengan perusahaan yang mengkhususkan diri
dalam operasi di pasar kriminal untuk mengidentifikasi apakah itu akan dijual.
Jangan mengabaikan potensi karyawan internal untuk menjadi pihak yang mengambil HKI
dan berusaha membangun mereka dalam bisnis saingan dalam waktu dekat. Jika KI memiliki
nilai finansial yang signifikan dan tidak dipatenkan, rekomendasikan kepada pengadu bahwa
mereka masih menjalani proses ini, karena mereka akan memiliki riwayat pengembangan
produk untuk mendukung klaim mereka tentang kepemilikan KI.
Investigasi seperti ini mungkin perlu dilakukan di masa mendatang dalam fase pemantauan,
karena pengadu memantau siapa di industri yang mengembangkan produk yang sangat mirip
dengan IP mereka atau berusaha mematenkannya. Ini sekarang memberi Anda titik awal
terbalik dengan tersangka. Pada saat ini Anda telah melakukan penyelidikan awal Anda; ketika
seorang tersangka telah diidentifikasi, Anda dapat menghidupkan kembali penyelidikan Anda
dengan memikirkan seorang tersangka. Hal ini juga berlaku jika tersangka terlibat dalam
pencurian awal IP atau membelinya melalui pasar kriminal.
Pencurian Informasi Seperti Identitas, File Staf, dan

Akun
Mirip dengan spionase industri, ini mungkin merupakan serangan yang ditargetkan secara
khusus atau acak. Identitas dapat dijual secara online, ditahan untuk dieksploitasi nanti, atau
dijual kembali ke perusahaan sebagai tebusan. Serangan ini mungkin internal atau eksternal ke
jaringan.
Contoh Personally Identifiable Information (PII) yang dicuri meliputi nama, alamat, nomor
Jaminan Sosial, kata sandi, nomor telepon, akun email, nomor kartu kredit, detail keluarga
terdekat, nama gadis ibu, dan sebagainya. Nilai informasi ini bagi penyerang adalah mungkin
berguna dalam membuat database tentang orang-orang yang memiliki kepentingan tertentu di
dalam organisasi; data lain kemudian dapat ditemukan melalui investigasi open source (seperti
media sosial) untuk mengembangkan profil individu yang lebih rinci. Profil tersebut dapat
digunakan untuk melakukan pencurian identitas terhadap organisasi atau lembaga keuangan,
atau dijual di pasar kriminal sebagai produk.
Meskipun ini adalah kejahatan yang sangat umum, dengan ratusan juta identitas dan rincian
kartu kredit dicuri setiap tahun, konsekuensi terhadap korban tidak berkurang. Ada pepatah
dalam undang-undang bahwa Anda mengambil korban Anda saat Anda menemukannya, dan
sementara satu korban penipuan identitas atau kartu kredit dapat mengambil
berita dan melanjutkan tanpa perhatian, yang lain mungkin menderita tekanan finansial dan
emosional yang parah.
Sebagai aturan yang sangat umum meskipun tidak eksklusif, identitas curian dijual di
pasar kriminal. Investigasi di lingkungan ini adalah tugas penyelidik yang sangat terampil dan
berpengalaman, dan jika Anda tidak memiliki keterampilan ini, carilah di tempat lain, karena
penjahat dunia maya ini menggunakan pengawasan balik, yang harus Anda hindari.
Bukti yang akan Anda temukan mungkin berasal dari penyelidikan awal terhadap bukti
digital. Apakah penjahat dunia maya langsung menuju bukti ini atau apakah mereka menavigasi
jalur mereka melalui jaringan sebelum menemukan bukti ini?
Lihatlah bisnis perusahaan korban dan apakah itu perusahaan yang pengumpulan informasinya
merupakan produk sampingan dari bisnis inti atau sebenarnya bisnis inti itu sendiri, seperti
menjadi gateway pembayaran. Informasi ini akan membantu dalam memahami motivasi
penyerang dan jenis kejahatan dunia maya yang Anda cari.
Bab 15 akan memberikan lebih banyak informasi tentang melakukan investigasi

di lingkungan ini dan bukti yang mungkin Anda temukan melalui vendor kriminal.
Peretasan Komputer untuk Mendapatkan Akses ke Sumber Daya Sistem
Perusahaan dan organisasi pendidikan dan pemerintah memiliki akses ke sistem komputer
yang besar dan kuat dengan prosesor dan bandwidth. Penyerang dapat membobol sistem
untuk meng-host situs kriminal (seperti apotek online palsu) atau menggunakan bandwidth
untuk meluncurkan serangan Denial of Service (DoS) terhadap target lain. Atau, mereka
mungkin mencoba menggunakan ini
sumber daya untuk menambang Bitcoin.
Bentuk serangan ini dapat hilang dalam lalu lintas aktivitas normal sehari-hari di mana
terdapat volume aktivitas yang tinggi di jaringan internal dan eksternal; namun, penggunaan
sumber daya bandwidth memberikan biaya kepada perusahaan korban.
Ini adalah bentuk investigasi yang unik, karena banyak korban dari bentuk kejahatan dunia
maya ini tidak mengajukan pengaduan karena berpotensi merusak reputasi. Jika Anda
dipercaya untuk menyelidiki kejahatan ini, lihat siapa yang diuntungkan dari pelanggaran
tersebut, seperti apotek online atau penambang Bitcoin. Detail tentang kompromi mungkin
juga menarik, karena pelanggaran yang jelas mungkin merupakan produk sampingan dari
peretasan awal yang mencari IP dan detail siswa/staf.
Lembaga akademik adalah surga bagi IP berharga yang dikembangkan oleh mahasiswa
pascasarjana dan doktoral, yang sangat dihargai oleh negara-bangsa,
terutama di bidang-bidang seperti robotika, kecerdasan buatan, dan nanoteknologi.

Perhatikan baik-baik apa lagi yang dilakukan penjahat dunia maya, terutama sebelum
pengambilalihan infrastruktur, dan jangan fokus secara eksklusif pada pelanggaran paling
jelas yang telah ditugaskan untuk Anda selidiki.
Mendapatkan atau Melebihi Tingkat Akses Resmi untuk Mendapatkan

Data Sangat Terbatas
Pengguna jaringan mungkin berusaha meningkatkan tingkat akses mereka ke data yang
sangat rahasia. Atau, seorang peretas dapat memperoleh kredensial pengguna di dalam
organisasi dan berupaya meningkatkan akses mereka ke data rahasia melalui akun kompromi
yang terkait dengan pengguna. Sebagai contoh, seorang peretas dapat memperoleh akses
ke akun internal petugas personalia, kemudian menggunakan ini untuk mendapatkan akses
ke akun penyelia mereka, kemudian menggunakan ini untuk mendapatkan akses ke akun
manajer personalia, dan seterusnya.
Ini menjadi perhatian utama bagi semua organisasi dan lembaga pemerintah dan
kontraktor mereka yang telah dikompromikan dengan cara ini.
Peningkatan hak istimewa melibatkan navigasi jalur melalui serangkaian akun pengguna
dari tingkat rendah ke tingkat yang lebih tinggi untuk menemukan di mana pengguna
mendapatkan akses ke data rahasia. Anda mungkin harus bekerja mundur dari titik identifikasi
pelanggaran untuk menemukan akun siapa yang disusupi pertama kali dan bagaimana hal
ini dicapai. Ini akan memberikan bukti penyerang memasuki organisasi dan mendapatkan
tingkat hak istimewa terendah. Anda dapat, misalnya, menemukan tautan antara alamat
Protokol Internet penyerang yang ditemukan di awal
kompromi akun pegawai junior dan alamat Protokol Internet tempat data yang dicuri
diteruskan.
Memahami perilaku pra-pelanggaran, termasuk pengintaian, pengujian kerentanan, dan
serangan phishing, dapat memberikan detail tentang perilaku dan atribusi pelaku.
Memanfaatkan Kelemahan Keamanan Informasi melalui

Rantai Pasokan, Termasuk Kontraktor Pihak Ketiga
Kontraktor pihak ketiga sering kali gagal memberikan tingkat keamanan yang mampu
diberikan oleh klien mereka. Misalnya, kontraktor independen di Hollywood mungkin yang
diretas ketika film diambil dan ditahan untuk pemerasan sebelum dirilis ke publik. Para
penjahat telah memutuskan bahwa lebih mudah untuk meretas
komputer kontraktor daripada studio besar Hollywood, yang memiliki lebih banyak sumber
daya untuk mempertahankan diri.
Perhatikan baik-baik apa yang diambil dan siapa yang mungkin mendapat manfaat dari
serangan itu. Dalam contoh yang diberikan dari kontraktor Hollywood, lihat apakah pelaku
langsung ke IP atau apakah IP hanya ditemukan sebagai produk sampingan dari pemeriksaan
sistem.
Meskipun kita mungkin berpikir penjahat dunia maya adalah tipe orang yang sangat
terstruktur, termotivasi, dan terampil, terkadang mereka beruntung dan menemukan IP yang
sangat berharga tanpa terlebih dahulu memahami target yang mereka retas. Akibatnya,
mereka beruntung.
Mencuri Data Kartu Kredit untuk Penjualan Online,

atau Penipuan yang Tidak Ada Kartu
Serangan ini dengan sengaja menargetkan informasi kartu kredit untuk dieksploitasi atau
untuk dijual secara online melalui pasar perdagangan kriminal. Informasi ini meliputi nama,
alamat, nomor kartu kredit, tanggal lahir, keluarga terdekat, nomor telepon, dan sebagainya.
Nomor kartu digunakan untuk membeli barang dari pengecer online menggunakan
layanan Internet, dengan penjahat dunia maya mengirimkan barang ke alamat yang telah
ditentukan. Ini mungkin alamat kolega yang tidak diketahui, alamat kantor, properti sewaan,
atau titik penjemputan yang mengkhususkan diri dalam menerima parsel untuk klien, karena
beberapa layanan pos beroperasi. Ini dikenal oleh pengecer sebagai penipuan "kartu tidak
ada" dan membawa biaya keuangan yang signifikan bagi pengecer, karena perusahaan kartu
kredit membalikkan tagihan ke pengecer.
Sebagai alternatif, penjahat dunia maya dapat menjual informasi dari kartu kepada klien
sebagai barang massal, mengenakan biaya per unit atau dengan diskon volume. Jika
informasi tersebut berasal dari kartu dengan nilai tertentu, seperti kartu American Express
Platinum, kartu tersebut dapat dijual satu per satu dengan harga yang dinegosiasikan.
Ini cenderung merupakan kejahatan bervolume besar, dengan ratusan juta kartu kredit
tersedia untuk dijual secara online di pasar kriminal. Seperti disebutkan sebelumnya, bahkan
tidak mempertimbangkan pergi ke pasar kriminal kecuali Anda sangat ahli dalam perdagangan
online, atau bahkan lebih baik, telah membawa penyelidik cyber yang berpengalaman di
bidang ini.
Mengidentifikasi siapa penerima manfaat dari transaksi adalah cara yang lebih produktif
jalur bagi penyelidik yang menyelidiki penipuan kartu-tidak-hadir individu.
Mendapatkan Akses ke Sistem atau Perangkat melalui

Perangkat Lunak Berbahaya
Serangan ini berusaha untuk mendapatkan akses ke sistem komputer melalui pengiriman
dari perangkat lunak berbahaya. Ini bisa berupa serangan internal atau eksternal. Sebuah
Contohnya adalah Advanced Persistent Threat (APT), di mana seseorang memperoleh akses yang tidak
sah ke perangkat komputer dan mempertahankan keberadaan mereka yang tersembunyi, mengumpulkan
data baru setiap hari. APT dapat muncul dari seminggu hingga beberapa tahun
sebelum ditemukan.
Teknik Penyelidik
Mengidentifikasi perangkat lunak berbahaya yang digunakan dalam kejahatan adalah salah satu langkah pertama untuk
penyidik. Hubungi vendor keamanan organisasi, yang mungkin memiliki:

sumber daya yang tersedia untuk segera mengidentifikasi perangkat lunak berbahaya dan
karakteristiknya. Banyak dari perusahaan ini memiliki penyelidik yang sangat berpengetahuan
yang dapat memberi Anda informasi tentang orang dan/atau sindikat
di balik serangan itu. Anda dapat menggunakan informasi berharga ini untuk memanfaatkan
pertanyaan teknis.
Ini akan menjadi bagian dari investigasi Anda dan melengkapi investigasi
ke dalam kejahatan yang dilakukan melalui penggunaan perangkat lunak berbahaya.
Merusak Reputasi Pesaing untuk Mendapatkan

Keuntungan Pasar
Karena persaingan sangat ketat di pasar, merusak reputasi pesaing dapat memberikan
keuntungan bagi penyerang. Contohnya adalah tender
pengirim meluncurkan serangan online terhadap pesaing tepat sebelum komite tender duduk
untuk memutuskan siapa yang akan memenangkan tender terbaru, menimbulkan pertanyaan serius
tentang keamanan siber korban.
Pada hari-hari awal investigasi, lihat siapa yang diuntungkan dari kerusakan reputasi klien Anda.
Meskipun ini mungkin penyerang acak dengan
motif pemerasan, jika perusahaan sedang dalam proses negosiasi yang rumit dengan
klien potensial atau tender untuk kontrak baru, mungkin ada sinyal yang jelas seperti
untuk siapa calon tersangka mungkin. Klien Anda mungkin dapat mengarahkan Anda ke
arah ini.
Perubahan pada Sistem atau Perangkat Komputer

Ini adalah kejahatan yang sangat sulit untuk dikelola oleh perusahaan, karena serangan
akan ditargetkan untuk mengubah data perusahaan. Ketika perusahaan korban membuat
keputusan strategis berikutnya, mereka akan dibuat dengan data yang salah, yang berarti
dokumen tender mungkin tidak kompetitif atau terlalu murah.
Pertimbangan Investigasi
Ini adalah serangan yang sangat pribadi di mana tidak ada tersangka yang jelas. Merusak
data untuk mendorong perusahaan membuat keputusan bisnis yang buruk bukanlah
keuntungan besar bagi rata-rata penjahat dunia maya yang mencari keuntungan finansial pribadi.
Berbicara kepada pelapor akan memberikan arahan kepada calon penerima manfaat
dari kejahatan tersebut. Juga memahami bagaimana tindakan diidentifikasi akan memberikan
arahan bantuan lebih lanjut.
Seseorang yang termotivasi untuk melakukan serangan semacam itu akan mencakup
mantan karyawan yang tidak puas yang mengubah data sebelum mereka pergi sebagai
pembalasan atas keluhan yang dirasakan. Jangan pernah meremehkan motivasi mantan
karyawan yang marah.
Vandalisme untuk Membuktikan Keterampilan Penyerang
Peretas suka membuktikan keahlian mereka dan membangun portofolio perusahaan yang
telah berhasil mereka serang. Sebuah perusahaan mungkin menjadi korban acak dari
peretas yang berusaha membangun kredibilitas mereka di komunitas peretasan.
Karena viktimologi kejahatan ini dapat dianggap sebagai kesialan murni, mungkin ada
beberapa petunjuk bagi penyelidik untuk dipertimbangkan dari perspektif motivasi.
Penyelidik yang mengetahui jalan mereka di papan buletin dan situs web yang berkomunikasi
dengan penjahat dunia maya dapat mengambil beberapa detail tentang siapa yang berada di balik
serangan itu. Penjahat dunia maya baru yang menguji keterampilan mereka ingin memberi tahu semua
orang tentang serangan yang berhasil mereka lakukan dengan tujuan membangun reputasi mereka.
Gunakan kerentanan penjahat ini terkait dengan kebutuhan untuk mempromosikan diri mereka sendiri
untuk melihat apa yang dapat Anda ketahui tentang mereka dan untuk membangun profil mereka.
Unduhan Perangkat Lunak Berbahaya secara Drive-by

Bentuk serangan siber yang efektif adalah mengambil alih situs web perusahaan yang sah,
memasang perangkat lunak berbahaya, dan menunggu pengunjung situs untuk mengunduh
perangkat lunak berbahaya tanpa disadari. Karena ini adalah situs yang bereputasi baik,
pengunjung tidak akan menganggap situs tersebut berisiko tinggi, sehingga meningkatkan
prospek keberhasilan penyerang.
Menyelidiki bentuk kejahatan dunia maya ini melibatkan pemahaman tentang kerentanan
teknis dari situs yang dieksploitasi. Lihat untuk melihat ke mana repositori data telah dikirim,
yang biasanya merupakan situs web yang dikendalikan oleh penyerang. Seperti disebutkan
sebelumnya, diskusi dengan perusahaan keamanan siber (seperti Sophos dan Symantec)
dapat memberi Anda informasi mengenai komponen teknis serangan dan prospek yang
mungkin Anda hasilkan dari mereka.
Mengganggu Akses ke Jaringan

Serangan Denial of Service (DoS) dan Distributed Denial of Service (DDoS) adalah serangan
teknis untuk membebani situs web dan server, membatasi pelanggan dan staf mengakses
Internet.
Mantan karyawan diketahui menyebabkan kerusakan jaringan sebelum berhenti bekerja
dengan memuat perangkat lunak berbahaya ke dalam sistem, memasang jalur pintu belakang
ke dalam sistem untuk memungkinkan akses setelah akses sah mereka dihapus, atau
menghapus file berharga.
Alasan serangan DoS atau DDoS mungkin sesederhana upaya pemerasan, motivasi politik
(sebagai pihak yang menyimpan dendam pribadi terhadap target), atau kerusakan reputasi
bisnis, seperti yang telah dibahas sebelumnya.
Berbicara kepada pelapor dapat memberikan beberapa informasi berharga, terutama jika
telah terjadi komunikasi dengan penyerang. Dalam kasus ini, mungkin ada permintaan tebusan
untuk dibayarkan ke akun mata uang virtual atau permintaan untuk mengubah filosofi
perusahaan yang disebutkan.
Ransomware
Di sini, penyerang mengenkripsi hard drive perangkat yang dapat mereka akses dan juga
mengenkripsi cadangan, jika dapat diakses. Jika korban tidak memiliki backup offline,
mereka diharuskan membayar uang tebusan kepada penyerang untuk mendapatkan kembali akses ke data mereka.
Serangan ini juga dapat mencakup pencurian data dari perangkat atau jaringan sebelumnya
proses enkripsi dimulai.
Seperti yang sudah dibahas sebelumnya, akan ada bentuk komunikasi dari tersangka. Biasanya ini
berupa email atau catatan yang tertinggal di komputer korban.
Identifikasi akun mata uang virtual tempat pembayaran akan dilakukan dan identifikasi volume
pembayaran yang dilakukan padanya. Dalam kasus Bitcoin, Anda dapat menggunakan
Blokir Explorer di situs Blockchain (https://www.blockchain.com/explorer)
untuk memasukkan alamat di mana pembayaran Bitcoin akan dilakukan untuk mendapatkan
pemahaman tentang besarnya kejahatan dan apakah itu serangan acak atau
ditargetkan secara khusus.
Serangan Phishing dan Pencucian Uang

Email penipuan dikirim untuk membujuk orang agar masuk ke situs tempat mereka menjadi anggota
(seperti bank, kartu kredit, atau perusahaan keuangan) dengan menggunakan pengguna mereka
nama dan kata sandi. Tautan yang disertakan dalam email adalah ke situs penjahat
telah dibuat, yang merupakan gambar persis dari situs sah yang berpotensi menjadi korban
akrab dengan.
Setelah pemilik akun memasukkan nama pengguna dan kata sandi mereka, penjahat cyber
memiliki akses ke akun klien. Kesulitan bagi penjahat dunia maya
adalah jika korban memiliki otentikasi dua faktor di akun mereka; maka mereka akan
harus mengembangkan strategi lebih lanjut untuk mengalahkan tingkat keamanan ini.
Tahap selanjutnya untuk penjahat dunia maya setelah mereka memiliki akses langsung ke
akun adalah untuk menghapus dana. Ini dapat menghadirkan rintangan logistik lebih lanjut jika
mereka berada di negara yang berbeda dengan korbannya dan tidak dapat langsung mentransfer
hasil kejahatannya ke luar negeri.
Penjahat dunia maya yang berpengalaman dapat memantau akun untuk beberapa
minggu untuk mendapatkan pemahaman penuh tentang bagaimana uang mengalir melalui rekening.
Contoh kegiatan yang menarik termasuk ketika gaji korban masuk ke
akun dan ketika hipotek dan utilitas dibayar, secara efektif memetakan
aliran uang untuk mengidentifikasi kapan dalam siklus pembayaran ada uang paling banyak di
Akun.
Beberapa lembaga keuangan memiliki batasan harian pada transfer uang dari
Akun. Untuk memaksimalkan pengembalian finansial, penjahat dunia maya akan mentransfer saldo
dana harian yang tersedia pada jam 23:59 dan kemudian saldo harian baru
pada pukul 00:01 keesokan harinya.
Ketika dana telah diakses dan uang akan dipindahkan melintasi perbatasan internasional,
penjahat dunia maya akan membutuhkan korban lain atau rekan yang tidak mengetahui untuk
membantu memindahkan dana ke yurisdiksi yang dapat mereka akses. Rekan yang tidak
mengetahui itu pada dasarnya menjadi keledai uang.
Keledai uang adalah orang yang tidak tahu apa-apa yang percaya bahwa mereka terlibat
dalam usaha bisnis yang sah atau yang telah direkayasa secara sosial untuk percaya bahwa
mereka menjalin hubungan dengan orang yang sah. Ini harus dilihat secara terpisah. Karena ini
adalah metode umum untuk mengeluarkan uang di seluruh yurisdiksi internasional, penyelidik
mungkin diminta untuk mewawancarai mereka untuk mengidentifikasi tingkat kesalahan mereka.
Bagal Uang Bisnis
Bagal uang bisnis adalah orang yang telah menanggapi iklan online untuk apa yang mereka
yakini sebagai pekerjaan yang sah. Pekerjaan yang paling umum mereka direkrut adalah untuk
menerima uang ke rekening bank mereka atas nama perusahaan yang mempekerjakan mereka
sementara itu menempatkan dirinya di negara tuan rumah.
Ketika uang dimasukkan ke dalam rekening mereka, mereka diharuskan untuk segera
mengirimkannya ke rekening tertentu atau kepada orang yang menggunakan layanan pengiriman
uang, menukarnya dengan mata uang virtual, atau menggunakan rekening bank pribadi mereka
untuk mentransfer uang ke luar negeri. Mereka diizinkan untuk menyimpan jumlah tertentu
sebagai komisi, yang memperkuat keyakinan mereka bahwa mereka terlibat dalam usaha bisnis
yang sah.
Ini adalah waktu yang berisiko bagi penjahat dunia maya, karena mereka mempercayai
pihak ketiga untuk menjadi pihak yang tidak terpisahkan dari kejahatan dunia maya mereka.
Untuk mengurangi risiko, mereka dapat segera menghubungi bagal uang mereka melalui
telepon dan menyimpannya di telepon saat uang diperoleh dan ditransfer. Ini mungkin
memerlukan investasi beberapa jam dari waktu mereka, tetapi membantu mengurangi risiko
keledai uang memutuskan untuk menyimpan rejeki nomplok untuk diri mereka sendiri.
Bagal Uang Rekayasa Sosial
Ini adalah tipe orang yang sangat berbeda dari bagal uang bisnis, karena mereka percaya
bahwa mereka berada dalam hubungan yang mapan dengan orang lain. Hubungan ini mungkin
berlangsung selama beberapa tahun. Bentuk paling umum dari orang yang sesuai dengan
kategori ini adalah orang yang telah menjadi korban melalui penipuan hubungan online, di mana
mereka telah mengirim uang kepada teman baru mereka untuk mendukung mereka dan
membawa mereka ke negara asal mereka.
Seiring berkembangnya hubungan, korban diminta untuk menerima uang ke rekening bank
mereka untuk membantu memfasilitasi usaha bisnis yang dibutuhkan teman online mereka
menyelesaikan perjalanan mereka untuk menemui korban. Pada saat ini, ada ikatan
emosional yang sangat kuat antara korban dan penjahat dunia maya, dan korban percaya
apa yang diberitahukan kepada mereka.
Untuk penyelidik yang belum menemukan contoh individu bertemu orang di Internet, jatuh
cinta atau percaya apa yang mungkin tampak jelas penipuan, kecenderungannya adalah
untuk mencurigai bahwa para korban terlibat dalam penipuan dan perlu dituntut. Meskipun
ini mungkin berlaku sesuai dengan undang-undang di yurisdiksi Anda, sayangnya ini
adalah kejadian yang sangat umum. Pada sebagian besar kesempatan, orang-orang ini
telah direkayasa secara sosial dan tidak memiliki pemahaman bahwa mereka telah
berurusan dengan penjahat profesional.
Untuk memajukan penyelidikan Anda, mintalah kerja sama dari bagal uang untuk
mendapatkan informasi sebanyak mungkin untuk mengidentifikasi informasi tentang
penjahat dunia maya. Komunikasi email, alamat Skype, rekaman komunikasi, nomor
telepon, nama kontak penerima uang yang dikirim melalui layanan pengiriman uang, dan
riwayat pekerjaan/hubungan dapat digunakan untuk memajukan penyelidikan Anda.
Penipuan Kompromi Email Bisnis

Penipuan kompromi email bisnis adalah tempat email, yang menyatakan dirinya berasal
dari eksekutif senior perusahaan, diterima oleh anggota staf. Mereka mencari uang untuk
segera dibayarkan ke rekening bank baru. Atau, pelanggan meminta pembayaran yang
telah ditetapkan untuk dilakukan ke rekening bank baru; namun, email tersebut bukan
dari pelanggan, melainkan penipu yang menyamar sebagai
pelanggan.
Alternatif lebih lanjut untuk penipuan ini adalah penjahat mendapatkan akses ke
akun email kreditur ke perusahaan dan mengirim email yang sah meminta pembayaran
yang akan datang dibayarkan ke rekening bank baru. Korban mengkonfirmasi ini sebagai
permintaan dari kreditur biasa dan tidak memiliki alasan untuk percaya bahwa email
tersebut adalah penipuan.
Bukti dapat ditemukan dari konfirmasi strategi serangan melalui pemeriksaan email yang
berisi permintaan untuk mengubah rincian rekening bank.
Jika email tersebut merupakan salinan dekat dari alamat email biasa kreditur, kemungkinan
besar merupakan indikator bahwa kreditur belum dikompromikan dan penyerang telah
membuat nama domain yang sangat mirip dengan nama kreditur. Pemeriksaan catatan domain dari domain
yang dicurigai akan memberi tahu Anda kapan domain tersebut didaftarkan dan mungkin oleh siapa,
memungkinkan kenyataan bahwa banyak detail registri domain yang salah. Bahkan informasi ini akan
membawa Anda ke pertanyaan lebih lanjut, karena Anda akan tertarik untuk mengidentifikasi bagaimana
penyerang mengetahui pembayaran harus dilakukan kepada kreditur dan siapa di dalam perusahaan korban
email itu akan dikirim.
dikirim ke.
Jika email yang berisi permintaan palsu untuk mengubah detail rekening bank adalah email yang benar
dari kreditur yang dikenal, kemungkinan besar telah terjadi pelanggaran keamanan bisnis kreditur di mana
penyerang telah mengakses akun email perusahaan, memantau sistem piutang, dan diidentifikasi ketika
hutang usaha oleh perusahaan target harus dibayar.
Pemeriksaan di mana dana itu dibayarkan akan mengarah pada informasi lebih lanjut.
Seringkali penerima adalah bagal uang dan pertanyaan dapat dilanjutkan seperti yang telah dibahas
sebelumnya.
Penipuan Rekayasa Sosial

Rekayasa sosial adalah seni membujuk seseorang untuk melakukan suatu tindakan atau serangkaian tindakan
yang bertentangan dengan kepentingan mereka yang tidak akan mereka lakukan jika mereka sepenuhnya
memahami realitas dari apa yang diperintahkan untuk mereka lakukan. Akibatnya, rekayasa sosial online adalah
serangkaian kebohongan yang diceritakan oleh penjahat dunia maya untuk membujuk seseorang agar mengirimi
mereka uang atau data, atau untuk menyediakan akses ke perangkat pribadi atau jaringan perusahaan.
Kejahatan ini telah ada sejak sebelum adanya Internet; namun, jangkauan lingkungan online telah
memungkinkan penjahat dunia maya untuk mencapai target potensial di setiap sudut dunia. Faktanya, lebih
mudah dan lebih aman untuk menipu seseorang di belahan dunia lain daripada tetangga Anda.
Ada banyak strategi yang tersedia untuk penjahat dunia maya; namun, dalam mengambil penelitian
tentang target mereka digunakan di semua strategi. Situs media sosial diteliti serta pertanyaan mesin pencari.
Bila diperlukan, mereka akan meneliti situs silsilah untuk memberikan latar belakang tentang target mereka,
sehingga ketika pendekatan awal dilakukan terhadap target, penjahat memiliki informasi pribadi yang dapat
dikuatkan.
Kompromi email bisnis yang dibahas sebelumnya adalah bentuk sosial

teknik, dan kami akan secara singkat memperkenalkan serangkaian contoh lainnya.
Penipuan Hubungan
Kejahatan ini menargetkan kerentanan manusia akan kesepian dan memanfaatkan harapan bahwa seseorang
dapat menemukan pasangan secara online. Ini adalah bentuk yang sangat kejam dari
kejahatan, seperti yang dikatakan korban, mereka merasa sulit untuk memahami mana yang lebih
buruk: kehilangan uang mereka dalam penipuan atau ditipu secara emosional.
Seorang korban mungkin ditemukan di situs hubungan atau melalui media sosial. Situs hubungan
sangat berharga bagi penyerang karena mereka dapat mengidentifikasi banyak tentang korban dari
profil mereka, termasuk latar belakang mereka, status mereka saat ini, suka dan tidak suka, harapan
mereka untuk masa depan, dan atribut yang mereka cari. mitra masa depan. Penipu akan menggunakan
teknik yang disebut "mirroring" untuk mencerminkan nilai dan keinginan target mereka kembali kepada
mereka dengan membuat profil untuk tujuan itu atau memodifikasi profil penipuan yang ada. Misalnya,
jika target suka berjalan-jalan di pantai dengan anjing Labrador mereka dan minum segelas anggur
merah malam sebelum kebakaran, maka profil penipu akan mengatakan hal yang persis sama. Jika
profil korban mengatakan bahwa mereka telah kehilangan pasangan karena penyakit tertentu, penipu
akan mengungkapkan peristiwa kehidupan yang sangat mirip, memberikan hubungan emosional yang
kuat. Seperti yang dinyatakan, ini adalah kejahatan yang sangat kejam.
Dalam komunikasi awal, penjahat akan mencari informasi sebanyak mungkin tentang korban,
mengajukan banyak pertanyaan dan mengisi database pengetahuan mereka untuk mengeksploitasi
target mereka. Korban tidak akan terbiasa dengan tingkat ketertarikan mereka untuk ditampilkan dan
penjahat akan mulai menggunakan bahasa emosional. Bagi korban, tujuan pergi ke situs hubungan—
menemui pasangan yang cocok—akan tampak terpenuhi.
Selama beberapa hari dan minggu mendatang mereka akan menerima banyak pesan positif,
termasuk "Saya pikir saya mencintaimu." Meskipun mungkin tampak sangat tidak biasa untuk jatuh
cinta dengan seseorang yang belum pernah Anda temui secara fisik, ada ratusan ribu orang normal di
seluruh dunia yang telah direkayasa secara sosial oleh bentuk kejahatan ini dengan pemicu psikologis
kesepian yang disalahgunakan.
Korban akan mengirimkan uang kepada penipu untuk membantu mereka dalam perjalanan ke
negara korban, termasuk biaya menyelesaikan usaha bisnis, biaya pemerintah yang diperlukan, dan
sebagainya. Setiap pembayaran dipenuhi dengan permintaan baru untuk lebih banyak uang. Penjahat
dunia maya sangat ahli dalam hal ini, karena mereka akan mengetahui kapan korban menerima
pembayaran mereka, kapan rekening jatuh tempo, dan sejenisnya.
Kekejaman jenis kejahatan ini ditunjukkan dengan cara korban direkayasa secara sosial. Dalam
hubungan di mana orang-orang tinggal bersama, orang terakhir yang biasanya Anda ajak bicara di
malam hari adalah pasangan Anda. Orang pertama yang Anda ajak bicara di pagi hari adalah pasangan
Anda. Dalam penipuan hubungan, penjahat dunia maya akan menelepon hal terakhir di malam hari
untuk memberi tahu korban mereka, "Aku mencintaimu ... Selamat malam," dan lagi di pagi hari untuk
membuat komentar di sepanjang baris, "Aku punya
memikirkanmu sepanjang malam. Aku mencintaimu ... Semoga harimu menyenangkan.” Ini
adalah pesan yang sangat kuat.
Penjahat dunia maya biasanya berada di yurisdiksi asing menggunakan akun web sekali pakai,
telepon sekali pakai, dan identitas palsu. Ini adalah kejahatan yang sangat sulit untuk diselidiki,
dan sangat sulit untuk mengidentifikasi tersangka di dunia nyata.
Anda akan memerlukan kerja sama dari penegak hukum atau penyelidik sipil di yurisdiksi
asing. Bukti lokal Anda akan mencakup catatan telepon, alamat Inter net Protocol, dan tanda
terima transfer uang, serta salinan komunikasi teks pada aplikasi seperti Skype.
Penipuan Warisan
Dengan banyaknya materi yang tersedia tentang orang-orang secara online, mempelajari latar
belakang orang menjadi mudah, dengan media sosial dan situs silsilah menyediakan sumber
daya yang berharga bagi penjahat dunia maya.
Penipu warisan akan menyiapkan surat pengantar ke target mereka menggunakan nama
firma hukum asing yang sah dan mengidentifikasi kerabat target mereka yang menurut penelitian
tinggal dan meninggal di luar negeri. Penipu akan menyatakan bahwa kerabat meninggalkan
sejumlah besar uang untuk target. Surat pengantar akan mencakup banyak referensi keluarga,
yang dapat diverifikasi secara independen oleh target.
Korban akan diinstruksikan untuk melakukan pembayaran biaya, retribusi, pajak, dan
sejenisnya sebelum dana tersebut dapat dikeluarkan. Tergantung pada keterampilan penjahat
cyber, biaya ini dapat mencapai ratusan ribu dolar.
Seperti halnya penipuan hubungan, pelaku biasanya akan berada di luar negeri dan tersembunyi
di balik lapisan teknologi. Sejumlah besar uang yang dikirim dapat memberikan jalan penyelidikan
di yurisdiksi asing, seperti halnya catatan telepon, catatan pesan, dan alamat IP.
Ini adalah beberapa contoh dari banyak serangan terkait dunia maya yang mungkin Anda
terlibat dalam penyelidikan dalam karier Anda. Masih banyak lagi dan masing-masing
memerlukan tingkat pemikiran lateral oleh penyelidik untuk memahami metodologi serangan,
motivasi, dan konsekuensi.
Bab 3 akan mengidentifikasi serangkaian faktor yang memotivasi orang untuk melakukan a
kejahatan dunia maya, termasuk mengapa perusahaan atau individu tertentu menjadi sasaran.
STUDI KASUS CYBERCRIME
Seorang pria berada di situs hubungan online ketika dia bertemu dengan seseorang yang dia rasa
memiliki masa depan. Dia menginvestasikan banyak waktu dengannya dan membangun hubungan
emosional yang kuat meskipun mereka berada di negara yang berbeda. Dia mendorong pembangunan
hubungan dengan mengatakan semua frasa yang perlu dia dengar, seperti "Aku mencintaimu," yang
merupakan ungkapan yang sangat kuat yang dia rasa tidak akan pernah dia dengar lagi.
Pada tahap tertentu dalam fase perawatan awal, dia mengungkapkan bahwa saudaranya telah
meninggal karena cacat jantung bawaan dan ini menempatkan beban emosional pada hidupnya.
Penipu mengidentifikasi ini sebagai bentuk kerentanan dan kemudian memperkenalkannya kepada
putranya. Seiring waktu penipu meyakinkannya bahwa mereka memiliki masa depan bersama, dan
putranya yang berusia empat tahun mulai bertanya, "Apakah kamu akan menjadi ayah baruku?" Ini
menutup hubungan sejauh menyangkut korban, karena dia sangat ingin menjadi orang tua.
Setelah hubungan itu diamankan, anak itu secara misterius mengembangkan cacat jantung
kongenital yang membutuhkan sejumlah uang secara teratur untuk pengobatan dan kemudian
operasi. Korban bertekad bahwa anak itu akan menerima perawatan kesehatan terbaik dan mengirim
sejumlah besar uang untuk perawatan kesehatan anak, obat-obatan, dan sejenisnya. Dia
menguangkan uang pensiunnya, membayar semua biaya saat terjadi, dan diberikan tanda terima
medis, yang kemudian terbukti palsu. Karena kesehatan anak itu menurun, ia membayar untuk
transplantasi jantung yang mendesak atas permintaan ibu, pendeta, dokter, dan “teman-teman
keluarga” lainnya.
Setelah identifikasi penipuan, surat perintah penggeledahan dilakukan di alamat tersangka
yang mengidentifikasi log komunikasi, catatan telepon, tanda terima keuangan, dan pengakuan
sebagian, membuktikan kesalahan wanita tersebut. Dia divonis lima tahun penjara.
CATATAN
1. G. Stevenson Smith, “Model Manajemen untuk Kejahatan Dunia Maya Internasional,”

Jurnal Kejahatan Keuangan 22, no. 1 (2015): 104–125, https://www.emeraldinsight.com/doi/full/
10.1108/JFC-09-2013-0051.
2. Joseph Schafer, Michael E. Buerger, Richard W. Myers, Carl J. Jensen III, dan Bernard H. Levin,
The Future of Policing: A Practical Guide for Police Managers and Leaders, 1st ed. (Boca Raton,
FL: CRC Press, 2011).
3. Christopher Hooper, Ben Martini, dan Kim-Kwang Raymond Choo, “Cloud Computing and Its
Implications for Cybercrime Investigations in Australia,”
Catatan _ 27
Tinjauan Hukum dan Keamanan Komputer 29, no. 2 (2013): 152–163, https://www
.sciencedirect.com/science/article/pii/S0267364913000241.
4. Roderic Broadhurst, “Perkembangan dalam Penegakan Hukum Global”
Cyber-Crime,” Pemolisian: Sebuah Jurnal Internasional Strategi dan Manajemen
Polisi 29, no. 3 (2006): 408–433, https://papers.ssrn.com/sol3/papers
.cfm?abstract_id=2089650.
3 BAB TIGA
Motivasi Penyerang
wilayah.
SEPERTI YANG TELAHBatas-batas pelanggaran
KITA lihat di Bab 2, pelanggaran hanya dibatasi
kejahatan oleh
dunia maya imajinasi
mencakup penyerang.
cakupan yang luas
Penjahat dunia maya datang dalam berbagai bentuk dan ukuran dan
dimotivasi oleh alasan yang masuk akal bagi mereka pada saat serangan mereka.
Setelah diidentifikasi, serangan, motivasi, atau metodologi tidak selalu harus masuk
akal bagi korban atau penyidik, karena mereka bukanlah orang yang memutuskan
alasan mereka cukup untuk memulai serangan pada awalnya.
contoh.
Sementara penyidik dapat memulai penyelidikan dengan pemahaman yang
dirasakan tentang apa yang akan mereka temukan dalam beberapa hari mendatang,
kenyataan dari apa yang mereka temukan mungkin sangat berbeda. Jika mereka
memulai penyelidikan mereka dengan pandangan terowongan tentang apa yang
terjadi, mereka akan salah membaca bukti dan mengabaikan apa yang tidak sesuai
dengan bias bawah sadar mereka. Singkatnya, ikuti bukti dan buat keputusan tentang
apa yang terjadi dan alasan mengapa di akhir penyelidikan. Jika Anda memiliki pikiran
terbuka, bukti akan membawa Anda ke jalan yang benar.
Tanpa mengetahui identitas penyerang, motivasi serangan dapat diidentifikasi
dari metodologi yang digunakan atau kerusakan yang ditimbulkan.
Atau, penyerang dapat menghubungi korban mereka setelah serangan ditemukan
dan menjelaskan motivasi mereka dengan membuat permintaan pemerasan.
29
30 Motivasi Penyerang
Pemeriksaan jalur melalui jaringan yang telah dilalui oleh peretas eksternal dapat menunjukkan tingkat
keakraban mereka dengan jaringan internal, terutama jika mereka melakukan perjalanan langsung ke
target dan mengambil data yang dicari. Atau, penyerang yang tersandung di sekitar jaringan kehilangan
data kunci mungkin merupakan bukti penjahat dunia maya dengan keterampilan terbatas yang mencari
untuk melihat apa yang dapat mereka temukan. Pemeriksaan log sistem sebelum serangan dapat
menemukan bukti penyerang melakukan pengintaian ekstensif terhadap jaringan dan keamanannya.
Penjahat dunia maya mungkin internal atau eksternal jaringan, atau kontraktor. Sementara
pemahaman umum tentang penjahat dunia maya adalah orang yang secara fisik jauh dari jaringan yang
mereka serang, karyawan internal mungkin membawa salinan IP berharga bersama mereka ke majikan
berikutnya atau menjualnya ke pesaing. Seorang karyawan internal yang jahat juga dapat bersiap untuk
menjalankan program pada perangkat USB, memungkinkan penyerang yang mereka ketahui akses
jarak jauh ke jaringan perusahaan majikan mereka.
MOTIVATOR UMUM
Berikut ini adalah contoh motivator umum penjahat dunia maya untuk kejahatan mereka. Daftar ini tidak
lengkap, karena poin penting untuk dipahami adalah bahwa motivasi penyerangan akan masuk akal
bagi pelaku kejahatan selama mempersiapkan dan melakukan pelanggaran. Oleh karena itu daftar
motivasi potensial mungkin jauh lebih luas daripada daftar ini.
Pembalasan dendam
Seorang penyerang dapat melakukan tindak pidana terhadap perusahaan setelah ketidakadilan yang
dirasakan terhadap diri mereka sendiri. Penyerang mungkin adalah karyawan atau mantan karyawan,
pesaing, atau kelompok yang termotivasi oleh masalah. Seorang karyawan saat ini atau mantan
karyawan mungkin dimotivasi karena telah dilewati untuk promosi, karena tidak menerima kenaikan gaji
yang memenuhi harapan mereka, atau karena perilaku mereka yang didisiplinkan dan tidak memenuhi
standar kinerja.
Bentuk serangan akan bervariasi berdasarkan keterampilan dan sumber daya yang tersedia untuk
penyerang.
Peluang
Dalam kasus karyawan internal, mungkin tidak ada motivasi awal oleh karyawan untuk melakukan
segala bentuk kejahatan terhadap majikan mereka. Namun,
Motivator Umum 31
saat melakukan tugas mereka, mereka dapat mengidentifikasi kerentanan dalam sistem internal di mana
uang atau data dapat dihapus tanpa ada orang lain yang dapat mengidentifikasi tindakan mereka. Dari sana,
mereka dapat memutuskan untuk mengeksploitasi kerentanan untuk keuntungan mereka dan mulai mengambil
uang atau data untuk dijual ke pihak lain.
Keputusan untuk melakukan pelanggaran dapat berkembang dalam periode yang signifikan setelah
mengidentifikasi potensi kerentanan, ketika peluang terbukti terlalu banyak godaan bagi mereka. Contohnya
termasuk staf akuntansi menambahkan karyawan palsu ke sistem akuntansi dan mengirimkan pembayaran
ke rekening bank mereka, manajer akuntansi mengoperasikan serangkaian pembukuan kedua untuk
menyembunyikan perilaku tidak jujur mereka, dan pembuatan faktur palsu, dengan pembayaran kreditur
masuk ke rekening mereka. rekening bank pribadi.
Ketamakan
Tidak ada kejutan di sini. Keserakahan adalah motivator umum bagi penjahat, baik internal maupun eksternal
perusahaan. Potensi untuk memperkaya hidup mereka dengan mengorbankan orang lain adalah pilihan yang
menarik bagi mereka, dengan sedikit atau tanpa perhatian tentang kerusakan yang mereka lakukan terhadap
orang lain. Keserakahan tidak terdaftar sebagai salah satu dari tujuh dosa mematikan secara tidak sengaja.
Penyelidik dapat mengungkap motivator ini dengan sangat cepat, dalam hal ini penekanannya adalah
pada pencarian hasil kejahatan dengan maksud untuk mengurangi potensi kerusakan.
Tes Keterampilan
Beberapa penjahat cyber mungkin melakukan serangan teknis terhadap orang lain sebagai latihan untuk
mengembangkan keterampilan mereka untuk serangan yang lebih menguntungkan secara finansial. Mereka
juga dapat menggunakan serangan ini untuk mengiklankan keahlian mereka dan kompromi sistem mereka
yang berhasil untuk membangun kredibilitas mereka di situs web penjahat dunia maya.
Script kiddies adalah pendatang baru di komunitas kejahatan dunia maya yang sangat bergantung pada
teknologi dan pendidikan yang disediakan oleh penjahat dunia maya yang lebih berpengalaman. Mereka
mungkin memiliki tingkat keterampilan teknis yang rendah; namun, mereka memulai karir mereka dengan
mempelajari alat dan keahlian dari situs web dan forum kriminal. Saat mereka mengembangkan dan menguji
keterampilan mereka, pilihan mereka untuk melakukan kejahatan dunia maya meluas.
Pesaing Bisnis
Pasar dapat menjadi lingkungan yang sangat agresif untuk bisnis, dengan masing-masing menempatkan
penekanan pada pengembangan keunggulan strategis. Salah satu caranya adalah dengan mencuri IP
pesaing melalui peretasan komputer untuk memberikan keuntungan.
Cara lainnya adalah merusak reputasi pesaing melalui serangan teknis, membuat klien yang
sudah ada dan calon klien khawatir tentang melakukan bisnis dengan perusahaan di bawah
serangan teknis.
Strategi-strategi ini mungkin sangat berhasil ketika tender melibatkan korban
perusahaan harus diputuskan.
Kriminal Profesional
Motivasi penjahat profesional adalah mencari keuntungan finansial pribadi.

Serangan itu jarang bersifat pribadi dan serangan terhadap perusahaan target tidak lebih dari
usaha bisnis untuk menghasilkan uang.
Jenis kriminal profesional adalah kontraktor yang bersedia melakukan pekerjaan klien,
dan oleh karena itu motivasinya bersifat finansial, tanpa unsur keluhan pribadi terhadap
target. Orang-orang ini mungkin ditemukan secara online, termasuk di web gelap, dan
menawarkan layanan mereka (seperti peretasan) kepada penawar tertinggi.
Penyerang Bermotivasi Masalah
Ini adalah serangan yang sangat pribadi dan korban mungkin menjadi sasaran untuk alasan
politik daripada peristiwa lainnya. Contohnya mungkin pengiklan yang menjadi sasaran boikot
konsumen atau bisnis yang menyediakan produk atau layanan yang mungkin tidak disetujui
oleh anggota komunitas. Bisa juga melibatkan target membuat komentar di media sosial
yang dianggap salah.
Geopolitik
Aktor negara adalah lembaga pemerintah atau kelompok yang terkait yang melakukan
aktivitas siber atas nama pemerintah tersebut. Motivasinya mungkin untuk mencari IP industri
tertentu di luar negeri untuk mendapatkan keunggulan kompetitif. Sebagai alternatif, mereka
mungkin berusaha untuk menargetkan infrastruktur perusahaan atau negara yang bermusuhan
untuk menyebabkan kerusakan sebanyak mungkin.
Terorisme
Dengan dunia yang terhubung, ada peluang bagi orang-orang di lokasi terpencil untuk
menargetkan infrastruktur penting dari suatu entitas yang mereka ingin menyebabkan
kerusakan ekstrim. Seseorang di lokasi terpencil mungkin melihat tujuan mereka maju dengan
menyebabkan kegagalan keamanan besar-besaran di infrastruktur penting negara lain—
seperti listrik, energi nuklir, atau pengiriman air—yang menyebabkan hilangnya nyawa dalam
skala besar.
Keahlian penyerang dapat bervariasi; namun, dengan beragamnya jaringan kerja dan
alat penyerang yang tersedia secara online secara gratis dengan instruksi dukungan yang
tersedia, ambang batas untuk menjadi penjahat dunia maya sangat rendah.
Seperti disebutkan sebelumnya, motivasi mungkin tidak masuk akal bagi pengadu atau
penyelidik. Bahkan, beberapa motivasi mungkin tidak pernah terungkap. Yang penting bagi
penyerang, motivasi itu masuk akal untuk memulai tindak pidana.
Sementara negara bangsa dan kontraktor kriminal dapat dianggap sebagai aktor,
mereka masih memiliki motivasi khusus untuk melakukan serangan.
STUDI KASUS CYBERCRIME I
Akuntan bisnis diarahkan untuk membuat faktur palsu untuk dipasok ke perusahaan
pembiayaan, yang membeli faktur sebesar 80 persen dari nilai nominalnya.
“Factoring” adalah pengaturan pembiayaan yang sah di mana perusahaan menjual

piutangnya kepada pihak ketiga dengan harga diskon. Dalam hal ini, pengaturannya adalah
untuk memberikan arus kas kepada perusahaan yang bersangkutan. Sisa dana, dikurangi
biaya 3 persen, dibayarkan kepada perusahaan setelah tagihan dibayar oleh debitur.
Perusahaan berada dalam kondisi keuangan yang buruk dan perusahaan anjak piutang
tidak melakukan penyelidikan menyeluruh terhadap kesehatan keuangan klien baru mereka
sebelum menyetujui untuk menyusun perjanjian anjak piutang. Dalam beberapa bulan
perjanjian pembiayaan, perusahaan membuat faktur palsu untuk dijual ke perusahaan anjak
piutang. Itu juga berusaha untuk menghasilkan faktur palsu untuk investor serta kantor pajak
pemerintah.
Karena buku perusahaan dibutuhkan oleh banyak sumber, termasuk perusahaan
keuangan, pemilik mengarahkan akuntan untuk membuat set buku yang berbeda untuk
audiens yang berbeda. Ketika penipuan diidentifikasi, perusahaan memiliki lima set pembukuan
yang terletak di jaringan perusahaan.
Bukti digital termasuk log yang menunjukkan faktur palsu yang dikirimkan ke perusahaan
pembiayaan yang dibuat oleh akuntan serta oleh pemilik perusahaan, yang akan membuatnya
setelah jam kerja menggunakan pengenal unik dan kata sandinya untuk mengakses sistem.
Dia kemudian akan membuat jadwal yang merinci faktur palsu untuk diberikan kepada akuntan
keesokan paginya untuk dimasukkan ke dalam set pembukuan palsu yang ditentukan. Jadwal
ini terletak di drive pribadi pemilik perusahaan di jaringan, dengan log yang menunjukkan tidak
ada pihak lain yang memiliki akses ke bagian penyimpanan ini.
STUDI KASUS CYBERCRIME II
Seorang wanita bertemu seseorang di Internet melalui situs kencan dan selama bulan-bulan
berikutnya sebuah hubungan berkembang. Dia percaya dia berada dalam hubungan online yang
sah dan bahwa akan ada masa depan dengan pasangan barunya begitu dia pergi ke Australia.
Dia mewakili dirinya sebagai seorang insinyur yang harus menyelesaikan pekerjaannya di luar
negeri sebelum kembali ke Australia.
Untuk membantunya dengan keuangannya, wanita itu mengirim sejumlah uang untuk
membantunya membayar biaya hidup, biaya bisnis, dan biaya pajak pribadi yang katanya harus
dibayar sebelum dia meninggalkan negara itu. Selama enam bulan dia meneruskan sekitar
$250.000 kepadanya, yang harus dibayar kembali begitu dia berhasil sampai ke Australia dengan
hasil dari usaha bisnisnya.
Seperti halnya bentuk penipuan ini, selalu ada penundaan lain, permintaan uang lagi, dan
masalah lain yang hanya dapat diselesaikan oleh korban dengan mengirimkan lebih banyak uang
sebagai “pembayaran akhir” sebelum perjalanan dan pasangan dilakukan. bertemu. Korban
menyatakan bahwa dia tidak lagi memiliki akses untuk mengirim uang, karena dia telah mengirim
semua uang yang dia miliki, menggadaikan rumahnya sepenuhnya, meminjam apa yang dia bisa
dari teman, menjual mobilnya, dan mendapatkan uang dari dana pensiunnya dalam kesulitan.
mengeklaim. Meskipun demikian, ada permintaan lebih lanjut untuk uang dari mitra online-nya.
Pada saat ini, dia putus asa untuk menjaga hubungan tetap hidup dan bertemu pasangannya.
Dia juga putus asa untuk mendapatkan kembali uang yang dia pinjamkan padanya. Dia juga
seorang manajer akuntansi yang dihormati dalam bisnis yang memiliki arus kas yang signifikan.
Dalam keputusasaan, dia memutuskan untuk “meminjam” sejumlah uang dari majikannya
dengan janji internal untuk membayarnya kembali segera setelah pasangannya tiba dengan
uangnya. Dia meneruskan uang itu dan bertemu dengan permintaan lebih lanjut untuk uang dan
komitmen cinta yang teratur dan masa depan yang akan mereka miliki bersama. Setelah
menyadari bahwa tidak ada yang memperhatikan $10.000 yang dia pinjam, dia terus meminjam
dan mengirim uang sampai dia dengan curang memperoleh lebih dari $350.000 dari majikannya.
Ketika penipuan itu diketahui, dia meninggalkan perusahaan, melakukan perjalanan antar
negara bagian, dan berusaha memulai kembali hidupnya. Dia ditemukan, dituntut, dan dijatuhi
hukuman lima tahun penjara. Tidak ada reparasi yang bisa dilakukan.
Orang yang menjadi korban dalam penipuan hubungan online adalah kejadian yang sangat
umum dan kerugian finansial dan emosional yang dialami para korban dapat
ekstrim. Mereka telah ditipu secara finansial dan emosional dan beberapa korban menyatakan
mereka tidak tahu mana yang lebih buruk.
Catatan _ 35
Bagi penyidik, TKP adalah lokasi kantor dimana dia dengan curang mengakses
keuangan perusahaan dan mengambil uangnya. Tanda terima log pada perangkat,
termasuk perangkat lunak akuntansi, dengan jelas menunjukkan aktivitasnya dalam
membuat dan mengesahkan pembayaran, dan dana dikirim langsung ke rekening bank
yang sama dengan tempat pembayarannya.
Namun, ada TKP sekunder: perangkat komputernya di rumah, yang merekam
semua komunikasi dengan mitra online-nya, termasuk permintaan uang dan pemberian
pengenal transfer dana.
Ini dikuatkan dengan agen pengiriman uang.
Akibatnya, ini adalah penipuan yang signifikan dengan bukti yang mudah diikuti.
Motivasi korban adalah untuk mencari pasangan untuk berbagi hidupnya, yang
merupakan aktivitas yang sangat umum di lingkungan online. Hubungan ini begitu nyata
baginya sehingga dia mengirim semua asetnya dan mencuri dari pekerjaannya. Para penipu
memahami psikologi manusia tentang kesepian dan komunikasi Internet dan kejam
dalam cara mereka secara sosial merekayasa dan merusak korbannya. Sementara dia
dihukum karena penipuan serius, dia juga menjadi korban.
Interaksi berbasis teks menghasilkan rasa keintiman yang salah antara pengirim
dan penerima komunikasi. Ini mempromosikan pengembangan fantasi karena
berkurangnya ketersediaan informasi sensorik.1 Penipuan hubungan online adalah
contoh jelas dari rasa keintiman palsu yang dibangun antara penjahat dan target
mereka, yang seringkali sepenuhnya berbasis teks, dan tingkat keintiman dan
keputusasaan yang salah ini untuk memulihkan dana yang hilang membawanya untuk
membuat serangkaian keputusan kriminal.
Bab 4 akan memperkenalkan beberapa indikator serangan cyber telah terjadi
terhadap perusahaan. Indikator-indikator ini akan menyebabkan tim investigasi dipanggil
untuk mengidentifikasi tempat kejadian dan mulai merencanakan penyelidikan mereka.
CATATAN
1. Cameron Brown, “Investigasi dan Penuntutan Kejahatan Cyber: Ketergantungan

Forensik dan Hambatan terhadap Keadilan, Jurnal Internasional Kriminologi Cyber
9, no. 1 (2015): 55–109, doi:10:5281/zenodo.22387.
4 BAB EMPAT
Menentukan Itu Kejahatan Dunia Maya

Sedang Berkomitmen
DI SINI ADA
terjadibanyak bentuk peringatan
yang memerlukan yangdan
respon insiden ditimbulkan oleh
kemungkinan insiden keamanan siber
investigasi.
Ini mungkin teknis, nonteknis, atau kombinasi keduanya. Dia
sangat bermanfaat bagi penyelidik untuk mengetahui peringatan seperti itu
memulai penyelidikan mereka, karena mereka akan memberikan jalan ke mana beberapa
bukti yang paling berharga akan ditemukan dan memberikan arahan mengenai
motivasi penyerang.
Peringatan dapat dihasilkan secara elektronik menggunakan teknologi seperti dinding api
atau Intrusion Detection System (IDS); sebagai alternatif, administrator sistem dapat menemukan
file sistem baru yang tidak mereka ketahui dalam bahasa asing. Sayangnya, peringatan mungkin
terlewatkan karena kekurangan staf teknis
tim atau karena begitu banyak peringatan diterima dari perangkat lunak yang dikonfigurasi dengan
buruk sehingga peringatan asli dianggap sebagai positif palsu.
Institut Nasional Standar dan Teknologi (NIST) menjelaskan a
insiden keamanan sebagai berikut:
Insiden keamanan adalah pelanggaran atau ancaman pelanggaran terhadap

komputer, kebijakan keamanan, kebijakan penggunaan yang dapat diterima, atau praktik
keamanan standar.1
37
Buku Pegangan Penyidik Kejahatan Dunia Maya, Edisi pertama. Graeme Edwards, PhD.
© 2020 John Wiley & Sons, Inc. Diterbitkan 2020 oleh John Wiley & Sons, Inc.
38 Menentukan Bahwa Kejahatan Dunia Maya Sedang Dilakukan
Ada banyak cara agar suatu pihak menyadari bahwa mereka adalah target serangan siber. Daftar
dalam bab ini, meskipun tidak eksklusif, mencakup banyak potensi peringatan yang mungkin dihadapi
oleh administrator sistem atau pengguna.
PERINGATAN INSIDEN CYBER
Daftar 27 potensi peringatan insiden siber berikut ini:
1. Peringatan dari aplikasi keamanan, seperti IDS atau Anti Virus (AV).
Baik IDS dan AV memantau anomali pada sistem dan dapat memberikan peringatan dini tentang
upaya penyusupan atau penyusupan. Hanya karena peringatan dibuat tidak berarti sistem
sedang diserang. Ini mungkin berarti ada anomali yang memerlukan penyelidikan untuk
menentukan apa yang ada di balik peringatan yang dihasilkan.1 Panduan Keamanan Informasi
Pemerintah Australia 2018 mengidentifikasi serangkaian sumber data yang dapat mengidentifikasi
insiden keamanan siber. Ini termasuk memantau log dari sistem nama domain, server email,
Sistem Operasi (OS), jaringan pribadi virtual, dan proxy web.2
2. Firewall yang mengidentifikasi penyusupan yang berhasil atau upaya untuk mendapatkan akses
yang melanggar hukum ke jaringan atau perangkat.1 3. Aktivitas jaringan yang tidak biasa,
seperti penggunaan yang berlebihan dalam semalam saat staf tidak bekerja atau pembaruan tidak
terjadwal diinstal di seluruh jaringan.3 4. A pengguna mengidentifikasi aktivitas yang tidak biasa
di perangkat mereka. Seorang pengguna mengetahui bagaimana perangkat mereka beroperasi
dalam keadaan normal.1 Tanda-tanda seperti pemrosesan yang sangat lambat atau baterai
yang panas pada perangkat yang tidak mereka gunakan mungkin merupakan indikator dari
proses yang tidak biasa yang beroperasi di latar belakang. Baterai yang terlalu panas pada
perangkat seluler yang tidak digunakan adalah tanda yang sangat baik bahwa aplikasi sedang
beroperasi, dan ini mungkin termasuk aplikasi yang menguntit.
5. Pemindai kerentanan adalah aplikasi sah yang digunakan oleh administrator sistem untuk menguji
keamanan jaringan dan situs web mereka. Penyalahgunaan perangkat lunak tersebut oleh pihak
yang tidak berwenang dapat menjadi bukti dari penjahat dunia maya yang mencari jalur yang
melanggar hukum ke jaringan, perangkat, atau situs web perusahaan.1,3 6. Perilaku masuk
yang tidak biasa, yang mungkin termasuk alamat IP yang tidak dikenal
atau waktu log-on di luar waktu pengguna normal.

7. Peringatan peringatan AV bahwa perangkat lunak berbahaya telah ditemukan atau mencoba
menginstal dirinya sendiri pada sistem atau perangkat. Contohnya adalah perangkat lunak AV
yang mengidentifikasi perangkat lunak tidak dikenal yang mencoba mengenkripsi basis data
perangkat dalam kemungkinan serangan ransomware.1
Peringatan Insiden Cyber 39
8. Mengidentifikasi nama file dengan karakter yang tidak biasa, terutama jika baru saja diinstal
tanpa izin.1,3 9. Upaya log-on yang gagal dan berulang dari alamat Protokol Internet yang
tidak dikenal. Ini akan menjadi bukti upaya untuk memecahkan sandi menggunakan kekerasan
atau seseorang yang mencoba menebak sandi.1,3 10. Kesenjangan atau log yang hilang
menunjukkan upaya untuk menghapus bukti. Contohnya adalah semua log setelah tanggal
terbaru pada perangkat yang sudah ada akan dihapus total.
11. Upaya berulang untuk masuk ke file atau folder sensitif. Ini menunjukkan suatu pihak telah
memperoleh akses ke jaringan dan menargetkan data tertentu.
Serangan dapat berasal dari dalam atau luar jaringan.
12. Upaya yang tidak biasa untuk membuat profil atau meningkatkan hak istimewa. Umumnya
sebagai hak pengguna meningkat, akses ke informasi yang lebih berharga diberikan.
13. Proses yang tidak diketahui berjalan atau identifikasi aplikasi yang tidak diinstal atau disetujui
oleh personel keamanan sistem.
14. Pengunduhan file sensitif ke lokasi terpencil, yang menunjukkan bahwa akses tidak sah ke
data sensitif telah diperoleh dan sedang dihapus ke perangkat eksternal ke jaringan. Ulasan
tentang Protokol Transfer File
(FTP) log akan mengonfirmasi pengunduhan file sensitif.

15. Identifikasi aktivitas yang tidak biasa, seperti Kekayaan Intelektual yang berharga yang
diunduh ke drive eksternal tanpa izin atau sesaat sebelum anggota staf mengundurkan diri,
melalui audit internal.3 16. Pemadaman jaringan, yang dapat mengindikasikan serangan
eksternal atau sulit
masalah perangkat lunak/perangkat lunak.
17. Email terpental, beberapa di antaranya mungkin berisi perangkat lunak atau tautan berbahaya.
Hal ini dapat menunjukkan bahwa seseorang mencoba menebak sintaks akun email orang
tertentu atau bahwa penjahat menggunakan daftar email usang yang berisi rincian orang
yang tidak lagi bekerja untuk perusahaan tersebut.1,3 18. A pelanggaran kebijakan
penggunaan yang dapat diterima. Ini dapat mengidentifikasi staf internal yang mengunduh konten
yang tidak pantas (seperti pornografi) atau menginstal aplikasi yang tidak disetujui (seperti
layanan komputasi awan pribadi).
Munculnya perangkat lunak peer-to-peer di jaringan perusahaan yang digunakan untuk
mengunduh film dan musik harus dilihat sebagai risiko serius bagi keamanan perusahaan.
19. Pihak eksternal mengidentifikasi email mencurigakan yang berasal dari akun perusahaan.3
Pesan tersebut mungkin sangat berbeda dalam kata-kata atau konten dari biasanya,
menunjukkan bahwa penjahat menggunakan akun perusahaan yang diretas untuk mencoba
melanggar keamanan perusahaan atau pengguna lain.
20. Tindakan nyata seperti serangan Distributed Denial of Service (DDoS). DDoS adalah serangan
siber skala besar terhadap perusahaan yang mencoba mengambilnya
offline dengan menyumbat server webnya dengan volume lalu lintas yang besar. Ini
adalah serangan langsung terhadap kemampuan jaringan untuk beroperasi,
menyebabkan kerusakan finansial dan reputasi yang signifikan.
21. Volume terenkripsi, seperti serangan ransomware. Ini bukti pemerasan terhadap sebuah
perusahaan.
22. Pemberitahuan yang datang dari sumber eksternal, seperti lembaga penegak hukum,
media, pelanggan, atau penyerang.3
23. Peringatan Keamanan Informasi dan Manajemen Peristiwa (SIEM) yang mengidentifikasi
log yang mengalami aktivitas tidak biasa, seperti satu atau lebih aktivitas dalam daftar
ini. Perangkat lunak SIEM memproses entri log yang dihasilkan dalam jaringan,
mencari anomali, dan memberikan peringatan untuk aktivitas yang mencurigakan.1
24. Identifikasi perubahan tidak sah oleh perangkat lunak pemantau integritas file. File
aplikasi memiliki nilai hash yang ditetapkan; ketika perubahan dilakukan pada aplikasi
tanpa otoritas, nilai hash berubah dan dapat memberikan pemberitahuan kepada
administrator sistem tentang modifikasi perangkat lunak yang tidak sah.1
25. Seorang pengguna masuk ke kekayaan intelektual atau file perusahaan yang berharga
dan keluar dalam waktu singkat tanpa melakukan upaya apa pun untuk mengambil file
dalam wilayah tugasnya.
26. Situs web perusahaan dirusak.
27. Ancaman dari aktivis berbasis isu.1,3
Ketika pelanggaran pertama kali ditemukan, administrator sistem tidak akan memiliki
banyak fakta dan akan mulai mencoba mengidentifikasi apa yang terjadi, apakah sebenarnya
serangan sedang berlangsung, seberapa buruk jika ada, apa yang menjadi sasaran, dan
sebagainya. pada.
Jika diidentifikasi bahwa sebenarnya ada serangan siber yang sedang berlangsung,
akan ada berbagai macam emosi manusia yang ditampilkan, yang mungkin termasuk rasa
takut, panik, stres, cemas, dan terkadang marah. Sifat manusia menentukan bahwa keputusan
yang dibuat dalam lingkungan ini mungkin tidak selalu konsisten dengan praktik terbaik.
Karena pengetahuan yang tersedia terbatas dan manajer akan menuntut jawaban dan segera
menahan serangan, tim yang ditugaskan untuk menangani serangan pada tingkat pertama
akan beroperasi di bawah banyak tekanan sampai tim IR berkumpul dan mulai mengeksekusi.
tugas mereka.
Pada saat inilah keputusan yang dibuat dalam lingkungan stres tinggi ini dapat secara
tidak sengaja menghancurkan bukti yang dibutuhkan oleh penyelidik dunia maya. Dengan
tingkat dan keseriusan insiden yang tidak diketahui, pemikiran tentang identifikasi dan
pelestarian bukti mungkin tidak menjadi perhatian utama bagi responden awal.
Untuk membantu tugas-tugas ini, penyelidik dunia maya dapat bergabung dengan tim IR terlebih
dahulu. Atau, mereka dapat dibawa masuk setelah semua aktivitas Incident Response (IR) telah selesai.
Penyelidik akan meninjau semua bukti dan mencari jalan investigasi dalam upaya untuk mengidentifikasi
siapa yang berada di balik serangan itu, motif mereka, dan potensi apa yang ada untuk memulihkan
data yang dicuri.
Mereka juga dapat bekerja dengan tim IR untuk mengetahui tingkat keseriusan dan tingkat serangan.
Karena tim IR telah beroperasi di TKP, penyelidik harus mengendalikan bukti yang dihasilkan dan
mengetahui aktivitas tim IR, tindakan mereka, dan apa yang telah mereka identifikasi. Biasanya bukan
peran penyelidik kejahatan dunia maya untuk memberikan analisis terperinci tentang kerentanan
keamanan dan strategi mitigasi, karena tim IR memiliki keterampilan yang telah ditentukan sebelumnya
di bidang ini dan lebih mampu memberikan saran ini kepada manajemen. Penyelidik kejahatan dunia
maya akan berusaha mengidentifikasi jalur penyelidikan potensial dari tim IR dan memulai penyelidikan
kejahatan dunia maya secara penuh.
METODOLOGI SERANGAN
Memahami indikator kejahatan dunia maya yang terjadi mengarah pada identifikasi metodologi
serangan yang dilakukan. Memahami metodologi serangan pelaku menempatkan ke dalam konteks
tujuan mereka dan memberikan beberapa indikasi bukti potensial yang tersedia. Ini juga akan
memberikan bukti tingkat keterampilan penyerang dan apakah itu serangan menggunakan alat khusus
yang mungkin dicari dalam pemeriksaan lanjutan dari komputer tersangka yang teridentifikasi. Penyelidik
dapat menggunakan informasi ini untuk mengarahkan jalur penyelidikan dan menemukan bukti. Daftar
12 metodologi serangan berikut.
1. Media eksternal/dapat dilepas (ancaman orang dalam).1 USB atau drive eksternal terpasang ke
jaringan internal dan file dengan perangkat lunak berbahaya (seperti virus Trojan) dibuka. Ini
membuka jalur untuk mengunduh lebih banyak perangkat lunak berbahaya yang menginfeksi
perangkat dan jaringan. Itu
keuntungan dari strategi ini untuk penyerang adalah bahwa mereka telah melanggar keamanan
jaringan eksternal perusahaan keamanan tanpa harus menyerang secara langsung.
2. Brute force (attrition).1 Penyerang mencoba untuk memecahkan kata sandi yang digunakan untuk
mendapatkan akses ke suatu sistem.
3. Serangan/peretasan berbasis web.1 Penyerang menghancurkan atau merusak situs web, atau
mendapatkan akses tidak sah ke jaringan atau perangkat.
4. Email (phishing/rekayasa sosial).1 Email palsu dirancang untuk memikat pengguna agar
mengklik tautan terlampir atau membuka lampiran file sehingga perangkat lunak
berbahaya dapat diunduh, memberikan penyerang akses tidak sah ke sistem. Seperti
halnya serangan yang menggunakan media eksternal/removable, serangan ini melanggar
keamanan perusahaan tanpa harus menemukan kerentanan yang belum ditambal di
infrastruktur yang menghadap ke eksternal.
5. Pelanggaran kebijakan penggunaan yang dapat diterima dan ancaman internal.1 Kebijakan
internal dirancang untuk menjaga keamanan jaringan dan untuk mencegah pengguna
mengakses situs berisiko tinggi (seperti situs pornografi). Banyak situs yang dibatasi oleh
kebijakan perusahaan berisi materi yang tidak pantas untuk dilihat di lingkungan kerja
atau berisiko tinggi menginfeksi jaringan perusahaan (seperti situs berbagi file).
Penggunaan yang tidak tepat juga dapat menyebabkan perangkat lunak berbahaya
diperkenalkan di dalam jaringan perusahaan oleh seseorang yang menggunakan drive
eksternal dari rumah yang telah terinfeksi oleh virus komputer.
6. Kehilangan atau pencurian peralatan (USB/komputer).1 USB dan drive eksternal berisi
sejumlah besar data perusahaan. Jika salah satu hilang yang tidak dienkripsi, penemu
akan memiliki akses ke catatan perusahaan.
7. Kompromi komputasi awan. Menyimpan data perusahaan di lingkungan komputasi awan
hanya boleh dilakukan dengan persetujuan manajemen dan administrator sistem. Jika
penyerang internal atau eksternal berkompromi dengan layanan cloud, data perusahaan
akan berisiko. Pengguna sering kali membuat penyimpanan komputasi awan untuk
membantu mereka saat bekerja dari rumah, mengunggah dokumen perusahaan ke akun
cloud baru tanpa sepengetahuan atau persetujuan administrator sistem yang bertugas
melindungi jaringan dan data perusahaan.
Akun cloud yang digunakan mungkin salah satu dari banyak yang tersedia di pasar,
dan data perusahaan yang berharga mungkin disimpan di yurisdiksi hukum yang tidak
diketahui dan dilindungi oleh sistem keamanan yang tidak dikenal. Dalam perjanjian
lisensi pengguna akhir, ada beberapa contoh layanan cloud kecil yang menetapkan
bahwa data yang disimpan dalam layanan cloud ditransfer ke kepemilikan Penyedia
Layanan Cloud (CSP) atau bahwa lisensi seumur hidup yang tidak dapat dibatalkan
untuk data diberikan kepada CSP.
8. Rekayasa sosial. Membangun hubungan pribadi dengan orang penting dalam suatu
organisasi dan memanfaatkan hubungan itu adalah cara umum hilangnya data
perusahaan. Hubungan tersebut tidak harus bersifat intim, tetapi hubungan profesional
pribadi di mana kepercayaan telah dibangun dari waktu ke waktu menghasilkan potensi
data perusahaan yang berharga untuk dikirim ke penyerang.
9. Pencatat kunci. Keylogger adalah perangkat fisik yang terpasang ke komputer atau
perangkat lunak yang diinstal pada perangkat/jaringan yang ditargetkan yang
merekam setiap penekanan tombol atau klik mouse. Ini memungkinkan penyerang
untuk menangkap semua aktivitas di perangkat, termasuk laporan dan kata sandi.
10. Ancaman orang dalam. Menggunakan karyawan tepercaya dengan akses ke jaringan
adalah metode lain untuk menembus firewall perusahaan. Karyawan memiliki akses
tidak hanya ke data perusahaan tetapi juga ke perangkat fisik. Orang dalam memiliki
motivasi mereka sendiri untuk melakukan tindak pidana terhadap majikan mereka,
dan penjahat dunia maya eksternal yang mengeksploitasi orang semacam itu sangat
memperluas platform serangan mereka.
11. Eksploitasi sistem operasi dan aplikasi. Sistem operasi dan aplikasi perlu diperbarui
secara berkala, karena penjahat dunia maya akan mempelajari kerentanan yang
diperbarui untuk diperbaiki. Produk teknis dapat melakukan pemindaian port untuk
mengidentifikasi sistem operasi dan aplikasi saat ini yang digunakan dan
mengidentifikasi versi mana mereka. Dengan informasi ini, penjahat dunia maya
dapat mengembangkan strategi serangan yang berupaya mengeksploitasi kerentanan
yang tidak diperbaiki.
12. Perangkat lunak berbahaya. Istilah “malicious software” atau “malware” umumnya
mencakup berbagai macam virus komputer, Trojan, worm, dan sejenisnya. Meskipun
bentuk serangan ini telah ada di Internet selama beberapa dekade, ini masih
merupakan metode serangan yang produktif bagi penjahat dunia maya.
Bentuk serangan yang sangat berbahaya adalah yang tidak diketahui dan tetap
tidak terdeteksi dalam sistem untuk jangka waktu yang lama saat data perusahaan
sedang diekstraksi. Seperti yang dibahas dalam Bab 2, ini disebut, Ancaman Persisten
Lanjutan atau APT. Penyerang yang menggunakan APT berusaha menyusup ke
jaringan dan membuat APT tetap tidak terdeteksi saat itu
mengumpulkan informasi sebanyak mungkin tentang jaringan dan aktivitasnya.
Pengontrol APT akan berusaha meningkatkan hak akses mereka dari waktu ke waktu
untuk mendapatkan akses ke data perusahaan yang paling sensitif.
APT umumnya terkait dengan sumber daya yang baik, kelompok terorganisir
yang bertujuan agar APT tetap tidak terdeteksi dalam jaringan selama mungkin. Ini
mungkin berbulan-bulan, jika tidak bertahun-tahun.
Keuntungan dari eksploitasi APT bagi penyerang adalah mereka mendapatkan
data yang diperbarui saat dihasilkan, dengan kemampuan untuk memantau aktivitas
keamanan sehingga mereka diperingatkan jika intrusi mereka terdeteksi.
Setelah menyadari bahwa mereka telah ditemukan, dalam beberapa kasus pengontrol
APT berusaha untuk menghancurkan bukti potensial dari penyusupan dan aktivitas
mereka, yang berarti tim IR akan mengalami kesulitan dalam mengidentifikasi batas-
batas intrusi dan keseriusannya. Ini kemudian akan
mempersulit penyelidikan, karena bukti berharga akan dihancurkan.
Mengidentifikasi intrusi APT akan memberi penyelidik indikasi yang sangat

jelas bahwa penyerang memiliki keterampilan dan kemampuan tingkat tinggi.
Intrusi APT membutuhkan waktu dan sumber daya yang signifikan untuk dipelihara,
dalam beberapa kasus termasuk pembaruan malware yang telah ditempatkan di
jaringan untuk menjaga keamanan AV di jaringan.
Sebuah perusahaan multinasional memasang perangkat lunak pendeteksi penipuan baru

dalam sistem akuntansi mereka. Seorang administrator sistem menyatakan itu adalah
produk yang sangat dihormati, yang ketika dihidupkan "menyala seperti pohon Natal."
Selama beberapa bulan mendatang, sistem terus mengidentifikasi transaksi akuntansi
yang curang dan memberikan peringatan.
Anggota tim operator sistem sangat terganggu dengan peringatan terus-menerus
sehingga mereka memutuskan bahwa aplikasi tidak berfungsi dengan benar dan
mematikannya. Sayangnya, aplikasi tersebut bekerja dengan benar dan setiap peringatan
merupakan identifikasi akurat dari transaksi yang mencurigakan. Total kerugian perusahaan
multinasional itu lebih dari $20 juta, dan sebagian besar dari total itu hilang setelah sistem
pendeteksi penipuan dipasang dan dimatikan. Dalam hal ini, teknologi bekerja dengan
benar tetapi tidak dipahami oleh operator.
Seorang karyawan sebuah organisasi sedang dalam proses didisiplinkan untuk berbagai
kegiatan. Proses disipliner memanas, dan karyawan tersebut menghadapi pemecatan jika
tuduhan itu terbukti.
Pada suatu malam ia kembali bekerja dan menempatkan keylogger perangkat keras
di bagian belakang komputer manajer yang sedang menyelidikinya. Mouse dan keyboard
terpasang ke keylogger, yang berada di antara perangkat ini dan port perangkat di bagian
belakang komputer. Keylogger menangkap semua aktivitas di komputer.
Secara kebetulan, keesokan harinya manajer membersihkan mejanya dan melihat

keylogger. Bagi kebanyakan orang, keylogger akan terlihat seperti bagian dari infrastruktur
komputer dan tidak menimbulkan kecurigaan; namun, manajer ini dengan cepat
Catatan _ 45
mengidentifikasi perangkat dan memahami artinya. Sebuah kamera rahasia

dipasang di kantornya, yang menangkap karyawan kembali malam berikutnya dan
mencari keylogger, yang telah dihapus.
Polisi dipanggil dan karyawan tersebut didakwa secara pidana. Adegan
pemeriksaan negara rumahnya mengidentifikasi tanda terima pembelian untuk
perangkat dan catatan bank menunjukkan transaksi pembayaran. Riwayat web
komputer pribadinya menunjukkan dia membeli keylogger secara online. Log
komputer juga menunjukkan ger keylog sedang diuji pada komputer pribadi
karyawan, menyediakan link langsung antara penyerang dan keylogger.
CATATAN
1. Paul Cichonski, Thomas Millar, Tim Grance, dan Karen Scarfone, Panduan
Penanganan Insiden Keamanan Komputer, Publikasi Khusus 800-61 Revisi 2,
Agustus 2012, Institut Nasional Standar dan Teknologi, Departemen Perdagangan
Amerika Serikat.
2. Direktorat Sinyal Australia, Keamanan Informasi Pemerintah Australia
Manual, 2018.
3. CREST, Cyber Security Incident Response Guide Versi 1, 2013, https://www.crest-
approved.org/wp-content/uploads/2014/11/CSIR-Procurement Guide.pdf.
5 BAB LIMA
Memulai Kejahatan Dunia Maya

Penyelidikan
Tujuan utama dalam penyelidikan apa pun adalah
untuk mengikuti jejak yang ditinggalkan pelaku selama

melakukan kejahatan dan untuk mengikat pelaku.
kepada korban dan TKP.
1
BAB INI peristiwa

memberikanyang pedoman
berasal baik daridapat
yang dalamdigunakan
maupun dari luar organisasi.
untuk menyelidiki dunia maya
Ini hanya panduan dan perlu diterapkan untuk memenuhi keadaan unik dari
setiap organisasi, lingkungan hukum, jenis peristiwa yang sedang diselidiki, bukti potensial
yang tersedia, dan tingkat penyelidikan yang diperlukan oleh klien. Rencana investigasi
yang dikembangkan menggunakan pengetahuan ini dapat digabungkan ke dalam rencana
Incident Response (IR) atau ditempatkan sejajar dengannya, dengan manajer investigasi
yang ditunjuk yang bekerja dalam kemitraan dengan pimpinan IR.
MENGAPA MENYELIDIKI KEJAHATAN CYBERCRIME?
Melakukan investigasi cyber dapat dimulai karena berbagai alasan dan bukan hanya untuk
mencari tahu siapa orang jahat itu dan menuntut mereka. Beberapa alasan termasuk
mengidentifikasi di mana kelemahan dalam sistem, bagaimana mereka dieksploitasi, bagaimana
47
48 Memulai Investigasi Kejahatan Dunia Maya
memperketat keamanan, dan mengembangkan paket pelatihan bagi staf untuk membuat
mereka lebih sadar akan keamanan dunia maya. Klien yang datanya dicuri mungkin
menginginkan jawaban tentang tingkat keparahan serangan, dan jika data yang dicuri milik
pihak lain, ada potensi litigasi untuk diikuti. Alasan terakhir adalah bahwa perusahaan asuransi
cyber mungkin ingin tahu apakah ada kegagalan keamanan yang memungkinkan serangan
terjadi atau jika kelemahan sistem memperbesar serangan.
Dari jumlah serangan siber yang terjadi setiap tahun, sangat sedikit yang dilaporkan ke
polisi atau bahkan diselidiki secara internal. Fokus utamanya adalah memperbaiki masalah,
memastikan hal itu tidak terjadi lagi, dan kembali berbisnis. Meskipun ini mungkin masuk akal
bagi para manajer, ini menyediakan platform untuk kejahatan yang hampir sempurna oleh
penyerang cyber. Masuk ke perusahaan, curi apa yang Anda inginkan, dan lakukan kerusakan
sebanyak yang Anda inginkan, aman karena mengetahui bahwa perusahaan tidak akan pernah
melaporkan Anda ke polisi atau bahkan mencoba mencari tahu siapa Anda. Tidak ada
kelemahan nyata dalam model bisnis kriminal ini.
PENYIDIK CYBER
Peran penyelidik siber berbeda dengan tim IR. Penyelidik itu seperti detektif di TKP. Detektif
utama mengarahkan penyelidikan, termasuk menugaskan ahli untuk melakukan fotografi,
pemeriksaan ilmiah, penyelidikan area, pemeriksaan forensik barang bukti, pemeriksaan
balistik, wawancara, dan sebagainya di tempat kejadian. Penyidik tidak harus ahli dalam
masing-masing bidang tersebut, tetapi harus memahami peran masing-masing ahli, mampu
mengarahkan para ahli, dan mampu memahami relevansi bukti yang dihasilkan masing-
masing, yang kemudian akan mengarah pada jalur penyelidikan lebih lanjut.
Sedangkan di televisi seorang penyelidik cyber mungkin ahli dalam segala hal digital yang
mereka lihat dan sentuh, dalam penyelidikan dunia nyata ini bahkan tidak mendekati kenyataan.
Ada terlalu banyak teknologi: terus berubah dan tidak ada satu orang pun yang ahli dalam
segala hal.
DUKUNGAN MANAJEMEN
Ketika keputusan dibuat untuk melakukan investigasi setelah peristiwa cyber, tingkat
manajemen yang tepat dalam organisasi harus memberikan wewenang dan dukungan aktif.
Ini akan mencakup pembiayaan dalam kasus investigasi sipil, serta memberi wewenang
kepada anggota staf yang tepat untuk memberikan
Dukungan Manajemen 49
bukti dan pernyataan, dan mengatur anggota tim IR internal/eksternal untuk membantu
penyelidikan. Tim IR dapat ditugaskan untuk memberikan salinan catatan yang diambil,
menjelaskan alasan tindakan yang diambil, menyediakan salinan file digital, dan bekerja sama
sepenuhnya dalam perekaman pernyataan untuk rujukan ke penegak hukum atau untuk
penggunaan internal. Ini mungkin perlu menjadi bagian dari persyaratan keterlibatan antara
klien dan tim IR.
Apakah pengaduan yang awalnya dirujuk bersifat perdata atau pidana, dalam perencanaan
penyidikan penyidik akan beroperasi dalam batas-batas yang digariskan oleh klien/pelapor.
Namun, batasan-batasan ini dapat berubah jika investigasi mengungkapkan bahwa peristiwa
siber secara signifikan lebih besar dari yang diyakini semula dan manajemen senior percaya
bahwa investigasi harus diperluas. Jika penyelidikan yang beroperasi dalam batas-batas awal
yang ditentukan mengidentifikasi penjahat dunia maya sebagai karyawan tepercaya dalam
organisasi, mungkin ada bukti kuat untuk mendukung litigasi perdata atau rujukan ke polisi.
Seorang penyelidik yang beroperasi dalam batas-batas awal yang ditentukan harus
menyadari bahwa persyaratan perikatan selanjutnya dapat berubah, dan bahwa identifikasi
bukti dan strategi pengumpulan dapat menjadi subjek pemeriksaan di masa depan. Akibatnya,
bukti yang diidentifikasi dan dikumpulkan harus selalu diperlakukan sebagai sesuatu yang
berharga dan dapat dipertanggungjawabkan, bahkan dalam apa yang disebut investigasi
“hanya untuk informasi manajemen”.
Barang bukti digital dapat menjadi sasaran kejahatan, instrumen kejahatan, atau gudang
bukti yang mendokumentasikan kejahatan itu sendiri. Bukti digital mungkin sangat mudah
berubah, dan tindakan anggota tim IR, yang diperlukan untuk mengurangi dan memberantas
serangan, dapat membatasi potensi untuk melakukan penyelidikan lengkap di mana semua
bukti potensial dapat diperoleh dan disita secara legal dan forensik. Faktanya, peran IR dan
pemimpin tim investigasi mungkin sering berkonflik, karena pemimpin IR berupaya melindungi
jaringan dan datanya sementara pemimpin investigasi berupaya mempertahankan dan
mengamankan bukti untuk memajukan investigasi pasca-peristiwa. Meskipun setiap acara
akan berbeda, pemahaman tentang peran dan tanggung jawab masing-masing, disertai
dengan komunikasi yang saling menghormati, akan membantu dalam mengelola lingkungan
stres tinggi dan tanggung jawab yang saling bersaing.
Dalam dunia yang ideal, ambang batas untuk bentuk peristiwa siber yang memerlukan
penyelidikan untuk dimulai akan ditentukan oleh manajemen senior sebelum suatu peristiwa
terjadi. Ini mungkin diatur oleh kebijakan internal atau oleh undang-undang, seperti undang-
undang pelaporan pelanggaran data. Namun, pada kenyataannya, hanya sedikit perusahaan
yang membuat keputusan seperti itu. Oleh karena itu, sangat membantu untuk menentukan
apa sebenarnya peristiwa dunia maya itu sebelum kita membahas secara mendalam bagaimana caranya
menyelidikinya. Institut Standar dan Teknologi Nasional Amerika Serikat (NIST) menggambarkannya
sebagai:
[Sebuah] kejadian yang teridentifikasi dari suatu sistem, layanan, atau status jaringan, yang
menunjukkan kemungkinan pelanggaran kebijakan keamanan informasi atau kegagalan
penjaga keamanan, atau situasi yang sebelumnya tidak diketahui yang mungkin relevan
dengan keamanan.2
Saat dipanggil ke tempat kejadian cyber sebagai penyelidik, bicaralah dengan administrator sistem
untuk melihat apakah peristiwa yang didokumentasikan sebelumnya telah terjadi yang dapat digunakan
untuk memberikan arahan pada investigasi baru. Insiden sebelumnya mungkin menunjukkan upaya
penyerang untuk memetakan sistem atau menemukan cara untuk menerobos tingkat keamanan yang
berbeda dan memberikan bukti bagaimana kejahatan itu dilakukan. Ini juga akan bermanfaat bagi
penyelidik eksternal untuk memahami sifat bisnis, di mana cocok di pasar, dan informasi dalam organisasi
yang paling berharga bagi penyerang.
Ketika tim IR tiba di lokasi kejadian siber, mereka harus berasumsi dari awal bahwa kejadian itu
berlanjut.2 Ini lebih kompleks di lingkungan komputasi awan, karena akses ke bukti kejadian dibatasi
oleh sifatnya. pelayanan yang dimiliki oleh pelapor. Infrastruktur platform cloud dapat terdiri dari penyedia
infrastruktur yang berbeda, yang berarti akses ke bukti dapat dibatasi dan oleh karena itu memakan
waktu untuk dikumpulkan.
Investigasi komputasi awan dibahas secara rinci dalam Bab 12.
APAKAH ADA TANGGUNG JAWAB UNTUK MENCOBA UNTUK

MENDAPATKAN KEMBALI DATA?
Sebuah pertanyaan yang harus dipertimbangkan oleh direktur adalah jika perusahaan memiliki kekayaan
Intelektual (IP), pelanggan, atau file staf dicuri, apakah itu keputusan yang wajar atau rasional untuk
mencoba mendapatkannya kembali sebelum mereka dieksploitasi? Apakah pemegang saham
mengharapkan direksi untuk menyelidiki masalah ini dan mencoba mendapatkan kembali data sebelum
dieksploitasi, atau paling tidak menyerahkan masalah itu ke polisi?
Saat ini hanya ada sedikit rujukan yang dibuat ke polisi dalam kasus ini, karena entitas biasanya
berusaha untuk memperkuat pertahanan mereka dan memastikan pelanggaran tidak terulang kembali.
Prospek untuk menyelidiki masalah tersebut dan merujuk masalah tersebut ke polisi meningkatkan
potensi pengungkapan pelanggaran tersebut kepada publik dan
kerusakan reputasi yang mengikuti. Akibatnya, penjahat dunia maya beroperasi dalam lingkungan yang
aman di mana mereka memahami bahwa mereka dapat menyerang perusahaan mana pun yang mereka
inginkan dan hanya sedikit yang akan berusaha mengidentifikasi siapa penyerangnya atau merujuk masalah
tersebut ke polisi. Untuk penjahat dunia maya, ini benar-benar kasus terbaik
skenario.
Bill (bukan nama sebenarnya) adalah seorang karyawan web host yang merupakan administrator sistem
serta terlibat dalam pengembangan halaman web klien. Bill memiliki sikap yang sangat bermusuhan terhadap
bosnya, pemilik perusahaan, yang dianggapnya sebagai pembuat kode program yang lebih rendah. Bill
merasa dia tidak dihargai dan pantas mendapatkan gaji yang jauh lebih tinggi untuk mencerminkan pentingnya
dia bagi perusahaan.
Setelah mengundurkan diri, Bill pulang ke rumah dan melancarkan serangkaian serangan teknis
terhadap mantan majikannya. Ini termasuk menggunakan sumber daya perusahaan untuk menyerang
perusahaan lain—termasuk meluncurkan Denial of Service (DoS)—mengunduh pornografi dari alamat
Internet perusahaan, dan menghapus semua halaman web klien dan cadangannya dari server web.
Korban penyerang mengalami kerusakan reputasi, karena penyedia layanan Internet mereka memutus
akses Internet mereka karena serangan terhadap perusahaan lain.
Perusahaan juga dikenakan biaya untuk penggunaan data yang berlebihan yang digunakan dalam serangan.
Saat ditangkap, Bill menjelaskan bahwa dia sangat marah pada mantan majikannya dan merasa
tindakannya dapat dibenarkan. Dia mengaku bersalah atas pelanggaran di pengadilan. Pemeriksaan
komputernya menemukan bukti yang menguatkan serta Bahan Eksploitasi Anak (CEM), yang mengarah ke
tuduhan dan hukuman lebih lanjut.
Bab 6 akan mengidentifikasi dan membahas beberapa pertimbangan hukum yang harus dipahami oleh
tim investigasi. Diskusi adalah yurisdiksi netral dan mencakup berbagai konsep utama investigasi harus
beroperasi di dalamnya.
Karena yurisdiksi hukum memiliki undang-undang yang berbeda dan pengadilan telah memberikan hukum
kasus yang berbeda untuk panduan, itu adalah peran penyelidik untuk memahami undang-undang yurisdiksi
tempat mereka beroperasi. Ini meluas ke investigasi multiyurisdiksi, karena apa yang merupakan aktivitas
penyidik hukum di satu yurisdiksi mungkin merupakan pelanggaran pidana di yurisdiksi lain tempat mereka
beroperasi. Untuk contoh spesifik dari bahaya ini lihat Bab 12, yang membahas investigasi komputasi awan
dan menyoroti banyak hukum dan penyelidikan masalah teknis akan dihadapi ketika server komputasi awan
dan bukti yang mereka simpan berada di banyak yurisdiksi.
CATATAN
1. Eoghan Casey, Bukti Digital dan Kejahatan Dunia Maya, edisi ke-3. (Pers Akademik,
2011).
2. https://www.iso.org/obp/ui/-iso:std:iso-iec:27001:ed-1:v1:en.
6 BAB ENAM
Pertimbangan Hukum Kapan

Merencanakan Investigasi
SEMUAtindakan Incident Response

INVESTIGASI (IR) dan timdengan
harus dilakukan investigasipemahaman
mungkin diminta untuk
bahwa
dipertanggungjawabkan di pengadilan jika seorang pro
eksekusi akan dimulai terhadap seseorang. Bahkan ketika penyelidikan dilakukan
untuk persyaratan asuransi atau hanya untuk informasi manajemen, penyelidik harus
menyadari potensi tinjauan kritis di kemudian hari, terutama jika penyelidikan
mengidentifikasi peristiwa itu jauh lebih serius daripada yang diperkirakan dan
keputusan awalnya. dilakukan untuk merujuk masalah tersebut ke polisi atau untuk
menuntut pihak lain.
Tindakan tim investigasi atau kekurangannya dapat dipertanyakan, serta urutan
tindakan yang diambil, penanganan bukti, dan prosedur pemeriksaan. Untuk alasan
ini, penyelidik harus berhati-hati untuk beroperasi dalam pedoman yang diberikan,
untuk menjaga informasi kemajuan manajemen, dan untuk bertindak secara konsisten
dengan hukum dan aturan bukti dalam yurisdiksi mereka.
Mungkin saja tim manajemen meminta agar penyelidikan dilakukan untuk
informasi dan pemahaman mereka tentang insiden dunia maya dan saat investigasi
berkembang, pelanggaran tersebut diidentifikasi sebagai termasuk dalam persyaratan
pelaporan undang-undang seperti undang-undang pemberitahuan pelanggaran data
negara di Amerika Serikat, Undang-Undang Keamanan Siber Singapura, Undang-
Undang Amandemen Privasi Australia (Pelanggaran Data yang Dapat Diberitahukan)
2017, atau Peraturan Perlindungan Data Umum (GDPR) Uni Eropa. Atau, tersangka mungkin
53
54 Pertimbangan Hukum Saat Merencanakan Investigasi
diidentifikasi secara positif dan tim manajemen memutuskan untuk memulai tindakan perdata
atau merujuk insiden tersebut ke polisi untuk penyelidikan lebih lanjut dan kemungkinan penuntutan.
Penyelidik mempertaruhkan kredibilitas pribadi mereka ketika melakukan penyelidikan, dan
tindakan mereka harus akurat, transparan, dan etis. Reputasi mereka berjalan bersama mereka
melintasi pekerjaan dan pengadilan. Hakim berbicara satu sama lain di balik pintu tertutup dan
bertukar catatan sebanyak kelompok pekerjaan mana pun, dan jika penyidik diidentifikasi bermain
cepat dan lepas dengan aturan bukti, mereka mungkin menjadi topik pembicaraan negatif di
antara anggota peradilan.
Bagian berikut memberikan pedoman untuk pertimbangan investigasi

gator harus diingat selama semua tahap penyelidikan.
Seperti disebutkan sebelumnya, informasi yang diberikan bersifat yurisdiksi netral dan
umum, karena setiap yurisdiksi memiliki hukum dan preseden yudisialnya sendiri. Ini adalah
tanggung jawab penyidik untuk memahami undang-undang dan aturan bukti yurisdiksi (s) mereka
beroperasi di dalamnya.
PERAN HUKUM DALAM KEJAHATAN DIGITAL

PENYELIDIKAN
Sementara aturan pembuktian mungkin berbeda di antara yurisdiksi hukum, mereka umumnya
telah dikembangkan melalui proses legislasi, hukum kasus, dan konvensi hukum yang
dikembangkan selama bertahun-tahun sidang di mana masalah telah ditantang dan hakim telah
memberikan putusan, sebuah proses yang dalam gilirannya telah menetapkan preseden hukum.
Aturan ada untuk memastikan bahwa bukti yang dihasilkan dalam suatu masalah konsisten dan
akurat dalam arti, kualitas, dan integritasnya. Hal ini secara efektif agar petugas pengadilan yang
memimpin dapat memiliki tingkat kepercayaan yang diperlukan terhadap bukti yang ada di
hadapan mereka.
Saat mempertimbangkan untuk memulai penyelidikan, Anda akan terus-menerus meninjau
bukti untuk menentukan ke mana arah penyelidikan Anda. Anda akan segera memutuskan bahwa
beberapa di antaranya sangat relevan dan harus diajukan ke pengadilan jika penyelidikan Anda
berkembang sejauh itu. Namun, dalam banyak kasus Anda mungkin tidak memahami nilai penuh
dari bukti Anda sampai nanti dalam penyelidikan; namun, itu harus disimpan seaman yang Anda
segera identifikasi sebagai bukti kunci.
Hukum terus berkembang, dan Anda bertanggung jawab untuk mengikuti perkembangan
hukum. Sebaiknya memiliki pengacara yang merupakan bagian dari tim Anda atau yang mudah
diakses yang merupakan spesialis dalam bukti digital dan hukum kejahatan dunia maya untuk
memberikan bukti ahli jika diperlukan.
Melindungi Bukti Digital 55
MELINDUNGI BUKTI DIGITAL
Bukti digital mungkin sangat fluktuatif dan diperoleh dari berbagai sumber.
Metode dan alat infrastruktur, penyimpanan, dan pengambilan yang digunakan dalam merebut
bukti mungkin sangat berbeda di seluruh penyelidikan dan itu adalah peran penyelidik untuk
memahami nuansa ini selama penyelidikan, bukan hanya sebelum
ke sidang. Penyelidik harus mengambil alih tempat kejadian dan segera
cara menilai nilai bukti potensial dan kemungkinannya hilang atau
rusak.
Apakah TKP digital adalah lokasi fisik atau logis (virtual
atau jaringan), sebaiknya bukti ditempatkan di tempat (dalam aslinya
tempat). Semua tindakan yang melibatkan TKP dan bukti perlu didokumentasikan dan
dipertanggungjawabkan jika terjadi tantangan di kemudian hari di pengadilan.
Untuk melindungi bukti digital, penyelidik tempat kejadian idealnya adalah seseorang
yang memiliki pemahaman yang kuat tentang bukti digital, memiliki pengalaman manajemen
adegan praktis, dan memiliki pemahaman tentang kemudahan yang
barang bukti dapat dirusak atau dimusnahkan. Pengarahan pra-pencarian tentang volatilitas
bukti digital dan adanya pedoman yang kuat mengenai pengelolaan barang bukti ini akan
bermanfaat bagi semua penyidik, terutama mereka yang
yang mungkin tidak memiliki pengalaman dalam bentuk pengumpulan bukti ini. Volatilitas bukti
dan urutan penangkapannya dibahas dalam Bab 10, dalam
bagian “Akuisisi Bukti Digital.”
Bukti digital mungkin sangat mudah berubah dan mudah rusak atau hilang. Ini adalah
tanggung jawab penyidik untuk melindungi barang bukti dan mempertanggungjawabkan keadaannya
dari saat penangkapan sampai dengan presentasi di pengadilan. Dimana ada?
perubahan, catatan ekstensif yang menjelaskan apa yang terjadi dan mengapa harus direkam
dalam buku catatan yang disusun secara kronologis dengan halaman bernomor untuk
meniadakan argumen bahwa catatan dibuat dengan baik setelah kejadian. Ketika kesalahan dibuat, itu
harus diakui dan alasannya dicatat. Mengakui kesalahan pengambilan dapat meningkatkan
persepsi integritas penyelidik, karena hal itu menunjukkan bahwa
mereka tidak mencoba untuk menutupi apa pun: menutup-nutupi secara signifikan lebih buruk dan
lebih merusak daripada kesalahan awal.
Asosiasi Kepala Polisi (ACPO) di Inggris telah
membuat serangkaian rekomendasi tentang bagaimana bukti digital harus ditangani
untuk memastikan kepatuhan dengan persyaratan pengadilan:
1. Tidak ada tindakan yang diambil oleh lembaga penegak hukum atau pihak lain yang boleh berubah
data, yang selanjutnya dapat diandalkan di pengadilan.
2. Dalam keadaan di mana seseorang merasa perlu untuk mengakses data asli, orang
tersebut harus kompeten untuk melakukannya dan dapat memberikan bukti yang
menjelaskan relevansi dan implikasi dari tindakan mereka.
3. Jejak audit atau catatan lain dari semua proses yang diterapkan pada bukti digital
harus dibuat dan dipelihara. Pihak ketiga yang independen harus dapat memeriksa
proses ini dan mencapai hasil yang sama.
4. Orang yang bertanggung jawab atas investigasi memiliki tanggung jawab keseluruhan
untuk memastikan bahwa hukum dan prinsip-prinsip ini dipatuhi.1
Saat menghadirkan bukti di depan pengadilan, pihak yang menghadirkannya harus

membuktikan relevansinya dengan kasus dan mengapa hal itu dapat diandalkan. Ini
termasuk alat yang digunakan untuk menangkap bukti. Bagi pihak lawan, memiliki bukti
yang memberatkan dikecualikan di bawah tantangan adalah metode yang terbukti untuk
memajukan sisi mereka dari masalah ini. Tanggung jawab ada pada pihak yang
memberikan bukti untuk menunjukkan bahwa itu adalah standar yang dapat dipercaya
oleh pengadilan dan kredibilitas yang dapat diandalkan. Kesalahan jujur terjadi—terutama
dalam situasi langsung, seperti saat menghadiri adegan—dan bersikap transparan saat
ditantang membantu kredibilitas Anda di depan pengadilan.
Untuk bukti digital, tidak selalu perlu, praktis, atau mungkin untuk mendapatkan
gambar perangkat bit-by-bit penuh karena volume bukti.
Mintalah saran dari penyelidik digital sebelum membuat keputusan apa pun. Keputusan
yang akhirnya dibuat mungkin didasarkan pada penilaian risiko atau karena alasan teknis/
nonteknis. Perhitungkan alasan keputusan Anda seperti yang Anda lakukan saat merebut
pameran lainnya.
PELESTARIAN RANTAI CUSTODY
lacak balak adalah kombinasi pernyataan tertulis, laporan, dan bukti lisan yang
mendokumentasikan identifikasi, penyitaan yang sah, pemeriksaan, dan pemindahan
barang bukti dari saat identifikasi hingga presentasi di pengadilan sebagai alat bukti.
Sebagai contoh, sebuah komputer yang terletak di kantor dapat menjadi barang bukti, dan
lacak balak memerlukan identifikasi orang yang menemukan barang bukti tersebut,
menyitanya, mengangkutnya, menyimpannya, mengangkutnya untuk pemeriksaan forensik,
dan melakukan pemeriksaan, serta bagaimana mengamankannya setelah pemeriksaan
dan informasi lain mengenai tidak hanya komputer fisik yang disita tetapi juga gambar
yang dibuat oleh pemeriksa.
Semua pameran harus meminta seseorang menyiapkan pernyataan yang mendukung
kriteria ini. Membuat jadwal yang mencakup tanggal dan waktu penahanan
Pelestarian Rantai Penelusuran 57
membantu untuk memastikan kesinambungan. Dengan gagal memastikan lacak balak, ada potensi
bukti untuk dikecualikan atau memiliki nilai yang berkurang di pengadilan, karena kredibilitasnya dapat
dipertanyakan.
Petugas barang bukti adalah orang yang ditunjuk pada saat dimulainya penyidikan untuk
mengambil alih dan mengamankan semua barang bukti yang disita. Mereka juga bertanggung jawab
untuk memastikan rantai bukti dari semua barang bukti, mencatat di mana mereka ditemukan dan oleh
siapa. Petugas barang bukti harus dapat mencatat riwayat barang bukti pada suatu waktu penyidikan
dan yang ditahannya pada waktu identifikasi, penyitaan, pemeriksaan, dan sebagainya. Jadwal
menyediakan metode akuntansi yang cepat, nyaman, dan transparan untuk bukti dan mengidentifikasi
setiap celah dalam lacak balak yang perlu diselidiki.
Yang perlu diperhatikan adalah bahwa barang fisik dan gambar yang diambil perlu diperhitungkan
saat berhadapan dengan bukti digital. Dokumen asli tidak boleh digunakan dalam pemeriksaan
forensik. Pemeriksa dapat memperoleh disk asli dari petugas pameran dan membuat serangkaian
gambar. Rantai pengawasan akan menjelaskan hal ini dan pernyataan pemeriksa akan membedakan
antara yang asli dan gambar.
Menjaga integritas lacak balak bukti digital dilakukan dengan membuat bukti dokumenter dari
semua tindakan yang melibatkan bukti mulai dari identifikasi hingga pengumpulan atau akuisisi hingga
status dan lokasi saat ini. Ini mungkin termasuk:
Identifikasi secara unik setiap pameran yang akan Anda sita dan catat dengan tepat di mana ia
ditemukan, kapan, dan oleh siapa. Foto membantu untuk mendukung keakuratan penyitaan.
Memelihara catatan tertulis peristiwa untuk setiap pameran yang dilampirkan ke pameran dengan
label atau label. Membuat catatan untuk mencatat waktu lokasi, penyitaan, penyimpanan,
pengamanan, pengangkutan, login ke fasilitas penyimpanan Anda, dan sejenisnya. Mencatat
waktu sangat penting untuk membuktikan bahwa Anda memiliki kendali atas barang bukti Anda mulai
dari identifikasi hingga presentasi di pengadilan.
Penandatanganan , penyegelan, dan penanggalan bukti digital yang disita. Dalam beberapa kasus,
bukti dapat disimpan dalam kantong yang dapat disegel, dalam hal ini Anda dapat menandatangani
dan mencatat tanggal di seberang segel untuk memberikan tingkat keamanan pameran yang
lebih tinggi.
Mencatat pengidentifikasi investigasi pada kemasan dan log pameran.
Ketika Anda bekerja di kantor yang sibuk dengan banyak penyelidik yang mengejar kasus
mereka, kesalahan manusia mungkin menyebabkan beberapa pameran berakhir
dekat dengan kasus lain. Meskipun ini bukan praktik terbaik, ini adalah kenyataan di
kantor detektif.
Mempertimbangkan kebutuhan akan perangkat lunak berpemilik untuk melihat bukti digital
yang dikumpulkan dari pelapor. Perusahaan membuat perangkat lunak mereka sendiri
yang unik untuk tujuan mereka. Meskipun bukti Anda beroperasi dengan lancar di
jaringan mereka, itu tidak akan beroperasi di jaringan Anda, karena Anda tidak memiliki
salinan perangkat lunak berpemilik. Dapatkan salinan untuk melihat data dan untuk
penggunaan potensial di pengadilan. Memperoleh pernyataan untuk setiap item yang
mencakup dari identifikasi hingga produksi di pengadilan. Satu penyelidik mungkin dapat
menjelaskan 10 item dalam pernyataan mereka dan tujuh item lainnya. Petugas pameran
akan mencatat penerimaan semua 17 dari dua penyelidik.
Termasuk jadwal pameran. Ini sangat membantu pengacara Anda selama persiapan mereka
dan di pengadilan. Rekaman tempat pameran ditemukan dan nomor seri, nomor model,
nama host, alamat Kontrol Akses Media (MAC), dan alamat Protokol Internet (IP) jika ada.
Alamat MAC dan IP sangat relevan ketika pemeriksa digital Anda menangkap lalu lintas
jaringan. Foto perangkat dan nomor seri/model sangat membantu dalam memastikan
ketepatan.
Memastikan Anda dapat mengidentifikasi setiap orang yang terlibat dalam menangani
pameran. Jika Anda memiliki anggota tim yang mengundurkan diri dan bepergian ke luar
negeri, misalnya, Anda dapat menggunakannya untuk mencari bukti tetapi tidak boleh
mereka menyitanya secara fisik, karena Anda mungkin tidak dapat menemukannya dalam
beberapa tahun untuk sidang pengadilan. . Dapatkan pernyataan dari semua orang pada
kesempatan pertama.
Merekam keadaan lokasi pameran. Apakah di ruang terbuka di mana semua orang dapat
mengaksesnya atau di kantor yang aman? Ini adalah pertanyaan penting di pengadilan
dan harus dibahas di awal penyelidikan.
Saat menyimpan barang bukti, catat siapa yang memiliki akses padanya dan alasan
mengapa barang itu dilihat atau dipindahkan baik di dalam maupun di luar fasilitas
pelestarian; alasan sah mungkin termasuk pemeriksaan forensik, melihat dokumen, atau
memotret bukti.
Merekam semua perubahan atau kerusakan pada setiap pameran, baik digital atau lainnya,
segera. Misalnya, bukti digital sangat fluktuatif dan merebutnya dari jaringan mungkin
melibatkan pemuatan perangkat lunak baru ke jaringan. Meskipun tidak merusak jaringan,
itu memperkenalkan perubahan.
Juga jika terjadi kecelakaan dan pameran terjatuh dan rusak (seperti layar laptop retak),
catatlah kejadian tersebut.
Perlindungan Barang Bukti 59
PERLINDUNGAN BUKTI
Sementara melestarikan rantai bukti sangat penting, ada juga berbagai pekerjaan yang harus dilakukan
dengan pameran untuk menjaga keasliannya. Setiap orang yang terlibat dalam pemeriksaan,
penyimpanan, dan pengangkutan pameran perlu memahami tanggung jawab mereka terhadap
keselamatan dan keamanan mereka. Tujuh pertimbangan untuk penyidik dan petugas pameran berikut:
1. Rantai penahanan
Lihat bagian sebelumnya, “Pelestarian Rantai Penelusuran,” untuk a
diskusi.
2. Penyimpanan yang
aman Mengamankan sebuah pameran mensyaratkan bahwa pameran tersebut ditempatkan
di lingkungan yang tidak memungkinkan untuk diganggu dan kredibilitasnya tercoreng. Penegakan
hukum menggunakan unit penyimpanan pameran yang ditunjuk dan fasilitas terkunci yang
aksesnya dibatasi dan dicatat. Hanya orang-orang yang memiliki alasan yang sah dan perlu
untuk mengakses sebuah pameran yang boleh berada di dekat tempat itu setelah disita.
Pertama, di mana perangkat memiliki akses ke jaringan nirkabel atau seluler, perangkat
harus ditempatkan ke mode penerbangan (atau mode serupa, tergantung pada perangkat) dan/
atau jika memungkinkan, ditempatkan ke dalam tas Faraday atau wadah serupa yang
menghambat jaringan mengakses. Saat perangkat terhubung
ke jaringan nirkabel, Anda dapat memutuskan sambungan. Dengan perangkat seluler,

mengeluarkan kartu SIM akan bermanfaat. Rekam catatan tindakan Anda yang melibatkan
perangkat, karena akan memengaruhi log di dalam perangkat.
Sebagai prosedur pencadangan, cara yang sangat mendasar untuk membantu menghentikan
potensi gangguan apa pun dengan bukti digital yang terhubung ke Internet oleh tersangka jarak
jauh atau rekan mereka adalah dengan menempatkannya dalam wadah logam bersih dengan
segel yang aman dan/atau membungkus perangkat dalam alumunium foil.
3. Pernyataan dan jadwal pameran
Pernyataan yang meliputi keutuhan barang bukti merupakan penjelasan kepada pengadilan
bahwa barang bukti tersebut dapat diandalkan sebagai barang bukti. Jika ada sedikit upaya
untuk menjelaskan integritas pameran atau haruskah celah dalam pelestariannya diidentifikasi,
itu membuka pintu yang sangat besar bagi tim hukum pihak lain untuk mengeluarkan pameran
dari kasus sebagai tidak dapat diandalkan.
4. Laporan pemeriksaan
Sebuah pameran digital dapat menjalani pemeriksaan forensik spesialis oleh orang yang
terlatih dengan baik. Pernyataan mereka perlu menjelaskan kredensial mereka
dan teknik pemeriksaan dan menjelaskan mengapa pengadilan dapat mempercayai

pemeriksaan mereka sebagai standar yang dapat diterima dan hasilnya dapat diandalkan.
Kadang-kadang ini mungkin melibatkan ahli teknis dari perusahaan yang membuat
perangkat lunak pemeriksaan dan ini perlu dipersiapkan dengan baik sebelum tanggal sidang.
5. Pemeriksaan perangkat melalui pencadangan saja

Menggunakan gambar salinan (salinan salinan) perangkat mempertahankan aslinya
untuk pemeriksaan independen atas permintaan pihak lawan. Menggunakan gambar juga
memungkinkan contoh perangkat lunak berbahaya yang dijalankan dengan menyalin; dalam
hal ini, gambar asli dan gambar awal akan tersedia dan tanpa kompromi.
6. Pemeriksaan menggunakan perangkat yang

ditunjuk Saat membuat gambar, menggunakan perangkat yang ditentukan berarti
menggunakan mesin yang hanya digunakan untuk pencitraan dan pemeriksaan bukti digital—
dan yang tidak digunakan untuk berselancar di Internet, memeriksa email, atau streaming
musik online, misalnya .
7. Berapa lama Anda bisa memegang bukti?
Beberapa yurisdiksi menentukan waktu maksimum untuk mana bukti dapat ditahan
setelah waktu penyitaan yang dapat dilampaui hanya jika perpanjangan diberikan oleh
pengadilan. Misalnya, yurisdiksi dapat menentukan bahwa polisi dapat melaksanakan surat
perintah penggeledahan tetapi tidak membuat keputusan apakah akan memulai penuntutan
hingga 12 bulan dalam penyelidikan yang sangat kompleks atau jika penyelidikan lain menuntut
perhatian prioritas.
Adalah tugas penyelidik untuk memahami aturan-aturan ini dan memastikan bahwa jika
bukti disita atas perintah pengadilan, semua kewajiban dipatuhi, termasuk batas waktu yang
ditentukan oleh pengadilan. Kegagalan untuk mematuhi ini dapat menyebabkan permintaan
tersangka untuk mengembalikan bukti dan dikeluarkan dari penyelidikan.
IMPLIKASI HUKUM BUKTI DIGITAL

KOLEKSI
Saat mempertimbangkan untuk menyita barang apa pun untuk memajukan penyelidikan Anda, Anda
harus memastikan bahwa Anda memiliki wewenang hukum untuk memperolehnya dan menjaganya.
Bagian ini menyediakan tujuh area untuk dipertimbangkan terkait tindakan Anda.
1. Pertimbangkan sifat dan tujuan pemeriksaan digital.

Saat menyita barang bukti, pahami mengapa Anda mengambil barang itu dan bersiaplah
untuk memberikan penjelasan di pengadilan jika Anda diminta. Jika
Implikasi Hukum Pengumpulan Barang Bukti Digital 61
barang yang disita tidak lagi relevan, pertimbangkan untuk mengembalikannya jika diperbolehkan,
karena itu berarti lebih sedikit bukti yang harus Anda pertanggungjawabkan.
2. Apa prioritas kita?
Bukti digital mungkin sangat fluktuatif, dan penyidik perlu memahami berbagai
bentuk bukti digital, volatilitasnya, dan konsekuensi dari tidak memprioritaskan
pelestarian bukti (mungkin hilang).
Lihat “Akuisisi Bukti Digital” di Bab 10 untuk diskusi tentang ini.
3. Apa yang kita cari?
Saat mengambil perangkat, ketahui apa yang Anda cari. Pengadilan tidak menyukai
apa yang disebut perjalanan memancing, di mana sejumlah besar bukti diambil dengan
kemungkinan bahwa hal itu mungkin terbukti relevan di kemudian hari.
4. Bekerja dalam batas-batas pemeriksaan dan penyitaan yang ditetapkan secara hukum.
Khususnya ketika beroperasi di bawah perintah pengadilan, pahami dengan
tepat apa yang diizinkan dan diambil oleh perintah tersebut. Jangan melebihi
wewenang perintah, karena bukti tambahan yang Anda sita atau kuasa yang
dieksekusi dapat menyebabkan bukti tersebut dibuang dan kasus Anda tercemar.
5. Memahami implikasi etis dari pemeriksaan dan penemuan kebetulan
materi ilegal yang tidak terkait.
Saat mencari perangkat digital, Anda mungkin akan menghadapi berbagai
macam materi yang mungkin ditemukan secara online di perangkat tersebut. Sangat
umum saat ini untuk menemukan banyak bentuk pornografi (diunduh atau dibuat
sendiri) pada perangkat seluler atau tetap yang disita dan diperiksa. Sebagai
alternatif, pemeriksa digital dapat menemukan materi kriminal, seperti identitas palsu,
curian, Kekayaan Intelektual (IP) atau Materi Eksploitasi Anak (CEM), yang
mengakibatkan kewajiban etis dan hukum segera. Khususnya dalam hal identifikasi
CEM, disarankan agar pemeriksa menghentikan pemeriksaan, segera melapor ke
polisi, mencari arahan, dan mencatat tindakan yang mengarah pada identifikasi
materi pidana.
Pemeriksaan perangkat juga dapat menemukan dompet cryptocurrency dengan
nilai besar yang disimpan. Ini dapat dilihat sebagai uang tunai, dan perhatian khusus
perlu diberikan untuk memastikan bahwa akses ke pameran ini dibatasi. Karena sifat
anonim dari cryptocurrency online, godaan mungkin ada bagi seseorang untuk
mengakses perangkat dan mentransfer nilai ke dompet cryptocurrency mereka,
mengambil langkah-langkah untuk memastikan bahwa tindakan tersebut tidak dapat
dicocokkan dengan mereka.
Hal yang sama berlaku untuk IP yang berada. Basis data dapat berisi informasi
yang sangat berharga dan pribadi, dan tergantung pada kasus yang sedang diselidiki,
data yang sangat pribadi mungkin ada, seperti halnya jika pusat medis disusupi.
Komunitas penjahat dunia maya menempatkan nilai yang sangat tinggi pada data
medis karena kapasitasnya untuk digunakan
dalam pemerasan terhadap pasien, terutama ketika penjahat dunia maya mengidentifikasi
pasien sebagai selebriti, eksekutif senior, atau individu dengan kekayaan bersih tinggi.
6. Seperti yang disebutkan sebelumnya, lakukan penyelidikan Anda pada salinan gambar yang
diperoleh dari pameran. Ini berarti pameran itu dicitrakan dan salinannya dibuat dari gambar
itu, di mana pemeriksaan dilakukan. Ini memberikan bentuk pemisahan yang jelas dari
pameran, jadi jika malware dieksekusi atau lonjakan daya menyebabkan kerusakan selama
pemeriksaan, kerusakan hanya terjadi pada salinan dan bukan gambar asli. Ini akan
melindungi integritas pameran dan pemeriksaan Anda.
7. Perlakukan semua bukti yang mungkin tunduk pada pengawasan hukum yang agresif sebagai
bukti pengadilan. Semua pihak yang terlibat dalam penanganan barang bukti, mulai dari
identifikasi hingga pembuatan di pengadilan, harus siap bersaksi di pengadilan tentang
tindakan mereka jika diperlukan. Bahkan sebuah dokumen yang dianggap mengandung nilai
minimal pada hari penyitaan dapat ditemukan mengandung informasi penting sekali lagi
fakta kasus terungkap.
Jika seorang terdakwa menghadapi bukti signifikan yang menunjukkan bahwa mereka
bersalah atas kejahatan atau pelanggaran perdata yang dituduhkan kepada mereka, strategi
hukum pembelaan adalah menemukan kelemahan dengan integritas bukti dan
mengesampingkannya oleh pengadilan sebagai tidak dapat diandalkan. Ada serangkaian
tantangan yang mungkin dibuat oleh suatu pihak yang melibatkan sisi teknis bukti digital.
Beberapa di antaranya adalah:
Barang bukti tidak terekam di TKP karena penyidik tidak merekam Random Access
Memory (RAM). Perangkat lunak berbahaya yang memengaruhi bukti awalnya mungkin
ada di dalam RAM tetapi dihapus dan tidak meninggalkan jejak setelah dimatikan
secara paksa.
Bukti tidak dikumpulkan karena keterbatasan anggaran. Contohnya adalah pengumpulan
bukti dari akun komputasi awan di mana biaya hukum untuk memperoleh data dari
beberapa perusahaan komputasi awan yang berpotensi membentuk komponen layanan
memerlukan perintah pengadilan untuk perusahaan yang berbeda di yurisdiksi yang
berbeda. Kegagalan untuk memperhitungkan rantai bukti.
Kegagalan untuk memeriksa partisi atau file yang dienkripsi.

Perangkat penyimpanan yang digunakan untuk menangkap bukti digital yang berisi sisa-sisa
dari pemeriksaan sebelumnya.
Bukti diambil langsung dari perangkat dan tidak dicitrakan oleh pemeriksa forensik digital
yang berpengalaman.
Catatan _ 63
Melaksanakan surat perintah penggeledahan dan perintah pengadilan sipil di tempat

komersial memberikan keuntungan dalam hal pengendalian barang bukti, tempat kejadian,
dan penduduk; namun, Anda sebenarnya menghalangi operasi bisnis. Kehadiran Anda akan
disahkan oleh pengadilan sebagai hal yang sah, tetapi Anda perlu menyeimbangkan
kebutuhan investigasi Anda dengan persyaratan bisnis yang sah untuk tetap beroperasi.
Sebuah bisnis digerebek oleh polisi karena dicurigai memberikan layanan keuangan
secara curang. Tuduhannya adalah bahwa bisnis tersebut terlibat dalam kombinasi penipuan
dunia maya, di mana situs web palsu telah dibuat yang menunjukkan keuntungan finansial
yang mengesankan selama tahun-tahun sebelumnya, dan rekayasa sosial para korban
melalui komunikasi telepon dan email.
Perusahaan mengklaim bahwa surat perintah penggeledahan menghalangi
kapasitasnya untuk menjalankan apa yang dinyatakan sebagai bisnis yang sah dan
bahwa perusahaan khawatir akan hilangnya perdagangan, server komputernya, dan
reputasi pribadi dan bisnisnya. Perusahaan juga khawatir bahwa karyawannya tidak
akan lagi bekerja jika ada kecurigaan bahwa perusahaan tersebut terlibat dalam serangkaian penipuan
Para penyelidik memahami kekhawatiran ini ketika menyita server perusahaan dan
banyak dokumen, dan juga memahami bahwa mereka secara efektif menutup bisnis secara
permanen. Selanjutnya ditemukan bukti-bukti yang menguatkan yang mendukung penyitaan
barang bukti dari TKP digital, antara lain bukti penjualan jasa keuangan tanpa izin, karyawan
yang menggunakan identitas palsu, dan klaim keberhasilan keuangan produk palsu. Juga,
tinjauan cetakan digital menemukan bukti beberapa perusahaan phoenix, memberikan daftar
panjang bukti dugaan penipuan keuangan.
Bab 7 memperkenalkan pertemuan keterlibatan awal dengan pengadu, di mana batas-

batas penyelidikan ditetapkan, sumber daya dialokasikan, dan wewenang didelegasikan.
CATATAN
1. Janet Williams, Panduan Praktik Baik ACPO untuk Bukti Digital, Maret 2012,
Persatuan Kapolri.
7 BAB TUJUH
Pertemuan Awal dengan

Pengadu
PERTEMUAN PRA
peristiwa yangINVESTIGASI berusaha
memerlukan investigasi dan untuk memperoleh
menetapkan pemahaman
persyaratan perikatan. Initentang
adalah kesempatan untuk mengidentifikasi tingkat kejadian yang diketahui dan apa yang
persis yang diinginkan klien dari penyelidik mereka. Pertemuan investigasi awal mungkin mencakup
banyak hal dan perlu disusun untuk memungkinkan pemahaman penuh tentang peristiwa dan peran
penyelidik.
Orang-orang yang dapat diwawancarai dalam tahap awal ini mungkin termasuk:
manajer dengan tanggung jawab yang ditunjuk untuk pengawasan perusahaan atas insiden tersebut
tanggapan, anggota tim hukum (terutama berharga ketika tersangka
diidentifikasi dalam organisasi), administrator sistem dan orang lain yang bertanggung jawab untuk
pengoperasian jaringan (internal dan eksternal ke
organisasi), dan pengguna perangkat.
PEMBAHASAN AWAL
Pada tahap awal investigasi ini, para peneliti memperoleh pemahaman tentang peristiwa dan tujuan
manajemen. Ini dapat berubah selama penyelidikan, namun, pada awalnya, penyelidik sipil perlu
untuk memiliki kesepakatan formal secara tertulis mengenai harapan manajemen.
65
Buku Pegangan Penyidik Kejahatan Dunia Maya, Edisi pertama. Graeme Edwards, PhD.
© 2020 John Wiley & Sons, Inc. Diterbitkan 2020 oleh John Wiley & Sons, Inc.
66 Pertemuan Awal dengan Pelapor
Pada umumnya polisi tidak memerlukan pedoman tertulis formal seperti itu, karena
kewenangannya ada pada pengaduan yang diterima dan karena kewenangan legislatifnya.
Meskipun penyelidik mungkin telah melakukan banyak penyelidikan dan menghadiri

banyak TKP sepanjang karier mereka, masing-masing berbeda, dan penyelidik harus tetap
berpikiran terbuka terhadap ciri-ciri unik dari pengaduan, tempat kejadian, metodologi
penyerangan, dan orang-orang yang akan berinteraksi dengan mereka.
Memiliki visi terowongan pada tahap awal penyelidikan berarti penyelidik akan berakhir di
lokasi yang telah ditentukan dan kehilangan fakta penting.
Penyelidik perlu memanfaatkan sepenuhnya wawancara ini, karena semakin senior
manajer dalam suatu organisasi, semakin sulit untuk berbicara dengan mereka lagi, karena
mereka akan terlibat dalam menjalankan banyak aspek bisnis. Meskipun mereka meminta
bantuan Anda, mereka mungkin menunjuk orang lain untuk menjadi kontak Anda dalam
organisasi setelah wawancara awal.
Di awal percakapan, identifikasi potensi risiko keselamatan bagi tim investigasi atau
orang lain. Ini adalah titik kritis, karena saat wawancara awal sedang berlangsung, anggota
tim lain mungkin bubar untuk memulai tugas mereka.
Rincian potensi risiko apa pun, seperti keberadaan tersangka, harus segera dikomunikasikan
kepada semua anggota tim dan orang lain yang keselamatannya mungkin terancam.
Contoh pertanyaan yang mungkin diajukan penyidik dalam wawancara awal meliputi:
Apa yang terjadi pada jaringan/perangkat komputer Anda yang memerlukan

penyelidikan?
Apakah acara berlanjut? Tingkat
investigasi apa yang Anda inginkan? Investigasi mungkin dilakukan untuk informasi manajer
saja, untuk mengidentifikasi apakah penyerang lokal, untuk mengetahui informasi apa
yang Anda dapat tentang tipe orang penyerang, atau untuk melakukan penyelidikan
pelingkupan untuk memahami sifat dari apa sudah terjadi. Dengan penegakan hukum,
itu akan mencakup menemukan penyerang dan memulai penuntutan. Di mana investigasi
akan berakhir? Apakah penyelidikan untuk pengadilan perdata atau pidana, atau untuk
pengadilan (seperti untuk menyelesaikan masalah ketenagakerjaan)? Berapa waktu yang
tersedia untuk investigasi dan pelaporan? Apakah sumber daya yang diperlukan tersedia
untuk Anda? Berapa anggaran investigasi? Hal ini sangat relevan bagi penyidik sipil. Biaya
tidak hanya mencakup biaya staf yang menghadiri tempat kejadian, tetapi juga yang
terkait dengan analisis bukti selama berjam-jam, berikut:
Diskusi Awal 67
up lead, identifikasi tersangka, dan sebagainya. Anggaran dapat ditentukan dengan

jumlah jam yang dihabiskan, berdasarkan fase penyelidikan (untuk menentukan
apakah bermanfaat untuk melanjutkan), atau dengan anggaran tetap untuk penyelidikan
dan laporan yang lengkap.
Informasi apa yang telah diungkapkan, dicuri, dihapus, atau dirusak oleh pihak yang tidak
berwenang? Apakah komisaris privasi atau lembaga pemerintah terkait lainnya perlu
diberi tahu tentang pelanggaran tersebut? Bergantung pada yurisdiksi Anda, mungkin
perlu ada laporan awal yang dibuat kepada petugas privasi nasional atau negara
bagian Anda (atau entitas serupa) yang memberikan perincian tentang fakta yang
diketahui pada saat itu.
Sumber daya sistem apa yang digunakan penyerang? Ini akan memberikan pemimpin
investigasi dengan pengetahuan tentang sumber daya apa yang mereka butuhkan di
tahap pertama investigasi, terutama ketika mereka perlu membawa dukungan pihak
ketiga. Apa dampak potensial dari tim investigasi yang beroperasi di ruang kerja
perusahaan? Tim investigasi akan berusaha untuk bekerja dengan dan di sekitar tenaga
kerja lokal.
Apa rencana investigasi dan bantuan karyawan yang diperlukan? Pelapor mungkin ingin
melibatkan staf mereka dalam membantu tim investigasi untuk mempercepat pekerjaan
di tempat kejadian dan memberikan bantuan apa pun yang tersedia. Seorang manajer
dengan wewenang untuk membuat keputusan atas nama perusahaan dapat ditugaskan
untuk bekerja dengan pimpinan investigasi untuk menjawab pertanyaan apa pun dan
memberikan wewenang langsung bila diperlukan. Apa kebijakan Bawa Perangkat
Anda Sendiri (BYOD) dari perusahaan? Komputer BYOD dimiliki oleh karyawan yang
menggunakannya, sesuai dengan persetujuan manajer mereka. Data yang tersimpan
di dalamnya adalah milik perusahaan yang tunduk pada perjanjian apa pun; namun,
mungkin tidak ada wewenang tersurat maupun tersirat untuk memeriksa perangkat
tanpa wewenang karyawan jika terjadi insiden keamanan siber.
Apakah ada persetujuan untuk mendapatkan data dan dokumen dari tim Incident
Response (IR)? Tim IR mungkin berada di luar organisasi dan mungkin memerlukan
biaya untuk mewawancarai mereka. Pengadu akan menanggung biaya ini; namun,
percakapan ini perlu dilakukan pada tahap awal wawancara pendahuluan dan
persetujuan yang diperoleh dari klien. Apakah ada persetujuan untuk mewawancarai
staf dan membuat pengaturan untuk mewawancarai staf IR sebagaimana diperlukan?
Kecuali ada alasan khusus untuk tidak melakukannya, idealnya seorang manajer
senior akan memberikan pengarahan kepada staf yang menjelaskan apa yang telah
terjadi dan mengapa tim investigasi hadir. Dapatkan persetujuan untuk wawancara ini.
Di mana penegakan hukum hadir, mereka memiliki protokol sendiri dalam hal ini
penting dan akan memberikan panduan kepada manajemen, termasuk kemungkinan memberi
pengarahan kepada staf itu sendiri.
Apakah ada persetujuan untuk mendapatkan dokumen Sumber Daya Manusia (SDM) klien sesuai
kebutuhan? Dapatkan persetujuan untuk mengakses dokumen-dokumen ini. Hal ini sangat relevan
ketika berurusan dengan BYOD atau karyawan internal yang dianggap sebagai tersangka dalam
peristiwa tersebut, termasuk kasus di mana seorang karyawan dapat diduga lalai dalam tugasnya
dan mengekspos perusahaan ke ancaman dunia maya melalui aktivitas seperti mengakses
jaringan peer-to-peer dari jaringan perusahaan.
Setelah garis besar umum penyelidikan selesai, tahap selanjutnya adalah mencatat rincian
pelapor dan petugas penghubung mereka untuk penyelidikan.
DETAIL PENGADUAN
Pelapor adalah orang yang membuat rujukan untuk penyelidikan. Dalam lingkungan perusahaan,
entitas dapat menjadi pelapor dan petugas yang secara resmi mengajukan pengaduan atau mencari
investigasi dapat dilihat secara kolektif sebagai informan. Terlepas dari struktur organisasi atau apakah
pelapor adalah individu, rincian kunci perlu diperoleh di awal.
Ini termasuk:
Rincian lengkap tentang perusahaan pengadu dan orang yang memberi wewenang, termasuk
peran mereka.
Jika seseorang , nama, alamat, tanggal lahir, detail kontak, dan

pemberi
pekerjaan. Nama tempat pengaduan dibuat. Orang
yang dapat dihubungi, detailnya, dan tingkat otorisasinya. Tingkat otorisasi merupakan pertimbangan
utama, karena terkadang keputusan perlu dibuat dengan cepat, terutama saat sebuah acara
sedang berlangsung.
Sarana untuk menghubungi penghubung ini ketika Anda membutuhkan jawaban pertanyaan atau
peningkatan otoritas. Idealnya Anda akan mendapatkan kontak telepon 24/7.
DETAIL ACARA
Peristiwa tersebut merupakan pelanggaran keamanan yang perlu diselidiki. Dalam fase wawancara
awal ini, penyelidik memperoleh pemahaman tentang pelanggaran dan
Sejarah Keamanan Cyber 69
memperoleh fakta apa pun yang tersedia. Ini mungkin lingkungan yang dinamis di mana tim
investigasi beroperasi, karena peristiwa siber mungkin berlanjut selama wawancara awal.
Memahami peristiwa memberikan arahan untuk penyelidikan, karena mengidentifikasi bentuk

peristiwa memberikan arahan ke lokasi bukti, motivasi pelaku, dan kemungkinan tersangka.
Orang yang akan diwawancarai mungkin termasuk administrator sistem, pengguna perangkat,
orang yang mengidentifikasi insiden tersebut, dan anggota tim keamanan yang menanggapi peristiwa
tersebut. Pertanyaan untuk ditanyakan mungkin termasuk:
Apa yang Anda pahami telah terjadi? Kapan peristiwa

itu terjadi? Bagaimana insiden itu terdeteksi dan oleh
siapa? Bukti apa yang tersedia? Apakah alamat Protokol

Internet penyerang?
tersedia? Apakah ada pengetahuan tentang alat yang digunakan oleh

penyerang? Pengetahuan apa yang kita miliki tentang tersangka, motivasi, dan sejenisnya? Memiliki
apakah ada aktivitas mencurigakan sebelumnya?
Apakah hak istimewa sistem dari pengguna mana pun telah ditingkatkan baru-baru ini? Ini mungkin
menunjukkan penyerang telah beroperasi di dalam jaringan selama periode waktu tertentu,
mendapatkan tingkat akses data yang lebih tinggi karena mereka secara perlahan
membahayakan lebih banyak perangkat dan akun pengelola. Siapa yang memiliki akses jarak
jauh ke jaringan dan perangkat tertentu? Apakah mereka masih memiliki akses ini?
Apakah ada pembaruan sistem atau aplikasi baru yang diinstal baru-baru ini? Apa konsekuensi
dari peristiwa tersebut terhadap entitas? Siapa yang memiliki akses administrator ke jaringan dan
apakah bentuk akses ini
diperlukan untuk melakukan serangan?

Apa buktinya bahwa ini adalah serangan yang ditargetkan versus serangan acak?
SEJARAH KEAMANAN SIBER
Memahami sejarah keamanan siber dari organisasi korban dapat memberikan pemahaman tentang
sifat dari peristiwa tersebut. Bukti jejak kaki akan menunjukkan bahwa peristiwa tersebut bukan
insiden acak dan bahwa pelaku mungkin telah mempersiapkan pelanggaran untuk jangka waktu
tertentu.
Diskusikan sejarah insiden cyber dan peristiwa keamanan. File log apa yang
tersedia untuk analisis peristiwa masa lalu jika riwayatnya
tidak dikenal?
Apakah ada ancaman terhadap keamanan entitas? Apakah

ada bukti jejak kaki, di mana penyerang berusaha mendapatkan pemahaman
tentang jaringan dari lokasi yang jauh?
DETAIL Adegan
Adegan kejahatan dunia maya mungkin fisik, virtual, multiyurisdiksi, atau

kombinasi dari salah satu atau masing-masing. TKP adalah tempat unsur-unsur
pelanggaran terjadi dan dapat mencakup jaringan komputer, jaringan area lokal,
jaringan area metropolitan, jaringan area luas, atau layanan cloud. TKP juga
termasuk perangkat di mana pelanggaran terjadi dan lokasi
sekitarnya, seperti kantor. Untuk acara besar, mungkin ada beberapa
TKP.
Tentukan batas-batas fisik dan virtual penyelidikan. Identifikasi

yurisdiksi hukum acara dan bukti (adalah layanan cloud
terlibat?).
Berapa banyak TKP yang kita miliki?
Apakah anggota staf mengetahui acara tersebut?
Siapa yang akan memberi tahu staf tentang acara dan kehadiran tim investigasi?
Apa perangkat subjeknya ? Di mana perangkat subjek? Sekali lagi, identifikasi
potensi risiko apa pun bagi tim Anda dan pihak lain mana pun. Ini adalah proses
berkelanjutan yang melibatkan semua anggota tim. Komunikasi di antara semua
anggota tim sangat penting.
Di kantor perusahaan, mencakup masalah logistik, seperti akses independen

untuk tim investigasi, membangun tindakan darurat, lokasi kamar mandi,
dan akses setelah jam kerja (termasuk lift, lampu dan AC setelah jam kerja,
dan sebagainya) . Ini semua adalah masalah kecil yang jika tidak ditangani
dapat menyebabkan masalah yang tidak perlu.
Dalam beberapa kasus akan ada sedikit atau tidak ada manajemen adegan
awal yang terlibat, seperti ketika Anda dipanggil untuk memulai penyelidikan
beberapa minggu setelah kejadian dan semua perangkat subjek dan bukti yang
dikumpulkan oleh tim IR diamankan untuk koleksi Anda. Dalam hal ini Anda
mungkin masih diminta untuk memahami dinamika di mana serangan terjadi,
topologi jaringan, dan masalah terkait.
Mengidentifikasi Tersangka 71
MENGIDENTIFIKASI PELANGGARAN
Pelanggaran khusus untuk yurisdiksi. Merupakan tanggung jawab penyelidik untuk

memahami unsur-unsur pelanggaran di tingkat perdata dan pidana untuk diikutsertakan
dalam laporan mereka kepada manajemen. Wawancara awal harus memberikan arahan
yang jelas mengenai pelanggaran yang dipertimbangkan oleh tim investigasi selama
penyelidikan mereka.
Memahami dugaan/dugaan pelanggaran (perdata/pidana). Pahami unsur-

unsur dari setiap dugaan pelanggaran. Pahami persyaratan untuk
menghubungkan bukti yang ada dengan bahan-bahannya
dari dugaan pelanggaran.
MENGIDENTIFIKASI SAKSI
Saksi dapat berupa setiap orang yang memiliki pengetahuan atau hubungan dengan dugaan
pelanggaran. Seorang saksi dapat termasuk orang yang melaporkan pelanggaran tersebut.
Mengidentifikasi para saksi dalam wawancara awal dapat memberikan bantuan yang
berharga dalam merencanakan urutan wawancara, karena beberapa saksi mungkin akan
pergi cuti, menghadiri kursus, atau meninggalkan bisnis.
Identifikasi orang yang menemukan kejadian tersebut.

Rekam detail kontak untuk semua saksi.
Dapatkan pernyataan yang ditandatangani untuk setiap saksi sesegera mungkin.
Catat kualifikasi dan pengalaman untuk saksi yang terlibat dalam teknis
identifikasi bukti, penangkapan, dan penyimpanan.
Catat pernyataan tambahan yang diperlukan. Pernyataan tambahan adalah pernyataan
sekunder dari saksi yang direkam karena informasi baru ditemukan atau jalur
pertanyaan baru, yang belum diselidiki pada saat wawancara awal, ditanyakan kepada
saksi.
MENGIDENTIFIKASI TERGUGAT
Identifikasi tersangka pada wawancara awal memberikan arahan yang kuat mengenai
bentuk investigasi. Haruskah tersangka hadir saat wawancara awal?
terjadi, mereka dapat diperingatkan dan menghancurkan bukti. Jika pelaku cyber mengidentifikasi
bahwa mereka telah ditemukan melalui komunikasi digital di antara anggota tim manajemen,
mereka juga dapat menghancurkan bukti dari jarak jauh.
Identifikasi tersangka potensial (internal/eksternal) dan motivasi yang dicurigai

tion untuk serangan itu.
Sesuai dengan diskusi sebelumnya, tinjau terus ancaman keselamatan untuk anggota tim
dan orang lain yang hadir. Dapatkan catatan SDM dalam kasus tersangka internal. Jika
tersangka adalah pegawai internal, tentukan lokasi kantor/mejanya, apa tugasnya, kapan
hadir di kantor, apakah aktivitas digitalnya tersimpan di perangkat atau di server perusahaan,
apakah menggunakan komputer BYOD, apakah mereka memiliki akses jarak jauh ke
perangkat/jaringan subjek, jumlah orang yang menggunakan perangkat itu, dan sifat
perilaku terkini mereka.
Jika tersangka adalah karyawan internal, mintalah izin untuk menghapus akses mereka ke
jaringan, secara lokal dan jarak jauh, serta akses mereka ke lokasi fisik.
MENGIDENTIFIKASI MODUS OPERASIONAL SERANGAN
Memahami modus operandi (MO) dari setiap serangan memberikan arahan untuk penyelidikan
dan lokasi bukti. Ini juga memberikan pemahaman tentang serangan dan potensi data yang
dicuri. Wawancara awal mungkin memberikan informasi terbatas pada awalnya, karena
mungkin ada pemahaman yang terbatas tentang detail ini saat pelanggaran sedang berlangsung.
Dalam hal ini, penyidik harus beroperasi dengan informasi yang mereka miliki dan mulai dengan
identifikasi bukti dan penyitaan dalam kemitraan dengan tim IR.
Apa target acara: data, hak istimewa sistem, Kekayaan Intelektual, sumber daya, atau yang
lainnya? Apa tindakan penyerang saat berada di sistem? Apakah mereka langsung
menuju target atau harus menavigasi sistem untuk menemukannya?
Alat apa yang digunakan: pemindai kerentanan atau alat individual? Perintah apa
yang digunakan? Ini akan memberikan bukti keahlian penyerang. Penyerang yang
menggunakan serangan baris perintah dapat dilihat memiliki berbagai keterampilan yang
berbeda dari penyerang yang menggunakan pemindai kerentanan yang tersedia secara
komersial.
Bukti: Teknis 73
Apa kerentanan yang diidentifikasi dan dieksploitasi dan sudah berapa lama diketahui? Jika
kerentanan baru, serangan itu dikenal sebagai serangan zero-day dan menunjukkan
penyerang yang sangat terampil.
BUKTI: TEKNIS
Wawancara awal dapat memberikan arahan mengenai bukti teknis yang terlibat dalam
pelanggaran dan apa yang dapat disita sebagai bukti. Area yang akan dicakup dalam
wawancara meliputi:
Sistem , jaringan, dan aset apa yang telah diserang/disusupi? Kapan keamanan sistem
pertama kali dilanggar dan berapa lama penyerang berada dalam jaringan?
Kata sandi apa yang terkait dengan perangkat? Apakah

perangkat atau basis data tertentu menjadi sasaran?
Tindakan keamanan apa yang digunakan pada perangkat atau bukti yang ditangkap oleh
penyelidik yang perlu mereka periksa? Misalnya, apakah perusahaan menggunakan
perangkat lunak berpemilik, artinya perangkat/bukti tidak dapat diperiksa kembali di
kantor penyidik tanpa salinan aplikasi?
Di bawah akun pengguna apa kerentanan dieksploitasi? Apakah akun ini menyertakan hak
administrator? Apakah hak istimewa telah ditingkatkan tanpa otoritas?
Apa detail perangkat yang disusupi, termasuk alamat subnet? Ini mungkin ditanyakan dalam
wawancara awal tetapi lebih mungkin ditanyakan kepada staf teknis.
Apakah log Informasi Keamanan dan Manajemen Acara (SIEM) tersedia

untuk analisis?
Jika file/rekaman diubah atau diubah, apakah ada salinan dari aslinya untuk
perbandingan?
Apakah perangkat yang disusupi sangat penting untuk pengoperasian bisnis ?
Apakah penangkapan paket mengidentifikasi alamat Protokol Internet penyerang? Apa
kegiatan dan detail kontak untuk tim IR dan bagaimana
mereka dapat
ditemukan? Alat apa yang telah digunakan untuk IR dan penangkapan bukti? Apakah ini pantas
standar industri atau standar?
Bukti apa yang diperoleh tim IR? Apakah mereka mencapai kesimpulan tentang serangan
itu, metodologinya, kerusakan yang ditimbulkan, dan tersangkanya?
BUKTI: LAINNYA
Bukti harus diperlakukan dengan hormat, karena mungkin diperlukan untuk disajikan di
pengadilan. Tahap wawancara awal investigasi akan memberikan arahan mengenai bukti
yang diketahui hingga saat ini, di mana ia dapat ditemukan, dan orang-orang yang terkait
dengannya.
Apa legalitas penahanan barang bukti karena hak istimewa, seperti untuk dokter,
pengacara, pendeta, psikiater, dan sejenisnya? Waspadalah terhadap kecurigaan
terhadap perangkat atau jaringan yang berisi Materi Eksploitasi Anak dan segera
minta nasihat polisi tentang tindakan apa yang mereka perlukan.
Berapa banyak ruang yang dibutuhkan untuk penyimpanan bukti digital? Ingatlah bahwa
jumlah yang dibutuhkan untuk pengambilan perangkat mungkin sangat berbeda dari
yang dibutuhkan untuk pengambilan jaringan. Apakah rantai bukti untuk semua bukti
fisik dan digital, termasuk yang diperoleh dari tim IR, telah dipastikan? Apakah ada logon
umum untuk perangkat yang dicurigai telah disusupi atau
apakah setiap orang memiliki pengenal unik?

Siapa yang memiliki akses ke perangkat subjek? Apakah mereka (atau siapa pun)
memiliki akses jarak jauh untuk bekerja dari rumah atau saat bepergian? Ini sangat
penting untuk penyimpanan bukti, karena akses jarak jauh oleh tersangka atau rekan
mereka dapat menghancurkan bukti Anda sebelum Anda memiliki kesempatan untuk
menyimpannya. Apakah ada perubahan pada jaringan baru-baru ini, seperti sistem
upgrade atau instalasi perangkat baru?
Apakah Anda memiliki tersangka? Dapatkan detail tentang mereka, termasuk file
personal mereka, tugas mereka, kemungkinan motivasi, di mana meja mereka, dan
sejenisnya.
Apakah semuanya
didokumentasikan? Apa akibat dari pelanggaran
tersebut? Apakah rujukan ke polisi akan dilakukan atas nama perusahaan?
Sebuah perusahaan besar menemukan bahwa seorang manajer senior terlibat dalam
pencurian suku cadang selama pembangunan switchboard listrik industri. Pria tua, yang
sangat ahli dalam pekerjaannya, sering kali diminta untuk membeli AC untuk switchboard
karena panas yang dihasilkan. Ia akan
sering membeli dua, memasang satu, dan menyimpan yang lain untuk dijual secara online.
Kelemahan dalam prosesnya adalah bahwa manajer merancang papan hubung, memesan
suku cadang, mengawasi konstruksi, dan menyetujui pembayaran suku cadang. Dia
dengan iri menjaga ruang kerjanya, bahkan dari pemilik perusahaan.
Keluhan awal kepada polisi dari manajemen adalah untuk menyelidiki 20 kasus
penipuan dengan total sekitar $50.000. Penyelidikan polisi mengidentifikasi tiga metodologi
penipuan lainnya. Pemilik perusahaan menghentikan ruang lingkup penyelidikan sekitar
$450.000 karena stres yang ditimbulkannya pada perusahaan, meskipun diperkirakan ada
lebih banyak lagi contoh penipuan.
Catatan digital dari sistem akuntansi perusahaan mengungkapkan bahwa mereka

telah dimanipulasi untuk menyembunyikan aktivitas tersebut. Catatan digital ini menunjukkan
manajer senior sebagai orang yang membuat dokumentasi palsu, yang memberikan
deskripsi palsu dari pembelian pada aplikasi akuntansi, dan yang mengesahkan faktur
untuk pembayaran sebagai pengeluaran yang sah terkait dengan pembangunan
switchboard.
Surat perintah penggeledahan yang dilaksanakan di rumah manajer senior yang
terletak di lokasi bukti nyata dari pengeluaran besar-besaran secara signifikan melebihi
pendapatannya yang sah, dan sejumlah besar benda dari bagian dalam rumah (barang
elektronik, perlengkapan, perabotan, dll.) telah diperiksa. disita sebagai hasil kejahatan.
SPT tersangka ditemukan dan dikuatkan bahwa pendapatan yang dinyatakan sah secara
signifikan lebih kecil daripada pengeluaran.
Setelah ditangkap, manajer senior mengaku bersalah atas tuduhan penipuan yang
didukung oleh bukti teknis. Istrinya juga didakwa dan mengaku bersalah atas penipuan,
karena dia secara sadar berpartisipasi dalam pembukuan keuangan keluarga dan
menyadari suaminya melakukan penipuan besar-besaran terhadap majikannya.
Bab 8 memperkenalkan kegiatan yang dilakukan oleh tim IR untuk mengurangi dan
memberantas pelanggaran. Pengenalan ini diberikan untuk informasi penyidik, sehingga
mereka akan memiliki pemahaman tentang peran anggota tim IR, karena bukti mereka
akan dimasukkan ke dalam setiap masalah pengadilan yang potensial. Ini juga akan
memberikan pemahaman tentang tugas dan tindakan anggota tim IR, sehingga bukti yang
diidentifikasi dan diamankan dapat dipahami asal-usulnya.
8 BAB DELAPAN
Mengandung dan Memperbaiki

Insiden Keamanan Cyber
DI SINI ADA banyak

tugas panduanResponse
tim Incident berkualitas (IR),
tinggitermasuk
yang tersedia
yanguntuk menjelaskan
disediakan oleh:secara rinci
organisasi seperti SANS Institute. Bab ini tidak bermaksud untuk mengulangi
pelajaran mereka, tetapi lebih untuk membuat penyelidik menyadari apa yang
dilakukan tim IR saat penyelidik menjalankan tugas mereka, karena peran mereka
dapat dilihat sebagai pelengkap.
Institut Standar dan Teknologi Nasional AS (NIST) telah mengidentifikasi
kerangka kerja respons insiden untuk tim IR. Ini menjabarkan tahapan IR sebagai
persiapan; deteksi dan analisis; penahanan, pemberantasan, dan pemulihan; dan
aktivitas pasca-insiden.1
Tahap penahanan dan pemberantasan mengacu pada penangkapan barang
bukti dan penanganan selanjutnya. Dalam penangkapan ini kami akan
mengidentifikasi beberapa peluang bagi tim investigasi untuk bekerja sama dengan
tim IR dalam memperoleh bukti, sebuah kemitraan yang dapat digunakan untuk
memajukan penyelidikan Anda.
MENGANDUNG INSIDEN KEAMANAN CYBER
Berisi acara keamanan cyber umumnya peran tim tertentu yang telah ditunjuk
sebelum acara tersebut. Tim IR dapat terdiri dari internal
77
78 Mengandung dan Memulihkan Insiden Keamanan Cyber
anggota staf atau menjadi tim ahli yang didatangkan dari luar organisasi.
Tim investigasi dapat diminta oleh manajer tim IR untuk berpartisipasi dalam manajemen
acara jika ada bukti pelanggaran perdata atau pidana yang memerlukan penyelidikan setelah
mitigasi.
Tujuan tim IR dalam fase penahanan adalah untuk membatasi kerusakan yang dapat
terjadi pada sistem, apakah itu hilangnya data rahasia perusahaan atau kerusakan integritas
jaringan. Fase ini juga memungkinkan penangkapan bukti.1 Jika penyerang masih berada
dalam jaringan, tim IR akan berusaha membatasi eksploitasi lebih lanjut dan menghapusnya
dari sistem dan perangkat. Saat ini bukti mungkin tersedia mengenai kemampuan kerentanan
jaringan yang diidentifikasi oleh penyerang dan bagaimana hal itu dieksploitasi. Ini harus
dikomunikasikan kepada tim investigasi sebagai jalur penyelidikan untuk investigasi Anda.
Ada serangkaian tindakan yang mungkin diambil oleh tim IR yang dapat menghasilkan
bukti untuk Anda di awal saat mereka menahan serangan. Ini mungkin tidak selalu terjadi
tergantung pada log yang dicatat dan kerusakan yang dilakukan pada sistem oleh penyerang;
namun, ketahuilah bahwa ada potensi untuk menemukan bukti oleh tim IR yang dapat Anda
gunakan untuk membangun fondasi di awal penyelidikan Anda. NIST mengidentifikasi contoh-
contoh seperti: 1
Informasi identifikasi pada perangkat yang disusupi Lokasi di mana bukti

ditemukan
Prosedur lacak balak Rincian alamat
IP penyerang
Metodologi serangan seperti yang ditentukan
Pastikan tim IR memahami peran Anda dan persyaratannya. Karena Anda semua pada
dasarnya bekerja menuju tujuan yang sama, memiliki pemahaman bersama dan rasa hormat
terhadap tugas masing-masing dan bagaimana mereka saling bersinggungan adalah penting. Tim
IR profesional skala besar akan memahami kebutuhan Anda; namun, tim internal kecil mungkin tidak
akan melakukannya sampai Anda memberi tahu mereka.
Contoh lain dari jalur penyelidikan potensial yang dapat diberikan oleh tim IR meliputi:
Mempertahankan log otentikasi yang menunjukkan upaya untuk masuk ke sistem.

Catatan ini akan menunjukkan upaya yang berhasil dan tidak berhasil untuk mendapatkan
akses ke sistem atau lokasi kekayaan intelektual yang berharga.
Misalnya, bukti mungkin menunjukkan bahwa penyerang memperoleh akses langsung
ke database perusahaan pada percobaan pertama menggunakan kredensial yang
dikompromikan dari karyawan yang sah atau bahwa mereka menggunakan serangan brute force
Berisi Insiden Keamanan Cyber 79
dalam upaya untuk memecahkan kata sandi. Informasi ini akan menarik bagi
penyelidik, karena memberikan pemahaman tentang apakah penyerang adalah
orang dalam, orang luar yang entah bagaimana telah mengkompromikan kredensial
yang sah (jalur penyelidikan lain), atau penyerang yang tidak memiliki wawasan
sebelumnya tentang perusahaan. jaringan. Memperoleh salinan perangkat lunak
berbahaya yang digunakan oleh penyerang. Penyelidik dapat merujuk ke sumber daya
online untuk mendapatkan pemahaman tentang malware, atau jika serangan itu
adalah eksploitasi zero-day (yang, seperti yang telah dibahas sebelumnya, adalah
eksploitasi kerentanan yang sebelumnya tidak diketahui dalam Sistem Operasi (OS)
atau aplikasi) , penyelidik akan menyadari bahwa mereka berurusan dengan penjahat
dunia maya yang berpengalaman dengan keterampilan teknis yang signifikan.
Jika kata sandi disusupi , identifikasi apakah ada beberapa pass

kata-kata atau hanya satu milik satu pengguna. Penyelidikan awal mungkin
melibatkan pengidentifikasian hak akses pengguna tersebut dan posisi mereka di
perusahaan, yang berarti penyelidik dapat mulai bekerja untuk memahami bagaimana
penyerang memperoleh kredensial tersebut. Menyelidiki profil kredensial pengguna
yang dieksploitasi dapat memberikan beberapa panduan kepada IR dan tim
investigasi mengenai titik awal kompromi dalam perangkat atau jaringan. Jika
kerusakan telah terjadi pada situs web perusahaan dalam serangan bermotivasi
masalah, pastikan tim IR menyimpan salinan situs yang rusak sebagai dasar
penyelidikan Anda. Jika Anda menemukan tersangka, Anda akan berusaha
menunjukkan kepada pengadilan kerusakan yang telah mereka lakukan, terutama
jika konten yang ditampilkan di bawah nama perusahaan berbahaya.
Tim IR akan mencakup banyak area yang berbeda dari potensi kompromi dan
mungkin memiliki sedikit jawaban atas pertanyaan Anda sampai mereka memiliki
kesempatan untuk meninjau log, memahami metodologi serangan, dan mengklarifikasi
sifat dan tingkat serangan. Tergantung pada keadaan serangan dan ukuran entitas
pengadu, ini mungkin memakan waktu beberapa jam atau hari. Dalam beberapa kasus,
ini dapat berlangsung hingga berminggu-minggu. Sadarilah bahwa tim IR akan beroperasi
di bawah tekanan besar.
Beberapa area lain yang akan menjadi fokus tim IR, tergantung
pada keadaan, Anda mungkin menemukan sebagai sumber bukti termasuk:
Menutup port tempat data masuk dan keluar jaringan. Jika port diaktifkan dan tidak
memiliki fungsi dalam jaringan, ini mungkin merupakan jalur kompromi. Karena port
yang berbeda digunakan untuk berbagai bentuk lalu lintas digital, mengidentifikasi
port mana yang menjadi subjek kompromi dapat memberikan langkah kecil ke depan
dalam penyelidikan dan pengetahuan Anda tentang
bagaimana serangan itu dimulai. Misalnya, port 80 mungkin untuk lalu lintas
web, sedangkan port 25 mungkin terkait dengan lalu lintas email. Tim IR
akan dapat memberi Anda informasi ini dan penjelasan tentang artinya.
Mengidentifikasi dan menghapus perangkat yang disusupi atau dicurigai dari
jaringan jika memungkinkan. Ini sangat menarik bagi penyelidik, karena
Anda ingin bekerja dalam kemitraan dengan penyelidik digital Anda untuk
menggambarkan perangkat dan mengidentifikasi bukti kompromi. Masalah
dapat terjadi jika perangkat yang disusupi sangat penting bagi organisasi,
seperti database tempat semua catatan perusahaan yang diperlukan untuk
operasi sehari-hari disimpan. Mengambil database ini secara offline dapat
berarti bahwa perusahaan akan berhenti berfungsi. Contoh situasi ini adalah
perusahaan online yang server webnya rusak dan harus offline.
Ini berarti bahwa perusahaan tidak dapat berdagang sampai server
diamankan atau host alternatif ditemukan.
Contoh konflik antara IR dan tim investigasi adalah ketika mesin virtual telah
terinfeksi oleh perangkat lunak berbahaya (malware) dan tim IR ingin
mematikannya dan mem-boot ulang mesin virtual baru, menghapus malware.
Meskipun ini mungkin terbukti sangat efektif dalam menahan dan memberantas
serangan, itu juga akan menghancurkan bukti berharga yang tidak akan dapat
dipulihkan dan yang akan diminati oleh tim investigasi. Tindakan ini mungkin
disukai oleh manajemen, karena merupakan tindakan cepat. dan cara yang
bersih untuk memberantas malware; namun, bukti Anda sekarang akan hilang
dan tidak akan dapat dipulihkan.
Sementara penahanan adalah tanggung jawab utama tim IR, penyelidik
dunia maya dapat dilibatkan dalam proses ini untuk mengawasi pengumpulan
bukti dan memulai jalur penyelidikan baru. Bagian berharga dari bukti Anda
adalah mencari catatan anggota tim IR untuk memahami apa yang mereka lihat,
tindakan apa yang mereka ambil, alasan keputusan yang mereka buat, dan
konsekuensi dari menahan dan menghapus peristiwa tersebut. Catatan ini dapat
digunakan dalam penyusunan pernyataan oleh anggota tim IR, dan dalam hal
tersangka diidentifikasi dan dituntut, akan menjadi bagian dari bukti penuntutan.
PEMBERANTASAN INSIDEN KEAMANAN CYBER
Seperti halnya fase penahanan, tim IR bertanggung jawab atas pemberantasan

ancaman dan penyelidik dunia maya bertanggung jawab untuk memberikan
dukungan investigasi dan pengumpulan bukti. Penyidik akan melanjutkan
penyidikan setelah tim IR menyelesaikan tugasnya.
Memberantas Insiden Keamanan Cyber 81
Pemberantasan melibatkan menghilangkan ancaman dan mengamankan kerentanan

yang dieksploitasi setelah serangan tersebut dapat diatasi.1 Proses penahanan dan
pemberantasan dapat diselesaikan dalam beberapa jam, atau dalam kasus jaringan
perusahaan besar yang diserang oleh penjahat dunia maya yang sangat berpengalaman
dan memiliki sumber daya yang baik, berminggu-minggu atau bahkan berbulan-bulan.1
Bersiaplah untuk kemungkinan kasus terakhir, karena logistik akan membutuhkan
perencanaan dan sumber daya yang cermat. Juga, komunikasi terus-menerus dengan
manajemen sangat penting, karena mereka akan khawatir tentang biaya dan gangguan pada fungsi bisnis s
Meskipun Anda akan mengumpulkan informasi berharga selama fase penahanan,
proses pemberantasan berpotensi menghancurkan bukti berharga, yang tidak akan dapat
dipulihkan. Seperti disebutkan sebelumnya, menutup mesin virtual adalah cara yang efektif
untuk menghapus malware, tetapi juga menghapus bukti nilai yang mungkin Anda perlukan
dari dalam mesin virtual.
Tercantum di bawah ini adalah contoh dari beberapa proses yang dilakukan tim IR
dalam fase pemberantasan, yang mungkin menarik bagi tim investigasi:
Mengidentifikasi perangkat lain yang mungkin telah disusupi.1 Penyelidik akan tertarik
untuk memeriksa perangkat ini, karena perangkat tersebut juga dapat berisi bukti baru
atau yang menguatkan untuk mendukung informasi yang diperoleh dalam fase
penahanan.
Menginstal ulang OS dan aplikasi terkait. Setelah OS dan aplikasi diinstal ulang, bukti
potensial akan ditimpa. Pastikan Anda memiliki semua bukti dari OS dan aplikasi
terkait sebelum menginstal ulang. Menginstal ulang salinan database, OS, dan aplikasi
lain yang terpercaya, yang kemudian akan dipantau. Tim IR akan menyadari bahwa
penyerang berpengalaman mungkin masih memiliki akses jarak jauh ke jaringan, yang
belum terdeteksi dalam fase deteksi dan pemberantasan. Atau, penyerang mungkin
meninggalkan malware yang belum diidentifikasi atau diaktifkan.
Akan bermanfaat untuk tetap berhubungan dengan tim IR dan administrator sistem
selama beberapa hari setelah penginstalan ulang untuk mengonfirmasi bahwa tidak
ada kompromi lebih lanjut pada jaringan.
Melakukan pengujian untuk memastikan kerentanan yang dieksploitasi oleh penyerang
telah diperbaiki.1 Anda akan tertarik dengan informasi ini sebagai konfirmasi tambahan
dari vektor serangan yang digunakan oleh penjahat dunia maya.
Ada banyak proses yang dilakukan tim IR dalam fase penahanan dan pemberantasan.
Contoh-contoh yang tercantum di sini dimaksudkan untuk memberikan wawasan tentang
tugas mereka dan bagaimana pekerjaan mereka dapat digunakan sebagai dasar untuk
penyelidikan Anda. Sangat disarankan agar Anda berkomunikasi dengan
tim IR sebelum dimulainya respons insiden terhadap suatu peristiwa—atau

segera setelah dibawa ke acara tersebut, jika Anda menjadi pihak di luar
entitas yang diserang.
CATATAN
1. Paul Cichonski, Thomas Millar, Tim Grance, dan Karen Scarfone, Panduan
Penanganan Insiden Keamanan Komputer, Publikasi Khusus 800-61 Revisi
2, Agustus 2012, Institut Nasional Standar dan Teknologi, Departemen
Perdagangan Amerika Serikat.
9 BAB SEMBILAN
Tantangan dalam Keamanan Cyber

Investigasi Insiden
MENDAPATKAN
komplekspemahaman
di lingkungantentang kejahatan
cyber daripada yang sedang
di domain diselidiki lebih
fisik. Sebanyak
bukti tersebut berbentuk digital, mungkin sangat mudah berubah dan
dapat hilang atau rusak jika tindakan segera tidak diambil untuk memastikan
pelestariannya. Selain itu, dengan server data terdistribusi—seperti komputasi
awan—menjadi lebih umum, bukti yang dicari penyelidik dapat tersebar di berbagai
yurisdiksi dan hilang dengan sangat cepat karena tersangka menghapus bukti
kejahatan mereka dari jarak jauh. Atau, kebijakan pemaksimalan sumber daya
Penyedia Layanan Cloud (CSP) dapat mengakibatkan bukti log utama ditimpa.
Pada tahap awal, penyelidik mungkin tidak menyadari luas atau batas-batas
penyelidikan—atau bahkan kejahatan yang sebenarnya sedang diselidiki—ketika
memulai tindakan. Seperti yang kami temukan di Bab 8, bukti mungkin lambat
diperoleh karena tim IR (Tanggapan Insiden) berusaha menahan ancaman dan
membangun pemahaman teknis mereka tentang serangan itu, terkadang dengan
pertimbangan terbatas terhadap persyaratan penyelidik dunia maya. Anda
mungkin juga menemukan dukungan manajemen yang lemah, dengan beberapa
manajer hanya ingin masalah tersebut hilang sehingga mereka dapat kembali ke
bisnis seperti biasa, meskipun dengan standar keamanan yang lebih tinggi agar
masalah tidak terulang kembali.
83
84 Tantangan dalam Investigasi Insiden Keamanan Cyber
TKP dalam investigasi cyber berbeda dari TKP fisik tradisional di mana penyelidik memiliki kendali
atas TKP sejak awal, memberikan arahan untuk semua penyelidikan, dan dapat memastikan TKP dan
barang bukti tidak terkontaminasi. Seperti yang telah dibahas, tanggung jawab pertama tim Incident
Response (IR) mungkin adalah untuk mengurangi dan memberantas serangan, dengan investigasi
peristiwa dan pengumpulan bukti forensik menjadi tanggung jawab penting—bukan fitur utama—
digabungkan ke dalam respons.
Untuk kejahatan tradisional, detektif yang memeriksa tempat kejadian akan ingin memulai
pemeriksaan mereka dengan tempat kejadian sedekat mungkin dengan keadaan tempat pelaku meninggalkannya.
mungkin. Itu berarti mengontrol akses ke tempat kejadian, melindunginya dari kerusakan dari peristiwa
seperti cuaca dalam kasus pemandangan di luar ruangan, memotret pemandangan dan bukti, dan
sebagainya. Penyelidik akan bekerja di lingkungan yang sangat berbeda dalam kasus serangan siber,
dengan konsekuensi berbeda terhadap manajemen tempat kejadian dan perlindungan bukti.
Apakah serangan siber berlanjut ketika penyelidik siber pertama kali hadir atau telah diperbaiki,
tempat kejadian dan bukti akan terlihat sangat berbeda dari saat kejahatan itu pertama kali diidentifikasi,
dan mereka perlu melihat secara retrospektif untuk mempertanggungjawabkan semua tindakan yang
diambil setelah serangan. identifikasi peristiwa siber dalam kemitraan dengan tim IR. Ini adalah investigasi
dinamis, dan keputusan untuk mengambil bukti berharga di kemudian hari selama respons mungkin
merupakan keputusan yang disesali di kemudian hari.
Bab ini akan membahas secara singkat serangkaian tantangan unik yang mungkin ditemukan oleh
penyelidik kejahatan dunia maya jika dibandingkan dengan jenis kejahatan lainnya.
TANTANGAN UNIK
Mendefinisikan Batas Investigasi

dan Tujuan Manajemen
Karena tingkat kejahatan mungkin tidak diketahui, arahan awal dari manajemen mengenai tujuan
penyelidikan IR dapat berubah selama penyelidikan. Arahan awal mungkin untuk memberikan laporan
untuk informasi manajemen saja; namun, penyelidikan mungkin menemukan bukti signifikan untuk
mengidentifikasi penyerang atau mungkin menemukan bahwa serangan itu jauh lebih besar dari yang
diperkirakan sebelumnya, sehingga manajemen kemudian ingin memulai proses hukum terhadap
penyerang yang teridentifikasi dan/atau melaporkan masalah tersebut ke polisi dan/atau petugas privasi
data dalam yurisdiksi Anda.
Tantangan Unik 85
Tentukan batas-batas penyelidikan secara luas dan persempit ketika

Tip:
situasinya menjadi lebih jelas. Lebih mudah untuk memulai dengan lebar dan
bekerja ke dalam daripada sebaliknya, karena bukti di luar batas penyelidikan
Anda mungkin hilang atau hancur. Selalu bersiaplah untuk mendapatkan
bukti dan proses investigasi Anda ditantang di pengadilan, bahkan ketika
instruksi awal yang diberikan oleh klien Anda adalah untuk memberikan
laporan hanya untuk manajemen.
Mengidentifikasi Potensi Pelanggaran (Pidana dan/atau Perdata)

Dalam memahami kejahatan, penyelidik perlu memastikan bahwa mereka
menyadari bahwa mungkin ada lebih dari satu tindakan penyerang dalam peristiwa
siber. Misalnya, serangan Distributed Denial of Service (DDoS) dapat dimulai
terhadap server web perusahaan target dengan tujuan mengalihkan perhatian tim
keamanan dari target serangan yang sebenarnya: pencurian Kekayaan Intelektual
(IP) perusahaan. ) dari database server terpisah.
Sementara serangan yang jelas harus ditangani, menyadari

Tip:
potensinya sebagai serangan pengalihan adalah penting. Memiliki anggota
dari staf keamanan sistem yang terus memantau aktivitas lain di seluruh
jaringan adalah investasi yang mungkin tidak diharapkan oleh penyerang.
Mengidentifikasi Data dan/atau Sumber Daya yang Disusupi

Catatan sistem mungkin tidak selalu tersedia bagi penyelidik, karena tindakan
mitigasi dan pemberantasan mungkin telah menghapus data yang akan digunakan
penyelidik secara permanen. Juga, dalam banyak kasus, log tidak disimpan karena
biaya pemeliharaan volume besar data log dari bulan-bulan sebelumnya dari
banyak sistem operasi dan aplikasi.
Rencana IR harus dirancang untuk memasukkan peran investasi

Tip:
tigator. Ini juga akan mengajarkan anggota tim tentang nilai peran
masing-masing. Jalankan juga acara pelatihan IR di berbagai skenario
serangan, di mana nilai berbagai log dapat diidentifikasi dan dimasukkan
ke dalam kebijakan pelestarian log.
Mengidentifikasi Tersangka dan Motivasi
Pelanggar dapat ditemukan secara harfiah di mana saja di dunia dan bersembunyi di balik
aplikasi anonim dan teknologi lainnya. Pelanggar juga dapat ditempatkan di organisasi yang
diserang, sehingga ancaman orang dalam tidak dapat diabaikan.
Mereka juga dapat menghancurkan bukti kehadiran mereka bahkan sebelum suatu peristiwa
diidentifikasi.
Penjahat dunia maya yang berpengalaman dalam kejahatan komputer memiliki
kemampuan untuk mempersulit penyelidik untuk menemukan mereka. Bahkan mengidentifikasi
wilayah internasional tempat mereka berada merupakan tantangan tersendiri. Menggunakan
sumber daya teknis seperti Virtual Private Networks (VPN), server proxy, enkripsi, anonimizer,
identitas palsu, dan layanan cloud menghancurkan bukti saat dibuat; dengan serangan yang
berpotensi melintasi banyak yurisdiksi hukum, waktu respons mungkin secara signifikan
berada di belakang perkembangan pelanggaran.
Tidak ada metode cepat dan mudah untuk mengatasi masalah ini.
Tip: Melibatkan salah satu perusahaan IR besar dapat memberikan beberapa bantuan yang
berharga, karena perusahaan-perusahaan ini memiliki sumber daya internasional, visibilitas,
dan kesadaran luas tentang perilaku penjahat dunia maya.
Mengidentifikasi Kerentanan yang Dieksploitasi
Metodologi penyerang hanya dibatasi oleh keterampilan dan imajinasi mereka. Meskipun
mereka mungkin menerapkan metodologi umum yang berhasil, penyerang yang terampil
memodifikasi strategi serangan mereka agar sesuai dengan keadaan dan untuk mencerminkan
lingkungan tempat mereka beroperasi.
Penyelidik harus memahami berbagai metodologi serangan dan, jika mungkin,
mengidentifikasi motivasi penyerang di awal investigasi untuk memahami bagaimana mereka
bergerak di sekitar jaringan dan menghindari keamanan.
Tip: Tim
Pelatihan pra-acara
IR membawa staf keamanan
pengetahuan tentang sistem danserangan
metodologi akses kesaat
berpengalaman
ini ke dalam
tim IR dan investigasi Anda. Seringkali Anda mungkin tidak memiliki keterampilan
yang diperlukan untuk berhasil mempertahankan jaringan dan Anda akan memerlukan
bantuan ahli dari luar. Informasi ini dapat dibagikan kepada penyelidik untuk
memberikan arahan saat mereka memulai penyelidikan.
Tantangan Unik 87
Mengamankan Bukti
Peran utama tim IR adalah untuk menahan ancaman, menguranginya, dan mengembalikan
perusahaan ke standar keamanan yang lebih tinggi. Untuk mencapai hal ini, tim IR harus
bekerja dengan cepat dan membuat keputusan yang cepat, yang mungkin bertentangan
dengan keinginan penyelidik utama. Kami sebelumnya menjelaskan contoh tim IR yang
memutuskan bahwa mematikan server virtual dan mem-boot ulangnya dalam keadaan
aman akan menghilangkan ancaman yang datang dari server cloud yang telah terinfeksi.
Meskipun tindakan ini mungkin merupakan pilihan terbaik untuk mengatasi ancaman, data
log berharga, yang dapat memberikan bukti tersangka dan aktivitasnya, akan dihancurkan
dan tidak akan dapat dipulihkan.
Selama operasi tim IR, pemikiran untuk memulai penyelidikan pasca-kejadian untuk
menemukan tersangka mungkin tidak muncul ke permukaan. Namun, setelah tingkat
pelanggaran telah diidentifikasi, keputusan dapat dibuat untuk memulai penyelidikan dan
merujuk masalah tersebut ke polisi. Sayangnya, seperti yang dinyatakan sebelumnya,
barang bukti berharga akan dihancurkan dan tidak akan dapat ditemukan kembali.
Penyelidik dunia maya harus mencari semua bukti yang tersedia dari banyak sumber.
Namun, bukti mungkin tidak selalu tersedia tanpa kerja sama eksternal, seperti dalam
kasus di mana pihak ketiga, seperti penyedia komputasi awan, mengontrol perangkat
keras/lunak sistem.
Penyelidik perlu mengetahui semua sumber bukti berbeda yang dapat dihasilkan
oleh perangkat komputer dan memastikan bahwa ini segera diamankan.
Latihan pelatihan pra-acara menyoroti peran IR dan tim investigasi

Tip:dan bagaimana tujuan mereka dapat saling melengkapi atau
bertentangan. Membangun peran dan tugas masing-masing pihak ke dalam
rencana respons akan membantu melestarikan bukti. Arahan dari manajemen
kepada tim IR bahwa bukti harus dikumpulkan sebagai bagian dari tugas
mereka akan membantu penyidik.
Jika ada acara langsung dan tidak ada rencana IR, komunikasi dan rasa hormat
terhadap peran satu sama lain diperlukan, dengan manajemen memberikan arahan
kepada semua pihak.
Memahami Yurisdiksi Hukum Tempat Kejadian

Terjadi dan Buktinya Ada
Karena penjahat dunia maya mungkin tinggal di negara yang terpisah dari targetnya,
hukum negara tersebut mungkin sangat berbeda dengan hukum negara korban. Apa mungkin?
menjadi tindak pidana serius di wilayah hukum korban mungkin bukan merupakan pelanggaran
sama sekali di negara penyerang, dan bahkan mungkin merupakan kegiatan hukum.
Jika Anda telah mengidentifikasi penyerang berada di yurisdiksi asing di

Tip:mana mereka tidak melakukan pelanggaran dengan menyerang jaringan Anda,
tentukan tujuan Anda. Bekerja sama dengan penegak hukum untuk menentukan
apakah mereka dapat melakukan penyelidikan dan mengidentifikasi tersangka.
Jika terjadi pelanggaran besar di mana tersangka berada dalam yurisdiksi hukum
di luar jangkauan penyelidikan, penegak hukum mungkin dapat memperoleh surat
perintah penangkapan yang mengatur penangkapan tersangka jika mereka
meninggalkan yurisdiksi lokal mereka.
Menemukan Bukti Digital dengan Tepat Waktu

Penyelidik perlu bekerja dalam kemitraan dengan tim IR atau administrator sistem untuk
menentukan perangkat apa yang berisi bukti dan untuk memastikannya
penangkapan yang dapat dipertanggungjawabkan.
Bukti digital dapat hilang dengan sangat cepat setelah suatu peristiwa, karena bukti seperti
data log sering ditimpa. Selain itu, penyerang mungkin masih memiliki akses ke sistem dan mulai
menghancurkan bukti setelah mereka mengidentifikasi bahwa mereka telah dijanjikan.
Penjahat juga diketahui menyeka ponsel mereka dari jarak jauh setelah disita oleh polisi jika
ponsel tidak dalam mode terbang atau disimpan dalam tas Faraday. Ponsel juga dapat digunakan
sebagai alat pendengar, artinya jika Anda secara sah menyita perangkat tersebut, pemiliknya
mungkin memiliki kapasitas untuk mengaktifkan aplikasi dari jarak jauh dan mendengarkan
percakapan Anda saat Anda melakukan penyelidikan.
Tentukan di awal penyelidikan urutan volatilitas bukti

Tip:dan merespon sesuai. Ini dibahas di bagian Bab 10
“Akuisisi Bukti Digital.”
Tantangan Unik 89
Mempertahankan Rantai Bukti di Berbagai

Yurisdiksi
Karena bukti digital mungkin terletak di yurisdiksi internasional, seperti halnya dengan
server cloud, tanggung jawab penyelidik untuk menjaga rantai bukti menjadi lebih
kompleks, meskipun tidak kalah pentingnya.
Ini adalah komponen dasar dari penyelidikan Anda. Pahami proses

Tip:
mendapatkan bukti Anda di seluruh yurisdiksi internasional dan orang-
orang yang terlibat. Dapatkan pernyataan segera, karena memperolehnya
setahun kemudian kemungkinan akan mendapat tanggapan yang beragam.
Petakan jalur bukti Anda dari sumber ke ruang sidang sehingga Anda bisa
teliti dan akurat dalam bukti Anda.
Memahami Kompleksitas Bukti

Kejahatan digital bisa sangat kompleks, karena bahasa teknis yang unik akan berlaku.
Ingatlah bahwa teknologi dirancang untuk berfungsi sesuai spesifikasi, bukan dengan
persyaratan pengadilan untuk memahaminya.
Rencanakan kompleksitasnya. Pertimbangkan untuk membawa orang

Tip:
independen ke pengadilan untuk menunjukkan bukti teknis yang terbuka.
Pada fase investigasi, tunjuk orang yang berpikiran teknis untuk meneliti
teknologi dan prosesnya.
Menyinkronkan Waktu pada Log Peristiwa di seluruh Sistem

Arsitektur
Dengan banyaknya komponen berbeda yang dibangun ke dalam arsitektur komputer,
produsen perangkat keras, sistem operasi, dan aplikasi mungkin tidak selalu
menggunakan format yang sama untuk merekam log. Beberapa tidak dapat dibaca
oleh manusia. Waktu yang dicatat pada log dapat tersebar di zona waktu yang
berbeda, yang berarti bahwa proses penerjemahan akan diperlukan sebelum analisis
log dapat dimulai. Proses ini mungkin juga perlu dijelaskan ke pengadilan.
Ini sangat penting, karena log tidak selalu beroperasi di tempat yang sama
Tip: zona waktu. Pastikan semua log masuk atau dikonversi ke zona waktu yang ditentukan
dan merekam proses di mana ini dilakukan. Lihat juga untuk mengonfirmasi itu
kali dari log konsisten, karena bahkan perbedaan satu detik antara
kumpulan log yang berbeda akan membingungkan penyelidikan Anda.
Memahami Biaya Investigasi Multiyurisdiksi

Memperoleh bukti melintasi batas-batas internasional sangat sulit dan
mahal untuk penyelidik sipil. Sedangkan penyidik pidana dapat mengambil manfaat
dari penggunaan Mutual Legal Assistance Treaty (MLATs) untuk membantu penyelidikan
mereka, penyelidik sipil tidak memiliki dukungan formal semacam itu. Biaya dapat meningkat
sangat cepat dan memiliki anggaran yang ditetapkan pada awal investigasi dapat
memberikan kejelasan kepada tim investigasi.
Dengan investigasi sipil, tetapkan anggaran dan pantau secara teratur

Tip: ulasan. Biaya investigasi dan dukungan hukum di seluruh internasional
batas sangat mahal, dan biaya penyelidikan dapat dengan cepat
melebihi biaya serangan cyber.
Menilai Biaya Dampak

Seorang penyelidik dapat dipekerjakan untuk memberikan laporan kepada manajemen untuk mendukung
klaim asuransi cyber. Dengan sifat dinamis dari bukti digital, penilaian
tingkat kejahatan dan biaya yang terkait mungkin terbukti sulit.
Saat mengajukan klaim asuransi cyber, mungkin ada persyaratan untuk

Tip: memberikan bukti ahli untuk mendukung klaim tersebut. Ini juga berlaku
di pengadilan, di mana Anda harus memenangkan kasus Anda, hakim akan tertarik
memperoleh penilaian atas biaya kerugian untuk menentukan
pilihan, termasuk ganti rugi yang akan diberikan kepada pelapor.
Bersiaplah untuk perkiraan kerugian yang akan digugat oleh terdakwa, karena hukuman
atau hukuman mereka di masa depan akan ditentukan oleh faktor-faktor yang mencakup
biaya tindakan mereka. Menggunakan dukungan ahli yang memenuhi syarat dari kuasa
hukum, penyidik, dan/atau penilai yang dapat memberikan bukti ahli kepada pengadilan
tentang biaya kerugian.
Memahami tantangan ini adalah keterampilan yang dipelajari melalui pengalaman saja.
Pelajaran yang didapat akan dimasukkan ke dalam rencana IR yang diperbarui, tetapi juga
ke dalam pengetahuan kolektif tim investigasi. Dengan informasi ini, penyelidikan adegan
kejahatan dunia maya selanjutnya akan dilakukan.
Perceraian pernikahan diikuti oleh persidangan yang diperebutkan di pengadilan atas aset
perkawinan dan masalah terkait. Sang istri mengalami kesulitan di pengadilan di atas
tekanan normal yang terlibat dalam perpisahan pernikahan.
Dia telah berkomunikasi dengan pengacaranya dan jaringan dukungan pribadi melalui
akun webmailnya. Seiring berjalannya waktu, dia memperhatikan bahwa calon suaminya
tampaknya tahu apa yang dia lakukan dan dengan siapa dia bergaul, serta rincian tentang
komunikasinya dengan pengacaranya.
Tingkat pengetahuan yang dia miliki menjadi sangat spesifik dan diterapkan di berbagai
percakapan yang dia lakukan. Dia curiga bahwa dia mungkin meretas akun email online-
nya, yang telah dia buat bertahun-tahun sebelumnya. Dia mengubah kata sandi tetapi ini
membuat sedikit perbedaan untuk informasi yang dia ketahui tentang aktivitasnya.
Pertanyaan dibuat dengan seorang teman yang memiliki keterampilan teknis, dan dia
memeriksa pengaturan di akun emailnya. Ditemukan bahwa suami memiliki redi rect di
akun, artinya semua korespondensi email masuk dan keluar akun diteruskan kepadanya.
Pertimbangan ketika polisi meninjau pengaduan adalah yurisdiksi mana yang memiliki
tanggung jawab untuk menyelidiki pengaduan: Australia, tempat tersangka dan pengadu
berdomisili, atau Amerika Serikat, tempat server komputer berada. Ditetapkan bahwa karena
undang-undang setempat, pengadilan lokal memiliki yurisdiksi meskipun server komputer
berlokasi di Amerika Serikat, karena suami dan aktivitasnya berbasis di Australia.
Bukti digital termasuk alamat Protokol Internet yang digunakan untuk mengakses akun
serta bukti akun email pengalihan milik
suami. Log komputer di komputer suami diidentifikasi log-on

aktivitas dan cap waktu loginnya ke akun Hotmailnya, di mana
email yang diarahkan telah dikirim.
Setelah pengadilan mendengar masalah tersebut, sang suami divonis bersalah dan dihukum
terikat pada hukuman non-penahanan.
10BAB SEPULUH
Menyelidiki Kejahatan Dunia Maya

Pemandangan
lokasi perangkat atau jaringan yang terpengaruh sebenarnya adalah TKP. Dia
MESKIPUN peristiwa kejahatan dunia maya dapat terjadi di lingkungan digital,
dimana tindak pidana itu terjadi dan/atau terdapat barang bukti. TKP
dimana penyidik memperoleh akses yang sah melalui persetujuan atau perintah pengadilan dapat
berupa tempat komersial dan/atau alamat rumah tersangka. Mungkin juga tempat umum di mana
tersangka telah bergabung dengan jaringan Wi-Fi gratis dan menggunakan akses yang tidak
diverifikasi sebagai sarana untuk menganonimkan aktivitas mereka.
Bab ini khususnya relevan bagi penyidik penegak hukum tetapi juga berlaku bagi penyidik sipil.
Misalnya, manajemen tempat kejadian yang terlibat dalam penyelidikan dugaan pencurian Kekayaan
Intelektual (IP) internal akan berbeda dari yang melibatkan serangan Distributed Denial of Service
(DDoS) eksternal, dan konten bagian ini akan berlaku berdasarkan keadaan serta pengalaman,
pengetahuan, dan persyaratan para penyelidik saat itu. Perawatan pameran harus memiliki standar
yang sama untuk semua adegan kejahatan dunia maya; namun, aktivitas seperti memotret
pemandangan mungkin tidak relevan dalam contoh serangan DDoS.
TKP berbeda dalam ukuran, dan satu kejahatan mungkin telah dilakukan di beberapa lokasi.
Adegan kejahatan dunia maya Anda mungkin kantor komersial besar atau kantor kecil tempat seorang
manajer yang melakukan penipuan terhadap klien mereka bekerja. Atau, Anda mungkin diminta untuk
menghadiri bisnis dan mengumpulkan satu perangkat untuk penyelidikan dengan sedikit pekerjaan di
tempat kejadian.
93
94 Menyelidiki TKP Cybercrime
Misalnya, pelaku yang merupakan karyawan perusahaan mungkin telah melakukan

pelanggaran terhadap majikan mereka di tempat kerja melalui jaringan internal,
serta dari alamat rumah mereka di mana mereka memiliki akses log-on jarak jauh. Kejahatan
adegan dapat melintasi perbatasan lokal dan internasional, dengan penegakan hukum dan
industri bekerja sama untuk menemukan tersangka yang wilayahnya ketika mereka melakukan
kejahatan pada gilirannya menjadi TKP. Legalitas akses yang sah ke
TKP akan tergantung pada keadaan dan ditentukan dengan nasihat hukum yang memenuhi syarat.
Ini adalah pemeriksaan TKP dan bukti yang mengarah pada tindak lanjut
pertanyaan yang pada gilirannya dapat mengarah pada identifikasi pelaku dan
bukti untuk melakukan penuntutan yang berhasil jika diperlukan. Penyelidik yang berpengalaman
akan memahami bahwa investasi waktu dan usaha
dalam memeriksa adegan itu akan menunjukkan nilai sebenarnya beberapa tahun kemudian ketika
diperiksa silang tentang pekerjaan mereka oleh pengacara terdakwa. kata
“investasi” secara khusus digunakan, karena pekerjaan Anda di TKP dan identifikasi/penyitaan/
pengumpulan bukti akan terbukti menjadi bagian berharga dari
dasar penyelidikan Anda.
Manajemen TKP adalah keterampilan yang dihabiskan banyak detektif secara signifikan
periode pembelajaran karir mereka, karena setiap TKP mungkin berbeda. Sedangkan digital
TKP jelas akan terlihat sangat berbeda dari TKP pembunuhan, prinsip-prinsip seputar aturan
pembuktian tetap sama dan bukti harus
ditangani sesuai standar yang dituntut pengadilan. Meskipun komputer adalah alat bukti yang
berbeda dari pisau berlumuran darah di sebelah tubuh, itu tidak berarti
aturan bukti yang berlaku memiliki ambang akuntabilitas yang lebih rendah.
Jika tempat kejadian dan barang bukti tidak ditangani dengan baik, barang bukti dapat
dikecualikan atau diterima dengan enggan, dengan konsekuensi melemahnya
nilai. Banyak kasus telah dilemahkan di pengadilan karena TKP dan
pameran tidak dikelola dengan baik dan integritasnya tidak dapat dijelaskan kepada
standar yang disyaratkan oleh pengadilan. Hal ini dapat menyebabkan pemberian biaya kepada
kepentingan terdakwa, khususnya dalam perkara yang disidangkan di pengadilan perdata atau
pengadilan.
Pemeriksaan TKP yang lengkap dan berkualitas tinggi memberikan wawasan kepada
pengacara pihak lawan tentang kemampuan para penyelidik. Sebaiknya
mereka meninjau pemeriksaan dan menyimpulkan bahwa pemeriksaan tersebut tidak dikelola dengan
baik, dengan bukti yang tidak ditemukan atau dokumentasi yang tidak lengkap, pandangan mereka akan
bahwa sisa penyelidikan memiliki standar yang sama. Hal ini dapat membuat
perbedaan antara seorang pengacara yang merekomendasikan agar klien mereka mengakui tuduhan itu
melawan mereka dan pengacara menantang bukti, penyelidikan Anda, dan
tuduhan bersalah.
Menyelidiki TKP Cybercrime 95
Di tempat kejadian, detektif menggunakan pepatah "Kontrol orang-orang dan Anda

mengendalikan adegan." Ini berarti bahwa orang-orang di tempat kejadian dan tindakan
mereka adalah salah satu risiko terbesar terhadap integritas manajemen tempat kejadian,
dan penyelidik kejahatan digital harus memastikan bahwa hanya orang-orang yang
diperlukan di tempat kejadian yang hadir, bahwa kehadiran mereka didokumentasikan,
dan bahwa tindakan mereka dicatat dalam buku catatan, yang dapat menjadi bukti
tersendiri. Ini mungkin sulit dalam adegan komersial di mana bisnis sehari-hari berlanjut,
tetapi beban tetap ada pada tim investigasi untuk bekerja dalam lingkungan ini dan
melestarikan tempat kejadian dan mengumpulkan bukti ke standar yang disyaratkan oleh
pengadilan setempat.
Rencana pra-acara mencatat banyak aspek dalam menanggapi acara digital, dan
manajer adegan sebenarnya adalah detektif yang memiliki kendali atas acara tersebut
sejak awal. Rencana pra-acara akan dibahas di bagian selanjutnya dari bab ini. Manajer
investigasi dan anggota tim perlu memahami peran penting dari pelestarian bukti dan
memiliki wewenang yang telah disetujui sebelumnya untuk mengelola acara yang
dianggap perlu dalam situasi tersebut.
Ini mungkin melibatkan wewenang untuk memberi tahu anggota senior organisasi untuk
menjauh dari tempat kejadian saat tindakan darurat sedang diambil dan untuk memberikan
pengarahan di lokasi terpisah secara teratur atau ketika informasi baru datang. Jika
manajer senior suatu organisasi mulai memberi tahu penyelidik bagaimana melakukan
pekerjaan mereka, manajer senior mungkin diminta untuk menghadiri pengadilan dalam
persidangan terdakwa, menjelaskan alasan arahan mereka, dan merinci pengalaman
mereka dalam manajemen tempat kejadian dan penyimpanan bukti. , serta bertanggung
jawab atas segala konsekuensi negatif yang timbul dari arahan mereka.
Sebagai pemikiran terakhir sebelum kita melanjutkan ke proses investigasi,

pahamilah bahwa pekerjaan Anda di tempat kejadian belum tentu menyelesaikan
kejahatan dalam satu jam pertama, meskipun itu adalah hasil yang bagus jika Anda bisa.
Salah satu tugas utama Anda adalah meletakkan dasar yang kuat untuk fase investigasi
utama melalui manajemen tempat kejadian dan pengumpulan bukti.
Bab ini membahas berbagai aspek manajemen adegan. Ini akan mengambil
pandangan yang sangat umum tentang identifikasi, pengumpulan, dan penyitaan bukti,
karena undang-undang di setiap yurisdiksi hukum akan berbeda. Ini adalah tanggung
jawab penyidik untuk memahami aturan bukti dan manajemen tempat kejadian di yurisdiksi
mereka saat menggunakan bab ini sebagai dokumen pendukung. Prinsip-prinsip bab ini
mungkin berlaku untuk penggeledahan di tempat pelapor maupun tersangka, di mana
Anda menghadiri tempat kejadian dengan perintah pengadilan. Perhatikan bahwa Gambar
10.1 sampai 10.8 adalah kreasi ulang untuk kepentingan pembaca. Gambar-gambar ini
telah dimasukkan dalam buku untuk menambah relevansi. Gambar asli
dari TKP tidak tersedia, karena mereka adalah milik dari lembaga penegak hukum
yang relevan.
Pertama kita akan memeriksa susunan tim investigasi.
TIM Investigasi
Anggota tim investigasi TKP adalah beberapa komponen paling penting dari
investigasi Anda, karena ini adalah orang-orang yang akan mengumpulkan bukti
yang akan diandalkan oleh sebagian besar sisa investigasi Anda. Penegakan hukum
menghabiskan banyak waktu untuk melatih petugas mereka dalam investigasi dan
manajemen tempat kejadian, yang mencerminkan fakta bahwa ini adalah keterampilan
yang terus dikembangkan dan diadaptasi, karena semua adegan berbeda dalam beberapa hal.
Berapa Banyak Orang yang Anda Butuhkan?
Ini akan ditentukan oleh keadaan penyelidikan Anda dan jumlah waktu yang Anda
miliki. Sadarilah bahwa keadaan dapat berubah dengan sangat cepat di lokasi karena
lebih banyak informasi tentang penyelidikan ditemukan, dan memiliki staf tambahan
yang tersedia sangat berharga. Meskipun lebih disukai untuk memiliki jumlah orang
yang tepat, memiliki orang tambahan yang tersedia selama fase awal pemeriksaan
tempat kejadian sampai Anda memiliki pemahaman penuh tentang dinamika situasi
mungkin bermanfaat. Jika Anda menemukan Anda memiliki terlalu banyak orang di
suatu lokasi, mereka selalu dapat dibebaskan untuk tugas lain.
Tentukan Keterampilan yang Dibutuhkan
Penyelidik digital adalah individu yang sangat terampil dan disarankan untuk memiliki
satu di tim Anda kecuali jika Anda mengumpulkan bukti untuk dikirimkan ke penyelidik
digital yang telah disimpan. Memahami keterampilan tim Anda di bidang-bidang
seperti wawancara, lokasi bukti, manajemen pameran, dan pencarian umum
diperlukan sebelum acara.
Adegan kejahatan dunia maya dapat berkisar dari komputer laptop hingga
serangkaian kantor perusahaan. Di lokasi fisik, penyidik pimpinan bertanggung jawab
untuk menjaga TKP dan penemuan, penyitaan, dan penyimpanan barang bukti yang
sah, tertib. Karena setiap adegan berbeda, sumber daya yang dibutuhkan akan
berbeda dan dikelola sesuai dengan pengalaman dan persyaratan manajer adegan
serta aturan bukti setempat.
Tim Investigasi 97
Pada awalnya mungkin ada tiga tingkat wewenang: penyidik utama, yang memiliki
wewenang penuh atas penyelidikan; manajer tempat kejadian, yang akan menjalankan
surat perintah penggeledahan/perintah pengadilan; dan petugas barang bukti, yang akan
mengamankan barang bukti yang disita dan menjaga lacak balak. Turut hadir petugas
pencari, yang melakukan pencarian/pemeriksaan fisik di lokasi. Manajer tempat kejadian
akan menjadi orang yang ditunjuk oleh penyelidik utama untuk mengontrol fase pencarian
dan pengumpulan bukti. Tergantung pada ukuran tempat kejadian, jumlah orang di lokasi,
dan sumber daya serta keterampilan yang tersedia, penyelidik utama dan manajer tempat
kejadian mungkin orang yang sama.
Memiliki manajer pameran yang terpisah mengambil beban kerja yang signifikan dari
penyelidik utama dan manajer adegan.
Setiap orang di tempat kejadian, seperti pencari, penyelidik digital, petugas pameran,
dan lainnya, akan memiliki tanggung jawab khusus. Pastikan bahwa orang-orang memahami
tugas mereka dan memiliki peralatan yang diperlukan sebelum tiba di
pemandangan.
Penjelasan singkat tentang siapa anggota tim pemeriksaan tempat kejadian

adalah sebagai berikut:
Pencari Umum: Orang yang secara fisik mencari bukti dan menemukannya. Mereka akan
bekerja sama dengan petugas pameran dan mencatat apa yang mereka temukan, di mana
mereka menemukannya, dan jam berapa mereka menemukannya, dan memberikan
deskripsi pameran. Contoh entri notebook mereka setelah menemukan laptop Dell mungkin:
Butir 1: Terletak satu komputer laptop Dell, model ABC, nomor seri 12345678, di meja
Joe Smith pada 09:17 Laptop dimatikan. Warna silver dengan tas jinjing Dell hitam.
Mengarah ke laptop di tas diamankan juga. Goresan diamati di dasar perangkat.
Petugas Pameran: Menunjuk petugas pameran yang ditunjuk membantu mengurangi beban
kerja penyelidik utama; mereka bertanggung jawab untuk memastikan mereka memiliki
semua yang mereka butuhkan untuk mengelola pameran.
Orang ini bertanggung jawab untuk mempertanggungjawabkan semua barang bukti

yang disita. Mereka akan memiliki barang bukti yang dikirimkan kepada mereka oleh pencari
umum dan bertanggung jawab untuk menjaga rantai penjagaan. Contoh entri di log bidang
mereka mungkin:
Butir 1: Menerima satu komputer laptop Dell, model ABC, nomor seri 12345678, dari Mary
Jones pada 09:22 Berwarna perak dengan petunjuk dalam tas jinjing Dell hitam.
Contoh perangkat dengan pengidentifikasi unik diilustrasikan pada Gambar 10.1 dan 10.2.
Manajer Adegan: Manajer adegan bertanggung jawab atas tim yang mengerjakan adegan.
Mereka akan berhubungan dengan pimpinan investigasi, yang mungkin, tergantung pada
situasinya, adalah orang yang sama. Mereka akan menggambar atau menggambar sketsa peta
lokasi dan dapat mengidentifikasi dengan tepat di mana setiap barang bukti berada.
Misalnya, peta sketsa yang disiapkan dan catatan terkait akan menunjukkan komputer Dell
yang terletak oleh Mary Jones berasal dari meja Joe Smith, yang merupakan meja pertama di
sisi kanan ruang utama di sebelah ambang pintu. Di kantor besar, ruangan akan memiliki sebutan
sendiri, seperti "kantor utama" atau "pusat panggilan telemarketer".
Manajer tempat kejadian akan menunjuk seseorang untuk menyiapkan tanda terima untuk
setiap pemilik barang bukti, memperhitungkan setiap barang yang disita. Biasanya orang ini akan
GAMBAR 10.1 Hard drive menunjukkan nomor seri sebagai pengenal unik.
Sumber: Foto © Graeme Edwards.
Tim Investigasi 99
GAMBAR 10.2 Printer komputer menampilkan nomor seri sebagai pengenal unik.
menjadi petugas pameran, meskipun seorang anggota tim pencari umum dapat ditugaskan
untuk membantu petugas pameran dalam tugas ini setelah mereka menyelesaikan tugas
mereka yang lain.
Fotografer : Manajer adegan juga akan memastikan bahwa seseorang ditunjuk untuk
mengambil foto lokasi dan pameran saat ditemukan dan sebelum dipindahkan. Saat pertama
kali tiba di tempat kejadian, mintalah fotografer merekam adegan tersebut melalui foto atau
video sehingga nantinya dapat terlihat persis seperti saat tim investigasi tiba.
Fotografer akan mengambil foto pameran saat ditemukan. Tergantung pada situasinya,
foto umum dapat mengidentifikasi informasi yang kemudian menjadi penting, seperti catatan
tempel di dinding di atas meja pengguna.
Ketika Mary menempatkan laptop di meja Joe, dia akan memanggil fotografer untuk
mengambil foto umum di mana meja Joe berada di kantor, pameran seperti yang ditemukan,
ketika dikeluarkan dari tas jinjing. , dan pengenal unik apa pun, seperti nomor seri. Jika
komputer sedang berjalan, mereka akan mengambil foto layar dan jendela yang terbuka.
Untuk mencegah klaim bahwa goresan pada laptop disebabkan oleh tim investigasi,
fotografer akan mengambil foto goresan di dasar laptop pada saat ditemukan dan Mary
akan merekamnya di buku catatannya.
Untuk menguatkan bahwa meja tersebut adalah milik Joe, fotografer juga dapat
mengambil foto barang-barang pribadi di atas meja, seperti catatan tulisan tangan, foto
keluarga, dompet, dokumen pribadi, dan sejenisnya.
Manajer adegan juga akan menganggap fotografer itu sangat berharga ketika barang-
barang berharga, seperti uang tunai, ditemukan. Memfilmkan temuan uang tunai dan
jumlahnya dengan merekam secara elektronik nomor seri setiap uang kertas memberikan
tingkat keamanan bagi tim investigasi terhadap tuduhan pencurian yang dilakukan terhadap
mereka. Juga, jika uang tunai disita sebagai barang bukti, pencatatan nomor seri
memastikan bahwa jika ada salah hitung, rekaman dapat dengan jelas menunjukkan
bahwa itu hanya kesalahan dan tidak ada yang tidak jujur.
Digital Investigator: Seperti yang telah dibahas, orang ini akan memiliki keterampilan dan
pengetahuan khusus dan akan bertanggung jawab untuk mengawasi pengambilan data
digital, terutama dari perangkat yang sedang beroperasi.
Karena bukti mereka pada akhirnya akan sangat penting untuk penyelidikan, ketika
mengumpulkan tim investigasi Anda, pastikan bahwa mereka secara teknis kompeten
untuk tugas ini, dengan kapasitas untuk memberikan bukti mereka di pengadilan jika diperlukan.
Mereka harus mampu menghasilkan bukti independen tentang kualifikasi dan pelatihan
mereka, membuktikan bahwa keahlian mereka mutakhir, dan membuktikan bahwa alat
digital yang mereka gunakan cocok untuk tugas yang mereka lakukan dan mereka
memenuhi syarat dan kompeten untuk digunakan. mereka.
Pewawancara : Orang yang diberi tugas pewawancara dapat berupa anggota tim yang
memiliki keterampilan yang telah terbukti. Atau, mereka dapat diberi tugas ini jika Anda
memikirkan (a) orang tertentu.
Karena tim investigasi akan datang ke tempat kejadian sementara tim Incident
Response (IR) beroperasi, kenyataannya adalah bahwa mereka mungkin memiliki
pengetahuan yang terbatas tentang peristiwa tersebut selain dari garis besar awal yang
singkat. Ini adalah kasus di banyak penyelidikan polisi ketika penyelidikan dimulai dengan
informasi yang sangat terbatas, dan keputusan penting dibuat dalam lingkungan ini.
Meskipun mungkin tidak ada keputusan sadar untuk mewawancarai tersangka saat
berada di tempat kejadian, keadaan terkadang melampaui rencana ini dan tersangka dapat
diidentifikasi selama percakapan rutin tanpa perencanaan atau peringatan sebelumnya.
Akibatnya wawancara awal Anda akan dimulai dan memiliki suara digital
Sumber Daya yang Dibutuhkan 101
perekam (jika yurisdiksi Anda mengizinkan) akan sangat bermanfaat. Rincian tentang
wawancara tersangka dibahas dalam Bab 16, “Wawancara Tersangka.”
Singkatnya, dasar-dasar keanggotaan tim investigasi perlu ditetapkan sebelum
menghadiri adegan apa pun. Juga izinkan anggota tim yang memiliki liburan mendatang,
kursus pelatihan, dan pertimbangan Sumber Daya Manusia (SDM) lainnya yang berarti mereka
mungkin tidak tersedia pada waktu tertentu atau untuk penyelidikan lanjutan. Untuk mengatasi
masalah potensial ini, disarankan memiliki staf yang mampu menangani banyak posisi, serta
memiliki beberapa opsi yang tersedia untuk posisi spesialis penyelidik digital. Seiring waktu,
jika memungkinkan dan praktis, rotasikan staf ke posisi yang berbeda dalam tim investigasi
karena hal itu membantu mereka tetap termotivasi dan mengembangkan keterampilan mereka.
Sekarang kami memiliki pemahaman tentang orang-orang yang menjadi anggota tim
pencari, kami akan memeriksa peralatan yang mungkin mereka butuhkan di tempat kejadian.
SUMBER DAYA YANG DIPERLUKAN
Ada banyak hal yang dapat dibawa oleh pemeriksa tempat kejadian ke tempat kejadian untuk
membantu mereka menyita dan mengamankan barang bukti. Daftar berikut mencakup banyak
materi, dan pemeriksa adegan yang berpengalaman akan menambah atau menghapus item
sesuai dengan pengalaman mereka dan keadaan unik dari setiap adegan. Penyelidik digital
akan memiliki daftar persyaratan tambahan.
Wadah untuk membawa barang pameran dalam jumlah besar. Ini mungkin kotak papan
kartu, wadah penyimpanan khusus, tas jinjing, dan sejenisnya. Buku catatan dengan
halaman bernomor. Jangan pernah merobek halaman buku catatan, bahkan jika ada
kesalahan, karena pengacara pembela ingin tahu apakah ada sesuatu yang
disembunyikan. Coret kesalahan agar dapat dibaca. Kesalahan jujur dan salah eja terjadi.
Daftar pameran utama untuk mencatat semua barang yang disita dan pergerakan
pameran.
Buku atau dokumen tanda terima untuk memberikan tanda terima kepada pihak yang Anda
sita buktinya sehingga mereka tahu persis apa yang telah diambil. Dokumen ini juga akan
menjadi nilai saat merekam lacak balak. Sebuah contoh termasuk dalam Gambar 10.3.
Label untuk dilampirkan pada barang yang disita, seperti perangkat komputer, hard drive,
dan sejenisnya. Juga tag untuk dilampirkan ke lead dan kabel sehingga dapat dikaitkan
secara unik dengan perangkat tempat mereka berada/terhubung.
Kamera /perekam video/kamera GoPro atau perangkat serupa. Jangan gunakan telepon pribadi Anda
kecuali benar-benar diperlukan, karena pengacara pembela mungkin akan meminta untuk
memeriksanya. Kamera GoPro atau perangkat serupa mungkin sangat berguna jika berhadapan
dengan banyak orang atau jika mungkin ada konflik yang terlibat saat Anda menghadiri lokasi. Ini
juga dapat merekam tingkat profesionalisme tim investigasi dan mencegah tuduhan terhadap
Anda.
Periksa undang-undang di yurisdiksi Anda mengenai rekaman wawancara dan hal-hal terkait.
Tas Faraday untuk membatasi akses eksternal ke perangkat seluler langsung . Ini mencegah pihak
eksternal mengganggu perangkat seluler dari jarak jauh, seperti menghapus bukti. Jika tas Faraday
tidak tersedia, wadah logam kosong (tidak terpakai) terkadang merupakan pengganti yang sesuai,
seperti menggunakan aluminium foil untuk membungkus pameran. Sementara metode yang
terakhir ini mungkin tampak tidak canggih di dunia digital, selama mereka bekerja, tidak perlu
untuk mengabaikannya ketika tas Faraday tidak tersedia.
Laptop . Laptop berguna untuk berbagai alasan, termasuk untuk akses Internet, merekam pameran,
memiliki salinan bagian dari file investigasi, dan
segera.
Perekam digital untuk merekam percakapan sesuai kebutuhan. Hukum yurisdiksi Anda akan
menentukan legalitas rekaman percakapan. Hard drive eksternal untuk mengamankan barang
bukti dengan bantuan pemeriksa digital. Gunakan perangkat baru atau yang diformat ulang untuk
membuktikan bahwa bukti yang ditemukan tidak terkontaminasi oleh investigasi sebelumnya.
Serangkaian komputer untuk merekam pernyataan. Printer

portabel untuk mencetak pernyataan untuk ditandatangani jika tidak ada fasilitas
tersedia di tempat Anda berada.
Label dan formulir pracetak untuk merekam pameran dan anggota tim yang menemukannya. Ini
mendukung buku catatan tim investigasi. Alat tulis dan bahan untuk menulis dan menandai barang,
termasuk pena,
pensil, spidol, dan barang-barang terkait.
Sekantong alat-alat kecil, seperti senter, gunting, obeng
berbagai ukuran, dan sejenisnya.
Ini bukan daftar definitif dan manajer adegan/petugas pameran akan menambahkan item lebih
lanjut sesuai kebutuhan. Manajemen teknologi juga berkembang dan pertimbangan kebutuhan untuk
mengembangkan teknologi akan diperlukan. Beberapa dari barang-barang ini serupa dengan yang
digunakan oleh penyelidik digital dan dapat dimasukkan ke dalam tas perlengkapan penyelidik sebagai
cadangan bagi penyelidik digital jika ada volume bukti digital yang lebih besar daripada yang diperkirakan
sebelumnya.
Gambar 10.3 menunjukkan contoh jadwal properti adegan. Ini adalah tema
gambar pelat yang dapat Anda tinjau dan modifikasi sesuai dengan kebutuhan Anda.
Sumber Daya yang Dibutuhkan 103
Jadwal Properti Tidak: 123456
Orang yang hartanya disita dari:
Nama:…………………………………………………..…………………………………
Alamat:………………………………………………………..…………………………
Nomor kontak
Sel: ……………………… Bisnis: ………………… Rumah: ……………………
Hubungan dengan properti
Pemilik Memiliki Penemu Lainnya
Kewenangan untuk memiliki
Izin Perintah pengadilan Ditemukan Pameran
Lokasi mengambil kepemilikan
Tempat tinggal Tempat komersial Tempat pemerintah
Tempat umum Lainnya
Barang Keterangan Kerusakan

Nomor (Y/T)
Petugas pelaporan:
Nama :………………………………………………Peringkat :……….………………………

Stasiun:………………………………………………..Nomor Telepon:………………...
Tanda tangan:……………………………………………..
Lokasi barang bukti yang akan diamankan :………………………………………………………..
Saya setuju item yang dijelaskan dalam dokumen ini adalah representasi akurat dari item yang diambil
oleh petugas pelapor
Pemilik/penemu/orang yang memiliki properti
Nama:…………………………………………………………. Tanggal:……………………
Tanda tangan:……………………………………………………..
GAMBAR 10.3 Contoh jadwal properti adegan.

104 Investigasi TKP Cybercrime
Tanda terima properti tempat kejadian merupakan dokumen yang sangat penting, karena
merupakan catatan atas apa yang telah Anda ambil sesuai persetujuan pemilik/penjaga properti. Tanda
terima itu dapat menjadi bukti tersendiri, dan salinannya diberikan yang menunjukkan tidak hanya apa
yang diambil tetapi oleh siapa dan di mana harus diamankan. Perhatikan juga di sudut kanan atas tanda
terima adalah nomor tanda terima, yang membantu kredibilitas dokumen.
KETERSEDIAAN DAN PENGELOLAAN BUKTI
Bagian ini mengidentifikasi dan membahas contoh bentuk-bentuk bukti digital yang ada. Tidak ada
daftar pasti yang mencakup setiap kemungkinan contoh bukti digital yang tersedia, karena teknologi
berkembang setiap hari; namun, bagian ini akan memberikan pemahaman kepada penyelidik tentang
teknologi apa yang termasuk dalam TKP dan mungkin menyimpan bukti.
Bukti digital dapat didefinisikan sebagai:
Setiap data yang disimpan atau ditransmisikan menggunakan komputer yang mendukung
atau menyangkal teori tentang bagaimana suatu pelanggaran terjadi atau yang membahas
elemen-elemen penting dari pelanggaran seperti niat atau alibi.1
Ini adalah definisi yang luas; namun, ini sangat akurat karena teknologi yang tersedia saat ini
akan sangat berbeda dari yang tersedia saat Casey membuat pernyataan ini. Casey juga menyatakan
bahwa bukti digital harus memiliki nilai pembuktian dan dikumpulkan dengan cara yang dapat diterima
oleh pengadilan.1
Bukti yang Anda cari harus relevan, andal, dan memadai.
Artinya, bukti harus relevan dalam membuktikan bahan-bahan dari masalah yang diselidiki, dapat
diandalkan dalam hal apa yang dimaksudkan, dan cukup dalam bukti yang disita harus memungkinkan
masalah yang diselidiki diselidiki sepenuhnya.2 Dengan teknologi berkembang setiap hari, bentuk-
bentuk bukti digital yang mungkin dipertimbangkan oleh penyelidik hanya dibatasi oleh batas-batas
imajinasi mereka. Bukti digital dapat datang dalam bentuk tradisional, seperti komputer, drive
USB, router, sakelar dan telepon, dan perangkat yang dapat dikenakan, seperti iWatches.
Perangkat pintar berada di rumah dan di tempat bisnis dan mereka dapat membantu memberi tahu
penyelidik tentang siapa yang berada di lokasi tertentu atau melakukan kegiatan yang menentukan
pada saat dugaan pelanggaran. Internet of Things (IoT) telah menciptakan banyak item teknologi dalam
kehidupan kita, dan perangkat rumah mengumpulkan data, yang dapat memajukan penyelidikan Anda.
Item Teknis 105
Untuk bukti teknologi, lihat sekeliling tempat Anda dan rekam semua teknologi teknologi
yang dapat Anda lihat. Pahami untuk apa dan pertanyakan diri Anda untuk memahami data apa
yang dikumpulkan dan di mana ia mungkin berada. Data dapat disimpan
di perangkat itu sendiri, di server lokal, atau di basis data komputasi awan. Memahami teknologi
yang Anda lihat dan apa yang dilakukannya dapat membawa Anda ke jalan baru
penyelidikan atau untuk menemukan bukti definitif yang menghubungkan tersangka ke lokasi
tertentu pada saat mereka menyangkal berada di sana.
Misalnya, tersangka dapat menyangkal berada di kantor pada saat data itu
diunduh dari komputer ke hard drive eksternal. Sebuah pemeriksaan
router di kantor dapat menunjukkan, bagaimanapun, bahwa pada waktu tertentu Media
Alamat Access Control (MAC) dari ponsel tersangka direkam meninggalkan pengenal uniknya
saat mencoba terhubung ke router. Itu berarti
bahwa ponsel tersangka ada di kamar pada saat pencurian data,
yang, meskipun tidak 100 persen konklusif, berarti tersangka ada di sana sebagai
baik, menempatkan Anda dalam posisi yang kuat karena daftar tersangka Anda dipersempit dan
bukti kuat untuk wawancara tindak lanjut dibangun.
Daftar berikut memberikan contoh bukti teknis, nonteknis, dan fisik yang dapat digunakan
untuk memajukan penyelidikan. Karena sifatnya
item tertentu, beberapa mungkin muncul di lebih dari satu daftar. Daftar ini adalah
tidak lengkap dan pengembangan teknologi baru akan memperluas daftar.
Penjelasan yang diberikan adalah untuk memberikan pemahaman kepada penyidik tentang
nilai potensial dari setiap item bukti.
BARANG TEKNIS
Log peristiwa. Log ini seperti kamera CCTV yang merekam apa yang terjadi di
adegan selama kejahatan. Log yang direkam dan dapat diakses akan
memberi tahu Anda apa yang terjadi dalam sistem, kapan itu terjadi, dalam urutan apa, dan
oleh siapa. Lihat Bab 11 untuk informasi lebih lanjut tentang log peristiwa dan
banyak bentuk log lain yang tersedia untuk membantu penyelidikan Anda. Sementara
penjahat yang terampil dapat memodifikasi kayu untuk menutupi aktivitas mereka, ini juga dapat membuktikan
bukti niat dan keahlian penjahat.
Jadwal daftar putih aplikasi. Daftar putih aplikasi adalah layanan
tersedia dari administrator sistem yang memungkinkan hanya program yang telah disetujui
sebelumnya untuk dijalankan pada sistem. Tujuannya adalah untuk memastikan bahwa program-program yang
kerentanan keamanan atau kebocoran data tidak dapat berjalan di sistem
dan menciptakan kerentanan keamanan baru. Jika sebuah aplikasi ada dalam daftar ini
tanpa persetujuan dari administrator sistem, maka penjahat mungkin telah
bisa mendapatkan hak administrator, yang merupakan bukti berharga dalam

dirinya sendiri.
Log antivirus. Log Anti Virus (AV) memberikan informasi tentang pengoperasian
sistem AV. Bukti yang tersedia menunjukkan saat aplikasi AV diinstal, saat
diperbarui, saat pemindaian dioperasikan, dan hasilnya. Log proxy. Server
proxy bertindak sebagai perantara antara perangkat titik akhir, seperti komputer
berjaringan, dan server lain, seperti server web. Ini merekam aktivitas dari
perangkat titik akhir dan mungkin memiliki bukti interaksi antara perangkat titik
akhir dan perangkat eksternal, seperti transfer file.
Log jaringan pribadi virtual. Virtual Private Network (VPN) menyediakan jalur
terenkripsi dari perangkat atau jaringan lokal ke Internet, di mana detail koneksi
tidak direkam pada file log normal.
Cari siapa yang memulai sesi VPN, waktu koneksi, di mana layanan VPN
terhubung, berapa lama koneksi dibuka, dan apakah kerangka waktu untuk
koneksi bertepatan dengan kerangka waktu untuk peristiwa yang Anda selidiki.
Tersangka yang menggunakan VPN mungkin memiliki bukti yang terletak di
perangkat mereka, dalam hal ini Anda dapat membandingkan waktu koneksi
dari perangkat tersangka dengan yang ada di perangkat atau jaringan yang disusupi.
Dalam beberapa kasus, Anda mungkin dapat melakukan kontak dengan
layanan VPN dan memperoleh catatan log dari akun tersangka. Ini bukan pilihan
dalam semua kasus, karena banyak layanan VPN tidak mencatat log klien
karena kerahasiaan klien atau meng-host layanan mereka di lokasi di mana
perintah pengadilan asing tidak dihormati. Namun, seperti semua opsi investigasi,
jika Anda tidak bertanya, Anda tidak akan mengetahuinya, dan dalam hal ini,
Anda membuat penyelidikan membuktikan bahwa penyelidikan Anda menyeluruh.
Log server nama domain . Log Server Nama Domain (DNS) menunjukkan layanan
yang terhubung ke komputer Anda saat mencari alamat situs web yang dicari di
Internet. Jika komputer pergi ke situs web yang dikunjungi secara teratur,
komputer tidak terhubung ke DNS karena sudah memiliki alamat situs yang
dicari. Namun, jika pengguna mencari situs web yang sebelumnya tidak
dikunjungi, komputer akan terhubung ke server DNS yang ditunjuk dan
menemukan alamat situs web, yang kemudian dikirim kembali ke komputer
klien, yang kemudian mulai membuat koneksi dengan situs web yang ingin
mereka hubungi. Log ini sangat berguna saat mencari jalur koneksi dan waktu
terkait untuk situs web yang dibuat untuk menerima data yang diambil dari
pelapor.
Log Protokol Konfigurasi Host Dinamis. Dynamic Host Con figuration Protocol
(DHCP) adalah proses dimana alamat Internet
Item Teknis 107
(192.168.***.***, atau 10.***.*** *** dalam jaringan internal yang sangat besar)
dialokasikan ke komputer di jaringan internal . Jaringan internal disebut subnetwork,
atau subnet. Alamat DHCP akan dimulai dengan 192.168 atau 10.***, karena angka-
angka ini mewakili sistem pengalamatan internal dalam jaringan. Jika Anda memiliki
alamat Protokol Internet (IP) untuk perusahaan tetapi tidak tahu komputer mana di
jaringannya yang terlibat dalam suatu peristiwa, log DHCP yang diambil oleh
administrator sistem akan memberi tahu Anda komputer mana di jaringan yang Anda
cari.
Alternatif untuk DHCP adalah jika administrator sistem menunjuk setiap
komputer dan perangkat di jaringan internal dengan alamat IP tertentu dalam rentang
khusus.
Penyelidik dapat mencari informasi ini, misalnya, jika mereka memiliki alamat
Protokol Internet (IP) yang terhubung ke kantor perusahaan besar tempat seorang
karyawan melakukan ancaman terhadap orang lain. Penyelidik memiliki bukti untuk
menunjuk ke perusahaan, tetapi tidak tahu siapa di antara banyak orang dalam
organisasi yang merupakan orang di balik ancaman tersebut.
Berbicara kepada administrator sistem dan menyediakan situs web yang dimaksud
dan waktu ancaman dibuat memberikan kesempatan untuk memeriksa log jaringan
internal untuk mengidentifikasi siapa di perusahaan yang masuk ke situs web
tersebut pada saat ancaman dibuat.
Administrator sistem akan dapat melihat bahwa aktivitas tersebut dibuat oleh
seseorang di jaringan mereka dengan alamat 192.168.213.57 dan akan dapat
mengidentifikasi terminal asal ancaman tersebut. Dari situ bisa dilakukan penyelidikan
yang mencurigakan, seperti mewawancarai orang tersebut, melakukan pemeriksaan
perangkat secara digital, dan menanyakan kepada korban apakah mereka mengenal
orang yang masuk ke perangkat tersebut.
Penyedia layanan awan. Komputasi awan dibahas secara mendalam di Bab 12. Secara
umum, pelapor atau tersangka dapat menyimpan bukti di server awan yang dimiliki
dan dioperasikan oleh perusahaan seperti Apple, Dropbox, Amazon Web Services,
Microsoft, dan Cisco. Penyimpanan mungkin berlokasi di seluruh dunia dan bukti
yang dicari dapat tersebar di banyak pusat data di yurisdiksi hukum yang berbeda.
Bukti berbasis cloud dapat mencakup log, dokumen, rekaman audio, dan
sejenisnya. Detail pelanggan dapat mencakup alamat IP yang digunakan untuk
masuk dan mengakses akun cloud, detail kartu kredit, dan banyak lagi.
Akun email web. Penyedia email web seperti Gmail, Hotmail, dan Yahoo menawarkan
layanan gratis kepada pelanggan. Akun email web berisi sejumlah besar data,
termasuk detail pendaftaran, alamat IP pendaftaran dan log-on, konten komunikasi,
dan daftar alamat. Untuk layanan berbayar,
kartu kredit atau rincian pembayaran lainnya dapat ditemukan. Mengakses

dan menyita bukti ini dimungkinkan secara teknis; namun, jika layanan
dihosting di yurisdiksi hukum asing yang dijamin oleh undang-undang yang
berbeda, persetujuan dari pemilik akun, perintah pengadilan, dan/atau otoritas
penyedia layanan mungkin diperlukan sebelum mengakses dan menyita bukti
digital, terutama jika akun milik seorang tersangka. Dapatkan nasihat hukum
sebelum mengunduh akun email web, terutama akun milik tersangka.
Log dan konten server surat. Server surat merekam data di jaringan email
internal dan mungkin berisi bukti pengiriman/penerimaan email dari komputer
jaringan. Akun email menunjukkan hubungan antar pihak, dan konten
komunikasi dapat memberikan latar belakang untuk jalur penyelidikan.
Metadata di akun dapat menampilkan informasi seperti kapan email diterima,
kapan dibuka, dan siapa yang membacanya.
Aplikasi privasi. Lihatlah program anonimitas yang digunakan seseorang dan

tentukan apakah program tersebut konsisten dengan gaya hidup dan posisinya.
Mungkin seseorang hanya ingin berkomunikasi dengan teman secara
anonim, tetapi program ini sangat dihargai oleh penjahat sebagai sarana
untuk mencegah penegakan hukum memantau komunikasi mereka.
Pemeriksaan forensik perangkat . Perangkat dapat diperbaiki (komputer
desktop) atau seluler (ponsel/tablet). Forensik perangkat adalah pencitraan
digital dari perangkat elektronik fisik yang berisi bukti potensial dan
pemeriksaan rinci untuk bukti salinan gambar yang diambil. Seseorang yang
berkualifikasi tinggi dan berpengalaman harus menjadi satu-satunya orang yang melakukan
penyelidikan.
Pengambilan jaringan dan pemeriksaan forensik. Forensik jaringan

menangkap data saat berjalan melalui jaringan yang dapat diakses oleh
penyelidik, terutama jaringan internal perusahaan. Koneksi biasanya nirkabel
atau melalui koneksi Ethernet (kabel biru yang terpasang di bagian belakang
komputer). Data yang diambil dapat mencakup bukti pelanggaran yang
sedang berlangsung, seperti file berharga yang dihapus melalui jaringan, atau
tersangka yang menavigasi melalui jaringan.
Identifikasi Internet of Things dan forensik digital. Internet of Things (IoT)
mencakup banyak perangkat yang terhubung ke komputer. Contohnya
termasuk banyak perangkat di rumah pintar atau gedung yang terhubung ke
jaringan. Kota-kota sekarang menjadi sangat terhubung, dengan banyak
perangkat infrastruktur seperti lampu lalu lintas, penerangan jalan, dan sensor
jalan yang terhubung. Masing-masing perangkat ini dapat menangkap bukti
pelanggaran, dan bukti yang tersedia hanya dibatasi oleh pengetahuan tentang
Item Teknis 109
penyelidik tentang perangkat apa yang terhubung di TKP, bagaimana mereka

beroperasi, dan bukti yang mereka kumpulkan.
Perangkat pintar mengumpulkan data dan dapat mengirimkannya ke server
pusat. Bangunan komersial dan perumahan sedang dipasang untuk dikelola oleh
perangkat pintar, yang merupakan sumber bukti. Karena adegan kejahatan dunia
maya dapat terjadi di mana saja di mana teknologi berada, penyelidik mungkin
menemukan bahwa bukti digital dapat diperoleh dari bagian infrastruktur kota.
Teknologi yang dapat dikenakan menghasilkan data, seperti halnya perangkat
pintar. Ini dapat mengidentifikasi aktivitas seseorang pada waktu tertentu. Pengantar
IoT termasuk dalam Bab 13.
Aplikasi dan sistem operasi berpemilik . Tidak semua aplikasi tersedia secara
komersial. Beberapa perusahaan mengembangkan perangkat lunak mereka sendiri
sesuai dengan kebutuhan mereka, dan tidak digunakan di luar perusahaan atau industri mereka.
Saat melakukan penggeledahan, tanyakan kepada pelapor apakah mereka
menggunakan perangkat lunak berpemilik, dan jika demikian, dapatkan salinan aplikasi
tersebut, yang dapat diinstal pada perangkat yang diperiksa kembali di laboratorium forensik.
Ini akan memungkinkan bukti untuk dilihat dalam bentuk aslinya.
Log dan konten pesan instan. Log Pesan Instan (IM) menunjukkan komunikasi antar
pihak yang direkam pada perangkat. Tersangka sering berkomunikasi secara bebas
menggunakan layanan online, dan pemeriksaan log komunikasi dapat memberikan
bukti keterlibatan mereka dalam suatu pelanggaran.
Aplikasi seperti Skype sangat populer. Dalam beberapa kasus, orang merekam
percakapan mereka. Penipu sering menggunakan layanan ini tanpa menggunakan
webcam dan berkomunikasi menggunakan teks tertulis. Percakapan terperinci dapat
memberikan bukti pelanggaran, informasi tentang tersangka, atau catatan waktu untuk
percakapan yang menghubungkan seseorang ke suatu lokasi pada waktu tertentu.
Pastikan Anda mengetahui zona waktu pencatatan log obrolan saat membandingkannya
dengan aktivitas yang dicurigai. Ada banyak bentuk aplikasi obrolan online yang
tersedia, banyak di antaranya menggunakan enkripsi.
Riwayat penjelajahan online . Riwayat internet menunjukkan halaman web yang pernah
dikunjungi pengguna perangkat. Ini juga dapat menampilkan pencarian Google dan
mengidentifikasi apa yang dicari oleh pengguna perangkat. Penyelidik pembunuhan
telah menemukan pertanyaan pencarian seperti "Cara membunuh seseorang" dan
"Cara membuang mayat" dari perangkat komputer tersangka.
Dokumen . Dokumen dan spreadsheet dapat disimpan di banyak tempat di perangkat.
Saat menggunakan perangkat lunak forensik, buka jalur ke folder Dokumen, di mana
Anda akan menemukan dokumen, spreadsheet, dan
Suka. Dokumen Word dan Excel juga akan disimpan di lokasi lain di
berbagai drive internal dan eksternal ke arsitektur jaringan.
Beberapa penjahat mengubah ekstensi file dokumen dengan harapan jika ada
pencarian di perangkat mereka, memiliki ekstensi file yang berbeda dari ekstensi biasa .doc
atau .docx untuk Microsoft Word doc
uments akan menipu perangkat lunak forensik dan dokumen kriminal mereka tidak akan
ditemukan. Misalnya, ekstensi default untuk dokumen Word akan menjadi identity.doc,
sedangkan penjahat dapat secara manual mengubahnya menjadi id
tities.exe.
Metadata dalam dokumen dapat menunjukkan siapa yang membuat dokumen, kapan
dibuat dan terakhir diakses, dan apakah dokumen tersebut dimodifikasi menggunakan
program seperti Photoshop. Ini sangat berguna ketika orang membuat atau memodifikasi
dokumen dan menolak melakukannya. Multimedia . Gambar dan video mungkin relevan
dengan penyelidikan. Mereka juga dapat menunjukkan bukti waktu perangkat sedang
digunakan. Pada beberapa kesempatan, metadata mungkin tersedia untuk memberikan
bukti tanggal pembuatan dokumen atau kapan/di mana foto diambil.
Layanan dan aplikasi obrolan online. Di ruang obrolan, orang bersembunyi di balik nama
pengguna dan cenderung berbicara dengan sangat bebas. Jika Anda dapat menautkan
tersangka ke nama pengguna, ruang obrolan dapat memberikan bukti yang sangat
berharga. Program peer-to-peer. Jaringan peer-to-peer memungkinkan data untuk dibagikan
di antara pengguna dari seluruh dunia. Contoh data yang dibagikan termasuk film dan
musik. Ini umumnya unduhan ilegal dan sering terinfeksi oleh perangkat lunak berbahaya,
karena ini adalah cara sederhana untuk menginfeksi komputer seseorang.
Bukti log. Jumlah log yang tersedia dan bagaimana mereka dapat digunakan dalam
penyelidikan Anda dibahas dalam Bab 11. Beberapa contoh juga disertakan di awal bagian
ini.
Pemeriksaan pendaftaran . Registri berisi data dari perangkat keras dan program yang
beroperasi pada perangkat Windows. Contoh data yang tersedia termasuk pengaturan dan
versi perangkat lunak yang digunakan. Registri disusun sebagai database.
Jalur akses nirkabel. Wireless Access Point (WAP) adalah tempat di mana perangkat dapat
terhubung ke Internet. Ini terletak di rumah, bisnis, kedai kopi, perpustakaan, dan banyak
tempat lainnya. WAP mencatat rincian alamat MAC perangkat dengan nirkabel dihidupkan.
MAC
alamat berasal dari Network Interface Card (NIC) pada perangkat pengguna dan merupakan
pengidentifikasi unik dari perangkat yang terhubung ke jaringan.
Perangkat mungkin memiliki alamat MAC terpisah untuk koneksi nirkabel dan Ethernet.
Item Teknis 111
Bluetooth . Perangkat seluler yang menggunakan Bluetooth meninggalkan pengidentifikasi

unik, seperti alamat MAC. Seperti halnya dengan WAP, pengidentifikasi ini dapat
membuktikan hubungan antar perangkat dan menentukan waktu relevansi dengan
penyelidikan.
Data geolokasi . Data lokasi dapat dibangun ke dalam perangkat atau aplikasi. Adalah umum
untuk menemukan bentuk bukti yang disematkan dalam foto dan komunikasi. Aplikasi dapat
merekam semua data Sistem Pemosisian Global (GPS), yang dapat menempatkan
tersangka Anda di lokasi tertentu pada waktu yang ditentukan.
Jika Anda menggunakan layanan online seperti pencari EXIF (Exchangeable Image
File Format), ketahuilah bahwa Anda mengunggah foto itu ke layanan eksternal dan tunduk
pada Perjanjian Lisensi Pengguna Akhir (EULA) mereka, yang berarti Anda mungkin
kehilangan kendali atas gambar yang tunduk pada EULA.
Photoshop memiliki kemampuan untuk mengidentifikasi data geolokasi dan ini dapat
diperiksa di dalam perangkat Anda.
Metode pembayaran online. Detail koneksi ke server pembayaran web
kejahatan, seperti agen pengiriman uang.
Bukti terenkripsi. Mendapatkan akses ke folder atau drive terenkripsi akan menjadi prioritas
penyelidik. Kode akses dan kata sandi dapat diperoleh dari tersangka di awal melalui
perintah pengadilan yang mengarahkan pemilik perangkat untuk melewati kata sandi,
dengan menemukan kata sandi yang tertulis di kertas catatan, atau dengan cara lain.
Menemukan kata sandi adalah aktivitas penting yang harus diperhatikan saat melakukan
pencarian.
Pengkodean komputer. Pemrogram komputer mengembangkan ciri khas dalam pemrograman
mereka. Beberapa menyimpan salinan blok kode favorit mereka untuk digunakan di
beberapa proyek atau karena kodenya sangat kompleks dan membutuhkan waktu lama
dan pengujian untuk membuatnya berfungsi. Di kolom komentar baris kode adalah komentar
unik dari programmer untuk menjelaskan apa yang dilakukan oleh baris atau blok kode, dan
komentar ini dapat digunakan untuk mengidentifikasi pembuatan blok kode sumber program
komputer.
Sumber terbuka, termasuk akun media sosial. Media sosial adalah tambang emas informasi
tentang aktivitas dan lokasi seseorang.
Tergantung pada layanan, aktivitas, asosiasi dan lokasi, dan komunikasi dapat direkam.
Melalui komentar yang dibuat, keadaan pikiran seseorang pada saat melakukan pelanggaran
dapat ditunjukkan.
Mengakses jaringan media sosial terbuka individu mungkin diperbolehkan sebagai
bukti dalam yurisdiksi Anda. Mengakses data yang terkunci di media sosial mungkin
memerlukan nasihat hukum sebelum melakukan pencarian dan pengambilan. Materi open
source dibahas di Bab 14.
Akun Cryptocurrency . Banyak penjahat dunia maya menggunakan akun cryptocurrency,
seperti akun Bitcoin, untuk membantu dalam perdagangan mereka atau untuk pindah
hasil kejahatan mereka. Hati-hati jika Anda menyita akun seperti itu
penduduk di perangkat yang sedang diperiksa, karena konten akun dapat
menjadi nilai yang besar. Pertimbangkan apakah ada kebutuhan untuk memiliki kata sandi
ke dompet cryptocurrency. Kecuali ada kebutuhan khusus dan Anda punya
perintah pengadilan yang mengizinkan penyitaan dompet, berhati-hatilah, seperti yang Anda lakukan
tidak ingin ada tuduhan dari tersangka bahwa dompet itu diganggu
dengan dalam tahanan Anda.
Perangkat keras jaringan. Perangkat keras jaringan mencatat banyak informasi pengguna dan akan
memberikan arahan kepada penyelidik digital. yang pintar
perangkat yang dibawa seseorang terhubung ke router nirkabel, meninggalkan MAC
alamat sebagai pengenal unik.
Item Nonteknis dan Fisik

Nama pengguna dan kata sandi perangkat/ jaringan. Ini sangat penting dalam mendapatkan akses ke
perangkat dan folder terenkripsi. Ini mungkin
ditulis dalam sebuah buku, di selembar kertas, pada catatan tempel yang dilampirkan
perangkat atau di bawah meja, dan di tempat lain. Meluangkan waktu untuk menemukan semua kata
sandi, tidak hanya kata-kata yang menjadi sukarelawan pemilik perangkat, akan menghemat waktu Anda
dan stres nanti karena menemukan perangkat tanpa kata sandi atau partisi drive
Anda tidak dapat mengakses.
Tanda Terima. Ini dapat digunakan untuk mengidentifikasi siapa yang membeli perangkat tertentu
sedang diperiksa, yang akan membantu dalam membuktikan kepemilikan perangkat.
Nama pengguna. Nama pengguna akan mengidentifikasi semua orang berbeda yang mungkin
menggunakan perangkat tertentu. Misalnya, orang-orang di shift yang berbeda dapat menggunakan
perangkat yang sama; selama seminggu, lima orang mungkin telah menggunakannya. Mengidentifikasi
kredensial pengguna membantu mempersempit aktivitas di perangkat dan
identitas pengguna.
Nama pengguna juga digunakan di situs online, termasuk untuk media sosial
dan di ruang obrolan. Seperti yang telah dibahas sebelumnya, orang mungkin memiliki pengguna online
nama yang digunakan di banyak situs, memberi Anda sumber pertanyaan
untuk mengidentifikasi aktivitas online mereka.
Nomor telepon. Dapatkan semua nomor telepon yang terkait dengan tempat kejadian dan
mengira. Ini mungkin termasuk perangkat seluler yang terhubung secara nirkabel ke jaringan. Nomor
telepon rumah sering digunakan dalam kejahatan dunia maya untuk memberikan level
legitimasi untuk penipuan. Memperoleh daftar kontak kantor akan membantu
sikap.
Perangkat komputer fisik. Perangkat komputer fisik termasuk komputer yang berdiri sendiri, laptop, tablet,
dan perangkat keras lainnya. Lihat juga
Item Teknis 113
di konsol game, yang menyediakan akses Internet serta kemampuan penyimpanan.
Ponsel dan perangkat. Ponsel sering kali menjadi cara utama seseorang berkomunikasi
secara online; oleh karena itu akan menjadi salah satu sumber bukti yang paling
signifikan bagi seorang penyelidik.
Perangkat penyimpanan eksternal. Perangkat eksternal membawa penyimpanan dalam
jumlah besar. Seringkali salinan cadangan dilupakan oleh penjahat atau tersedia di
ruang yang dihapus pada disk. Gambar 10.4 menunjukkan contoh perangkat
penyimpanan eksternal yang berbeda yang mungkin ditemukan. Perhatikan bahwa di
sebuah tempat kejadian, mungkin ada banyak perangkat ini dan masing-masing harus
dapat diidentifikasi secara unik dan lokasi yang ditemukan didokumentasikan, karena
Anda tidak tahu mana yang mungkin berisi bukti.
Printer , mesin fotokopi, dan kamera. Printer dan mesin fotokopi modern berisi hard
drive internal yang memindai gambar ke dalam drive sebelum mencetaknya. Gambar
yang dipindai dapat dipulihkan dari printer atau mesin fotokopi.
Ini dapat membantu Anda mendapatkan sejumlah besar dokumentasi yang telah
dicetak atau dipindai. Ini adalah sumber bukti yang sangat berharga yang sering
diabaikan, yang bergantung pada ukuran hard drive dan frekuensinya
GAMBAR 10.4 Perangkat penyimpanan eksternal.

GAMBAR 10.5 Pencetak.

penggunaan dapat menunjukkan garis waktu aktivitas dalam organisasi subjek atau
oleh individu. Sementara tersangka mungkin telah menghapus semua salinan bukti
yang memberatkan, mereka mungkin tidak menyadari bahwa mesin fotokopi akan
menyimpan sejarah lengkap kejahatan mereka.
Gambar 10.5 adalah gambar mesin fotokopi/printer. Meskipun model ini tidak
mengandung hard drive internal, ketika berhadapan dengan tersangka, mesin fotokopi
adalah tempat yang sangat baik untuk mencari bukti. Tempat sampah dan tempat
pengumpulan dokumen rahasia. Ini berisi dokumen yang dibuang oleh tersangka dan
mungkin berisi informasi berharga. Penjahat membuang barang bukti dan mungkin
lupa bahwa barang itu belum dikumpulkan untuk dimusnahkan atau sampah mingguan
belum dikumpulkan. Meskipun memeriksa sampah orang lain mungkin bukan tugas
yang paling menyenangkan, sangat berharga untuk menemukan bukti berharga yang
menghubungkan tersangka dengan kejahatan dan untuk mengembangkan jalur
penyelidikan baru.
Gambar 10.6 menunjukkan contoh sejauh mana Anda akan diminta untuk mencari
bukti digital dan fisik.
Detail pendaftaran akun. Memperoleh detail pendaftaran pemegang akun membantu
mengidentifikasi siapa yang terlibat dalam pembuatan akun dan mungkin terus
mengaksesnya. Misalnya, orang yang mendaftarkan akun secara online tidak dapat
menyangkal mengetahuinya jika mereka memiliki data pribadi seperti dari SIM atau
detail kartu kredit
Item Teknis 115
GAMBAR 10.6 Kantong sampah yang berisi barang bukti.

diajukan sebagai bagian dari proses pendaftaran, kecuali mereka akan mengklaim
pencurian identitas.
Detail akun keuangan. Lacak uangnya dan Anda akan menemukan orang di balik
kejahatan itu! Transaksi keuangan saat ini dilakukan dengan banyak cara, jadi
sertakan detail penggunaan layanan perbankan tradisional, agen pengiriman
uang, PayPal, dan layanan pembayaran online lainnya. Bahkan penggunaan kartu
hadiah telah menjadi metode yang sangat umum bagi para penjahat untuk
mentransfer hasil kejahatan mereka melintasi perbatasan internasional.
Menghubungkan rincian kartu kredit dengan kejahatan dan aktivitas yang terlihat
pada kartu dapat memberikan bukti pelanggaran lebih lanjut atau pembelanjaan
hasil kejahatan. Ini dapat digunakan untuk mencari penyitaan aset tercemar.
Akun terkait . Kartu kredit dapat ditautkan ke akun online yang memberikan arahan
kepada siapa pemilik akun tersebut. Bagan organisasi perusahaan dan daftar
telepon. Ketika berhadapan dengan perusahaan yang dicurigai melakukan penipuan,
memperoleh bagan organisasi perusahaan akan membantu menempatkan setiap
orang secara formal di dalam organisasi, sehingga jika orang yang Anda
wawancarai menyatakan, misalnya, bahwa mereka hanyalah manajer lini. dan
tidak memiliki tanggung jawab untuk pengambilan keputusan, bagan organisasi
akan mengkonfirmasi atau menyangkal pernyataan itu.
Daftar telepon memberikan jadwal nomor kontak semua orang di organisasi
dan dapat memberikan nomor telepon yang terhubung dengan tersangka Anda
yang tidak Anda sadari.
Penangkapan dan Penanganan Bukti

Penangkapan bukti digital adalah seni mengambil bukti secara sah dari perangkat digital
dengan cara yang akan diterima oleh pengadilan karena relevansi, kelengkapan, dan
akurasinya. Bukti diambil untuk tujuan memberikan arahan pada penyelidikan, dan bila
relevan, membuktikan bahan dakwaan di depan pengadilan. Setelah bukti digital telah
ditangkap, itu harus disimpan sedemikian rupa sehingga pengadilan dapat yakin akan
keaslian dan keandalannya. Jika bukti ditangkap dan disimpan dengan cara yang tidak
sesuai dengan hukum pembuktian yurisdiksi tersebut, ada risiko bahwa pengadilan tidak
akan menerima bukti atau menerimanya dengan enggan dan dengan syarat, menurunkan
nilainya.
Karena setiap yurisdiksi hukum memiliki undang-undang dan presedennya sendiri,

bab ini hanya akan memberikan gambaran umum tentang penangkapan dan penanganan
bukti. Ini adalah tanggung jawab penyelidik dan pemeriksa tempat kejadian untuk memahami
hukum dan preseden dari yurisdiksi mana pun di mana mereka beroperasi.
Organisasi Internasional untuk Standardisasi (ISO) dan Komisi Elektroteknik
Internasional (IEC) telah menghasilkan standar ISO/IEC 27037:2012, Teknologi Informasi—
Teknik Keamanan—Pedoman untuk Identifikasi, Pengumpulan, Akuisisi, dan Pelestarian
Bukti Digital, yang mengidentifikasi awal proses penanganan untuk bukti digital.2 Proses ini
berhubungan dengan:
Identifikasi potensi bukti digital Pengumpulan bukti

digital potensial Akuisisi bukti digital potensial
Pelestarian potensi bukti digital
Standar ISO/IEC ini mengidentifikasi empat prosedur untuk memastikan bahwa

integritas dan keandalan bukti digital potensial dipertahankan dengan mengikuti serangkaian
prinsip dasar.2 Ini adalah:
1. Meminimalkan penanganan perangkat digital asli dan barang bukti digital.

2. Perhitungkan setiap perubahan dan dokumentasikan setiap tindakan yang diambil.
3. Patuhi aturan pembuktian setempat.
4. Penyidik tidak boleh mengambil tindakan apa pun di luar tingkat
kompetensi.
Saat Anda meninjau prosedur ini, Anda akan melihat bahwa prosedur tersebut sangat
mirip dengan prinsip ACPO yang diperkenalkan di Bab 6 di bawah “Melindungi Bukti Digital.”
Item Teknis 117
Kami telah membahas bahwa lokasi insiden dunia maya dapat dilihat sebagai TKP
oleh pengadilan yang pada akhirnya mengadili penuntutan. Aturan pembuktian
mensyaratkan bahwa bukti digital diperlakukan dengan perawatan dan rasa hormat
yang sama seperti bukti dari TKP, karena aturan hukum pembuktian untuk kedua jenis
kejahatan adalah sama, meskipun pelanggarannya jelas sangat berbeda dalam sifat
dan keseriusan. Siapa pun yang mengajukan bukti di pengadilan harus
mempertanggungjawabkannya sesuai standar yang dipersyaratkan, dengan integritas
bukti menjadi pertimbangan kritis.
Semua pengambilan dan penanganan data harus konsisten dengan aturan bukti
lokal dari yurisdiksi hukum yang relevan. Karena bukti digital berpotensi menjadi
penduduk di beberapa yurisdiksi hukum, seperti halnya dengan server cloud, mungkin
ada banyak yurisdiksi, yang mengharuskan dipatuhinya aturan bukti lokal dan undang-
undang penyitaan bukti di setiap contoh. Sebagai
ada potensi untuk ditanyai di pengadilan mengenai legalitas metodologi pengambilan
data yang digunakan, penyelidik kejahatan digital perlu melakukan penyelidikan dengan
pengacara untuk memastikan bahwa hukum di setiap yurisdiksi dihormati.
TKP cybercrime akan memberikan bukti digital dan fisik.

Jadwal bukti potensial yang mungkin ditemukan penyidik telah dibahas sebelumnya di
bagian ini, dan diilustrasikan pada Gambar 10.3. Bukti digital dapat diambil dari
perangkat, jaringan, atau melalui sumber online. Masing-masing berpotensi memberikan
bukti dan jalan penyelidikan lebih lanjut.
Rencana IR yang disiapkan oleh pra-peristiwa entitas akan mencakup banyak
komponen respons terhadap insiden atau ancaman yang dirasakan. Seperti disebutkan
sebelumnya, prioritas pertama Tim IR mungkin adalah untuk mengurangi dan
menghentikan serangan, tetapi pendekatan semacam itu kemungkinan besar melibatkan
penghancuran bukti digital berharga yang mungkin diperlukan untuk tahap peninjauan
rencana IR, pengarahan manajemen, atau penuntutan setelah tersangka telah
diidentifikasi. Dalam hal ini, ketua tim IR, yang membuat keputusan seperti itu, harus
mendokumentasikan alasan untuk mengambil tindakan tertentu yang menghancurkan
bukti yang berpotensi berharga dan lingkungan yang ada pada saat keputusan itu
dibuat. Jika dipikir-pikir, keputusan mereka mungkin benar, tetapi itu perlu
dipertanggungjawabkan jika tindakan mereka ditentang.
Saat penyelidik memeriksa tempat kejadian dan bukti potensial, perhatian dan
prioritas khusus harus diberikan untuk memahami volatilitas bukti digital, terutama
karena penjahat dunia maya mungkin masih memiliki akses fisik atau jarak jauh ke
perangkat atau jaringan dan mulai menghancurkan bukti begitu mereka menyadarinya.
bahwa mereka telah ditemukan. Juga, saat perangkat dimatikan, bukti potensial dalam
memori akan hilang. Tergantung pada kemampuan penyimpanan, log juga dapat ditimpa.
Penyelidik digital melakukan pelatihan spesialis tentang cara mengambil bukti

digital dengan cara yang baik secara forensik. Mereka juga umumnya akan memiliki
pemahaman yang kuat tentang aturan pembuktian yurisdiksi mereka dan
persyaratannya untuk memperhitungkan tidak hanya kepemilikan bukti tetapi
bagaimana bukti itu diperoleh dan disimpan. Penyelidik utama harus mengkonfirmasi
keterampilan dan kualifikasi penyelidik digital untuk memastikan bahwa mereka
memenuhi syarat untuk melakukan tugas yang ditentukan. Karena ada banyak alat
forensik yang tersedia untuk menangkap bukti digital, pastikan penyelidik digital
memenuhi syarat untuk menggunakan alat yang mereka gunakan dan akan dapat
mempertanggungjawabkan keahlian mereka jika diminta di pengadilan. Contoh alat
pemeriksaan digital termasuk Forensic Toolkit, EnCase, dan yang dari Cellebrite.
Di perusahaan yang lebih besar atau bahkan layanan cloud, alat forensik yang
digunakan mungkin milik perusahaan itu karena telah dirancang secara internal dan
tidak pernah tunduk pada peer review independen. Identifikasi apakah perangkat
lunak forensik yang digunakan telah divalidasi secara independen terhadap
infrastruktur berpemilik, seperti server cloud.
Lebih baik jika penyelidik digital yang memenuhi syarat hadir saat menyita bukti
digital, tetapi ini mungkin tidak terjadi di setiap kasus. Misalnya, Anda mungkin
menghadiri adegan di mana bukti telah dikumpulkan oleh administrator sistem dan
disimpan di perangkat eksternal. Atau, penyelidik mungkin berada di tempat investigasi
tradisional di mana tidak ada persepsi bahwa bukti digital akan disita, ketika bukti
digital yang mereka tidak sadari ada di tempat kejadian. Hal ini dapat meluas ke
penemuan kebetulan ketika menyelidiki pelanggaran yang tidak terkait, seperti
masalah kepemilikan narkoba di mana informasi yang terkait dengan impor obat-
obatan dari vendor di pasar kriminal berada di komputer.
Untuk membantu penangkapan dan penanganan bukti digital, pastikan penyelidik

digital diberi penjelasan lengkap tentang fakta-fakta kasus sebelum mereka hadir di
tempat kejadian, sehingga memastikan bahwa mereka tahu apa yang mereka coba
capai dan batas-batas investigasi. mereka mungkin
bertemu.
Setelah memperkenalkan prinsip-prinsip pembuktian, bagian berikut membahas
bagaimana prinsip-prinsip ini harus diidentifikasi dan dikelola menggunakan kerangka
kerja ISO/IEC 27037:2012 sebagai panduan.2
Identifikasi Bukti
Mengidentifikasi apa yang mungkin menjadi pameran tidak selalu jelas. TKP cyber
datang dalam berbagai bentuk dan ukuran, dan pameran juga. Sebelumnya di
Item Teknis 119
bab ini kami mengidentifikasi contoh berbagai jenis bukti digital yang mungkin ada; namun,
jarang semua ini akan relevan dengan semua investigasi.
Anggota tim investigasi akan diberi pengarahan sebelum memasuki tempat kejadian tidak
hanya tentang peristiwa yang membawa mereka ke sana tetapi juga barang bukti yang mungkin
mengandung bukti. Namun, seperti yang akan dijelaskan oleh penyelidik tempat kejadian yang
berpengalaman, temuan kebetulan atau petunjuk yang ditindaklanjuti pada petunjuk awal dapat
mengarah pada lokasi pameran lebih lanjut yang pada awalnya dianggap tidak relevan atau
tidak dipikirkan sama sekali. Pahami apa yang dapat Anda sita dengan persetujuan atau perintah
pengadilan.
Penyidik harus tetap berpikiran terbuka saat melakukan investigasi TKP dan identifikasi
barang bukti. Sementara perintah pengadilan dapat membatasi apa yang sebenarnya dapat
diambil dari tersangka yang terlibat di tempat pengadu, bukti dapat diambil dengan persetujuan
pemilik. Namun, berhati-hatilah jika tersangka adalah karyawan internal, karena menyita properti
pribadi mereka (seperti ponsel) atau menggeledah meja mereka mungkin memerlukan
pertimbangan hukum dan arahan dari pengacara perusahaan. Kebijakan Bawa Perangkat Anda
Sendiri (BYOD) sangat menyusahkan, karena perangkat itu sendiri dimiliki oleh karyawan
dengan data dan bukti potensial milik pemilik perusahaan di atasnya. Jika tersangka telah
melakukan kejahatan yang dituduhkan menggunakan komputer BYOD, mencari nasihat hukum
sejak dini akan sangat menguntungkan tim investigasi. Melihat dalam perjanjian kerja dengan
pengguna dapat memberikan beberapa panduan untuk mengelola BYOD dan data perusahaan
tentangnya.
Bukti yang diidentifikasi mungkin fisik, seperti perangkat komputer, atau logis, seperti data
yang diambil melalui saluran komunikasi jaringan. Untuk perangkat komputer, identifikasi dan
catat waktu pada perangkat, termasuk zona waktu, karena ini akan memungkinkan sinkronisasi
bukti digital, terutama log.
Setelah bukti diidentifikasi, selanjutnya harus dikumpulkan.
Koleksi Bukti Digital

Seperti yang telah kita diskusikan, bukti yang dikumpulkan dari adegan kejahatan dunia maya
harus relevan dengan penyelidikan, sah untuk dimiliki, dan disita dengan otoritas yang sah
(seperti perintah atau persetujuan pengadilan). Contoh bukti yang tidak sah untuk dimiliki adalah
komputer yang memiliki bukti kejahatan yang sedang diselidiki (seperti pencurian data) yang
kemudian diidentifikasi memiliki Child Exploitation Material (CEM) yang tersimpan di dalamnya.
Dalam hal ini, hubungi polisi segera untuk saran dan tindakan mereka. Jika perangkat atau bukti
potensial lainnya tidak disita, catat alasannya.
Waspadai keselamatan anggota staf saat melakukan penyitaan barang bukti, termasuk
saat menangani perangkat listrik. Lokasi fisik dapat menimbulkan
bahaya, seperti yang mungkin terjadi pada ruangan di rumah tersangka di mana
perangkat subjek disita. Seperti disebutkan sebelumnya, ada kasus pelanggar yang
menyembunyikan senjata di kamar mereka. Juga kabel listrik mungkin dalam kondisi
buruk, yang menyebabkan potensi anggota tim tersengat listrik atau ruangan memiliki
lantai yang longgar.
Saat pameran dikumpulkan, pahami kompetensi dan pengalaman penyelidik dalam
peran yang mereka lakukan. Peran manajer pameran, misalnya, sangat penting untuk
penyelidikan apa pun, dan kontrol bukti dari awal pencarian hingga presentasi ke
pengadilan bergantung pada kompetensi dan keakuratan petugas pameran.
Setelah bukti telah disita, itu adalah tanggung jawab pimpinan investigasi untuk
menjaga keamanan dan integritasnya. Topik berikutnya adalah memperoleh bukti digital
dari jaringan atau dari perangkat fisik yang beroperasi, seperti server atau komputer
desktop.
Akuisisi Bukti Digital

Memperoleh bukti melibatkan menangkap salinan logis atau digital dari bukti dari jaringan
atau perangkat fisik. Orang yang terlatih dan memenuhi syarat yang tepat yang tahu
persis apa yang mereka lakukan harus menjadi satu-satunya orang yang melakukan ini.
Konvensi Eropa tentang Kejahatan Dunia Maya memungkinkan penangkapan bukti
digital yang terlihat jelas secara online (periksa untuk melihat apa yang diizinkan oleh
undang-undang setempat Anda).3 Contohnya adalah pengambilan halaman web yang
tidak dibatasi untuk dilihat. Ini dapat direkam dan digunakan sebagai bukti menggunakan
program seperti Microsoft Expression Encoder atau plugin browser web. Setelah
ditangkap, itu menjadi bukti sebanyak barang lain yang disita dan harus didokumentasikan
dan dilestarikan.
Seperti halnya anggota tim IR, peran pemeriksa digital adalah peran khusus, dan
buku ini tidak berusaha mendefinisikannya secara rinci; banyak buku dan kursus lain
dapat memberikan definisi seperti itu.
Sementara penyelidik ingin menyita setiap bukti digital yang tersedia, hal ini tidak
mungkin dilakukan karena tim IR menahan dan membasmi ancaman serangan. Karena
peristiwa siber datang dalam berbagai bentuk dan tingkat keparahan yang berbeda,
tidak mungkin menyediakan kerangka kerja untuk memenuhi semua kebutuhan tim IR
dan penyelidik. Komunikasi dan saling menghormati peran masing-masing akan
memperlancar setiap konflik di daerah ini. Sadarilah bahwa Anda mungkin beroperasi di
lingkungan yang sangat tidak stabil di mana data perusahaan hilang dan jaringan
terinfeksi lebih lanjut oleh perangkat lunak berbahaya, yang berarti persyaratan Anda
sebagai penyelidik dapat ditempatkan di belakang melindungi jaringan oleh pengambil
keputusan perusahaan.
Item Teknis 121
Rencanakan juga untuk mencegah bukti diubah dengan cara apa pun. Ini sangat
relevan dengan bukti digital yang mudah menguap seperti di Random Access Memory
(RAM) dan Mesin Virtual (VM) di mana bukti tidak dapat dipulihkan. Diskusikan kegiatan ini
dengan penyelidik digital sebelum berangkat ke tempat kejadian. Bukti juga dapat hilang
jika perangkat ditutup dan data yang dicari berada dalam volume atau perangkat terenkripsi.
Identifikasi Urutan Volatilitas Bukti Digital
Bukti digital mungkin hilang melalui peristiwa rutin, seperti log yang ditulis berlebihan dan
memori yang dimatikan. Peramban web yang tidak mencatat log akan kehilangan bukti
jejak jika dimatikan, termasuk apa yang dilihat pengguna. Identifikasi bukti yang dapat
menyebabkan kehilangan tersebut dan rencanakan penangkapan awal dengan pemeriksa
forensik Anda.
Contoh urutan volatilitas seperti yang disediakan oleh tim Tanggap Darurat Komputer
Australia (AusCERT) adalah:
1. Register dan cache 2.

Tabel perutean 3. Cache
ARP (Address Resolution Protocol) 4. Tabel proses
5. Statistik dan modul kernel

6. Memori utama 7.
Sistem file sementara 8.
Memori sekunder 9. Konfigurasi
router
10. Topologi jaringan
Proses penangkapan bukti elektronik yang disarankan adalah:
1. Memotret bukti in situ (tempatnya), termasuk menangkap apapun

gambar di layar.
2. Identifikasi urutan volatilitas dan ikuti panduan dari investasi digital
tigator.
3. Izinkan penyelidik bukti digital untuk mengamankan bukti yang mudah menguap.
4. Jaga komunikasi tetap mengalir dari semua sumber, seperti tim IR, manajer lokasi
kejadian, pencari lain, dan personel lain yang terlibat.
5. Temukan kata sandi dan sejenisnya dari perangkat atau pemilik/operator jaringan, catatan
tempel di dinding, buku catatan, dan lokasi lainnya. Kemampuan untuk melihat data pada
perangkat tersangka mungkin bergantung pada pekerjaan Anda di tempat kejadian.
6. Jika perangkat dalam keadaan hidup, jangan dimatikan tanpa arahan penyidik digital. Jika
tidak aktif, tinggalkan dan kencangkan sebagai pameran fisik.
7. Jika perlu, hapus akses jaringan dari perangkat yang disita
jika aktif maka tindakan jarak jauh tidak dapat memengaruhinya.
8. Dalam hal terdapat dugaan bahwa suatu alat merusak barang bukti berdasarkan perintah
yang diberikan oleh tersangka, pihak luar, atau keadaan lain, mintalah nasihat penyidik
digital; jika tidak, crash perangkat dengan melepas daya. Ini adalah keputusan yang hanya
dapat dibuat pada individu
keadaan.
9. Catat semua pengidentifikasi pada perangkat, seperti nomor seri, nomor model dan merek,
kerusakan yang ada pada perangkat, dan bahkan pengidentifikasi lain (seperti stiker
pribadi) yang nantinya dapat digunakan untuk mengonfirmasi bahwa perangkat ditemukan
di lokasi tertentu dan di bawah kepemilikan tertentu
orang.
10. Jauhkan perangkat dari apa pun yang dapat merusak integritas data yang disimpan, seperti
air, pelepasan elektromagnetik, dan akses jaringan jarak jauh.
11. Kabel dan manual juga berharga, karena akan membantu investasi digital
tigator ketika kembali ke laboratorium mereka.
12. Dokumentasikan semua tindakan Anda dan pastikan bahwa petugas pameran mengetahui
semua bukti yang diambil. Setiap item harus memiliki pengidentifikasi unik yang melekat
padanya.
Begitu bukti telah dikumpulkan dan ditangkap, maka harus dilestarikan untuk dapat menjaga
integritasnya dan membuktikan keasliannya.
Pelestarian Barang Bukti
Pelestarian bukti—melindunginya dari kehilangan, kerusakan, atau gangguan—adalah tanggung

jawab utama anggota tim lokasi kejadian. Ini adalah tanggung jawab semua orang. Apapun
kegiatan yang dilakukan sehubungan dengan barang bukti dari saat penemuan sampai dengan
presentasi di pengadilan harus dicatat. Tim juga harus mampu menjelaskan kepada pengadilan
mengapa barang bukti dapat diandalkan dan dalam keadaan yang sama seperti saat ditemukan
dengan menjelaskan pemeliharaan integritas dan keasliannya, termasuk lacak balak.
Tugas utama adalah mencatat anggota tim yang menemukan pameran, di mana ditemukan,
dan siapa yang menyitanya. Orang yang menemukannya mungkin berbeda dari orang yang
secara resmi menyitanya untuk pemeriksaan, dan mungkin membantu dalam pencarian yang lebih
kecil jika satu anggota tim ditunjuk sebagai petugas pameran yang menyita semua
Investigasi Adegan 123
bukti yang ditemukan oleh tim pencari tempat kejadian. Ini membantu dalam memastikan
bahwa jumlah minimum orang yang memiliki akses ke pameran dan bahwa mereka ditunjuk
untuk bertanggung jawab untuk menjaga integritas mereka.
Setelah keputusan dibuat untuk menyita sebuah pameran, ambil fotonya di tempat,
sehingga beberapa tahun kemudian Anda dapat mengingat dengan tepat seperti apa
pemandangan itu dan di mana bukti spesifik itu berada jika perlu. Tempatkan label pada
barang bukti yang merekam data, waktu penyitaan, identitas penyidikan, lokasi orang, dan
orang yang melakukan penyitaan. Melampirkan lembar berjalan pameran ke pameran akan
membantu menjaga rantai penjagaan.
Lembar berjalan juga dapat merekam:
Pengidentifikasi unik, seperti model dan nomor seri. Ini dapat dikaitkan dengan nomor
barang pada daftar tanda terima properti yang dikeluarkan di tempat kejadian ketika
barang bukti pertama kali disita.
Siapa yang mengakses pameran, dan waktu serta lokasi penemuannya
dan disita.
Siapa yang memiliki hak asuh atas pameran tersebut selama pameran tersebut diadakan.
Di mana pameran itu disimpan, terutama setelah dibawa pergi
dari tempat kejadian.
Siapa yang memeriksa barang bukti masuk dan keluar dari penyimpanan, dan kapan dan mengapa itu
selesai.
Pemeriksaan spesialis dilakukan pada pameran (jika ada), seperti pemeriksaan sidik jari
atau digital, beserta rincian orang yang memindahkan pameran.
Siapa yang mengembalikan pameran ke fasilitas penyimpanan dan waktu itu

dikembalikan.
Kerusakan pada pameran (jika ada), bagaimana hal itu terjadi, kapan ditemukan, dan
siapa yang menemukannya. Catat juga tingkat kerusakannya.
Dari laporan ini, laporan lacak balak untuk setiap pameran harus bisa disiapkan. Ini
akan sangat berguna jika Anda ditanyai tentang pameran di pengadilan.
INVESTIGASI Adegan
Setelah membahas prinsip-prinsip umum penyitaan barang bukti, sisa bab ini memperkenalkan
dan membahas kepraktisan pemeriksaan tempat kejadian.
Pertama kita akan membahas tindakan awal sebelum berangkat ke TKP.
Sebelum Berangkat ke TKP

Dalam persiapan pencarian yang berhasil, diperlukan rencana investigasi sehingga setiap
orang akan memahami keadaan pencarian/pemeriksaan, mengapa mereka ada di sana,
apa yang mereka cari, apa tugas setiap orang, dan legalitas tindakan mereka. Topik yang
mungkin disertakan dalam persiapan untuk menghadiri adegan tercakup dalam bagian
berikut.
Keamanan Staf
Sebelum memulai investigasi/pemeriksaan tempat kejadian, pertimbangkan keselamatan

staf, terutama saat berada di lokasi di mana tersangka mungkin berada. Orang-orang yang
menyadari bahwa mereka telah tertangkap melakukan pelanggaran serius bereaksi dengan
berbagai cara, dan reaksi mereka kadang-kadang mencakup kekerasan atau berusaha
untuk menghancurkan bukti secara fisik. Orang yang putus asa mungkin membuat
keputusan putus asa.
Jika memungkinkan, saat menghadiri TKP bisnis, bicaralah dengan manajemen dan
identifikasi apakah ada tersangka di dalam organisasi dan apakah ada potensi risiko
terhadap keselamatan tim investigasi.
Ini mungkin termasuk anggota staf yang memiliki riwayat kekerasan atau perilaku buruk
di tempat kerja, atau riwayat penyalahgunaan alkohol, obat resep, dan/atau obat-obatan
terlarang. Waktu yang dihabiskan untuk mengajukan pertanyaan ini dapat dilihat sebagai
investasi untuk keselamatan tim Anda, diri Anda sendiri, dan orang lain yang hadir.
Apakah Ada Senjata Hadir?
Definisi senjata sangat luas dan dapat mencakup benda apa pun yang dapat digunakan
seseorang untuk menyebabkan cedera pada anggota tim IR, tim investigasi, atau orang
lain. Itu juga bisa digunakan untuk melawan siapa pun yang hadir saat tersangka mencoba
meninggalkan tempat kejadian.
Tersangka mengetahui rumah dan tempat kerja mereka dengan baik dan kadang-
kadang akan menempatkan senjata di tempat yang dapat mereka jangkau jika perlu. Saat
menggeledah rumah, untuk alasan yang tidak diketahui, banyak percakapan dilakukan di
dapur tempat pisau berada. Idealnya, pindahkan percakapan apa pun dari lokasi di mana
senjata terlihat dan singkirkan godaan yang jelas; misalnya, letakkan pisau di laci atau
mesin pencuci piring, atau amankan dengan tim investigasi sesuai keadaan dan pengalaman.
Dalam lingkungan penegakan hukum, polisi biasanya memiliki wewenang di bawah

perintah pengadilan untuk membatasi pergerakan orang di lokasi di mana mereka
menjalankan surat perintah penggeledahan. Perintah penggeledahan dan penyitaan sipil mungkin
tidak mengandung otoritas semacam itu, mengharuskan anggota pencari untuk memastikan
perlindungan pribadi mereka melalui pengamatan dan menggunakan keterampilan komunikasi
mereka. Jika ada potensi ancaman kekerasan dalam pelaksanaan perintah penggeledahan sipil,
pertimbangkan untuk meminta polisi hadir untuk memastikan keselamatan semua pihak.
Pengarahan Pra-pencarian
Lakukan pengarahan tim pra-pencarian sehingga semua orang memahami semua keadaan acara
yang sedang diselidiki dan peran mereka. Menyajikan risiko keselamatan dan strategi mitigasi.
Berbagi intelijen tentang lokasi, pencarian, bukti, dan individu, serta fakta-fakta kejahatan dunia
maya yang diketahui.
Legalitas Kehadiran
Pahami dan jelaskan legalitas kehadiran Anda di lokasi dan tindakan Anda. Ini mungkin atas
perintah pengadilan atau persetujuan dari pihak yang berada di bawah kendali lokasi dan bukti.
Pastikan Anda dan tim Anda memahami wewenang yang diberikan oleh perintah pengadilan.
Setiap negara memiliki undang-undangnya sendiri mengenai penggeledahan dan penyitaan

barang bukti, dan undang-undang tersebut akan memberikan panduan mengenai legalitas tindakan
Anda. Misalnya, di Amerika Serikat, Amandemen Keempat Konstitusi memberikan perlindungan
kepada masyarakat dari penggeledahan dan penyitaan yang tidak wajar.
Apakah Tersangka Kemungkinan Hadir?
Pada tahap awal penyelidikan, kemungkinan besar Anda tidak akan tahu siapa tersangkanya atau
bahkan apakah orang itu adalah karyawan internal. Banyak penyelidikan polisi telah mewawancarai
pelaku dalam tahap wawancara awal dan tidak mengidentifikasi mereka sebagai calon tersangka
sampai beberapa minggu kemudian. Ini bukan kegagalan, karena menyoroti fakta bahwa pada
tahap awal penyelidikan Anda akan memiliki pengetahuan yang sangat terbatas tentang semua
individu dan hubungan yang berbeda yang akan Anda hadapi. Anda juga kemungkinan besar akan
memiliki bukti terbatas untuk mengarahkan penyelidikan Anda kepada siapa tersangkanya atau ke
detail persis pelanggarannya.
Jika seseorang disebut sebagai tersangka dengan bukti yang mendukung klaim ini, penyelidik
sipil mungkin ingin mempertimbangkan pilihan mereka. Jika Anda berurusan dengan penyelidikan
yang kemungkinan akan dirujuk ke polisi, pilihannya adalah menyerahkan wawancara tersangka
kepada polisi, yang sangat ahli dalam wawancara tersangka. Atau, Anda dapat mewawancarai
orang tersebut jika anggota tim Anda memiliki keterampilan, tetapi ingat bahwa Anda akan
melakukan wawancara yang dicurigai dalam masalah serius.
dengan informasi terbatas, yang mungkin berarti banyak pertanyaan berharga tidak akan
ditanyakan. Meskipun hal ini tidak selalu terjadi, tersangka biasanya hanya mewawancarai
satu kali dan penyidik yang ahli akan memastikan bahwa mereka memiliki semua informasi
yang mereka butuhkan. Wawancara dibahas secara lebih rinci dalam Bab 16.
Rencana Pengendalian dan Penangkapan Bukti, dan untuk Pelestarian

Integritasnya
Karena tidak semua adegan yang Anda hadiri akan melibatkan tim IR, rencanakan untuk
mencegah siapa pun mengganggu bukti. Kontrol pergerakan orang-orang di tempat kejadian
dan Anda akan sangat membantu dalam mengontrol pelestarian bukti fisik. Ketika
berhadapan dengan situasi di mana tersangka mungkin hadir, bahkan tindakan yang
tampaknya tidak bersalah seperti seseorang yang menggunakan telepon mereka dapat
menghalangi penangkapan bukti Anda, karena mereka mungkin mengirimkan kode yang
telah disiapkan kepada rekanan untuk menghancurkan bukti potensial. Pastikan tersangka
tidak memiliki akses langsung atau tidak langsung ke perangkat digital, termasuk akses
jarak jauh melalui perangkat seluler.
Saat perangkat berbasis cloud, siapa pun dapat mengakses layanan dengan perangkat
seluler. Oleh karena itu, saat Anda dan tim Anda berada di lokasi kejadian, tersangka atau
rekan mereka dapat menggunakan layanan berbasis cloud untuk menghapus bukti penting
Anda sedang mencari. Ponsel mungkin berisi layanan penghapusan jarak jauh melalui fitur
seperti Temukan iPhone saya.
Rencanakan juga untuk mencegah bukti diubah dengan cara apa pun. Ini sangat
relevan dengan bukti digital yang mudah menguap, seperti pada RAM dan VM, yang tidak
dapat dipulihkan. Diskusikan kegiatan ini dengan penyelidik digital sebelum berangkat ke
tempat kejadian. Bukti juga dapat hilang jika perangkat ditutup dan data yang dicari berada
pada volume atau perangkat terenkripsi.
Barang bukti juga dapat dirusak oleh tindakan tidak bersalah seperti menyimpan
perangkat digital di dekat cairan atau sumber elektromagnetik. Listrik statis dapat merusak
barang bukti digital, dan mengamankan perangkat di dalam tas, kotak, atau tas Faraday
akan membantu menjaga integritas barang bukti. Cegah potensi pelepasan elektromagnetik
yang merusak barang bukti digital dengan menyentuh benda logam yang aman untuk
menghilangkan listrik statis pada orang Anda sebelum mengambil barang bukti digital.
Dalam keadaan sempurna, tidak akan ada perubahan status barang bukti yang diperoleh;
namun, jika ada, segera dokumentasikan dan jelaskan alasan mengapa perubahan dilakukan.
Beberapa tersangka sangat khawatir tentang potensi diidentifikasi membangun saklar

mematikan ke perangkat, jadi jika penegak hukum atau penyelidik lain
berusaha untuk merebut perangkat sebagai bukti, mereka dapat menekan tombol pemutus, yang akan
menghapus data atau mengenkripsi perangkat. Ini pada dasarnya adalah sakelar panik dari upaya
terakhir, yang digunakan ketika penjahat dunia maya tidak memiliki kesempatan untuk mempertahankan
perangkat mereka secara manual. Tergantung pada keadaan pencarian Anda dan apakah Anda
menghadiri tempat kejadian di mana kemungkinan tersangka berada, ini mungkin merupakan
pertimbangan yang sangat relevan.
Jam berapa Pencarian TKP Akan Dilakukan?
Tim investigasi yang dipanggil ke lingkungan perusahaan akan sering hadir selama jam
kerja. Ini adalah saat sebagian besar karyawan hadir dan berusaha melakukan tugas
sehari-hari mereka. Kehadiran IR dan tim investigasi kemungkinan besar akan
menimbulkan kekhawatiran besar bagi karyawan karena mereka melihat banyak aktivitas
yang sebelumnya hanya mereka lihat di TV, seperti komputer dicitrakan dan teman-
teman diwawancarai, serta dinamika umum IR dan investigasi tim tentang bisnis mereka.
Tidak ada jawaban pasti untuk pertanyaan apakah Anda harus melakukan investigasi
terhadap TKP perusahaan selama jam kerja atau setelahnya, karena keadaan seperti
bekerja dengan tim IR dan ketersediaan saksi untuk diwawancarai akan mendorong
keputusan ini. Namun, manajemen dapat meminta agar kegiatan tertentu, seperti
wawancara, dilakukan di luar jam kerja sehingga para saksi dapat berpikir jernih dari
gangguan tugas sehari-hari mereka.
Hal ini dibahas secara lebih rinci dalam Bab 16. Isu-isu lain, seperti kebutuhan akan
tanggapan yang cepat dan ketersediaan sumber daya, akan mempengaruhi pencarian
penegak hukum.
Bisakah Adegan Diisolasi dari Pengamat?
Dalam persiapan Anda untuk melakukan penyelidikan dan pemeriksaan, Anda akan
merencanakan lingkungan yang jelas untuk bekerja. Namun, ini tidak selalu
memungkinkan, karena Anda mengambil TKP saat Anda menemukannya. Memindahkan
semua orang dari suatu lokasi sehingga penyelidik digital Anda dapat mengambil gambar
perangkat dan barang-barang lainnya dapat disita dapat dianggap sebagai praktik
terbaik, tetapi ketika sebuah perusahaan perlu tetap beroperasi, Anda mungkin harus
merencanakan untuk bekerja di lingkungan sebaik mungkin sambil merekam catatan
tentang keadaan di mana Anda beroperasi. Klien sipil mengundang tim investigasi ke
tempat kerja, dan meskipun Anda bertanggung jawab untuk mengerjakan tempat
kejadian, manajemen mungkin meminta agar tempat kejadian tidak sepenuhnya ditutup
seperti yang Anda inginkan. Petugas penegak hukum yang menanggapi pengaduan
mungkin memerlukan lokasi untuk ditutup dan ini akan menjadi diskusi terpisah.
Bersiaplah untuk Kemungkinan Orang Tiba di TKP selama Pencarian
TKP bersifat dinamis, dan bukan hal yang tidak biasa terjadi pencarian yang dilakukan
dan orang-orang berjalan ke TKP di tengah-tengah pencarian. Umumnya hal ini tidak
menjadi masalah, karena catatan yang dicatat akan menjelaskan terjadinya hal ini.
Khususnya di kantor perusahaan, orang mungkin datang dari pertemuan di tempat lain
sama sekali tidak menyadari bahwa IR dan tim investigasi telah bekerja di kantor selama
dua jam terakhir, dan mereka akan memerlukan pengarahan singkat tentang apa yang
terjadi. Persiapkan kemungkinan ini dan mintalah petugas yang ditunjuk ditugaskan untuk
bertemu dan mencatat rincian mereka.
Waspadai Bahaya Alami atau Bahaya Fisik Lainnya, Seperti

Konektor Listrik Terkena atau Rusak, Air Hujan, Bocor
Pipa, dan Sejenisnya
Tidak semua TKP berada di kantor perusahaan profesional, dan keadaan penyelidikan
Anda akan menentukan di mana Anda bekerja. Rumah tersangka sangat bervariasi, dan
kami telah membahas potensi bahaya keamanan. Waspadai kabel yang longgar atau
rusak dan bahaya rutin lainnya, termasuk barang-barang yang tersebar di sekitar ruangan,
lantai yang tidak aman, dan sebagainya. Kebocoran air adalah bahayanya sendiri dan
perangkat magnet dapat membahayakan perangkat digital.
Memiliki Pemahaman Sementara tentang Batas Adegan
Dokumentasikan batas-batas sementara tempat kejadian yang akan diperiksa dan berikan
pengarahan kepada anggota tim tentang sifat pelanggaran, bukti yang dicari, risiko yang
diketahui, dan yang mungkin terjadi, serta identifikasi petugas tempat kejadian.
Pengarahan ini dapat mencakup bukti apa yang disita, yang akan diatur oleh apakah
penggeledahan dilakukan dengan persetujuan (seperti dalam kasus pelapor) atau di
bawah wewenang perintah pengadilan (seperti saat menggeledah tempat tinggal
tersangka atau lokasi bisnis. ).
Tentukan Peran Tim
Seperti yang telah dibahas sebelumnya, pastikan bahwa semua anggota tim telah diberi
pengarahan tentang cara yang aman untuk menangani bukti digital; sebagai alternatif, mintalah
anggota tim menemukan pameran digital dan petugas pameran yang ditunjuk (yang terlatih
dalam penyitaan bukti digital) mengamankan pameran secara fisik. Pastikan mereka memiliki
sumber daya untuk melakukan tugas mereka.
Identifikasi petugas pameran yang akan menangani bukti dari awal hingga presentasi di
pengadilan. Ini mungkin satu-satunya tugas mereka di tim besar, atau tanggung jawab ini dapat
didelegasikan bersama dengan tugas lain di tim yang lebih kecil. Mengerjakan
mengabaikan konsekuensi potensial dari prosedur penanganan bukti yang buruk.
Pahami dan Taati Aturan Bukti
Bahkan jika ini adalah fitur reguler dari pekerjaan Anda, memastikan kompetensi dalam pembaruan
undang-undang dan hukum kasus menguntungkan.
Bekerja dalam Batas Pengetahuan Anda
Tidak ada yang ahli dalam segala hal, jadi jangan takut untuk meminta bantuan. Dia
bukanlah tanda kelemahan untuk meminta nasihat kepada orang lain, bahkan staf yang lebih junior. Sebagai
Anda melibatkan spesialis untuk membantu dalam pencarian/pemeriksaan, izinkan mereka melakukannya
pekerjaan mereka tanpa perlu menunjukkan otoritas. Ini berlaku untuk briefing juga
sebagai kehadiran di tempat kejadian.
Rencana untuk Menghadapi Data Online Bervolume Besar yang Akan Disita
Misalnya, mengunduh terabyte data dari server cloud membutuhkan waktu yang sangat lama
waktu, bahkan pada jaringan berkualitas tinggi. Untuk memastikan lacak balak, penyelidik digital
yang berpengalaman akan diminta untuk hadir, atau memiliki metodologi
tersedia untuk membuktikan bahwa tidak ada orang yang memiliki kapasitas untuk mengganggu dan merendahkan
kualitas barang bukti. Pertanyaan ini dapat diputuskan dalam diskusi dengan
pelapor menggunakan keuntungan dari pengalaman Anda. Catat alasannya
bukti tidak dikumpulkan dan bersiaplah untuk ditantang di pengadilan jika
bukti potensial tidak dikumpulkan karena biaya yang terlibat.
Tangkapan langsung harus digunakan untuk merekam data saat bergerak melalui jaringan
tanpa mematikan jaringan. Ini sangat berharga dalam situasi di mana bisnis perlu terus beroperasi
sementara IR dan tim investigasi beroperasi.
Setiap pemeriksaan bukti digital harus dilakukan oleh penyidik digital yang berkualifikasi.
Ada banyak kasus di mana penyelidik telah "melihat cepat"
di perangkat untuk melihat apakah ada bukti, yang mengubah file log di dalam perangkat.
Bukti Apa yang Tidak Dikumpulkan?
Ada biaya untuk mengumpulkan bukti digital, dan mungkin membutuhkan waktu yang lama,
sumber daya, dan biaya untuk mengumpulkan bukti secara sah dari server cloud. Keputusan
tentang berapa banyak bukti yang harus disita dan apa yang harus ditinggalkan dan
tidak menangkap perlu dilakukan. Ini adalah tindakan penyeimbangan yang sangat sulit, karena
apa yang Anda tinggalkan mungkin merupakan bukti yang diputuskan oleh pengacara pembela
adalah bukti penting yang akan membebaskan klien mereka. Memiliki anggota tim di lokasi
menimbulkan biaya yang signifikan, terutama dengan penyelidik digital yang berpengalaman.
Setelah Anda merencanakan pencarian/pemeriksaan, proses selanjutnya adalah
kehadiran di lokasi.
Aksi Adegan oleh Penyidik

Pemeriksaan adegan yang sebenarnya mencakup prinsip-prinsip dan strategi yang termasuk
dalam bagian sebelumnya; namun, sekarang kita melihat pemeriksaan sebenarnya yang akan
diarahkan oleh penyelidik utama. Seperti yang telah kami sebutkan sebelumnya, tempat terjadinya
tindak pidana adalah TKP, sehingga jika peristiwa tersebut pada akhirnya berakhir di pengadilan,
Anda akan dimintai pertanggungjawaban yang sama mengenai lokasi bukti, penyitaan,
pengumpulan, penanganan, dan pemeriksaan sebagai detektif manapun.
Sementara kami berpikir bahwa adegan kejahatan dunia maya akan menjadi kantor, itu bisa
menjadi perangkat seseorang jika seorang karyawan bekerja dari rumah. Ini juga bisa menjadi
lokasi di luar bisnis jika perusahaan telah mengalihdayakan teknologi informasi mereka ke
perusahaan spesialis. Sebagai pilihan lain, tempat kejadian bisa berupa barang bukti yang berada
di dalam kendaraan yang ditempatkan di sana oleh tersangka. Seperti yang kita bahas di Bab 12,
TKP bisa menjadi layanan komputasi awan. Dalam kasus ini, tanggapan Anda mungkin dipandu
oleh kontrak hukum dan perjanjian layanan dengan pihak ketiga dan/atau penyedia komputasi
awan.
Jika pencarian Anda berada di kantor perusahaan besar, pisahkan area pencarian menjadi
beberapa komponen dan tetapkan komponen ini ke anggota tim Anda, catat siapa yang ditugaskan
ke komponen mana. Salah satu cara mencari area yang ditentukan adalah dengan mencari searah
jarum jam setelah menunjuk titik tertentu sebagai lokasi untuk memulai pencarian Anda. Ini
mungkin sisi kiri meja tertentu dan mencakup semua area ke lemari arsip tertentu, di mana tim
pencari yang berdekatan memulai pencarian mereka.
Saat mencari meja dan lemari, jangan lupa untuk mencari lantai, bawah meja, dan area lantai
di bawah lemari dan area di atas barang-barang tersebut. Mungkin karena tidak masuk akal untuk
menyimpan data berharga di lokasi tertentu (seperti yang ada di bawah lemari arsip), mungkin
masuk akal bagi orang yang memiliki data yang memberatkan dan mencari tempat orang tidak
akan repot melihat karena tidak mungkin atau sulit untuk dipindahkan.
Ingat, motivasi orang yang menyembunyikan bukti mungkin lebih besar daripada anggota tim
pencari untuk menemukannya, karena mereka menghadapi kemungkinan hukuman penjara jika
bukti kunci yang memberatkan mereka ditemukan.
Identifikasi dan pelestarian bukti adalah pertimbangan utama dan penghormatan terhadap
aturan bukti yurisdiksi tempat Anda bekerja harus menjadi tujuan utama investigasi. Permainan
akhir untuk tindakan awal di TKP atau saat menyita perangkat digital yang berisi bukti potensial
adalah pengadilan di mana aturan pembuktian akan diterapkan pada tindakan Anda. Anda
akan diperlakukan dengan standar yang sama dengan standar untuk penyelidikan kejahatan
serius, di mana seorang detektif yang memenuhi syarat menemukan, menyimpan, menyita,
dan memeriksa bukti.
Sejak awal, penyelidik siber akan memiliki banyak tugas yang harus dilakukan untuk
mendapatkan pemahaman tidak hanya tentang peristiwa yang mereka investigasi, tetapi juga
TKP, sifat dinamisnya, saksi, dan lokasi bukti potensial. Wawancara awal dengan pelapor,
sebagaimana dirinci dalam Bab 7, dapat memberikan beberapa informasi ini, tetapi kemungkinan
besar manajer yang memberikan pengarahan memiliki sedikit pemahaman tentang apa yang
telah terjadi. Ketika penyidik mengambil alih TKP dan memulai manajemen TKP, perlu diingat
bahwa setiap tindakan yang mereka ambil dan setiap keputusan yang diambil dapat diinterogasi
di pengadilan beberapa tahun kemudian jika tersangka diidentifikasi dan dituntut secara perdata.
atau pengadilan pidana. Dalam hal ini, volume catatan yang dicatat selama pemeriksaan akan
menjadi sumber bantuan yang sangat berharga dalam menyegarkan ingatan Anda tentang apa
yang dilakukan, kapan, mengapa, dan oleh otoritas siapa.
Penilaian Keamanan di Tempat Kejadian
Seperti yang telah disebutkan sebelumnya, keselamatan adalah pertimbangan terpenting

melalui semua aspek pencarian/pemeriksaan. Para pemimpin tim serta semua anggota tim
yang hadir akan terus-menerus menilainya. Di tempat kejadian, penilaian keselamatan tidak
dimulai dan selesai saat Anda tiba di lokasi. Itu harus terus dievaluasi melalui pencarian dan itu
bukan tanggung jawab yang hanya dimiliki oleh anggota senior tim tetapi oleh semua anggota
tim.
Sejak awal, Anda akan memastikan keamanan staf di tempat kejadian. Sementara
kejahatan dig ital mungkin tidak membawa tingkat ancaman yang sama bagi penyelidik sebagai
serangan narkoba, risiko mungkin masih ada. Seperti yang telah kami sebutkan, tersangka
yang terpojok terkadang membuat keputusan dengan panik. Misalnya, jika penjahat dunia
maya diketahui sebagai anggota staf internal yang mencuri IP secara tidak sah, tidak ada yang
tahu apa tindakan mereka, termasuk kemungkinan menyerang anggota tim investigasi, begitu
mereka melihat mereka telah diidentifikasi.
Pahamilah juga ketika menghadiri alamat tersangka dengan perintah pengadilan untuk
mencari, menemukan, dan menyita barang bukti, mereka biasanya akan merasa terancam.
Berada di rumah mereka menyerang lokasi yang mereka rasa paling aman dan
kedatangan tim pencari mungkin terlihat sangat mengancam dan menantang.

Sebuah rumah penuh dengan senjata potensial dan tersangka tahu di mana mereka semua,
mulai dari pisau di dapur dan ruangan lain hingga senjata api yang disembunyikan di dalam
rumah.
Perkenalkan Diri Anda dan Tim kepada Semua Orang yang Dibutuhkan
Jika menghadiri dengan otoritas perintah pengadilan, pastikan itu hadir dan tersedia untuk
dilihat, seperti yang dipersyaratkan oleh undang-undang yurisdiksi Anda. Jika diperlukan,
berikan perlindungan kepada tersangka, seperti hak untuk diam, akses ke nasihat hukum,
dan kemampuan untuk menghubungi perwakilan serikat pekerja mereka. Ini juga akan
dipandu oleh undang-undang di yurisdiksi Anda.
Jika hadir dengan persetujuan, temui orang yang mengundang Anda. Bab 7
mengidentifikasi bidang-bidang yang menarik untuk didiskusikan dengan pelapor dan Bab 16
membahas bidang-bidang untuk didiskusikan dengan tersangka dan saksi. Terus lakukan
analisis ancaman di semua tahapan selama Anda berada di lokasi.
Aktivitas Kontrol
Saat tiba di lokasi, kontrol tempat kejadian, orang, dan akses ke bukti.
Seperti yang telah dibahas sebelumnya, ini akan bervariasi tergantung pada keadaan
kehadiran Anda, karena Anda tidak akan secara langsung dengan staf pengadu seperti
halnya Anda dengan tersangka.
Memotret TKP dan Bukti Terletak
Mengambil serangkaian foto TKP saat pertama kali ditemukan memungkinkan calon hakim
dan juri untuk memahami tata letak TKP dan di mana bukti itu berada. Ini juga berfungsi
sebagai pengingat bagi penyidik jika mereka diminta untuk memberikan bukti dalam sidang
pengadilan di masa mendatang.
Karena bukti lebih lanjut ditemukan selama pencarian, fotolah di tempat (di mana itu)
sebelum dipindahkan. Tautkan semua bukti yang disita ke lokasi persisnya ditemukan. Ini
adalah alat investigasi yang berharga dan menunjukkan tersangka sebelum mereka punya
waktu untuk bereaksi terhadap apa yang terjadi.
Hindari menggunakan telepon Anda sendiri, karena di beberapa yurisdiksi, pertahanan mungkin
meminta telepon Anda untuk mengekstrak salinan gambar mereka sendiri.
Saat berhadapan dengan perangkat yang dicurigai, merekam apa yang ada di layar
mungkin menjadi sumber bukti yang berharga. Jika itu komputer tersangka, melihat jendela
apa yang terbuka dan apa yang dapat dilihat tanpa mengklik tautan dapat memberikan
arahan untuk penyelidikan dan ke lokasi bukti di masa depan. Untuk
misalnya, komputer tersangka mungkin terbuka ke akun email web yang tidak diketahui siapa
pun atau komputer korban mungkin menunjukkan permintaan ransomware.
Buat daftar apa yang terpasang pada perangkat yang dicurigai, seperti kabel Ethernet,
mouse, keyboard, dan perangkat penyimpanan. Jika perlu, buat diagram konfigurasi yang
menunjukkan bagaimana perangkat terhubung ke jaringan. Catat pengidentifikasi unik untuk
perangkat, seperti merek, model, dan nomor seri.
Foto semua kabel dan koneksi ke perangkat. Rebut kabel dan pengisi daya, terutama jika
perangkat ini jarang digunakan. Penyelidik digital mungkin perlu mengisi daya perangkat kembali
di kantor dan tidak memiliki pengisi daya yang diperlukan. Tandai semua perangkat sehingga
Anda dapat mengingat kabel mana yang termasuk dalam perangkat mana.
Sidik Jari Bukti
Tergantung pada kasusnya, bukti mungkin perlu diambil sidik jarinya. Ini adalah proses khusus
dalam penegakan hukum dan petugas spesialis melakukan tugas ini.
Di tempat kejadian, jika suatu barang bukti perlu diambil sidik jarinya, gunakan sarung tangan
dan ambil barang tersebut di tepinya di tempat-tempat yang paling tidak mungkin disentuh oleh
pelaku. Amankan item tersebut sehingga tidak ada anggota tim lain yang dapat menyentuhnya dan
tandai tas dengan label seperti “Pameran untuk diambil sidik jarinya” sebelum mengamankannya
untuk mengingatkan semua anggota tim bahwa pameran harus diperlakukan dengan sangat
hati-hati.
Dokumentasikan Semua Aktivitas
TKP bisa menjadi tempat yang sangat kacau, dengan keputusan dibuat dalam pelarian untuk
melestarikan bukti, mewawancarai saksi, dan mengendalikan tempat kejadian. Keputusan yang
dibuat di saat yang panas mungkin benar dengan informasi yang tersedia sangat terbatas, tetapi
kemudian terbukti salah setelah lebih banyak informasi tersedia. Sementara setiap orang
memiliki visi 20/20 setelah suatu peristiwa terkendali dan semua informasi tersedia, penyelidik
tempat kejadian tidak memiliki kemewahan untuk menunda semua keputusan sampai semua
informasi tersedia dan harus bekerja dengan apa yang mereka miliki dan menyeimbangkannya
dengan keputusan mereka. pengalaman.
Jika keputusan yang diambil pada saat yang panas ternyata tidak benar, dokumentasi yang
direkam pada saat itu akan menunjukkan bahwa keputusan itu dibuat dengan informasi yang terbatas dan
dengan itikad baik, dan bahwa itu mungkin merupakan keputusan yang bijaksana pada saat
mengingat terbatasnya informasi yang tersedia. Jika catatan terperinci tidak dicatat selama
proses pengambilan keputusan, membenarkan waktu yang menunjukkan keputusan yang salah
membuat penyelidik terbuka untuk klaim ketidakmampuan atau sengaja menghancurkan bukti.
Memahami Persyaratan Investigasi
Dalam pengarahan awal dengan manajemen, pahami dengan tepat apa yang mereka ingin
Anda lakukan dan batasan yang mereka inginkan agar Anda beroperasi di dalamnya.
Meskipun selalu ada anggapan bahwa penyelidikan mungkin berakhir di ruang sidang,
seorang manajer harus dapat memberi tahu Anda dengan tepat apa yang ingin mereka
investigasi. Misalnya, mereka mungkin hanya ingin Anda menyelidiki penyusupan terhadap
server web dan tidak menghabiskan waktu untuk melihat server email, yang mereka yakini
tidak terpengaruh dalam serangan.
Sebagai penyelidik sipil, dokumen persyaratan awal perikatan harus menunjukkan
batas-batas penyelidikan dan informasi terkait, seperti waktu yang tersedia, dukungan
internal yang tersedia, dan sebagainya.
Dukungan Manajerial, Termasuk Sumber Daya Manusia dan Hukum
Di kancah perusahaan, mendapat dukungan manajemen memudahkan jalan bagi penyelidik.

Mereka dapat memberikan keputusan yang cepat, alokasi sumber daya, akses ke staf kunci,
dan mendefinisikan kembali batas-batas penyelidikan sesuai kebutuhan.
Saat pencarian sedang dilakukan, berusahalah untuk menjaga saluran komunikasi

tetap terbuka antara manajer dan penyelidik yang melakukan pencarian. Mereka akan tertarik
untuk mendapatkan umpan balik mengenai nilai bukti yang mereka sita dan apakah ada cara
baru untuk penyelidikan yang berasal dari pencarian. Ini juga membantu menjaga para
pencari tetap termotivasi, mengetahui pekerjaan mereka dihargai dan berkontribusi pada
penyelidikan keseluruhan.
Departemen SDM dan petugas hukum di organisasi memiliki akses ke informasi yang
sangat berharga saat Anda menyelidiki insiden yang melibatkan tersangka internal.
Memungkinkan Kelanjutan Bisnis Klien sementara

Bukti Sedang Dikumpulkan
Hanya sedikit bisnis yang ingin tutup saat investigasi dunia maya sedang dilakukan, karena
offline membutuhkan biaya. Selain itu, investigasi internal bisa sangat mengganggu dan
mengganggu anggota staf, yang mungkin memiliki kekhawatiran terhadap masa depan
perusahaan. Adalah peran penyelidik untuk mendiskusikan masalah ini dengan manajer
senior untuk merencanakan tanggapan agar perusahaan dapat melanjutkan perdagangan
selama penyelidikan dilakukan.
Jelaskan kepada staf apa yang sedang terjadi dan perlunya kerja sama mereka.
Jelaskan mengapa aktivitas tertentu, seperti pencitraan komputer, sedang berlangsung. Jika
Anda tidak menjelaskan kepada staf apa yang terjadi dan mengapa, rumor akan dimulai, dan
orang akan mengembangkan teori mereka sendiri dan tingkat kerjasama mereka dapat dikurangi.
Konfirmasikan Lokasi Pelanggaran dalam Adegan yang Lebih Besar
Konfirmasikan dengan tepat di mana TKP berada. Ini mungkin lokasi fisik, seperti komputer di
meja di kantor, jaringan internal, atau server cloud yang terletak di yurisdiksi hukum asing.
Di beberapa lokasi, area yang akan digeledah mungkin berupa kantor besar yang berisi
serangkaian kantor di sepanjang lorong. Masing-masing perlu diperlakukan sebagai lokasi
potensial bukti dan didefinisikan seperti itu. Tindakan sederhana seperti yang tercakup dalam
Gambar 10.7 dengan jelas mendefinisikan kantor pada peta pemandangan dan dapat dikaitkan
dengan bukti yang terletak di dalamnya.
Hanya karena Anda melakukan investigasi teknologi tinggi tidak berarti
solusi berteknologi rendah tidak bisa sangat efektif. Gunakan bila perlu.
Pencarian Metodis
Secara metodis mencari lokasi dan menemukan barang bukti dan mencatat rincian penggeledahan
dan penyitaan barang bukti.
GAMBAR 10.7 Pengenal lorong kantor.

Komputer sebagai Pameran
Jika Anda ingin memeriksa komputer, pertama-tama tinggalkan di tempatnya dan

hubungi penyelidik digital. Jika perangkat dimatikan atau dikunci, jangan nyalakan.
Jika perangkat menyala, potret perangkat dan apa yang ada di layar, meskipun tidak
ada tab yang terbuka. Beberapa yurisdiksi akan memungkinkan Anda untuk membuka
tab pada perangkat untuk melihat dan memotret, meskipun Anda perlu
menyeimbangkannya dengan kebutuhan untuk memiliki interaksi minimal dengan
perangkat sebelum penyelidik digital memulai pekerjaan mereka.
Jika barang bukti yang Anda sita ada kerusakan, fotolah ini sebelum disita agar
tidak ada dugaan bahwa kerusakan tersebut disebabkan oleh tim investigasi. Entri
Anda dalam catatan dan jadwal properti Anda dapat berbunyi: “iPhone disita dengan
sampul. Tombol Home rusak.”
Gambar 10.8 adalah contoh perangkat yang menunjukkan kerusakan yang ada
saat ditemukan.
Urutan Bukti Digital Volatilitas
Buat urutan volatilitas bukti digital. Ini dibahas sebelumnya dalam bab ini, di bawah
"Akuisisi Bukti Digital."
GAMBAR 10.8 Gambar iPhone rusak.

Enkripsi
Tanpa kunci, enkripsi akan menimbulkan masalah. Saat investigasi TKP dilakukan, menemukan
sumber kata sandi potensial apa pun akan membantu penyelidik digital kembali ke laboratorium
mereka saat mereka berusaha mendapatkan akses ke perangkat dan bukti. Kunci dapat diberikan
oleh pemilik/pengontrol perangkat, atau diletakkan di atas kertas, di buku catatan, atau di catatan
tempel yang ditempel di bawah meja.
Jika perangkat beroperasi, pemeriksa forensik dapat melakukan akuisisi langsung
tion dari RAM sebagai kunci mungkin penduduk dalam teks biasa.
Sketsa Peta Pemandangan Jika Diperlukan
Peta sketsa tempat kejadian dan bukti yang ditemukan mungkin sangat berharga ketika
mengidentifikasi dengan tepat di mana bukti itu berada. Ini akan mendukung foto-foto
pemandangan.
Siapa yang Hadir di TKP?
Adegan dapat sangat bervariasi dan mengetahui siapa yang hadir pada waktu tertentu
memungkinkan penyelidik untuk memahami adegan: siapa yang termasuk di dalamnya, siapa
pengunjung, dan siapa yang tidak hadir.
Identifikasi Tersangka Potensial (Apakah Mereka Ada?)
Identifikasi tersangka untuk mengurangi potensi mereka merusak barang bukti.

Ingatlah bahwa bukti digital dapat dihapus dari jarak jauh. Sebagai contoh, seseorang di kantor
mungkin menelepon rekan kerja yang berada di kantor klien untuk memberi tahu mereka bahwa
tim investigasi sedang melihat komputer mereka, tanpa menyadari bahwa orang yang mereka
panggil adalah tersangka. Seperti yang telah dibahas sebelumnya, setelah diperingatkan,
tersangka mungkin termotivasi untuk menghapus drive dari jarak jauh menggunakan aplikasi
berbasis cloud.
Temukan Kata Sandi
Seperti halnya mencari kata sandi enkripsi, ini dapat disimpan di buku catatan atau pada catatan
tempel yang dilampirkan ke perangkat. Perangkat USB juga dapat berisi kumpulan kata sandi.
Anda juga dapat menanyakan kata sandi kepada orang yang mengoperasikan perangkat.
Identifikasi Saksi Potensial dan Ketersediaan (Rekaman Digital

Dimana Hukum Setempat Memungkinkan)
Beberapa saksi mungkin perlu diwawancarai pada saat keterlibatan awal.

Misalnya, seorang saksi kunci mungkin akan pergi keesokan harinya tanpa kontak yang
memungkinkan untuk bulan berikutnya.
Siapa yang Tidak Hadir Kita Perlu Wawancara?
Saksi kunci mungkin tidak hadir dan mungkin perlu segera dihubungi. Misalnya, administrator
sistem mungkin sedang cuti dan memiliki bukti berharga mengenai jaringan, desainnya, dan
kejadian keamanan sebelumnya.
Bagaimana Pekerja Mengakses TKP?
Jika perangkat ada di tempat kejadian di mana ada kekhawatiran bahwa serangan itu
diprakarsai oleh karyawan internal, memperoleh catatan elektronik staf yang memasuki
tempat kejadian pada waktu yang bersangkutan dapat membantu dalam memastikan siapa
yang hadir pada saat peristiwa itu terjadi. Kunci fisik mungkin diperlukan untuk akses; namun,
kartu gesek Radio Frequency Identification (RFID) akan sangat berguna bagi penyelidik,
karena mungkin ada entri log kartu gesek yang mendapatkan akses yang akan menunjukkan
kartu siapa yang digunakan dan waktu akses diperoleh.
Misalnya, jika log menunjukkan data telah dihapus dari perangkat di sore hari, log
keamanan mungkin menunjukkan siapa yang masih ada di lokasi tersebut. Juga pertimbangkan
rekaman CCTV yang menunjukkan orang-orang yang memasuki dan meninggalkan tempat;
ini dapat dibaca bersama dengan log otentikasi akses perangkat/jaringan.
Dapatkan Daftar Karyawan
Memiliki daftar lengkap staf dan tempat mereka bekerja membantu mengidentifikasi calon
tersangka dan saksi.
Identifikasi Perangkat Subjek
Dalam serangan jaringan, banyak infrastruktur perusahaan dapat disentuh oleh penyerang.
Mungkin ada kebingungan awal mengenai perangkat mana yang telah disusupi dan ini perlu
dikelola di tempat kejadian dengan administrator sistem dan tim IR.
Dalam beberapa kasus, perangkat subjek mungkin telah dihapus dari jaringan dan
diamankan menunggu kedatangan tim investigasi, yang berarti kerja keras untuk
mengidentifikasi perangkat yang dilanggar telah dilakukan.
Siapa yang Memiliki/Memiliki Akses ke Adegan dan Perangkat Subjek?
Komputer biasanya diakses dengan kata sandi; namun, tidak jarang staf membagikan kata
sandi atau perangkat memiliki kata sandi umum. Jika perangkat memiliki kata sandi bersama
atau generik, mengidentifikasi tersangka mungkin terbukti sangat sulit. Jika kata sandi
tertinggal di selembar kertas di sebelah perangkat, daftar tersangka Anda melampaui mereka
yang diizinkan untuk mengakses perangkat.
Rekam Komentar Saksi dan Detail Mengenai Siapa Mereka,

Akses, Jabatan, dan sejenisnya
Identifikasi siapa pengguna biasa perangkat subjek dan apakah ada orang lain yang
menggunakannya. Misalnya, beberapa kantor menjadi fokus pada hot desking untuk mengurangi
biaya.
Akses Pengguna/Administrasi
Apa tingkat akses ke perangkat subjek yang dimiliki pengguna? Apakah mereka memiliki akses
admin istrator atau pengguna umum?
Pelestarian dan Penyitaan Barang Bukti
Perlakukan semua barang yang disita sebagai barang bukti potensial di pengadilan dan patuhi
aturan pembuktian untuk setiap barang, terlepas dari nilai awal yang dirasakan.
Semua bukti harus ditandai dan diamankan dengan pengidentifikasi unik. Gunakan anti
tas statis dan catatan siapa yang mengamankan pameran, kapan, dan di mana.
Sebagaimana dibahas, kuitansi properti harus dikeluarkan untuk semua bukti yang disita dan
kuitansi petugas pameran dan orang dari siapa properti itu disita harus menunjukkan deskripsi
lengkap dan akurat tentang properti dan harus setuju. Memberikan salinan kepada pemilik properti
adalah praktik yang baik.
Di mana ada banyak pameran di serangkaian lokasi (seperti suite kantor), pameran mungkin
terlewatkan atau tertinggal saat Anda pergi. Ini adalah kesalahan logistik yang disebabkan oleh
kesalahan manusia ketika orang sedang stres atau terlibat dalam banyak hal, karena adegan bisa
menjadi lokasi yang mudah berubah. Untuk mencegah hal ini terjadi, beri tahu petugas pameran
untuk merinci setiap barang yang mereka sita dengan orang dari siapa barang itu disita sebelum
meninggalkan lokasi. Referensi silang jadwal pameran dengan tanda terima properti dan bandingkan
secara fisik dengan pameran fisik atau tangkapan digital. Ini adalah praktik yang baik, karena
memberikan kesempatan untuk mengonfirmasi keakuratan tanda terima properti yang Anda berikan
kepada pemilik atau penjaga properti. Pastikan bahwa bukti asli tunduk pada penanganan minimal.
Pengangkutan barang bukti dari lokasi merupakan persyaratan lebih lanjut dari pengelola
tempat kejadian dan pameran. Sebelum berangkat ke tempat kejadian, memiliki fasilitas penyimpanan
aman yang ditunjuk di mana semua bukti akan pergi setelah Anda kembali ke kantor Anda.
Begitu bukti disita, itu harus dipertanggungjawabkan sampai disajikan di pengadilan dan keputusan
dibuat tentang apa yang terjadi padanya dari sana.
Dapatkan Pernyataan Mempertahankan Chain of Custody
Pertahankan lacak balak semua barang bukti dengan memperoleh pernyataan langsung selagi
ingatan orang masih segar.
Pemeriksaan Digital Perangkat Subjek dengan Spesialis Eksternal

Mendukung
Pemeriksa yang memenuhi syarat harus menjadi orang yang melakukan investigasi digital atas
bukti yang ada di tempat kejadian. Dalam beberapa kasus, perangkat subjek dapat disalin dan
diperiksa di TKP, dengan perangkat forensik seluler (seperti perangkat pemeriksaan perangkat
lunak seluler Cellebrite) yang umum digunakan.
Rekaman Jaringan dan Sinkronisasi Waktu
Di mana bukti diperoleh di seluruh jaringan, catat waktu dan zona semua perangkat dan perangkat
lunak yang beroperasi di luarnya. Ini sangat relevan untuk investigasi yang melibatkan bukti
cloud, di mana penyedia yang berbeda dapat menyediakan perangkat lunak dari zona waktu
yang berbeda.
Kepemilikan Kekayaan Intelektual
Ketika menyita Kekayaan Intelektual penyelidik bertanggung jawab untuk memastikan bahwa itu
aman dan bahwa mereka tidak kehilangan kepemilikannya. Pertimbangkan untuk mengenkripsinya
untuk diamankan.
Perangkat Penyimpanan Eksternal
Identifikasi media penyimpanan yang mungkin berisi barang bukti. Identifikasi perangkat di
gedung dan rumah pintar yang dapat merekam bukti. Bicaralah dengan penyelidik digital dan
utama untuk menentukan apakah bukti digital dari perangkat pintar yang dapat membantu
penyelidikan dapat disita secara sah.
Keamanan Bukti Digital
Pisahkan semua perangkat elektronik dari sinyal elektromagnetik yang dapat merusak barang
bukti.
Catatan
Pastikan semua langkah yang diambil oleh semua penyelidik didokumentasikan secara menyeluruh.
Dokumen-dokumen ini dapat menjadi bukti dengan hak mereka sendiri dan dapat menjadi bahan kritis
penyelidikan.
Pemeriksaan Bukti Digital
Penyelidik digital akan mencitrakan perangkat yang disita menggunakan pemblokir tulis di laboratorium
mereka. Jangan pernah melihat perangkat di tempat kejadian, sebagai pemeriksaan cepat untuk melihat
apakah ada bukti saat memutuskan untuk menyita barang bukti atau tidak akan merusak integritas
forensik perangkat.
Sita Semua Cadangan Yang Mungkin Melibatkan Perangkat Tersangka
Di mana perangkat seluler disita, letakkan dalam mode terbang, rekam tindakan ini di catatan Anda.
Tas Faraday adalah perangkat khusus yang dirancang untuk mengurangi kemampuan perangkat seluler
untuk mengakses jaringan, mencegah peluang bagi tersangka untuk menghapus perangkat dari jarak
jauh dalam pengangkutan. Anda juga dapat mengeluarkan kartu SIM.
Identifikasi lokasi barang bukti, finder, perangkat nomor seri, nomor model, nama host, alamat
MAC (jika memungkinkan), alamat IP (jika memungkinkan), waktu, tanggal penyitaan, foto pameran in
situ, dan snapshot sistem sebelum perbaikan.
Memverifikasi dan mempertanggungjawabkan semua bukti yang disita dengan orang dari siapa
itu sedang diambil. Ini mungkin pelapor, saksi, atau tersangka.
Pemeriksaan Akhir Sebelum Berangkat
Melakukan pemeriksaan akhir untuk memastikan tidak ada yang tertinggal, seperti buku catatan
penyidik, barang bukti, telepon genggam pribadi, dan lain-lain. Semua barang-barang ini telah
ditinggalkan di TKP sebelumnya, membutuhkan pengembalian cepat ke lokasi untuk memulihkan barang.
Mengidentifikasi Arsitektur Jaringan

Ketika penyelidikan membutuhkan pemahaman tentang aliran data melalui jaringan, membuat atau
memperoleh topologi arsitektur jaringan membantu penyidik memahami infrastruktur sistem secara
visual. Pemahaman ini membantu penyelidik menemukan titik-titik potensial pengumpulan bukti dan
membuka jalur penyelidikan baru.
Penyelidikan semacam ini akan relevan ketika penyelidik perlu memahami bagaimana penyerang
bekerja melalui jaringan dari saat melanggar firewall perusahaan hingga menemukan dan menghapus
data.
Seorang administrator sistem jaringan mungkin memiliki diagram topologi atau dapat
untuk menghasilkan satu dari alat jaringan atau sumber daya mereka sendiri.
Arsitektur jaringan perusahaan bisa sangat kompleks. Sejarah organisasi dapat menunjukkan
serangkaian administrator sistem yang membangun pekerjaan
GAMBAR 10.9 Pengkabelan jaringan.

dari satu sama lain. Juga, akan ada serangkaian sakelar, router, dan kabel Ethernet
yang menghubungkan sakelar ke perangkat fisik melalui dinding dan mengikuti jalur
yang tidak dapat dilihat.
Gambar 10.9 hingga 10.12 menunjukkan betapa kompleksnya bagian dari dunia
maya ketika berhadapan dengan perusahaan besar. Meskipun ini tidak selalu menjadi
apa yang Anda temukan dan bahkan mungkin tidak relevan dengan penyelidikan
Anda, jika Anda menemukan pemandangan seperti ini, tergantung pada keadaannya,
mungkin ada persyaratan untuk memiliki setidaknya pemahaman tentang bagaimana
data berjalan melalui ini. jaringan dari sakelar ke perangkat fisik yang disusupi. Ingat,
ini semua adalah bukti dan pengacara pembela memiliki hak untuk mengajukan
pertanyaan di pengadilan tentang bukti ini jika mereka memutuskan untuk
melakukannya.
Ini akan sangat relevan dalam penyelidikan ketika seseorang telah menempatkan
perangkat fisik di jaringan dengan tujuan menangkap semua data saat berjalan
melalui jaringan.
GAMBAR 10.10 Kabel Ethernet.

Gambar 10.9 menunjukkan titik awal yang potensial jika Anda diminta untuk memetakan
jaringan Anda. Administrator jaringan harus dapat memberikan dukungan dan arahan yang
berharga dalam hal ini.
Anda mungkin menemukan pasca-insiden bahwa suatu organisasi mengambil kesempatan
untuk berinvestasi dalam arsitektur jaringan dan keamanan siber mereka. Perusahaan yang
berhubungan dengan Gambar 10.9 sampai 10.12 mengambil kesempatan seperti itu.
Berikut ini adalah daftar pertanyaan yang harus ditanyakan penyidik kepada com
staf TI penggugat untuk membantu dalam memahami arsitektur.
Diagram Jaringan
Diagram jaringan akan menunjukkan arsitektur jaringan. Diagram harus menunjukkan semua
perangkat; namun, dalam beberapa kasus penjahat akan memasang perangkat untuk menangkap
lalu lintas jaringan yang tidak direkam pada diagram jaringan apa pun.
Peta jaringan menunjukkan perangkat yang terhubung ke jaringan. Perangkat yang
terhubung ke Jaringan Area Lokal (LAN) mengidentifikasi diri mereka sendiri melalui MAC
GAMBAR 10.11 Menelusuri kabel Ethernet 1.

alamat unik untuk setiap saluran komunikasi pada perangkat. Misalnya, komputer laptop yang
terhubung ke LAN mungkin memiliki alamat MAC unik untuk koneksi Ethernet dan alamat MAC
terpisah jika koneksi melalui saluran nirkabel.
Seperti disebutkan sebelumnya, perangkat juga memiliki alamat subnet yang dimulai
dengan alamat IP (misalnya, 192.168.***.***). Angka-angka ini dipetakan ke router. Di dalam
router terdapat tabel perutean yang menghubungkan alamat MAC (28:cf:e9:22:e7:b5) dan
alamat subnet (192.168 .212.75).
Penyelidik yang mempelajari lalu lintas pada jaringan yang berasal dari alamat IP
192.168.212.75 dapat melihat bahwa itu milik perangkat dengan alamat 28:cf:e9:22:e7:b5.
Pertanyaan kemudian dapat dilakukan untuk menemukan perangkat fisik ini, yang mungkin
memakan waktu beberapa menit atau lebih lama tergantung pada jumlah perangkat yang
terhubung ke router.
Jaringan nirkabel memungkinkan pengguna dalam jaringan untuk mengakses layanan
organisasi tanpa harus terhubung melalui kabel Ethernet. Pengguna
GAMBAR 10.12 Menelusuri kabel Ethernet 2.

beroperasi dari rentang alamat IP internal (192.168.***.***) dan meninggalkan jaringan melalui
alamat IP pusat (seperti 207.123.***.***).
Dalam jaringan, ada dua cara perangkat dalam jaringan dapat memperoleh alamat IP
internal. Yang pertama adalah administrator sistem atau orang yang setara yang mengalokasikan
alamat IP ke alamat MAC tertentu dalam tabel perutean.
Cara lain adalah (seperti yang dirujuk sebelumnya) DHCP, di mana perangkat yang
diizinkan ke jaringan internal dialokasikan alamat IP internal tanpa langsung
intervensi langsung dari administrator sistem. Ini biasa terjadi di jaringan besar di mana ada
terlalu banyak perangkat untuk alamat internal yang dialokasikan secara individual.
Alamat internal ini berjalan di seluruh jaringan dan akan ditangkap oleh penyidik forensik
jika mereka perlu memeriksa lalu lintas jaringan.
Administrator sistem akan dapat mengarahkan Anda untuk mengidentifikasi perangkat mana
yang dialokasikan untuk alamat IP tertentu
Rentang Alamat IP Publik
Rentang alamat IP adalah rentang alamat IP yang dapat digunakan publik untuk mengakses
organisasi. Meminta administrator sistem atau mencari situs pencarian pendaftaran domain
(seperti centralops.net) dapat menghasilkan informasi yang berharga.5
Pengalamatan IP Pribadi/Internal
Ini adalah kisaran alamat IP subnet dalam organisasi yang tidak dapat dilihat atau diakses
oleh pihak eksternal. Dalam contoh yang dikutip di atas, rentang alamat ini akan dimulai
dengan 192.168 dan jumlah alamat akan ditentukan
ditentukan oleh kebutuhan organisasi dan ukuran subnetwork yang dibuat
Titik Akses Jarak Jauh
Titik akses jarak jauh adalah perangkat keras yang memungkinkan pengguna untuk
menghubungkan perangkat tanpa kabel ke jaringan kabel. Contoh titik akses jarak jauh adalah router.5
Server Nama Domain
Domain Name Server (DNS) berfungsi sebagai jalur dari pengguna dalam jaringan dan
Internet. Ketika pengguna mencari untuk pergi ke situs web yang belum pernah mereka
kunjungi sebelumnya, mereka tidak tahu jalurnya. Server DNS akan menerima permintaan,
menemukan alamat web yang dicari pengguna, dan mengirim balasan dengan alamat
tersebut ke perangkat pengguna. Pengguna kemudian dapat terhubung ke alamat web.5
Sistem Zona Demiliterisasi
Zona demiliterisasi (DMZ) adalah bagian jaringan yang menghadap ke luar, seperti server
web. Satu-satunya data yang dapat dilihat adalah data yang secara khusus diizinkan untuk
dilihat oleh pemiliknya, artinya pengunjung eksternal tidak dapat mengakses data pribadi
perusahaan secara langsung.5
Pengontrol Domain
Kontroler domain beroperasi dalam lingkungan Microsoft Windows yang merespons

permintaan otentikasi keamanan. Contoh permintaan termasuk kata sandi dan izin
pengguna untuk mengakses sumber daya tertentu, termasuk data.5
Server/Database
Server dan database berisi data perusahaan yang bernilai bagi penyerang. Seorang
penjahat dunia maya mungkin berusaha mencuri salinan data, menghapus data, atau
memodifikasinya. Strategi terakhir sangat merusak perusahaan, karena mereka membuat
keputusan berdasarkan keakuratan data yang disimpan di database.5
Sistem Email
Sistem email merekam aliran email ke, di dalam, dan keluar dari jaringan. Bukti dapat
menunjukkan konten komunikasi email, asosiasi, stempel waktu, dan sejenisnya. Ini juga
dapat menunjukkan tersangka internal yang mengirim email IP rahasia di luar bisnis.5
Sistem Rahasia
Beberapa server berisi materi komersial yang sangat sensitif, yang mungkin tidak ingin
disertakan oleh manajer senior dalam penyelidikan. Hal ini perlu ditangani berdasarkan
kasus per kasus oleh penyelidik, yang akan mengidentifikasi bukti apa yang terkandung
dalam sistem dan bagaimana hal itu dapat memajukan kasus. Jika manajemen senior
menolak akses ke sistem yang menurut penyelidik mungkin penting untuk penyelidikan,
buat catatan terperinci tentang alasannya, identitas orang yang menolak akses, dan
pertanyaan apa yang Anda rasa perlu pada sistem.5
Berurusan dengan Perangkat Tetap dan Jaringan

Perangkat dapat terhubung ke jaringan dengan kabel atau koneksi nirkabel.
Contohnya termasuk komputer desktop, mainframe, switch, hub, router, dan sejenisnya.
Bukti melewati masing-masing perangkat ini dan merupakan tanggung jawab penyelidik
untuk memastikan bahwa semua bukti yang relevan ditangkap, bukan hanya yang mudah
diakses. Seperti yang telah dibahas sebelumnya, menangkap bukti ini adalah pekerjaan
bagi penyelidik forensik digital karena dapat memberikan arahan yang berharga bagi
tersangka dan metodologi serangan mereka.
Penyelidik digital mungkin melihat untuk melihat aktivitas apa yang dilakukan
perangkat di jaringan, termasuk pemindahan data dari perangkat. Pemeriksa akan memotret
perangkat dan koneksi, dan jika memungkinkan secara fisik mengidentifikasi di mana
perangkat terhubung.
Menggunakan peta jaringan yang sebelumnya disiapkan dalam penyelidikan intrusi
jaringan membantu penyelidik memahami bagaimana data mengalir melalui dan keluar dari
jaringan. Detektor sinyal nirkabel dapat membantu dalam mengidentifikasi perangkat di
jaringan yang tidak diketahui oleh administrator sistem, seperti perangkat seluler atau server
yang diinstal secara rahasia dengan perangkat lunak yang memungkinkannya menangkap
dan menyimpan lalu lintas jaringan.
Perangkat yang Dinyalakan
Bukti digital dapat dihidupkan atau dimatikan ketika penyelidik tiba di tempat kejadian. Jika
perangkat mati, jangan hidupkan. Jika aktif, jangan matikan sampai Anda
penyelidik digital, yang akan melakukan triase perangkat, memberikan persetujuan. Satu-satunya
pengecualian untuk aturan ini adalah jika Anda memiliki alasan untuk meyakini bahwa perangkat
sedang dalam proses menghancurkan bukti, seperti kasus pelaku menggunakan logon jarak jauh
untuk menghapus drive dengan bukti yang memberatkan.2
Sementara penyidik digital akan menjadi otoritas dalam penyitaan barang bukti digital, bagian
ini akan memberikan pemahaman kepada penyidik tentang apa yang akan dipertimbangkan oleh
pemeriksa digital ketika membuat keputusan. Informasi ini akan berharga ketika melakukan tinjauan
pasca-pencarian, menyiapkan dokumen pengadilan, dan ketika tim pencari hanya memiliki jumlah
anggota yang terbatas.
Ketika Anda tiba di tempat kejadian, kemungkinan besar akan ada perangkat yang beroperasi.
Kadang-kadang akan sangat jelas perangkat mana yang menarik bagi penyelidikan Anda dan pada
kesempatan lain Anda tidak akan tahu. Minat utama Anda mungkin adalah data yang berjalan
melalui jaringan, dengan lokasi dan pengamanan perangkat (seperti komputer desktop, laptop, atau
perangkat lain yang terhubung ke jaringan) sebagai perangkat sekunder. Seperti dalam diskusi
tentang melestarikan data yang mudah menguap, pemeriksa forensik akan membuat pilihan tentang
urutan bukti yang disita dari jaringan langsung, seperti yang diidentifikasi di bagian “Akuisisi Bukti
Digital.”
Setelah memprioritaskan volatilitas bukti, penyelidik digital akan memperolehnya menggunakan
alat dan metodologi yang baik secara forensik. Mereka akan mencatat waktu pada perangkat dan
pengaturan tanggal-waktu, yang sangat penting ketika penyelidik memeriksa aktivitas log proses,
aplikasi keamanan, dan sebagainya.
Setelah bukti telah disita dari perangkat hidup, penyelidik akan memutuskan apakah mereka
perlu mengambil perangkat atau membiarkannya beroperasi. Ketika itu adalah perangkat bisnis-
kritis seperti server web, klien mungkin menginginkan gambar digital dari bukti yang diambil dan
penyelidikan akan terus menggunakan gambar logis yang diambil. Dokumentasikan alasan Anda
untuk salah satu keputusan tersebut jika Anda ditanya di pengadilan mengapa perangkat tersebut,
yang kemudian ditetapkan sebagai barang bukti utama, disita atau tidak.
Penyelidik digital akan membuat salinan utama dari gambar perangkat subjek dan kemudian
membuat salinan kerja yang diverifikasi. Sementara apa yang akan dikerjakan oleh pemeriksa
adalah salinan, semua salinan adalah bukti potensial dan perlu diperlakukan sesuai dengan itu.
Memiliki salinan gambar untuk bekerja mempertahankan yang asli dan berarti masalah yang
dihadapi hanya terjadi pada salinan gambar.
Dengan mengambil gambar forensik dari perangkat hidup, ada potensi kata sandi untuk
ditempatkan di memori. Ini adalah kesempatan yang tidak boleh dilewatkan, karena perangkat lunak
enkripsi yang diinstal pada perangkat tersangka dapat melarang akses untuk diperoleh.
Masalah penyelidik digital akan mempertimbangkan bahwa penyelidik utama akan

manfaat dari mengetahui tentang meliputi:
Mengidentifikasi jaringan atau aktivitas Internet apa yang sedang berlangsung.

Memotret tata letak jaringan dan perangkat yang terhubung dengannya di mana
mungkin.
Mengidentifikasi tingkat kepercayaan program pada sistem. Akan ada beberapa yang tidak Anda kenal
dan mungkin ada salinan sistem operasi dan aplikasi bajakan. Hanya menggunakan alat yang
divalidasi yang diketahui dan dipercaya oleh pengadilan kecuali Anda diharuskan oleh keadaan
untuk menggunakan alat berpemilik, seperti yang akan terjadi pada jaringan perusahaan dengan basis
data berpemilik. Mendokumentasikan semua tindakan selama proses pemeriksaan. Forensik
perangkat lunak mungkin berisi proses dokumentasi-perekaman.

Menggunakan gambar yang disalin dan mendokumentasikan nilai hashnya setelah berisi gambar yang
disalin. Hal ini memungkinkan suatu bentuk pertanggungjawaban selama proses investigasi untuk
membuktikan keaslian gambar. Menggunakan detektor nirkabel untuk menemukan perangkat di
jaringan yang tidak dikenal. Terkadang di jaringan ada perangkat yang terpasang yang melakukan
tidak muncul di peta jaringan resmi. Ini mungkin perangkat seluler atau server yang dipasang oleh
penjahat dunia maya dengan tujuan mencegat semua lalu lintas jaringan.
Melembagakan hard shutdown untuk mencegah kerusakan OS dan dokumen. Shutdown keras juga
akan mencegah perubahan pada stempel waktu dan mencegah perubahan pada atribut file.5
Shutdown keras memutus daya dari perangkat, seperti melepas kabel daya.
Melembagakan shutdown yang anggun untuk membantu menemukan koneksi jaringan.5 Sebuah
shutdown yang anggun menggunakan perintah OS seperti Cntrl-Alt-Delete Shutdown. Shutdown
yang baik dapat kehilangan beberapa file sistem dan dapat mengaktifkan program yang merusak.5
Mempertimbangkan perolehan data yang mudah menguap dalam memori ketika penggunaan
enkripsi dicurigai. “Akuisisi Bukti Digital” dalam bab ini memberikan urutan akuisisi yang disarankan
berdasarkan urutan volatilitas data, seperti yang disediakan oleh AusCERT.4 Menggunakan
sumber waktu yang andal dan mendokumentasikan waktu setiap dilakukan
tindakan.
Berhati -hati dengan keberadaan bom logika atau alat perusak yang dipasang oleh penjahat dunia
maya. Bom logika adalah aplikasi kecil atau kode yang dirancang untuk dieksekusi pada peristiwa
yang ditentukan, seperti tanggal atau upaya triase.
Merebut perangkat USB. Saat USB digunakan pada perangkat, nomor seri disimpan.
Penyelidik dapat membantu penyelidik digital dengan memastikan bahwa semua
perangkat USB yang mungkin relevan dengan penyelidikan disita dan kemudian dirujuk
silang ke perangkat yang disita. Ini menghubungkan perangkat USB ke a
komputer.
Setiap VM yang beroperasi pada sistem saat steker ditarik akan dimatikan dan tidak
dapat diambil kembali dalam keadaan semula. Ini berarti semua bukti pada VM akan hilang.
Jalan investigasi yang mungkin berasal sekarang akan ditutup dan bukti pelanggaran harus
ditemukan dari sumber lain.
Penyelidik juga dapat menghadapi pertanyaan di pengadilan tentang mengapa VM ditutup,
karena pengacara pembela mungkin secara agresif berargumen bahwa bukti yang akan
membersihkan klien mereka tersimpan di memori atau di VM pada saat penyelidik
menghancurkan bukti. .
Perangkat yang Dimatikan
Jika perangkat subjek berada di tempat kejadian dan dimatikan, jangan nyalakan meskipun
diduga mengandung bukti potensial.
Amankan perangkat sebagai pameran dan izinkan penyelidik digital untuk melakukan
pemeriksaan mereka di laboratorium forensik menggunakan alat dan metodologi yang baik
secara forensik.
Server Jaringan
Pada beberapa kesempatan, perangkat penyimpanan mungkin terlalu besar untuk dicitrakan sepenuhnya.
Contohnya termasuk sistem RAID (Redundant Array of Independent Disks) dan layanan
cloud. Server RAID berarti kumpulan drive digabungkan untuk beroperasi sebagai satu,
memberikan tingkat penyimpanan data, layanan, dan keandalan yang lebih tinggi. Dalam hal
ini, penyelidik digital akan mendiskusikan hal ini dengan pelapor dan staf teknis mereka untuk
mendapatkan pemahaman tentang tempat-tempat yang paling mungkin untuk menemukan
bukti. Sebagai alternatif, sistem mungkin terlalu penting bagi bisnis untuk dijadikan offline
untuk diambil gambar forensik, atau perintah pengadilan mungkin hanya mengizinkan aktivitas
tertentu pada perangkat subjek.
Tangkapan Langsung Bukti Digital
Penyelidik digital akan memulai pengambilan data secara langsung untuk perangkat yang
dihidupkan. Catat semua tindakan, termasuk penggunaan kata sandi dan alasan pembatasan
data langsung. Biasanya bukan praktik terbaik untuk membangunkan perangkat dari mode tidur
mode dan dapatkan akses ke perangkat menggunakan kata sandi yang diperoleh kecuali ada
alasan yang sangat kuat, seperti menangkap bukti memori sebelum dimatikan untuk transportasi.
Penyelidik digital dapat menangkap data langsung apa pun yang mereka mampu secara teknis
dan hukum. Gambar memori dan lihat untuk melihat proses apa yang sedang berjalan, siapa
yang masuk, dan bagaimana keadaan jaringannya.
Jika memungkinkan, minta penyelidik digital membuat gambar yang tepat dari perangkat
yang menangkap bukti dalam RAM dan VM.
Setelah semua data langsung diambil, cabut perangkat dari daya.
Ini dapat dilakukan dengan melepas kabel daya, atau dalam hal laptop, melepas baterai jika
memungkinkan. Alasan untuk merusak sistem setelah memori ditangkap adalah bahwa beberapa
penjahat dunia maya memasang jebakan di perangkat mereka sehingga ketika dimatikan dengan
cara normal, itu memberlakukan keamanan di dalam perangkat, seperti menghapus data atau
menghapus ruang kendur drive.
Kembali ke Lokasi Anda

Setelah kembali ke lokasi atau fasilitas penyimpanan Anda, beberapa tindakan perlu dilakukan
untuk mempertanggungjawabkan bukti dan penyelidikan Anda:
Mempertanggungjawabkan semua bukti. Ini berlaku untuk memeriksa ulang keakuratan

kejang Anda.
Simpan bukti di lokasi yang aman. Jika Anda meninjau dokumen, satu
pilihannya adalah memfotokopi dokumen asli dan mengerjakan salinannya. Asli aman.
Memiliki tim debrief di mana setiap orang didorong untuk mempresentasikan pemikiran mereka
dan apa yang mereka pelajari . Anggota tim pencari sering melihat dan mendengar hal-hal
yang tidak dilakukan anggota tim lainnya. Pastikan bahwa tidak ada pertimbangan kesehatan
atau keselamatan. Kumpulkan salinan catatan dari buku catatan anggota tim. Ini adalah
informasi penting dan memperolehnya segera membantu untuk menghindari mencarinya
berbulan-bulan kemudian ketika anggota tim mungkin sedang berlibur atau pergi dari
organisasi, buku catatan telah salah tempat, dan sebagainya. Pernyataan saksi akan diminta
dari anggota tim dan ini juga harus diperoleh sesegera mungkin setelah pencarian/
pemeriksaan. Penyelidik digital akan memiliki banyak pekerjaan yang harus dilakukan setelah
kembali ke kantor dan pernyataan mereka akan menjadi pekerjaan yang berkelanjutan
selama pemeriksaan dilakukan.
Dari informasi yang diperoleh, buatlah jadwal pertanyaan lanjutan.

Mungkin ada kunjungan lebih lanjut ke kantor perusahaan pelapor
diperlukan untuk memperoleh dokumentasi lebih lanjut, pernyataan, dan sejenisnya,

serta mengajukan pertanyaan berdasarkan informasi yang dipelajari. Jalan penyelidikan
baru dapat diidentifikasi dan ditugaskan kepada anggota tim.
APA YANG MUNGKIN SALAH?
Ketika manusia terlibat, selalu ada potensi untuk melakukan kesalahan. Tidak peduli
seberapa berpengalaman tim, seberapa baik sumber daya, dipimpin, atau dikendalikan,
terkadang ada yang salah karena kesalahan terjadi, atau keadaan menguasai manajemen
Anda.
Ketika berhadapan dengan tersangka khususnya, hal-hal bisa salah dengan sangat
cepat dengan sedikit atau tanpa peringatan. Tersangka yang kooperatif dapat memanfaatkan
gangguan untuk menghancurkan barang bukti, melarikan diri, atau menyerang tim investigasi.
Bagian berikut merinci contoh kesalahan, yang perlu ditangani dan dikurangi saat peristiwa
terjadi.
Keadaan mencakup berbagai pelanggaran yang telah terjadi di TKP (tidak hanya di
TKP keuangan/kejahatan dunia maya) dan akan memberi Anda contoh volatilitas yang dapat
terjadi.
Penyerangan Penyidik
Ketika berhadapan dengan tersangka, meskipun ada pertanyaan, Anda akan beroperasi
dengan informasi terbatas tentang kepribadian dan perilaku mereka di bawah tekanan.
Bahkan individu yang paling sopan pun dapat berperilaku agresif ketika diketahui bahwa
perilaku kriminal mereka telah ditemukan
dan mereka menghadapi tuntutan dan perampasan perdata atas aset pribadi dan keluarga
mereka.
Penyidik penegak hukum terlatih dan memiliki sumber daya yang baik untuk menangani
keadaan ini, sedangkan penyelidik sipil mungkin tidak terlatih kecuali mereka berasal dari
latar belakang penegak hukum. Saat mengunjungi alamat rumah tersangka atau bahkan
tempat bisnis mereka, ingatlah bahwa orang yang putus asa membuat keputusan yang buruk
ketika sedang stres.
Kesalahan Jujur Dibuat

Dalam penyelidikan apa pun, ada potensi kesalahan jujur yang akan dibuat. Ini mungkin
sesederhana salah membaca atau salah menafsirkan dokumen, atau mungkin melibatkan
pencatatan nomor seri perangkat secara tidak benar, yang akan menyebabkan kebingungan
saat mencoba mendamaikan pameran.
Apa yang Mungkin Salah? 153 _
Penting untuk dipahami bahwa tidak ada investigasi yang sempurna setiap kali dan
kesalahan jujur terjadi. Ketika itu terjadi, penting untuk memperbaikinya jika memungkinkan.
Menutupi mereka dan menyangkal mereka ketika ditanyai di pengadilan adalah tindakan
yang jauh lebih buruk daripada kesalahan awal. Menutupi lebih buruk dari kesalahan awal.
Pameran Tertinggal di TKP
Ketika Anda mengamankan beberapa ratus item di tempat komersial, mudah untuk
melewatkan satu item dan hanya menyadari bahwa itu telah tertinggal saat melakukan
audit di kantor. Kami telah membahas proses akuntansi fisik untuk setiap pameran pada
formulir tanda terima pameran untuk mencegah hal ini terjadi. Meskipun demikian, kadang-
kadang ada yang tidak beres dan sebuah pameran akan jatuh ke lantai dan terlewatkan
ketika tim investigasi meninggalkan tempat kejadian setelah hadir selama 12 jam terakhir.
Jika hal ini terjadi di kantor pelapor mungkin bukan masalah besar dan dapat dengan
mudah diperbaiki dan dicatat di buku catatan Anda; namun, ketika itu terjadi di alamat
tersangka yang aksesnya Anda peroleh melalui perintah pengadilan, ada kemungkinan
besar bahwa barang bukti itu tidak akan ada lagi saat Anda kembali.
Ukuran pameran berkisar dari perangkat fisik besar hingga potongan kertas kecil.
Ada juga perangkat penyimpanan data, seperti kartu SIM, yang dapat dengan mudah
salah tempat di mana ada ratusan item yang harus dikeluarkan dari tempat tersebut.
Petugas pameran bertanggung jawab atas ini dan membutuhkan rencana untuk memastikan
bahwa semua barang diperhitungkan saat meninggalkan tempat. Salah satu cara untuk
melakukannya adalah agar petugas pameran secara pribadi menempatkan setiap pameran
dalam urutan numerik ke dalam wadah penyimpanan besar dan menandai setiap pameran
pada salinan jadwal pameran mereka. Ini mungkin proses yang sangat lambat yang terjadi
setelah tim investigasi berada di tempat selama 12 jam dan semua orang sangat lelah,
tetapi ini juga merupakan investasi dalam infrastruktur investigasi dan petugas pameran
harus diizinkan untuk melakukannya. pekerjaan mereka secara profesional dan menyeluruh.
Mengubah Kerangka Acuan oleh Pelapor

Karena adegan dan insiden mudah berubah, pengadu sipil mungkin tidak sepenuhnya
menentukan apa yang diperlukan dari tim investigasi saat meminta bantuan Anda. Mereka
tidak berpengalaman di bidang investigasi TKP, manajemen, dan investigasi lanjutan.
Mereka juga mungkin tidak memiliki pemahaman penuh tentang peristiwa dan keseriusan
mereka sampai Anda mulai memberi pengarahan kepada mereka.
Saat Anda menemukan informasi tentang pelanggaran keamanan dunia maya,
mereka selanjutnya dapat memperluas cakupan penyelidikan dan meminta agar
penyelidikan Anda dirujuk ke polisi, meskipun awalnya menyatakan bahwa ini adalah
bukan pertimbangan. Ini pada gilirannya akan mempengaruhi metodologi Anda; namun,
seperti yang dibahas di awal buku ini, tujuan Anda dalam penyelidikan apa pun akan
selalu disiapkan untuk penyelidikan Anda dan bukti yang akan disajikan di pengadilan,
bahkan jika persyaratan awal Anda menyatakan bahwa ini bukan persyaratan. .
Pencatatan yang Buruk

Dengan volume barang bukti yang dapat disita, jumlah orang yang akan diwawancarai,
jumlah dokumen yang akan diperiksa, dan jumlah barang bukti digital yang akan diperiksa,
mudah untuk membiarkan pencatatan diabaikan seperti peristiwa lainnya. hak lebih tinggi.
Notebook perlu terus diperbarui untuk mencatat informasi baru yang diperoleh dan sangat
mudah untuk lupa mencatat beberapa informasi baru atau tindakan yang diambil.
Ketika ditanya di kemudian hari atau ketika mempersiapkan pernyataan Anda,

pencatatan yang buruk akan meninggalkan lubang pada bukti Anda, yang dapat
dimanfaatkan oleh pengacara untuk terdakwa.
Hilangnya Rantai Bukti
Rantai bukti menjaga integritas bukti Anda. Kehilangan jejak siapa yang memiliki bukti
dengan aman setiap saat dan tidak dapat mempertanggungjawabkan keasliannya membuat
bukti terbuka untuk ditentang dan berpotensi dikeluarkan dari kasus Anda.
Tidak Mendapatkan Pernyataan Saat Anda Memiliki Kesempatan

Disarankan agar pernyataan diperoleh sesegera mungkin setelah mewawancarai
seseorang. Ini termasuk pernyataan dari tim investigasi dan IR. Orang-orang bersifat
sementara dalam pekerjaan mereka, dan administrator sistem yang merupakan saksi
kunci dalam penyelidikan Anda dan memberikan data berharga dapat mengambil
kesempatan kerja lain di luar negeri beberapa bulan setelah wawancara Anda dan mungkin
tidak dapat ditemukan.
Memperoleh pernyataan sesegera mungkin setelah wawancara akan mencegah
situasi di mana Anda memiliki bukti kunci tetapi tidak ada yang mampu menyajikannya di
pengadilan. Jika Anda memiliki bukti dan pernyataan yang dicatat pada saat wawancara,
bahkan jika saksi tidak dapat ditemukan, pernyataan dan bukti dapat diajukan ke
pengadilan dan argumen diajukan yang menyatakan bahwa bukti harus diizinkan meskipun
tidak ada kesempatan saksi untuk diperiksa. Ini akan sangat tergantung pada aturan
pengadilan dalam yurisdiksi Anda.
Kekurangan sumber daya

TKP mungkin tempat yang sangat mudah berubah. Memiliki anggota tim dan peralatan yang memadai
merupakan investasi. Membawa terlalu banyak orang ke tempat kejadian jauh lebih baik jika mengambil
terlalu sedikit, karena kelebihan staf dapat dilepaskan untuk melakukan tugas lain jika tidak diperlukan.
Kekurangan sumber daya di sebuah adegan mungkin karena memiliki terlalu sedikit cadangan
drive untuk menangkap data atau peralatan yang ketinggalan zaman untuk tugas-tugas yang diperlukan.
Komentar Ceroboh oleh Tim Investigasi Menjadi

Mendengar
Jika tersangka diidentifikasi di tempat kejadian, berhati-hatilah dengan apa yang Anda katakan. Mereka
mungkin memiliki teman setia di dekatnya yang mungkin mendengar komentar menghina yang dibuat
tentang tersangka, dan Anda tidak dapat berasumsi bahwa kesetiaan mereka akan ditujukan kepada
perusahaan/tim investigasi.
Dalam masyarakat saat ini, anggaplah seseorang merekam semua yang Anda lakukan dan katakan
di TKP. Telepon yang tertinggal di meja di sebelah tempat Anda berbicara dengan staf Anda mungkin
sengaja ditinggalkan di sana dengan fitur perekaman aktif untuk merekam percakapan Anda.
Tersangka yang memiliki pengetahuan teknis mungkin memiliki kapasitas untuk menyalakan perangkat
yang Anda ambil dari jarak jauh dan mengaktifkan mikrofon dari jarak jauh. Ini akan merekam percakapan
Anda, termasuk percakapan yang terjadi di kantor saat Anda melakukan wawancara dengan tim Anda.
Percakapan kemudian dapat disinkronkan ke akun cloud, dari mana tersangka atau rekan mereka dapat
mendengarkan Anda dan diskusi Anda. Seperti yang telah dibahas sebelumnya, menempatkan perangkat
seluler dalam mode penerbangan dan kemudian ke dalam tas Faraday atau wadah serupa akan membantu
keamanan tim Anda.
Studi kasus kejahatan dunia maya berikut memberikan contoh polisi yang hadir di kantor perusahaan
untuk mendapatkan bukti teknis dari dalam jaringan perusahaan setelah email ancaman diteruskan ke
orang lain dengan alamat IP perusahaan di header email.
Seorang pekerja seks perempuan memiliki klien yang mengembangkan fiksasi padanya dan percaya bahwa
mereka sedang mengembangkan hubungan pribadi, yang jelas-jelas salah karena pekerja itu telah
membuatnya sangat jelas bahwa hubungan itu hanya hubungan bisnis. Klien mulai meneliti pekerja tersebut
dan mengidentifikasi identitas dan tempat tinggalnya yang sebenarnya.
Dia mulai mengancamnya secara online dan secara pribadi bahwa kecuali dia bertemu
dengannya dan membiarkan hubungan pribadi mereka berkembang, dia akan menghubungi keluarga
dan teman-temannya dan memberi tahu mereka semua apa pekerjaannya. Hal ini menyebabkan dia
sangat tertekan dan dia mengkhawatirkan keselamatannya.
Email dikirim dari layanan email web, dan dalam membuka dan membaca header
alamat IP dari Penyedia Layanan Internet (ISP) pengirim yang terhubung ke layanan email
web diidentifikasi.
Pertanyaan tentang alamat IP dengan ISP, diidentifikasi pada waktu yang relevan,
mengungkapkan bahwa alamat IP diberikan ke perusahaan lokal.
Karena korporasinya sangat besar, alamat IP dalam jaringan dihasilkan oleh DHCP.
Semua perangkat di jaringan terhubung melalui jaringan internal dan memiliki alamat
subnet tertentu (192.168.***.***).
Pertanyaan dengan administrator sistem mengidentifikasi komputer tertentu dari mana
email dikirim dan identitas tersangka dikonfirmasi dengan pelapor. Log otentikasi
memberikan bukti yang menguatkan bahwa tidak ada orang lain yang menggunakan
perangkat pada saat email dikirim. Log mengkonfirmasi bahwa aktivitas lain pada
perangkat pada saat email dikirim konsisten dengan tugasnya.
Log jaringan diamankan dengan persetujuan perusahaan dan administrator sistem

memberikan bukti bahwa komputer tersangka masuk ke layanan email web pada saat
email ancaman dikirim ke pelapor.
Ketika diajak bicara, tersangka mengaku mengirim email dan menyatakan bahwa dia
percaya bahwa kasih sayang yang dia tunjukkan padanya adalah asli. Dia menyatakan
bahwa alasan dia mengirim email ancaman adalah untuk memaksanya menjalin hubungan
dengannya.
Sebelum penangkapannya, karena khawatir akan keselamatannya, pelapor menarik
pengaduannya dan pindah ke luar negeri. Tersangka dipecat oleh majikannya karena
menyalahgunakan layanan komputer yang disediakan untuk pekerjaannya.
Studi kasus ini menunjukkan nilai kerjasama dari perusahaan di mana kejahatan
dunia maya dilakukan. Ini juga menunjukkan perlunya memahami arsitektur jaringan dan
penetapan alamat IP, serta peran log, yang secara unik mengidentifikasi tersangka
sebagai orang yang mengirim email ancaman.
Informasi diperoleh bahwa seorang anggota komunitas menerima sejumlah besar uang di
rekening banknya dari Amerika Serikat dan Kanada
dan meneruskan dana segera ke sederet orang di Nigeria. Awalnya kekhawatirannya

adalah bahwa dia beroperasi sebagai keledai uang dan bahwa dia tidak menyadari sifat
penipuan dari aktivitasnya; Namun, ketika pertama kali berbicara dengannya, dia
menyatakan bahwa dia mengenal orang-orang di Nigeria dan mereka adalah teman-
temannya.
Penyelidikan dilakukan dengan penegak hukum luar negeri untuk mengatur
pembicaraan dengan serangkaian pria di Amerika Serikat dan Kanada untuk mengidentifikasi
alasan mengapa mereka mengirim uang dalam jumlah besar kepada seseorang di
Australia. Masing-masing menjawab bahwa mereka menjalin hubungan romantis dengan
penduduk Australia dan berencana mengatur perjalanannya untuk menemui mereka. Kisah
yang diceritakan setiap pria sangat mirip dan melibatkan banyak dokumentasi yang dibuat secara curang.
Penyelidikan dilakukan dengan masing-masing organisasi yang dokumen-dokumen ini
berasal dari dan masing-masing diidentifikasi sebagai contoh pencurian identitas
perusahaan.
Setelah pernyataan pengaduan dicatat dengan bantuan penegak hukum AS, surat
perintah penggeledahan dieksekusi di alamat tempat tinggal tersangka dan bukti penting
ditemukan. Bukti email yang diperoleh dari penyedia webmail yang berbasis di AS
mengidentifikasi alamat IP pengirim, yang ditelusuri ke tempat tinggal tersangka.
Laporan keuangan di tempat kejadian, yang sesuai dengan laporan bank yang
diperoleh dari lembaga keuangannya, menunjukkan sejumlah besar uang disetorkan ke
rekening banknya. Sekitar $ 14.000 ditempatkan di brankas yang terkunci dan disita, dan
akhirnya diperintahkan oleh pengadilan untuk dibayarkan secara proporsional kepada para
korban. Penerimaan pengiriman uang dari berbagai agen pengiriman uang memberikan
bukti lebih lanjut tentang hubungan antara dana yang diterima dan dana yang diteruskan
ke Nigeria.
Pencarian tempat kejadian diperumit oleh kekacauan rumah, di mana bukti berharga
terletak di bawah tumpukan sampah, dan dalam satu contoh di sebelah tikus mati. Ada
juga kurangnya kerjasama dari tersangka, termasuk permusuhan dengan pencarian. Juga,
ketika polisi berada di tempat kejadian, seorang tersangka di Nigeria mengetahui surat
perintah penggeledahan dan menelepon, mencoba untuk menyatakan bahwa dia tidak
bersalah.
Surat perintah penggeledahan kemudian dieksekusi pada akun email web tersangka
di Amerika Serikat melalui MLAT dan dalam kemitraan dengan penegak hukum AS.
Pemeriksaan rekening mengidentifikasi banyak contoh pelanggaran lainnya, dan bukti
tersangka berkomunikasi dengan penjahat cyber yang lebih berpengalaman tentang cara
mendapatkan lebih banyak uang dari korban.
Ketika tersangka ditangkap dan ditahan, rekan-rekannya menghubungi salah satu
korban di Amerika Serikat dan mulai membuat tuduhan serius tentang perilakunya dan
mengancam keselamatannya, yang dirujuk
kepada otoritas AS untuk memberikan bantuan kepada pelapor. Serangkaian ancaman

ini membantu tersangka ditolak jaminan dan ditahan sampai dia mengaku bersalah
atas tuduhan tersebut. Dia menerima hukuman lima tahun penjara.
CATATAN
1. Eoghan Casey, Bukti Digital dan Kejahatan Dunia Maya, edisi ke-3. (Pers Akademik,
2011).
2. Organisasi Internasional untuk Standardisasi (ISO) dan Komisi Elektroteknik
Internasional (IEC), Teknologi Informasi—Teknik Keamanan—Pedoman Identifikasi,
Pengumpulan, Akuisisi, dan Pelestarian Bukti Digital, ISO/IEC 27037:2012.
3. Komite Konvensi Kejahatan Dunia Maya, Akses Data Lintas Batas (Pasal 32),
Catatan Panduan T-CY #3, Desember 2014, Dewan Eropa.
4. Thomas King dan Phil Cole, “Penanganan Insiden Cyber” (ceramah, Konferensi
Keamanan Siber AusCERT, Gold Coast, Australia, 23 Mei 2017).
5. Biro Investigasi Federal, Panduan Lapangan Bukti Digital 2007, Departemen
Kehakiman AS.
11BAB SEBELAS
Identifikasi File Log,

Pelestarian, Koleksi,
dan Akuisisi
L OGS REKAM
bagian dari sebuahacara di komputer
jaringan. Aktivitas yang merekadan
rekambanyak perangkat
mungkin menjadi yang
bukti yang berharga
kepada para penyelidik ketika mereka mencoba untuk memahami apa
yang telah terjadi, sejauh mana kegiatan itu, dan identitas orang yang mungkin terlibat.
Sumber log komputer termasuk sistem operasi, program aplikasi, dan banyak
perangkat yang membentuk jaringan komputer.1 Contoh sumber log termasuk
firewall, perangkat lunak Anti Virus (AV), peralatan kerja jaringan (seperti
sakelar dan router), proxy server, server File Transfer Protocol (FTP), perangkat
lunak Intrusion Detection System (IDS) dan Intrusion Prevention System (IPS),
server web, perangkat komputer, log Domain Name Service (DNS) dan Dynamic
Host Control Protocol (DHCP), dan mengakses log otentikasi.1,2,5 Masing-masing
log ini merekam aktivitas di jaringan, dan bila digabungkan dengan log lain dapat
memberikan pemahaman kepada penyidik tentang apa yang terjadi pada saat
peristiwa keamanan dan siapa yang mungkin terlibat.
Penyelidik digital Anda akan berusaha menangkap log saat melakukan citra
forensik. Atau, administrator sistem dapat menyediakan log ini dan memiliki akses
ke catatan historis aktivitas log sebelum acara. Mereka adalah bukti sebanyak
perangkat lain atau selembar kertas yang dikumpulkan selama penyelidikan.
Administrator sistem mungkin menggunakan perangkat lunak Security Information
and Event Management (SIEM), yang mengumpulkan log dari berbagai sumber
dan menyajikan gambaran aktivitas jaringan.2
159
160 Identifikasi File Log, Pelestarian, Pengumpulan, dan Akuisisi
Ini adalah alat yang sangat berharga bagi penyelidik, karena masalah seperti zona
waktu dan pemformatan log telah ditangani, yang berarti akan lebih mudah untuk
membaca bukti.
Yang menarik bagi penyelidik adalah bahwa log dapat direkam pada server
terpisah dari perangkat yang menjadi sasaran serangan yang dicurigai.2 Ini akan
bermanfaat, karena meskipun perangkat mungkin telah disusupi atau bahkan dicuri
secara fisik, server yang berisi log aktivitas pada perangkat mungkin masih dapat
diakses, merekam bukti serangan dan tidak dirusak oleh kejadian tersebut. Setelah
log dibuat, log harus disimpan dan diamankan dengan aman untuk menjaga keaslian
dan integritasnya, sama seperti bukti lainnya.
File log umumnya tidak datang dalam satu format standar.5 File log bervariasi
di antara sistem operasi, aplikasi, dan file sistem. Vendor aplikasi yang berbeda
mungkin menggunakan format yang berbeda. Terkadang mereka berada dalam
format yang dapat dibaca oleh manusia dan terkadang tidak. Ketika log dibuat,
biasanya diberi cap waktu.5 Para peneliti perlu memahami format dan zona waktu,
karena ini bukan fitur standar desain format log. Di sinilah sistem SIEM yang telah
dikonfigurasikan sangat membantu penyidik.
TANTANGAN LOG
Beberapa tantangan yang mungkin dihadapi penyelidik dengan file log meliputi:
Mengakses log di tempat pertama, terutama dari server cloud. Akses mungkin
dibatasi oleh layanan yang menyediakan infrastruktur dan arsitektur sistem.3
Akan ada banyak sumber log yang berbeda tergantung pada sistem operasi dan
aplikasi yang digunakan. Investigator perlu mendiskusikan dengan staf
dukungan teknis tentang metodologi serangan dan log apa yang diperlukan
untuk membantu penyelidikan. Jika ragu, dapatkan lognya; jika nanti Anda
berubah pikiran, mereka mungkin tidak lagi tersedia. Produsen dapat
menggunakan format yang berbeda.2,5 Data yang disertakan dalam file log
mungkin berbeda di seluruh aplikasi.3,5 Stempel waktu mencerminkan zona waktu
yang berbeda.2,5 Saat Anda memulai penilaian log dan membandingkan sistem
dengan aplikasi , Anda ingin semua log Anda direkam dalam format zona waktu
yang sama.
Waktu pada sistem yang menghasilkan file log mungkin tidak disinkronkan, artinya
akan ada variasi waktu yang direkam pada waktu yang berbeda.
Log sebagai Bukti 161
devices.2 Di mana ada banyak log yang terlibat, jika sinkronisasi waktu dimatikan sepersekian
detik, hal itu dapat memengaruhi penyelidikan dan kemampuan Anda untuk menentukan apa
yang terjadi.
Kayu bulat hanya dapat disimpan untuk waktu yang singkat karena biaya penyimpanan jangka
panjang.3 Bisnis yang menghasilkan catatan kayu dalam jumlah besar dapat menyimpannya
hanya untuk waktu yang singkat, karena penyimpanan merupakan biaya tambahan. Karena
biaya yang terlibat dalam penyimpanan, tidak semua log yang dihasilkan dapat direkam.3 Selain
itu, administrator sistem mungkin merasa bahwa tidak perlu merekam atau menyimpan bentuk
log tertentu.
Log mungkin sangat rumit untuk dibaca dan tidak dapat dibaca tanpa spesialis
aplikasi.5
Log yang dihasilkan pada layanan cloud dapat disimpan di beberapa server, mungkin tidak selalu
berada di lokasi yang sama, dan mungkin tidak dapat diakses tanpa persetujuan dan bantuan
dari penyedia cloud.
Pemantauan log saat dibuat dapat mengungkapkan informasi penting tentang pelanggaran
yang sedang diselidiki dan mengarah pada orang di balik serangan tersebut.
Meskipun penyerang dapat menghancurkan file log, jika log tertentu tidak dapat ditemukan, ini
mungkin merupakan bukti kuat dari upaya untuk menutupi aktivitas seseorang dan harus dicatat
dan diselidiki. Ini juga dapat menunjukkan tingkat keterampilan dan pengetahuan penyerang
jaringan.
Karena log dapat menghabiskan banyak penyimpanan selama periode waktu tertentu, sistem
umumnya menimpa log secara berulang, yang berarti tindakan cepat akan diperlukan oleh
penyelidik untuk mengamankan sumber bukti yang berharga ini sebelum dimusnahkan.
Misalnya, server cloud dapat menimpa log setiap bulan tergantung pada aktivitas klien sementara
perusahaan yang memiliki sistem Teknologi Informasi (TI) internal dapat menyimpan log selama
enam bulan. Biaya menyimpan banyak log di banyak sistem tidaklah kecil dan data log yang Anda
perlukan sebagai bukti mungkin tidak disimpan atau mungkin telah dibuang sebagai ukuran
anggaran yang diambil beberapa bulan sebelum serangan.
LOG SEBAGAI BUKTI
Bagi penyelidik, memahami file log adalah keterampilan yang membutuhkan waktu untuk dipelajari.
Ada banyak bentuk log, dan mereka membingungkan dan berasal dari berbagai sumber. Namun,
terlepas dari ini, mereka memberikan komentar yang sangat baik tentang apa yang terjadi,
bagaimana hal itu terjadi, dan apa yang dilakukan penyerang, dan mereka juga dapat memberikan
arahan tentang siapa penyerangnya.
162 Identifikasi File Log, Pelestarian, Pengumpulan, dan Akuisisi
Untuk membantu penyelidik digital, pemeriksa digital di tim Anda akan terampil dalam
memahami dan menafsirkan log, dan administrator sistem perusahaan yang lognya Anda
selidiki juga akan dapat memberikan bantuan. Berkomunikasi dengan orang-orang ini akan
membantu penyelidik, karena mereka akan dapat menerjemahkan data log menjadi data
yang berarti bagi penyelidik untuk memajukan penyelidikan mereka. Seiring berkembangnya
teknologi, ada banyak alat yang tersedia yang mampu menyusun data log dari berbagai
sumber dan memberikan tampilan grafis peristiwa, yang membuat pemahaman data menjadi
lebih mudah secara signifikan.
Saat memeriksa log, cari bukti insiden serta peristiwa pengintaian selama beberapa
hari atau minggu sebelumnya. Log bahkan mungkin menunjukkan apa yang disebut dry run
atau studi pemeriksaan target sebelum serangan utama dilakukan. Peretas berpengalaman
akan melakukan pengintaian ekstensif pada target mereka sebelum melakukan kejahatan
mereka.
Di dunia yang sempurna, informasi berikut akan dimasukkan dalam struktur:
file log yang disita:
Stempel waktu dari setiap aktivitas, untuk direkam dalam format standar yang dapat dibaca
manusia di semua aplikasi, Sistem Operasi (OS), database, dan sejenisnya.3 Satu
zona waktu yang disinkronkan.2 Detail pengguna yang terkait dengan masing-masing
aktivitas, seperti detail pengguna untuk log-on
upaya otentikasi.3 Format

standar di semua log yang diamankan di semua sumber.2 Jika otentikasi
gagal, alasan mengapa dan berapa kali gagal.3 Session Identifier (ID), yang mencatat
aktivitas pengguna di situs web. 3 Rincian semua aktivitas yang berkaitan dengan akses
dan modifikasi data dan
sumber daya sistem.
Alamat Protokol Internet dari pengguna jaringan atau pihak eksternal yang melakukan
aktivitas yang menghasilkan log.3
Seperti disebutkan, ada banyak bentuk log yang dibuat dari banyak sumber.
Sisa dari bab ini akan memberikan pemahaman umum tentang sumber dan arti dari berbagai
log yang mungkin ditemui oleh penyidik.
JENIS LOG
Log berasal dari banyak sumber, termasuk sistem operasi perangkat dan aplikasi, dan di
seluruh jaringan. Tidak mungkin mencakup semua sumber log, jadi bab ini akan fokus pada
sumber yang berasal dari sistem operasi Windows untuk memberikan pemahaman tentang
bukti apa yang tersedia dari log dan di mana
Jenis Log 163
mereka dapat ditemukan. Meskipun pemeriksa digital yang berpengalaman umumnya

akan melakukan penyelidikan ini, ini adalah informasi berharga yang akan bermanfaat
bagi penyelidik untuk mengetahui dan memiliki pemahaman umum.
Perangkat dan server Windows memiliki beberapa bentuk log yang mungkin
bermanfaat bagi penyelidik. Ini dapat ditemukan melalui Peraga Peristiwa.
Untuk informasi umum dan pemahaman Anda, di OS Windows 10 Anda dapat
menemukan Peraga Peristiwa melalui menu Windows/Alat Administratif Windows/
Peraga Peristiwa. Dalam investigasi aktif, Anda akan menerima bukti log dari penyelidik
digital Anda yang telah melakukan inisialnya
penyelidikan.
Saat Anda memeriksa Peraga Peristiwa, Anda akan melihat bahwa ada format
standar yang berisi struktur yang ditetapkan di berbagai sumber log. Contohnya
termasuk tanggal dan waktu acara, siapa pengguna, komputer tempat acara dibuat,
dan ID Windows tertentu yang memberikan detail tentang apa yang menyebabkan log
dibuat. Misalnya, file yang dihapus akan menghasilkan pengidentifikasi peristiwa
Windows 4660, yang dapat ditemukan di Peraga Peristiwa.
Contoh log Windows meliputi:
Log sistem. Rekam peristiwa yang dicatat oleh komponen sistem Windows.4 Contoh
komponen sistem termasuk aplikasi dan utilitas, sistem file, dan komponen startup.
Gambar 11.1 menunjukkan contoh log sistem di Peraga Peristiwa.
GAMBAR 11.1 Sistem log di Peraga Peristiwa.

Sumber: Tangkapan layar diambil oleh Graeme Edwards.
164 Identifikasi, Pelestarian, Pengumpulan, dan Akuisisi Berkas Log
GAMBAR 11.2 Aplikasi log di Peraga Peristiwa.

Log aplikasi. Menangkap informasi dari aplikasi atau program, seperti

database.4
Gambar 11.2 menunjukkan contoh log aplikasi di Peraga Peristiwa.
Log keamanan. Menangkap informasi dari program keamanan yang berbeda yang
merekam data, seperti akses file dan direktori, upaya log-on, modifikasi dan
penghapusan file, dan penggunaan sumber daya.4
Log pengaturan. Rekam aktivitas selama penginstalan aplikasi.4 Peristiwa
yang diteruskan. Dihasilkan oleh komputer di jaringan yang sama ketika komputer telah
dikonfigurasi untuk meneruskan log peristiwa mereka ke perangkat ini.4
Sebuah bisnis memiliki sejumlah besar Kekayaan Intelektual (IP) yang dicuri oleh pihak
yang tidak dikenal. Ada bukti terbatas untuk mengidentifikasi apakah ini serangan internal
atau eksternal. IP memiliki nilai yang sangat tinggi dan inovatif dalam industri; pengembang
menyatakan itu adalah ancaman besar bagi pesaing.
Pertanyaan awal difokuskan pada file log untuk mempersempit waktu konfirmasi
bahwa IP telah dihapus dari server. Ini terhambat karena server memiliki banyak orang
yang mengerjakannya yang menggunakan nama pengguna dan kata sandi bersama
dengan akses administrator. Detail akses juga diketahui oleh pihak lain
Catatan 165 _
di kantor melalui perlindungan kata sandi yang lemah. File log disimpan di server dan tidak ada
cadangan yang disimpan.
Pemeriksaan lebih lanjut dari server mengidentifikasi bahwa file log dari tanggal tertentu
satu bulan sebelumnya telah dihapus. Karena server telah beroperasi selama beberapa tahun,
diharapkan setidaknya tiga bulan log aktif akan ditemukan sebelum ditimpa; namun, diidentifikasi
pada saat dugaan pencurian IP bahwa log sistem telah dihapus bersama dengan bukti waktu
dan tanggal pencurian data.
Ini memberikan bukti bahwa penyerang tahu apa yang mereka cari
ketika mengakses sistem dan memiliki keterampilan untuk menutupi jejak mereka.
Kelemahan dalam bisnis ini adalah meskipun mereka ahli dalam apa yang mereka lakukan,
memberikan layanan berkualitas sangat tinggi kepada klien mereka, dan menjaga staf mereka,
mereka tidak menempatkan fokus tingkat tinggi pada keamanan cyber. Mereka juga tidak memiliki
rencana Tanggap Insiden dan tanggapan mereka terhadap penyusupan dan penyimpanan bukti
sebagian besar dilakukan oleh penyelidik polisi dengan bantuan ahli teknis perusahaan.
Ketika sistem komputer berkembang jauh dari perangkat penyimpanan yang dapat diakses
secara fisik oleh pengguna, penyelidik menghadapi kenyataan komputasi awan di mana bukti
Anda dapat disimpan di server komputer di banyak lokasi fisik dan geografis. Bab 12
memperkenalkan komputasi awan dan menyoroti banyak alasan yang dibutuhkan peneliti untuk
memahami teknologi dan lingkungan yang berkembang ini.
CATATAN
1. Mark Krotoski dan Jason Passwaters, “Memperoleh dan Mengakui Bukti Elektronik,” Buletin
Jaksa Amerika Serikat 59, no. 6 (2011): 1–15.
2. Paul Cichonski, Thomas Millar, Tim Grance, dan Karen Scarfone, Panduan Penanganan
Insiden Keamanan Komputer, Publikasi Khusus 800-61 Revisi 2, Agustus 2012, Institut
Nasional Standar dan Teknologi, Departemen Perdagangan Amerika Serikat.
3. Raffael Marty, “Cloud Application Logging for Forensics” (Presentasi PowerPoint, Symposium
on Applied Computing, Taichung, Taiwan, 21-24 Maret 2011).
4. Kate Li, “Log Peristiwa—Daftar File evtx—Arti Konten,” TechNet (blog Dukungan Microsoft), 9
Januari 2019, https://bit.ly/2Spb0qC.
5. Karen Kent dan Murugiah Souppaya, Panduan untuk Manajemen Log Keamanan Komputer
Publikasi Khusus 800-92, September 2006, Institut Standar dan Teknologi Nasional,
Departemen Perdagangan Amerika Serikat.
12BAB DUA BELAS
Mengidentifikasi, Merebut, dan

Menyimpan Bukti dari
Platform Komputasi Awan
SEMENTARA gayaANDA
penulisan, denganbab
membaca lebih
ini,banyak contoh
Anda akan referensi
melihat akademis.
sedikit Ini adalah
perubahan dalam
karena sebagian dari pengetahuan dalam bab ini berasal dari tesis doktoral
saya “Menyelidiki Kejahatan Dunia Maya di Lingkungan Cloud Computing” serta
pengetahuan praktis yang dipelajari tentang menyelidiki kejahatan dunia maya di
lingkungan ini. Sedangkan sebagian besar pengetahuan yang tercakup dalam bab-
bab lain dalam buku ini berasal dari bertahun-tahun melakukan investigasi keuangan
dan kejahatan dunia maya, karena beberapa pengetahuan berasal dari sumber
akademis, layak untuk referensi dari mana pengetahuan itu berasal dan mengakui
pekerjaan orang lain di bidang ini. .
APA ITU KOMPUTASI CLOUD?
Komputasi awan adalah nama yang digunakan untuk metode penyimpanan data
pengguna pribadi dan perusahaan yang semakin umum. Di mana dulu semua
penyimpanan data berada di perangkat yang dapat diakses secara fisik, seperti
komputer, hard drive eksternal, perangkat USB, DVD, dan sejenisnya, sekarang
perangkat penyimpanan dimiliki, dioperasikan, dan diamankan oleh perusahaan
eksternal yang dapat mengelola semua aspek operasi atas nama klien mereka, biasanya dari yurisdik
167
168 Melestarikan Bukti dari Platform Cloud-Computing
Ada banyak keuntungan bagi entitas yang menggunakan layanan cloud ketika
dibandingkan dengan membeli, memelihara, dan mengoperasikan arsitektur sistem mereka
sendiri. Ini mungkin termasuk biaya, penghematan waktu, akses ke keamanan yang sangat khusus
staf, dan tidak harus memelihara banyak sistem operasi dan aplikasi
sebuah perusahaan dapat beroperasi. Semua masalah tradisional yang melibatkan pemeliharaan,
keamanan, memperbarui perangkat lunak, dan lainnya dapat dialihdayakan ke layanan cloud
(tergantung pada produk cloud yang digunakan), artinya klien dapat memfokuskan
sumber daya pada bisnis mereka, bukan masalah teknologi.
Bagi penyelidik kejahatan dunia maya, komputasi awan memiliki relevansi yang besar
karena industri dan pemerintah sedang mengembangkan kebijakan cloud-first yang menentukan hal itu
ketika infrastruktur teknis perlu diganti, argumen yang sangat kuat dan meyakinkan perlu diberikan
mengapa infrastruktur fisik dan arsitektur jaringan perlu dibeli, ditempatkan, dan dipelihara oleh
entitas
dan bukan Penyedia Layanan Cloud (CSP). Akibatnya, sebagai penyelidik kejahatan dunia maya,
Anda perlu mengenal baik lingkungan komputasi awan, sama seperti generasi penyelidik
sebelumnya perlu memahaminya.
iterasi teknologi sebelumnya.
Ada banyak bentuk layanan cloud, dan selain memberikan penjelasan singkat
pendahuluan, bab ini tidak dimaksudkan untuk mencakup semua kemungkinan awan
pilihan arsitektur yang mungkin ditemui penyidik. Kami akan mengambil tampilan
penyedia cloud internasional tempat data klien disimpan di komputer
server tersebar di banyak yurisdiksi lokal dan internasional (multiyurisdik nasional) dan bercampur
dengan data dari klien lain dari CSP (multitenancy).
Ini dikenal sebagai cloud publik dan versi yang paling sering Anda temui
investigasi.
Komputasi awan memberikan banyak tantangan yang tidak dihadapi oleh penyelidik
dengan bukti digital tradisional dan ini akan dibahas nanti di
bab dalam “Penghalang Cloud untuk Investigasi yang Berhasil”. Tahap awal dari
bab ini akan memberikan pemahaman umum tentang apa itu komputasi awan
layanan, tetapi itu sepadan dengan usaha untuk mendapatkan definisi spesifik tentang apa
layanan cloud tertentu dan apa fitur utama dari cloud. Dengan ini
informasi, penyelidik kejahatan dunia maya akan dapat menghubungkan investigasi mereka
strategi untuk teknologi yang berkembang ini.
Pada tahun 2014, Organisasi Internasional untuk Standardisasi (ISO) menghasilkan standar
ISO/IEC 17788:2014, yang mengidentifikasi enam karakteristik utama komputasi awan. Mereka:
1. Akses jaringan yang luas. Sebuah fitur di mana sumber daya fisik dan virtual
tersedia melalui jaringan dan diakses melalui mekanisme standar
yang mempromosikan penggunaan oleh platform klien yang heterogen.1
Apa itu Komputasi Awan? 169 _
Ini berarti bahwa layanan cloud dapat diakses dari jarak jauh dari lokasi mana pun
menggunakan perangkat apa pun yang kompatibel. Layanan cloud Anda dapat diakses
dengan mudah dari kantor Anda di Singapura dan saat Anda bepergian di New York, Hong
Kong, Thailand, Melbourne, atau Johannesburg.
2. Layanan terukur. Sebuah fitur di mana pengiriman terukur layanan cloud sedemikian rupa
sehingga penggunaan dapat dipantau, dikendalikan, dilaporkan, dan ditagih.1
Ini berarti klien menggunakan dan hanya dikenakan biaya untuk sumber daya dan
layanan yang mereka gunakan dan tidak ditagih untuk penyimpanan berlebih dan kapasitas
pemrosesan yang jarang mereka perlukan.
3. Multitenancy. Sebuah fitur di mana sumber daya fisik atau virtual dialokasikan sedemikian
rupa sehingga beberapa penyewa dan perhitungan data mereka terisolasi dari dan tidak
dapat diakses satu sama lain.1
Ini berarti penyedia cloud berbagi infrastruktur dan arsitektur jaringannya dengan
banyak klien. Saat disimpan, data klien bercampur untuk memberikan efisiensi maksimum
dalam penyimpanan data.
4. Layanan mandiri sesuai permintaan. Sebuah fitur di mana pelanggan layanan cloud dapat
memperoleh kemampuan komputasi, sesuai kebutuhan, secara otomatis atau dengan
interaksi minimal dengan penyedia layanan cloud.1 Ini berarti layanan dapat diperluas atau
dikontrak sesuai kebutuhan oleh
klien tanpa perlu berinteraksi secara formal dengan staf CSP.
5. Kecepatan, elastisitas, dan skalabilitas. Sebuah fitur di mana sumber daya fisik atau
virtual dapat disesuaikan dengan cepat dan elastis, dalam beberapa kasus secara
otomatis, untuk menambah atau mengurangi sumber daya dengan cepat.1 Ini adalah
layanan di mana penyimpanan ekstra atau kapasitas pemrosesan dapat diperoleh
selama periode penggunaan saja. Penyimpanan/kapasitas kembali ke konfigurasi
sebelumnya setelah layanan tambahan tidak lagi diperlukan. Misalnya, sebuah bisnis
mungkin memerlukan kapasitas pemrosesan tambahan pada akhir tahun keuangan dan
dapat menggabungkan kapasitas ini selama beberapa minggu hingga akun diselesaikan.
Setelah penyimpanan/kapasitas ekstra tidak lagi diperlukan, layanan akan berkontraksi ke
level aslinya.
6. Pengumpulan sumber daya. Sebuah fitur di mana sumber daya fisik atau virtual penyedia
layanan awan dapat dikumpulkan untuk melayani satu atau lebih pelanggan layanan awan.1
Ini berarti Anda berbagi arsitektur dan sumber daya CSP dengan
banyak klien lain dari CSP.
Untuk penyelidik kejahatan digital yang mencari bukti dari layanan cloud, akan membantu
untuk memahami bahwa mereka berurusan dengan lingkungan yang sangat berbeda dari
lingkungan di mana mereka menemukan komputer di meja tersangka di kantor dan meminta
penyelidik digital untuk menemukan bukti. Faktanya, tidak ada
kesamaan antara keduanya, karena dengan server cloud, penyelidik tidak akan pernah
bisa melihat secara fisik adegan kejahatan dunia maya cloud atau server tempat bukti
berada. Pikirkan tentang ini dari perspektif suatu hari harus menjawab pertanyaan di
pengadilan tentang dari mana bukti Anda berasal, bagaimana diperoleh, yurisdiksi
internasional, rantai penahanan, dan sejenisnya.
Komputasi awan adalah lingkungan hukum yang dinamis dengan sedikit preseden
hukum yang diketahui untuk memandu penyelidik tentang apa yang akan diminta oleh
pengadilan. Sampai preseden hukum ditetapkan, penyidik harus siap untuk memandu
pengadilan tentang mengapa bentuk bukti ini dapat diandalkan. Diskusi dengan CSP
harus didorong dalam hal ini, karena mereka akan memiliki sumber daya untuk
membantu pengadilan dalam memvalidasi kredibilitas bukti mereka.
Sebagai pengantar bentuk layanan cloud, ada banyak produk yang ditawarkan
CSP kepada klien mereka. Tergantung pada kebutuhan mereka, klien umumnya
bermigrasi ke tiga penawaran utama: Software as a Service (SaaS), Platform as a
Service (PaaS), dan Infrastructure as a service (IaaS). Relevansi memahami produk
CSP ini adalah bahwa mereka menawarkan tingkat bukti yang berbeda kepada
penyelidik, karena masing-masing memberikan tingkat kontrol yang berbeda kepada klien.
Perangkat Lunak sebagai Layanan. Dengan produk SaaS, klien tidak memiliki
kepemilikan atau kontrol langsung atas aplikasi yang membentuk layanan atau
struktur infrastruktur.2 Kemampuan mereka untuk mengonfigurasi layanan terbatas
pada opsi dalam aplikasi (misalnya, Microsoft Office) dan klien memiliki sedikit
untuk tidak ada akses ke log. Ini berada di bawah kendali CSP dan penyedia
aplikasi. Akses ke aplikasi yang membentuk produk SaaS adalah melalui browser
web atau aplikasi, yang mungkin berisi bukti tersendiri.
Memperoleh bukti untuk memajukan penyelidikan akan membutuhkan kerja
sama CSP dan penyedia layanan pihak ketiga. Perjanjian Lisensi Pengguna Akhir
(End User License Agreement/EULA) dapat memberikan beberapa bantuan dalam
memperoleh bukti, tetapi ini tidak dapat diandalkan. Data yang dilihat klien dapat
diberikan melalui Mesin Virtual (VM) yang menyediakan rangkaian lognya sendiri
yang dapat digunakan untuk melanjutkan penyelidikan. Platform sebagai Layanan.
PaaS adalah produk yang mirip dengan SaaS; namun, add-on disediakan untuk
memungkinkan klien membuat aplikasi yang disesuaikan untuk memenuhi
kebutuhan mereka. Seperti SaaS dan IaaS, infrastruktur yang mendasari dimiliki
dan dikendalikan oleh CSP. Seperti model SaaS, bantuan signifikan akan
diperlukan dari CSP dalam penyitaan bukti.3 Dengan PaaS, pelanggan memiliki
kemampuan untuk mengarahkan bagaimana aplikasi berinteraksi dengan
infrastruktur. Mekanisme logging dapat diterapkan dan data ditransfer ke pihak
ketiga.1 Seperti SaaS, log
Apa itu Komputasi Awan? 171 _
dihasilkan oleh infrastruktur yang mendasari berada di bawah kendali CSP.3

Pelanggan, bagaimanapun, memiliki kendali atas aplikasi perangkat lunak yang
dikembangkan dan kode sumber terkait.3 Poin terakhir ini sangat relevan bagi
penyelidik, karena memberikan prompt akses ke beberapa bukti log yang mungkin
Anda perlukan untuk melanjutkan penyelidikan Anda. Infrastruktur sebagai
Layanan. Dengan IaaS, pelanggan disediakan infrastruktur dasar oleh CSP di mana
mereka kemudian dapat memuat aplikasi pilihan mereka sendiri, seperti sistem
operasi, database, dan sistem penyimpanan.
Infrastruktur yang mendasari dimiliki dan dikelola oleh CSP.4 Ini berarti ada tingkat
bukti yang tersedia bagi penyelidik untuk melanjutkan penyelidikan sementara bukti
infrastruktur (seperti kayu bulat) sedang dicari dari CSP.
Sistem ini dapat memberikan lebih banyak informasi kepada klien jika terjadi
insiden karena mereka mempertahankan kendali atas aplikasi yang mereka instal.
Penyelidik digital atau klien dapat mengambil gambar aplikasi mereka sesuai
kebutuhan dan menyimpan log pada host yang terpisah.1 Ini adalah bukti yang
mudah diakses yang dapat diperoleh tanpa meminta otoritas CSP.
Setelah Anda memutuskan jenis layanan cloud yang Anda hadapi, masalah
yang lebih rumit adalah contoh model penyebaran cloud yang berbeda. ISO/IEC
17788:2014 menjelaskan hal ini sebagai:
Awan publik. Layanan cloud berpotensi tersedia untuk setiap pelanggan layanan
cloud dan sumber daya dikendalikan oleh CSP.1
Ini adalah layanan komputasi awan yang paling umum digunakan. Klien
bergabung dengan organisasi besar seperti Microsoft, Apple, Amazon Web
Services (AWS), atau Google untuk layanan komputasi awan mereka (seperti
SaaS). Contoh umum layanan SaaS di cloud publik adalah Office 365 yang
ada di layanan cloud publik Microsoft.
Awan pribadi. Layanan cloud digunakan secara eksklusif oleh satu pelanggan
cloud dan dikendalikan oleh pelanggan layanan cloud tersebut.1
Awan pribadi adalah model penyebaran yang dapat digunakan organisasi
besar untuk mendapatkan manfaat dari layanan komputasi awan sambil
mempertahankan kontrol atas layanan tersebut. Manajemen layanan dapat
dilakukan oleh organisasi itu sendiri atau oleh pihak ketiga. Misalnya,
universitas dapat mengoperasikan cloud pribadi untuk kepentingan staf dan
mahasiswa, dan menjadi tuan rumah layanan di tempat mereka tetapi kontrak
dengan CSP untuk mengawasi pengelolaan cloud secara eksternal.
Contoh lain dari pengguna private cloud adalah pemerintah dan industri.4
Awan komunitas. Layanan cloud secara eksklusif didukung dan dibagikan oleh
kumpulan pelanggan layanan cloud tertentu yang memiliki persyaratan bersama.1
Infrastruktur disediakan untuk penggunaan eksklusif komunitas dengan
kepentingan bersama.4
Awan hibrida. Dapat dimiliki, dikelola, dan dioperasikan oleh organisasi itu sendiri
atau oleh pihak ketiga dan mungkin ada di dalam atau di luar tempat.1
Awan hibrida menggunakan setidaknya dua model penerapan yang
dibahas. Ada kompatibilitas yang memadai untuk memungkinkan data dan
aplikasi dibagikan.4
Contoh cloud hybrid adalah perusahaan yang menempatkan informasi
nonvital di cloud publik di mana kerahasiaan tidak menjadi masalah, tetapi
menjaga IP berharga tetap aman di cloud pribadi internal.
Bagian berikut akan memberikan pengantar tentang relevansi komputasi awan bagi
penyelidik kejahatan digital.
APA RELEVANNYA TERHADAP INVESTIGATOR?
Penyelidik kejahatan dunia maya bertanggung jawab untuk tidak hanya mengidentifikasi
apa yang telah terjadi selama peristiwa dunia maya, tetapi juga menemukan bukti yang
mengidentifikasi tersangka. Ini sama seperti dalam penyelidikan kriminal; penyelidik dapat
bergantung pada bukti digital yang berperan dalam hampir semua penyelidikan saat ini
karena perangkat digital menjadi lebih mengganggu dalam kehidupan kita. Sementara
sebagian besar tanggapan peristiwa dunia maya berfokus pada mengembalikan pelapor
ke lingkungan operasi normal, ada manfaat signifikan bagi perusahaan dalam menemukan
tersangka, mendapatkan kembali data curian mereka sebelum dieksploitasi, dan menuntut pelaku.
Ketika individu dan entitas perusahaan bermigrasi ke layanan komputasi awan,
pemeriksaan forensik perangkat tidak lagi memerlukan penyitaan perangkat fisik dan
meneruskannya ke penyelidik digital untuk secara forensik gambar, menyalin, dan
memeriksa perangkat untuk bukti. Server komputasi awan tempat bukti penyelidik berada
tidak tersedia secara fisik kecuali jika perusahaan mengoperasikan layanan awan pribadinya
sendiri, yang bukan merupakan model yang disukai banyak perusahaan.
Jadi dalam banyak kasus, ini membuat penyelidik dunia maya berusaha mendapatkan
bukti digital yang mereka butuhkan untuk melanjutkan penyelidikan dari CSP internasional.
Seperti yang dibahas sebelumnya dalam bab ini, tergantung pada model cloud yang Anda
hadapi, Anda mungkin memiliki akses ke beberapa bukti digital atau
Daya Tarik Cloud Computing bagi Penjahat Dunia Maya 173
tidak ada. Pertama, pertimbangkan di mana data/bukti itu berada dan otoritas hukum apa
yang Anda miliki untuk menyita data tersebut. Karena itu milik klien Anda tidak berarti
Anda memiliki wewenang untuk mengunduh apa yang Anda inginkan, karena data tunduk
pada undang-undang privasi yurisdiksi tempat data tersebut tinggal dan dilalui, dan entitas
pemerintah seperti Uni Eropa (UE) menempatkan kewajiban hukum yang sangat ketat
pada pihak-pihak yang menyimpan Informasi Identifikasi Pribadi (PII) pada komputer
penduduk di dalam UE. Ini mungkin termasuk data perusahaan Anda sendiri. Membaca
EULA dan mencari nasihat hukum yang memenuhi syarat mengenai legalitas penghapusan
data dari cloud bermanfaat.
Ketika menempatkan bukti apapun di depan pengadilan, itu adalah beban pihak
yang memberikan bukti itu untuk mempertanggungjawabkannya seperti yang disyaratkan
oleh hakim atau penasihat hukum lawan. Beban ini meluas untuk membuktikan bukti
diperoleh secara sah dan sesuai dengan rantai penahanan. Saat bab ini berkembang,
kami akan memeriksa masalah ini dan mengungkapkan mengapa bukti berbasis cloud
belum ditentukan oleh sebagian besar pengadilan yurisdiksi.
Pemikiran lebih lanjut yang dipertimbangkan di seluruh bab ini adalah menggunakan
bukti berbasis cloud untuk menguatkan bukti yang terletak dari lokasi fisik (seperti kantor
perusahaan). Contohnya adalah jika log komputer desktop menunjukkan bahwa tersangka
memiliki riwayat masuk ke server cloud tertentu dan melakukannya pada saat data
perusahaan dicuri.
ATRAKSI CLOUD COMPUTING

UNTUK CYBERCRIMINAL
Sementara komputasi awan sangat dihargai oleh komunitas bisnis dan semakin meningkat
oleh pengguna pribadi, komunitas kriminal juga telah melihat manfaat menggunakan
layanan komputasi awan. Layanan komputasi awan mungkin menjadi target kejahatan,
digunakan untuk melakukan kejahatan, atau digunakan untuk menyimpan informasi yang
dihasilkan selama melakukan kejahatan.5,6 Peretasan sebagai layanan sekarang
ditawarkan di komunitas kriminal, dan otomatis toolkit sedang dikembangkan untuk
membantu mereka yang tidak memiliki kapasitas teknis untuk menargetkan infrastruktur
cloud.7 Saat komunitas kriminal mengembangkan strategi baru untuk menyerang
infrastruktur cloud dan mengidentifikasi titik kelemahan baru, volume upaya kompromi
dapat diperkirakan akan meningkat.
Jika insiden seperti pelanggaran keamanan terjadi di lingkungan komputasi awan,
harus diperhatikan oleh penyelidik yang beroperasi di lingkungan ini bahwa manajemen
insiden dan investigasi tindak lanjut lebih sulit daripada di klien tradisional yang dimiliki
dan dioperasikan. sistem.8 Layanan
Level Agreement (SLA) menentukan kewajiban penyedia cloud, dan jika ini tidak
termasuk dukungan forensik, maka klien mungkin memiliki akses terbatas ke materi
bukti. Menemukan di mana di dunia data disimpan pada titik kompromi lebih lanjut
menghalangi tanggapan yang efektif dan upaya untuk mencari ganti rugi hukum melalui
pengadilan.10 Tidak tahu persis di mana data itu disimpan berarti bahwa mungkin ada
kebutuhan untuk mengidentifikasi yurisdiksi hukum mana ( s) bertanggung jawab untuk
melakukan penyelidikan.
Tantangan bagi penyidik dari perspektif penegakan hukum dan perdata adalah
untuk mendapatkan, menyimpan, memeriksa, dan menyajikan bukti secara transparan,
yang dapat diandalkan pengadilan sebagai representasi akurat dari data yang disimpan
di cloud pada saat itu. disita.5
DIMANA BUKTI DIGITAL ANDA BERADA?
Pertama, di mana di dunia—secara harfiah—bukti Anda? Karena sifat komputasi awan

yang dinamis, bukti Anda mungkin disimpan di beberapa yurisdiksi hukum. Saat
meneliti tesis doktoral saya, saya memiliki kesempatan untuk berbicara dengan kepala
petugas keamanan penyedia TI yang berbasis di Silicon Valley (yang tidak dapat
diidentifikasi karena ketentuan persetujuan etika) yang berspesialisasi dalam
penyimpanan komputasi awan. Ketika ditanya di mana bukti digital yang mungkin saya
cari di lingkungan cloud akan ditempatkan, mereka menyatakan bahwa itu dapat
ditemukan di satu atau semua dari dua puluh tiga pusat data yang mereka miliki di lima
belas yurisdiksi hukum yang berbeda, dan bahwa mereka tidak akan tahu persisnya.
lokasi sampai mereka melihat.10 Jelas, jika CSP tidak tahu di mana data berada, akan
sangat sulit bagi penyelidik kejahatan dunia maya untuk dapat menyelesaikan ini
kecuali EULA menyediakan data untuk disimpan di yurisdiksi tertentu.
Jadi, mana bukti Anda? Data komputasi awan bergerak dalam hitungan mikro
detik, artinya tidak berada di satu tempat, karena CSP akan memindahkan data karena
latensi, penyedia listrik yang murah, dan pertimbangan lainnya. Meskipun EULA
mungkin dengan perusahaan yang berbasis di California di Amerika Serikat, perusahaan
tidak boleh menyimpan semua atau data klien mereka di negara bagian itu.
Komplikasi lebih lanjut adalah bahwa layanan cloud dapat terdiri dari perusahaan
yang berbeda, masing-masing menyediakan layanan spesialis. Beberapa layanan
cloud tidak memiliki arsitektur fisik yang mereka operasikan, melainkan menyewa
layanan dari perusahaan seperti Amazon Web Services (AWS). Ini berarti bahwa
bahkan meminta CSP leasing untuk log arsitektur tertentu melalui surat perintah
penggeledahan atau perintah pengadilan tidak akan berhasil, karena mereka tidak memiliki akses ke b
Penyelidik mungkin perlu mempertimbangkan kepraktisan dalam melayani permintaan
Penyitaan Barang Bukti Digital Cloud yang Sah 175
atau perintah pengadilan pada ruang sewa CSP di AWS untuk bukti spesifik dan perintah
terpisah di AWS yang mencari bukti log arsitektur.
PENYIAPAN HUKUM BUKTI DIGITAL CLOUD
Karena data yang Anda cari ada di layanan cloud klien Anda, asumsinya adalah data
tersebut dapat diakses dan diunduh kapan pun diperlukan. CSP akan mempertimbangkan
legalitas transfer data di dalam yurisdiksi mereka menempatkan pusat data; namun, hukum
berubah dan preseden hukum dibuat oleh pengadilan yang tidak selalu menjadi pengetahuan
publik. Sementara EULA dapat memberikan panduan dalam hal ini, undang-undang privasi
di setiap yurisdiksi akan memiliki prioritas di atas EULA. Seperti yang disebutkan, UE sangat
ketat dalam menghapus PII dari yurisdiksi hukum mereka dan jika data yang Anda cari
diidentifikasi sebagai penduduk di UE, disarankan untuk mendapatkan nasihat hukum
spesialis sebelum mengunduhnya, meskipun itu adalah milik Anda. data klien dan Anda
beroperasi dengan persetujuan mereka. Jika data yang Anda cari ada di server cloud
tersangka, akan sangat baik untuk mempertimbangkan untuk mendapatkan nasihat hukum
tentang pilihan Anda.
Untuk menekankan hal ini: seorang CSP yang diwawancarai untuk tesis saya
menyatakan bahwa ada insiden dengan komputer yang mereka miliki di Prancis dan mereka
ingin melakukan diagnosa jarak jauh untuk menentukan apa masalahnya. Dari kantor
California mereka dari jarak jauh masuk ke perangkat yang berisi data perusahaan mereka,
menggunakan komputer mereka sendiri, kantor mereka sendiri, dan staf mereka sendiri,
dan mentransfer isinya ke Amerika Serikat untuk diagnostik. Mereka dihubungi oleh otoritas
Prancis dan diberi tahu bahwa mereka melakukan tindak pidana serius berdasarkan hukum
Prancis—penghapusan PII tanpa
persetujuan dari otoritas Prancis—dan jika mereka mengulangi tindakan itu, tuntutan pidana
akan menyusul. CSP yang bersangkutan adalah salah satu perusahaan IT terbesar di dunia
dan banyak pembaca akan sangat akrab dengannya (nama mereka tidak dapat diungkapkan
karena perjanjian persetujuan etika tesis).10 CSP lain yang diwawancarai menyatakan
bahwa jika mereka memiliki masalah dengan komputer di UE, mereka akan
menerbangkan staf mereka dari London untuk memeriksanya di lokasi daripada mengambil
risiko melanggar hukum UE. Saat merencanakan penerbangan mereka, jika mereka memiliki
PII warga negara UE, mereka akan memeriksa jalur penerbangan dari semua penerbangan
yang mereka tempuh sambil membawa data UE untuk memastikan bahwa mereka tidak
pernah meninggalkan UE dengan membawa PII yang tunduk pada UE. data dan undang-
undang privasi lokal. Meskipun ini mungkin tampak ekstrem, orang-orang yang diwawancarai
ini adalah operator yang sangat berpengalaman dalam layanan komputasi awan dan forensik digital dan
memiliki pemahaman yang sangat kuat tentang sifat multiyurisdiksi dari undang-undang dan
hukuman di berbagai negara dan wilayah.10
Untuk membantu para penyelidik, legislator dalam beberapa kasus telah membuat perintah
pengadilan yang mungkin tersedia di yurisdiksi tuan rumah Anda di mana pengadilan mengizinkan
Anda untuk masuk ke server cloud dan mengunduh data yang diperlukan.
Dan sementara ini mungkin legal di yurisdiksi Anda, penggeledahan dan penyitaan mungkin
sebenarnya perlu dilakukan di banyak yurisdiksi hukum asing yang mungkin tidak mengakui perintah
pengadilan domestik atau surat perintah penggeledahan kecuali ada perjanjian saling pengakuan.
Untuk menekankan hal ini: Apakah Anda akan pergi ke pengadilan di Amerika Serikat dan
mendapatkan surat perintah penggeledahan atau perintah pengadilan untuk mencari dan menyita
data dari layanan awan Microsoft Azure di Sydney, kemudian terbang ke Australia, menyerahkan
perintah pengadilan Anda, dan menuntut agar Microsoft menyerahkan data? Akibatnya, inilah yang
Anda lakukan.
Jadi, meskipun Anda mungkin memiliki perlindungan hukum di yurisdiksi Anda dalam kasus
ini, Anda tetap akan melakukan pencarian dan penyitaan bukti di yurisdiksi hukum asing tanpa izin
hukum lokal. Kebalikannya adalah jika sebuah perusahaan Australia mengeluh tentang diretas oleh
layanan penegakan hukum asing, dan ketika ditantang, kantor polisi asing memberikan surat
perintah penggeledahan lokal yang menurut mereka memberi wewenang kepada mereka untuk
melakukan penggeledahan dan penyitaan di Australia. , Anda beroperasi di banyak yurisdiksi hukum
yang berpotensi berbeda dan apa yang mungkin legal di satu yurisdiksi mungkin merupakan
pelanggaran pidana yang sangat serius di yurisdiksi lain.
Jika Anda cukup beruntung memiliki CSP dalam yurisdiksi Anda, proses mengamankan bukti
akan jauh lebih mudah, karena Anda akan berurusan dengan perintah pengadilan domestik.
CSP yang diwawancarai untuk penelitian doktoral saya setuju dengan pendapat mereka
bahwa jika Anda menginginkan data dari layanan cloud dan memiliki pertanyaan tentang legalitas
untuk memperolehnya, pertama-tama mintalah nasihat dari pengacara CSP dan mereka akan
memberikan arahan segera untuk membantu Anda melanjutkan penyelidikan Anda secara hukum.
Pengacara dan pemeriksa forensik untuk CSP yang diwawancarai menyatakan bahwa mereka
akan menghargai kesempatan untuk membantu ketika data cloud diperlukan untuk penyelidikan. Ini
untuk memastikan bahwa bukti yang benar diperoleh dan kata-kata dari perintah itu benar. Seorang
pengacara di CSP yang diwawancarai menyatakan:
Kami mendapatkan perintah pengadilan yang mengarahkan kami untuk melakukan hal-
hal yang tidak masuk akal, mengarahkan kami untuk melanggar undang-undang lain,
atau hanya meminta sebagian dari informasi yang tersedia. Saya menyarankan agar
setiap penyelidik, pidana atau perdata, yang mencari informasi dari CSP untuk menghubungi itu
Pelestarian Bukti Digital Cloud 177
Departemen hukum CSP terlebih dahulu dan meminta bantuan mereka dalam
menyusun perintah yang diminta sehingga masuk akal, tidak mengarahkan kami
untuk melanggar undang-undang lain, dan untuk memastikan penyelidik memperoleh
semua bukti yang tersedia untuk mereka. Saat ini, saya tidak percaya ada seseorang
yang meminta bantuan kami untuk mendapatkan data dari server kami sebelum
memberikan perintah pengadilan kepada kami dan itu menyebabkan masalah bagi
mereka dan kami.10
Kepala petugas keamanan CSP menyatakan:
Orang tidak mengerti hukum ketika mereka meminta data.

Saya memiliki permintaan untuk menyediakan segala sesuatu tentang (MAC) tertentu
Alamat Kontrol Akses Media. Harap berbicara dengan petugas hukum sebelum
mengajukan permintaan!10
Mereka juga mempertimbangkan untuk mengizinkan pihak eksternal mengunduh bukti

dari layanan cloud mereka. Seperti yang telah dibahas, ini akan bergantung pada EULA serta
undang-undang di berbagai yurisdiksi. Pertimbangan lebih lanjut adalah bahwa CSP memiliki
keberatan untuk mengizinkan klien melakukan forensik digital invasif pada layanan cloud
mereka, yang akan dibahas nanti dalam bab ini, di bawah “Pemeriksaan Forensik Jarak Jauh.”
PELESTARIAN BUKTI DIGITAL CLOUD
Karena cloud adalah lingkungan yang sangat dinamis, bukti seperti data log dapat hilang dengan
sangat cepat. Juga, jika tersangka memiliki akses ke layanan cloud, mereka dapat mengakses
layanan dari jarak jauh dan menghancurkan semua bukti yang Anda cari.
Penegakan hukum memiliki pilihan untuk mencari perintah pelestarian, di mana gambar
dari data yang dicari dibuat oleh pemeriksa forensik CSP dan ditahan sambil menunggu perintah
pengadilan melalui MLAT. Perintah ini umumnya tidak tersedia untuk pemeriksa sipil. Penyelidik
sipil dapat mengajukan permintaan pribadi melalui saluran komunikasi yang ada, legal atau
sebaliknya.
Saat berusaha untuk menyimpan bukti cloud, menghubungi CSP dan meminta salinan
preservasi adalah cara untuk memastikan bahwa bukti dapat disimpan sedekat mungkin dengan
waktu dugaan pelanggaran. CSP akan memberi tahu Anda apa yang dapat mereka pertahankan
dan bagaimana Anda dapat memperolehnya secara legal. Misalnya, mendapatkan salinan email
tersangka ketika bukti tersebut tinggal di Amerika Serikat hanya dapat dilakukan melalui surat
perintah penggeledahan oleh penegak hukum. Namun, CSP mungkin dapat membantu dalam
hal-hal lain, seperti log Internet, detail pelanggan, metode pembayaran, dan sejenisnya melalui
permintaan hukum.
Jika klien memiliki produk cloud IaaS, pengguna memiliki visibilitas dan kontrol
atas server virtual yang menyimpan data. Tunduk pada ketentuan EULA dan nasihat
hukum yang sesuai, penyelidik forensik mungkin dapat memperoleh salinan digital
dari bukti yang mereka cari.
INVESTIGASI FORENSIK
SERVER CLOUD-COMPUTING
Bagian berikut akan membahas bukti dari platform komputasi awan dan beberapa
pertimbangan yang terlibat dalam mengidentifikasi, mengumpulkan, memperoleh,
dan melestarikan bukti digital dari awan.
Identifikasi Bukti
Cloud Security Alliance (CSA) menyatakan bahwa tantangan pertama forensik

cloud jika dibandingkan dengan forensik tradisional adalah identifikasi lokasi bukti
potensial. CSA menjelaskan bahwa perangkat disk fisik dapat divirtualisasikan dan
disajikan kepada pengguna cloud agar sesuai dengan persyaratan biaya, keandalan,
dan kinerja. Unit logis tervirtualisasi dapat diangkut dari lokasi ke lokasi tergantung
pada masalah jaringan.3
Dengan munculnya jaringan penyimpanan dan virtualisasi, pemetaan

perangkat penyimpanan menjadi lebih kompleks dan kompleksitas ini
meningkat di cloud.3
Sifat internasional dan kompleks dalam memperoleh data dari CSP dapat
mempengaruhi kemampuan penyidik untuk mendapatkan gambaran bukti yang dicari.
Misalnya, penyelidik umumnya tidak akan dapat memperoleh citra lengkap secara
pribadi dari server cloud dan harus bergantung pada layanan CSP.11
Pengumpulan Bukti
Karena akses ke penyimpanan menjadi lebih murah dan lebih mudah, volume data
yang mungkin perlu diakses dan diperoleh oleh penyelidik diperkirakan akan
meningkat hingga hampir tidak mungkin bagi pemeriksa untuk melakukan
penyelidikan penuh.12 Laboratorium digital FBI memiliki mencatat peningkatan yang
signifikan dalam jumlah bukti digital yang terletak di setiap pemeriksaan. Sedangkan
pada tahun 2003 rata-rata kasus melibatkan 84 GB data,13 pada tahun 2013, ketika
angka terakhir tersedia, rata-rata kasus melibatkan 821 GB.14
Investigasi Forensik Server Cloud- Computing 179
Pemeriksa forensik digital untuk CSP mengomentari volume data

mereka harus membayangkan untuk mematuhi permintaan bukti yang sah:
Dalam penyelidikan, kami tidak menyentuh server. Saya punya satu contoh di mana
server memiliki 16 hard drive di dalamnya dan itu adalah yang terkecil yang kami
miliki. Kami bahkan tidak repot-repot mencoba dan membayangkannya. Gambar
forensik pada IaaS terlalu besar. Jika lebih dari satu terabyte, itu akan menyebabkan
masalah. Di dunia nyata, itu tidak praktis.10
Seorang pengacara untuk badan penegakan hukum internasional menyatakan:
Saat ini saya memiliki penyelidikan yang memiliki 50 juta baris data non-konten. Ini
perlu disimpan, diproses, dan dipahami.10
Seiring dengan mendapatkan bukti adalah biaya tindakan. Sementara lembaga penegak
hukum mungkin dapat mengandalkan dukungan dari mitra Mutual Legal Assistance Treaty
(MLAT), penyelidik sipil perlu mengandalkan dukungan dari CSP dan perwakilan hukum di
rumah Anda dan yurisdiksi target. Ini datang dengan biaya dan perlu dianggarkan, bersama
dengan biaya lain yang terkait dengan penyelidikan. Biaya ini meluas ke biaya penyimpanan
dan pelestarian volume besar bukti digital.
Seiring dengan perencanaan pengumpulan dan penyimpanan barang bukti, harus

dipertanggungjawabkan mulai dari saat pengumpulan hingga penyajian di pengadilan. Seperti
yang telah dibahas sebelumnya, ini dikenal sebagai lacak balak.
Tujuan lacak balak adalah untuk mengidentifikasi akses dan pergerakan bukti selama
proses penahanan.15 Mark Taylor dan rekan menjelaskan bahwa rantai dimulai ketika penyidik
mengambil kendali fisik atas bukti dan dokumentasi berlanjut selama proses investigasi. 5 ISO
memberikan kerangka waktu yang sedikit diperluas, dengan menyatakan bahwa lacak balak
dimulai pada tahap identifikasi.15
Bukti berbasis cloud memberikan tantangan unik yang harus direncanakan dan ditangani
oleh pihak investigasi untuk memastikan bahwa integritas lacak balak dipertahankan dan
dicatat.16 CSA telah mengakui pentingnya pelestarian lacak balak dan merekomendasikan
bahwa sebagai bagian dari rencana respons insiden CSP yang diberikan kepada klien mereka,
CSP memberikan dukungan forensik penuh—termasuk pelestarian rantai bukti—untuk
mendukung setiap tindakan hukum potensial yang dihasilkan dari insiden keamanan.3
Setelah tahap perencanaan pengumpulan bukti dilakukan, tahap selanjutnya adalah

proses memperoleh bukti. Pertimbangan ketika
bukti ada di server cloud dapat terdiri dari hambatan hukum dan teknis yang harus
diatasi. Bagian berikut memperkenalkan dan membahas masalah ini.
Akuisisi Bukti
Secara tradisional, bukti elektronik dalam penyelidikan telah dapat diakses secara
fisik oleh penyidik. Contoh bukti elektronik yang dicari termasuk barang-barang
seperti komputer, drive USB, perangkat penyimpanan eksternal, dan ponsel.
Dalam penyelidikan tradisional, alamat fisik tertentu di mana bukti potensial
berada dapat diidentifikasi, dan setelah surat perintah penggeledahan dijalankan
dan bukti yang diperoleh dapat dibawa ke laboratorium forensik untuk diperiksa.
Karena bukti elektronik berubah untuk menyertakan server web dan email,
metodologi untuk memperoleh bukti dimodifikasi untuk memasukkan permohonan
kepada perusahaan asing untuk mendapatkan bukti berdasarkan perintah
pengadilan setempat di yurisdiksi tempat bukti yang dicari berada. Dengan
penyimpanan data multi-yurisdiksi dalam komputasi awan, metodologi ini menjadi
lebih kompleks.17 Memperoleh data di lingkungan awan mungkin rumit, karena
data dipindahkan dari satu lokasi ke lokasi lain untuk memanfaatkan faktor-
faktor seperti penyeimbangan muatan dan pasokan yang murah listrik di lokasi
yang berbeda. Juga, banyak CSP tidak menyimpan metadata untuk periode waktu
yang signifikan karena biaya yang terlibat, dan oleh karena itu bukti berharga
dapat dimusnahkan sebelum penyelidik menyadarinya.19
Investigasi harus dilakukan pada waktu yang tepat untuk memastikan bahwa
bukti tidak hilang.5,18,19 Data yang dihapus merupakan sumber bukti penting
yang akan diperiksa dalam infrastruktur tradisional. Jika data dihapus, ruang
penyimpanan tersedia untuk ditimpa oleh data yang baru disimpan.20 Pemeriksaan
forensik mungkin tidak dapat mengakses sisa data atau ruang disk yang tidak
terisi yang mungkin menjadi sumber bukti.21
Karena klien melihat data mereka dalam contoh virtual, penutupan contoh
virtual menghancurkan bukti yang disimpan, yang tidak dapat dipulihkan setelah
contoh baru telah diinisialisasi.5 Akibatnya penyelidik perlu memastikan bahwa
upaya dilakukan untuk mengamankan bukti sebelum instance virtual ditutup atau
log ditimpa.9
Dalam lingkungan multitenancy, sumber daya dibagi di antara banyak klien,
dan sumber daya umum (seperti pencatatan log) dapat ditimpa sepuluh sebelum
penyelidik mendapatkan akses. Bukti penting—seperti pembuatan file, modifikasi,
dan waktu akses—mungkin hilang sebelum penyidik mendapatkan akses ke
sana.8 Bukti yang dicari dari komponen jaringan dapat
Investigasi Forensik Server Cloud- Computing 181
sulit bagi penyidik untuk memperolehnya, karena CSP mungkin tidak mencatat data
tersebut.2 Jika CSP menyimpan sejumlah kecil log atau tidak sama sekali, ada peluang
terbatas untuk mendapatkan potongan-potongan bukti forensik ini. Selanjutnya, mungkin
ada beberapa kesulitan dalam mengidentifikasi tingkat insiden yang sedang diselidiki.2
Tantangan baru akan diciptakan untuk pemeriksa forensik, karena kapasitas untuk
mendapatkan, melestarikan, dan menganalisis bukti digital potensial adalah jalur penting
bisnis dan proses investigasi. CSA berpendapat bahwa pelanggan CSP dan penyelidik
penegakan hukum yang ditugaskan untuk memperoleh bukti berbasis cloud akan semakin
meminta CSP untuk memberikan dukungan forensik, dan organisasi yang tidak siap
menghadapi tantangan ini akan berada pada posisi yang kurang menguntungkan.3 Dennis
Stewart berpendapat bahwa CSP sering kekurangan staf pendukung untuk membantu
dalam proses pemeriksaan forensik.20 Kekhawatiran lebih lanjut adalah bahwa
gambar disk tidak dapat divalidasi karena hash kriptografi tidak dapat divalidasi, dan ini
berpotensi mengurangi nilai bukti di pengadilan.16 Ketidakstabilan dan elastisitas
komputasi awan membuat tugas memulihkan data yang dihapus dari perangkat awan
menjadi tugas yang lebih menantang daripada dalam pemulihan tradisional, seperti
dengan USB atau hard drive. Namun, salah satu manfaat potensial bagi penyidik adalah
bahwa mungkin ada kasus di mana bukti dapat diperoleh kembali karena klien CSP tidak
memiliki akses ke perangkat untuk memastikan bahwa data yang dihapus benar-benar
dihancurkan.11 Kesulitan lebih lanjut untuk ujian iner adalah bahwa bukti yang berpotensi
berharga, seperti entri registri dan file Internet tempo rary yang secara tradisional ditulis
ke Sistem Operasi (OS), dapat hilang ketika instans virtual dihapus.5,8
Ukuran pusat data cloud mungkin melarang penyitaan penuh semua drive, karena
pemeriksa tidak mungkin memiliki penyimpanan yang tersedia untuk melakukan analisis
bit demi bit penuh terhadap komputer target dengan cara tradisional. Jika mereka
melakukannya, ini akan membawa biaya yang signifikan.8,11 Logistik yang terlibat dalam
pemeriksaan semacam itu akan ekstensif dan memerlukan keterlibatan sumber daya
keuangan dan personel yang signifikan. Stewart berpendapat bahwa karena data klien
dapat disimpan melalui beberapa server di lokasi fisik yang berbeda, kemampuan untuk
mengambil bukti yang dicari tanpa mengganggu data pengguna yang tidak terkait menjadi
sangat kompleks.20
Jika penyelidik digital dapat memperoleh akses fisik, teknologi distribusi data yang
digunakan dalam teknologi cloud akan memerlukan penyelidik untuk bergantung pada
bantuan CSP dan teknologi mereka untuk mengakses data dan mematuhi persyaratan
lacak balak dari CSP. pengadilan.6 Virtualisasi dalam komputasi awan dapat menyimpan
data yang dicari di banyak server fisik yang berbeda dengan antarmuka yang ada di
antara server fisik
dan data logis;11 selanjutnya akan menjadikan pencarian akses fisik ke server sebagai
metodologi pengumpulan data yang kurang layak.
Alat pemeriksaan forensik seperti Forensic Toolkit (FTK) dan EnCase biasanya
digunakan untuk memeriksa data. Pemulihan data yang dihapus, teknik pencarian file,
dan garis waktu yang menunjukkan proses kejahatan yang dilakukan adalah fitur
umum dari produk yang digunakan dalam proses pemeriksaan.11
Setelah bukti diidentifikasi dan disita, ada persyaratan bahwa itu disimpan dengan
cara yang memastikannya dapat diterima sebagai bukti, artinya tidak dimanipulasi,
dirusak, atau diperlakukan sedemikian rupa sehingga integritas forensiknya dapat
ditantang. . Bagian berikut membahas pelestarian bukti yang disita dari platform cloud.
Taylor dan rekan-rekannya menyatakan bahwa bukti yang akan dihadirkan di

pengadilan adalah tanggung jawab orang yang menghadirkannya. Akibatnya mereka
harus membuktikan bahwa hal itu diperoleh secara hukum dengan menggunakan
metodologi yang menunjukkan integritas penyelidikan, pengumpulan bukti, dan
penyimpanan. Jika hal ini tidak dapat dibuktikan, bukti dapat dikurangi bobotnya atau
dinyatakan tidak dapat diterima.5 Akibatnya, fase perolehan dan penyimpanan
pengumpulan bukti dapat dilihat sebagai hal yang krusial bagi kredibilitas investigasi apa pun.
Pelestarian bukti dari lingkungan komputasi awan sama pentingnya dengan saat
bukti diperoleh dari infrastruktur tradisional dan untuk bentuk bukti digital lainnya.
Meskipun lingkungan cloud mungkin lebih kompleks bagi penyidik untuk menavigasi,
beban penyidik tidak berkurang dari yang dibahas di seluruh bagian ini.
Bagian berikut membahas potensi untuk memperoleh bukti dari platform komputasi
awan menggunakan teknik pemeriksaan komputer forensik antara lokasi fisik yang
jauh dan server data tempat bukti potensial berada.
PEMERIKSAAN FORENSIK JAUH
Jika insiden terjadi dan penyelidikan diperlukan untuk mengidentifikasi fakta insiden
tersebut, penyelidikan forensik layanan cloud dapat dipertimbangkan untuk
mendapatkan bukti digital. Ini melibatkan penyelidik digital yang mengakses dari jarak jauh
Pemeriksaan Forensik Jarak Jauh 183
server cloud dan melakukan pemeriksaan alih-alih memiliki akses fisik ke perangkat
seperti biasanya.
Definisi dari cloud forensik adalah:
[The] proses mengidentifikasi, memberi label, merekam, dan memperoleh

data forensik dari kemungkinan sumber data di cloud.9
Meskipun Association of Chief Police Officers (ACPO) memberikan pedoman

tentang cara di mana bukti forensik diperoleh secara tradisional.
pemeriksaan nasional di mana akses ke perangkat penyimpanan elektronik dapat
dicapai,41 itu tidak memberikan pedoman khusus untuk pengumpulan, analisis, dan
penyajian data yang diamankan dari lingkungan cloud. Hukum kasus khusus dan
aturan bukti yang secara langsung terkait dengan pemeriksaan komputer forensik dan
pengumpulan bukti dalam lingkungan komputasi awan masih terus berkembang,
memberikan arahan yudisial terbatas kepada pemeriksa dan penyelidik.
CSA telah menyatakan bahwa melakukan pemeriksaan forensik di lingkungan
yang sangat tervirtualisasi multi-penyewa yaitu komputasi awan adalah masalah yang
kompleks dan teknik forensik saat ini belum matang. Ini juga menyatakan bahwa ada
hubungan kuat antara praktik forensik digital dan sistem hukum, karena aturan bukti
yang ditetapkan membatasi cara yang dapat diterima dalam cara bukti digital diperoleh
dan disajikan. Sebuah makalah dari Incident Management and Forensics Working
Group berjudul “Mapping the Forensic Standard ISO/IEC 27037 to Cloud Computing”
mensurvei masalah yang berkaitan dengan pemeriksaan forensik yang dilakukan di
lingkungan komputasi awan.3
Akan ada peningkatan tantangan keamanan bagi pengguna cloud karena sifat
cloud yang terdistribusi dan tervirtualisasi. Hal ini pada gilirannya akan menciptakan
tantangan baru bagi penyelidik digital, terutama karena kapasitas untuk memperoleh,
melestarikan, dan menganalisis bukti digital potensial merupakan jalur penting bisnis
dan proses investigasi.
Seorang perwakilan CSP menyatakan bahwa jika penyelidik digital klien
menyebabkan kerusakan pada server virtual dan mengganggu klien lain saat mereka
melakukan pemeriksaan digital jarak jauh tanpa izin tegas, CSP akan mempertahankan
haknya untuk menuntut pihak yang melakukan pemeriksaan dan klien mereka. Ini
karena server dikonfigurasi dengan baik untuk fungsionalitas dan stabilitas dan tidak
dirancang untuk penyelidik digital dari berbagai standar untuk menggunakan salah
satu dari banyak alat forensik di pasar. Pertimbangan lebih lanjut adalah bahwa
kejadian sebelumnya telah direkam tentang orang yang melakukan pemeriksaan digital
seperti itu secara tidak sengaja memperoleh data klien lain.10 Ini memerlukan
pertimbangan lebih lanjut oleh siapa pun yang berpikir untuk melakukan pemeriksaan jarak jauh.
pemeriksaan forensik, karena beban mereka tidak hanya untuk mendapatkan bukti
secara forensik dan legal, tetapi untuk memastikan bahwa mereka tidak merusak
lingkungan virtual di mana mereka beroperasi.
Seperti pada bagian sebelumnya, kami sekarang akan membagi pemeriksaan
forensik jarak jauh dari cloud ke dalam fase identifikasi, pengumpulan, akuisisi, dan
penyimpanan bukti.
Identifikasi Bukti
Sebelum penyelidikan dimulai, pemilik data perlu mengidentifikasi bahwa insiden di

platform mereka telah terjadi. Mereka dapat mengidentifikasi insiden melalui pelaporan
oleh CSP atau melalui sumber daya mereka sendiri, seperti Intrusion Detection System
(IDS) yang diaktifkan atau dari peninjauan log aplikasi/ OS.11,23 Dalam beberapa kasus,
penemuan kejahatan mungkin tidak diidentifikasi selama beberapa tahun setelah
kejadian.8 Hal ini berpotensi memiliki relevansi yang signifikan terhadap kualitas dan
volume bukti yang tersedia.
Seperti yang telah dibahas di seluruh bab ini, memperoleh bukti mungkin sering
memerlukan kerja sama dari CSP. Masalah memperoleh bukti tentang suatu insiden
dapat dengan mudah diselesaikan dengan ketentuan EULA yang disepakati sebelum
migrasi data ke cloud atau diselesaikan setelah insiden. Jika insiden tersebut melibatkan
keamanan CSP yang dilanggar, CSP mungkin tidak ingin memberikan bantuan apa pun,
untuk mencegah komunitas bisnis menyadari pelanggaran keamanan mereka, atau
sebagai alternatif CSP mungkin tidak ingin mencurahkan sumber daya untuk membantu
klien mereka. Atau, mereka mungkin sangat mendukung.
Jika suatu peristiwa terjadi di mana pelanggaran dilakukan oleh seseorang yang
merupakan klien dari CSP dan korbannya bukan, maka korban mungkin memiliki
kesempatan yang lebih kecil untuk memperoleh bukti tanpa perintah pengadilan atau
kerjasama dari CSP. CSP mungkin tidak memiliki tanggung jawab kontraktual untuk
membantu korban dan bahkan mungkin kurang berminat untuk terlibat.
Pengumpulan Bukti
Karena tindakan mengumpulkan bukti secara fisik dari server cloud sangat kecil
kemungkinannya, bagian ini membahas pertimbangan penyelidik dan pemeriksa saat
meletakkan dasar perolehan bukti, terutama saat mengumpulkan bukti dari yurisdiksi
asing.
Yurisdiksi sangat relevan dengan investigasi yang melibatkan bukti berbasis cloud,
karena CSP memiliki pusat data di banyak yurisdiksi hukum internasional dan domestik
yang berbeda. Struktur teknis komputasi awan memindahkan data secara teratur di
Internet berdasarkan pertimbangan seperti penyeimbangan beban,
pengoptimalan data, dan pembagian biaya; praktik ini telah berkembang menjadi
fenomena internasional dan tumbuh dengan kecepatan yang belum pernah terjadi
sebelumnya. Internet telah berkembang menjadi platform penyimpanan dan data yang
saling berhubungan.20 Bagi penyelidik, ini berarti bukti Anda mungkin tidak berada di
lokasi yang sama dengan lokasi di mana pelanggaran yang Anda selidiki terjadi.
Dalam proses pengumpulan dan penyitaan bukti, kegagalan untuk mematuhi undang-
undang setempat tempat bukti berada dapat membuat pemilik data atau anggota tim
investigasi bertanggung jawab atas tuntutan pidana atau perdata.23 Seperti disebutkan
sebelumnya, UE membatasi penghapusan data konten dari yurisdiksi kecuali melalui
ketentuan seperti pemberian perintah pengadilan.24
Data yang disimpan dapat dicerminkan di server yang berbeda untuk menyediakan
cadangan jika terjadi insiden.8,9 Data yang disimpan oleh CSP dapat disimpan, diangkut,
dan diakses di yurisdiksi yang berbeda.25,26 Di mana beberapa server berada
di berbagai negara dan di mana kegiatan yang berbeda dalam insiden tersebut berada di bawah
diambil, harus dipahami di mana setiap peristiwa terjadi, karena beberapa pengadilan
mungkin memiliki yurisdiksi untuk aspek investigasi yang berbeda
Bahkan ketika bukti berbasis cloud yang dicari berada di yurisdiksi hukum tunggal,
teknologi distribusi data dapat membagi data ke ribuan perangkat penyimpanan yang
berpotensi dimiliki CSP di yurisdiksi tersebut.
Seorang petugas investigasi akan diminta untuk mencari dan mendapatkan dukungan dari
CSP dalam memperoleh bukti dan dalam menunjukkan integritas bukti.6 Sebagai alternatif,
data pengguna tertentu dapat ditemukan di beberapa yurisdiksi hukum, dan jika data
tersebut dipulihkan , tidak ada jaminan bahwa itu akan dalam format yang dapat dibaca
oleh manusia.17 Sekali lagi, dukungan dari CSP akan sangat berharga.
Lokasi data dan pencadangan pada platform komputasi awan mungkin sulit ditentukan,
dan undang-undang tentang penyimpanan dan transmisi data ini mungkin bertentangan
dengan kewajiban yang diberlakukan oleh yurisdiksi lain.25 Masalah yang lebih rumit
adalah bahwa model multiyurisdiksi dan multitenancy adalah default pengaturan untuk
CSP.9 Mungkin ada kejadian di mana lokasi peristiwa cloud tidak dapat diidentifikasi dan
penentuan pengadilan mana yang memiliki yurisdiksi tidak dapat dilakukan. Mungkin juga
ada kasus di mana beberapa yurisdiksi mungkin memiliki wewenang untuk mengadili suatu
kasus, yang menimbulkan pertanyaan tentang bagaimana urutan prioritas akan
ditentukan.27 Untuk menyimpan bukti yang berpotensi tidak stabil di server cloud,
pertimbangan hukum mungkin melibatkan berbicara dengan CSP untuk melestarikan
bukti, sebuah proses yang dikenal sebagai "penahanan litigasi." Untuk mengidentifikasi di
mana bukti itu berada dan untuk mencari otoritas hukum pengadilan itu untuk mendapatkan
bukti yang ditahan, seorang penyidik mungkin harus meminta pengadilan untuk melakukan
panggilan pengadilan atas CSP.18
CSP yang berbeda memiliki aturan yang berbeda mengenai penyimpanan data. Google menyediakan
klien dengan opsi untuk semua salinan data mereka yang berada dalam satu yurisdiksi;
namun, jika klien tidak menentukan opsi ini, maka data mereka
berpotensi berada di beberapa server di salah satu negara yang terdaftar
tempat server data Google berada. Beberapa negara menghasilkan banyak
yurisdiksi.29
Karena platform CSP dapat terdiri dari banyak komponen dari banyak pemasok, tidak
ada jaminan bahwa setiap komponen akan berada di dalam
yurisdiksi yang sama. Pertanyaan mungkin perlu dilakukan dari pemasok yang berbeda untuk
berbagai sumber bukti Anda.
Penyelidik perlu memahami di mana dalam infrastruktur cloud dan
dugaan peristiwa (seperti pelanggaran data) terjadi dan di negara mana yang
server terletak untuk mengidentifikasi yurisdiksi. Bahkan kemudian orang atau badan yang
diduga melakukan peristiwa tersebut berpotensi ditempatkan di negara dan yurisdiksi yang
terpisah sama sekali.
Ketika mencari bukti dari yurisdiksi hukum asing dan mengejar a
perintah pengadilan untuk mendapatkan data, penyidik mungkin perlu mengidentifikasi apakah
dugaan pelanggaran yang mereka selidiki adalah pelanggaran di yurisdiksi mereka
sedang mencari bukti dari. Karena suatu tindakan mungkin ilegal di satu negara tidak
tidak menjamin bahwa itu ilegal di tempat lain.5 Haruskah dugaan pelanggaran itu sah
aktivitas di yurisdiksi tuan rumah, mencari ganti rugi atau bantuan melalui pengadilan
dalam yurisdiksi itu mungkin memiliki peluang keberhasilan yang lebih rendah.
Ada kesepakatan antara penelitian akademis dan industri bahwa penyelidik mungkin
merasa tidak mungkin untuk mengidentifikasi yurisdiksi hukum tanpa memperoleh
dukungan CSP.23 Ini adalah perbedaan utama jika dibandingkan dengan menyelidiki kejadian
komputer di infrastruktur yang dimiliki dan dioperasikan oleh pengguna,
di mana pusat data atau server yang berisi bukti berada di tempat yang dikenal dan
lokasi yang dapat diakses secara geografis.
Singkatnya, identifikasi yurisdiksi tempat dugaan insiden
terjadi mungkin merupakan masalah kompleks yang membutuhkan bantuan dari CSP.
Mengumpulkan bukti dengan cara yang dapat diterima dari yurisdiksi asing adalah a
masalah yang harus direncanakan, mungkin dengan bantuan dukungan hukum yang luas
sebelum komponen aktif dari penyelidikan dan pengumpulan bukti
dimulai. Pahami bahwa lingkungan komputasi awan adalah lingkungan yang
sangat berbeda bagi penyidik untuk menavigasi dan memiliki pemahaman
lingkungan multiyurisdiksi tempat Anda beroperasi akan
bantuan kepada Anda.
Akuisisi Bukti
Bagian ini membahas kelayakan hukum dan teknis untuk memperoleh bukti dari platform
komputasi awan yang mungkin tinggal di yurisdiksi hukum asing. Bukti yang dicari dapat
berupa pelapor atau tersangka dan dapat dicari oleh pemeriksa sipil atau penegak
hukum. Yang sangat relevan dengan bagian ini adalah mengidentifikasi legalitas
tindakan semacam itu dan pemeriksaan tentang hambatan teknis apa yang mungkin
ada.
Melakukan pemeriksaan forensik di cloud menciptakan masalah yang tidak ada di
infrastruktur tradisional. Pertama, karena data mungkin berada di yurisdiksi asing,
nasihat hukum perlu dicari sehingga setiap analisis forensik jarak jauh tidak melanggar
hukum yurisdiksi asing.9 Kemampuan untuk melakukan pemeriksaan forensik jarak jauh
bergantung pada identifikasi host juris diksi dan undang-undangnya, karena data tunduk
pada undang-undang negara tempat tinggalnya.28 Yang juga menjadi pertimbangan
adalah perlindungan data klien CSP lain yang tidak tunduk pada pemeriksaan.9
Meskipun referensi berikut adalah dari tahun 2009, masih sangat relevan untuk
sifat multiyurisdiksi komputasi awan:
Memperoleh bukti berbasis cloud yang secara fisik berada di server di

yurisdiksi asing berisiko melanggar privasi dan undang-undang pidana negara
tersebut. Jadi, di mana pun subjek investigasi berada, penyelidik sekarang
mungkin perlu berkonsultasi dengan pengacara organisasi mereka tentang
apakah mereka secara hukum dapat memperoleh data yang berpotensi tidak
disimpan di yurisdiksi mereka.29
Memperoleh bukti forensik dari perangkat penyimpanan tradisional secara

signifikan berbeda dari memperolehnya dari platform cloud. Dengan platform cloud,
infrastruktur yang mendasarinya tidak tersedia untuk pencitraan bit demi bit penuh.
Memperoleh bukti memerlukan pemahaman tentang persyaratan hukum dari
yurisdiksi target. Perundang-undangan di Amerika Serikat yang dapat digunakan oleh
petugas penegak hukum untuk mengakses data pada platform cloud mencakup
Electronic Communications Privacy Act of 1986 (ECPA), surat perintah penggeledahan
biasa, atau Foreign Intelligence Surveillance Act (FISA).25 Penggeledahan biasa surat
perintah dapat dikeluarkan berdasarkan Aturan 41 Peraturan Federal tentang Prosedur
Kriminal (FRCP).30 Karena banyak pusat data komputasi awan berlokasi di Amerika
Serikat, ketika memperoleh surat perintah penggeledahan dari CSP yang berbasis
di Amerika Serikat, sebuah undang-undang
petugas penegak hukum harus mengetahui Amandemen Keempat Konstitusi AS

tusi, yang menyatakan bahwa:
Hak rakyat untuk merasa aman atas diri, rumah, surat-surat, dan barang-barang
mereka, dari penggeledahan dan penyitaan yang tidak wajar, tidak boleh dilanggar,
dan tidak ada surat perintah yang akan dikeluarkan, tetapi atas kemungkinan sebab,
didukung oleh sumpah atau penegasan, dan khususnya menjelaskan tempat yang
akan digeledah, dan orang atau barang yang akan disita.31
Untuk membantu mengamankan bukti yang mungkin bersifat dinamis dan dapat dengan
mudah ditimpa sebelum layanan perintah pengadilan, permintaan dapat diajukan ke CSP
meminta mereka untuk menyimpan bukti sampai perintah pengadilan dapat diperoleh dan
dilayani. Di Amerika Serikat, instrumen yang digunakan untuk menyimpan data adalah surat
S2703(f) dari judul 18 Kode Peraturan Federal. Perintah S2703(d) dari judul 18 dari Kode
diperlukan untuk data nonkonten yang lebih detail daripada detail pelanggan dasar.32
Memperoleh bukti berbasis cloud dari yurisdiksi seperti UE berarti bahwa penyelidik harus
menavigasi arahan privasi Eropa serta undang-undang negara tuan rumah.24 Sebagai contoh,
Prancis memiliki Undang-Undang Perlindungan Data tahun 2004, yang dikelola oleh
Commission nationale de l'informatique et des libertés (CNIL), serta Petunjuk Perlindungan
Data UE untuk melindungi data di yurisdiksi mereka. Undang-undang ini menempatkan
tanggung jawab tambahan pada pihak yang ingin menghapus data dari Prancis ke negara lain,
termasuk yang berpotensi diminta untuk meminta pemberitahuan dan/atau otorisasi terpisah
dari CNIL sebelum data dihapus dari Prancis jika pemilik data tidak memberikan persetujuan
berdasarkan informasi. atau negara penerima tidak memiliki tingkat perlindungan data yang
diakui oleh otoritas Prancis sebagai setara dengan undang-undang domestik mereka di tingkat
Prancis atau UE.33 Menghapus data apa pun dari UE memerlukan nasihat hukum dari sumber
daya Anda sendiri dan sebaiknya CSP.
Enkripsi di lingkungan berbasis cloud juga dapat menimbulkan masalah bagi penyelidik.
Ini adalah ketentuan keamanan yang direkomendasikan oleh CSP. Enkripsi khususnya akan
menghadirkan rintangan ketika data dicari dari pihak yang bukan pemilik data, karena CSP
mungkin tidak memegang kunci untuk mendekripsi data.11 Kunci tersebut dapat dipegang oleh
pemilik atau pengguna data dan tidak dapat disimpan. dapat diakses oleh CSP.17 Karena
meningkatnya jumlah pelanggaran data dengan visibilitas tinggi yang dilaporkan di media,
konsumen beralih ke enkripsi untuk melindungi data mereka jika terjadi pelanggaran. Perjanjian
tingkat layanan CSP sering kali berisi jaminan bahwa:
data akan dienkripsi dan siapa pun selain pemilik data akan dicegah untuk mendapatkan
akses ke data tersebut. Ini berarti bahwa penyelidik mungkin dapat mengakses data secara
legal dari CSP tetapi tidak dapat membacanya tanpa kunci yang diberikan karena enkripsi.17
Biaya untuk melakukan penyelidikan mungkin besar mengingat jumlah yurisdiksi yang terlibat,
hukum dukungan yang dibutuhkan, jumlah bandwidth yang diperlukan untuk mengunduh
bukti,21 waktu penyidik, dan jumlah kapasitas penyimpanan yang harus disediakan. Volume
data yang besar yang dapat diakses menghadirkan tantangan bagi penyidik.19 Jumlah data
yang dapat diperoleh berpotensi membanjiri penyidik, dengan 1 GB data setara dengan
894.000 halaman teks biasa dan 1 TB setara dengan 916.000.000 halaman teks biasa. Tidak
realistis bagi penyidik untuk membaca dan memproses jumlah data ini.34 Sebelum dimulainya
pemeriksaan forensik awan, tujuan pemeriksaan harus didefinisikan dengan jelas.5 Prioritas
penegakan hukum dan CSP mungkin sering berbeda. CSP dapat memprioritaskan ketersediaan
layanan kepada klien sebagai prioritas utama mereka, sedangkan penegak hukum dapat
mempertimbangkan pengumpulan bukti dan penuntutan pelaku sebagai prioritas yang
lebih tinggi.5 Dari perspektif pelanggan, ketika sebuah insiden terjadi, mungkin merupakan
prioritas entitas untuk memulihkan sistem mereka dengan memulai instance virtual baru.
Meskipun hal ini mengakibatkan entitas memulai kembali operasinya, namun hal itu
menghancurkan bukti yang mungkin tidak dapat dipulihkan.
Mendapatkan kerja sama dari CSP akan memajukan penyelidikan di setiap contoh karena
log yang menghadap jaringan dan penyeimbang beban dikendalikan oleh CSP dan bukti ini
dapat membantu dalam mengidentifikasi yurisdiksi yang relevan. CSP dapat menggunakan
format data kepemilikan yang unik bagi mereka dan selanjutnya memerlukan bantuan yang
berpotensi ekstensif untuk memberikan bukti dalam format yang dapat dibaca.6 CSP memiliki
kekhawatiran terhadap pihak-pihak yang melakukan pemeriksaan forensik digital di
negara-negara server mereka. Kepala petugas keamanan CSP besar yang berbasis di AS menyatakan:
Kami tidak mengizinkan klien untuk melakukan forensik jarak jauh pada infrastruktur kami.
Ini adalah jaringan milik kami dan kami melindungi klien kami.
Jika orang mencoba forensik jarak jauh, maka kami akan mengambilnya. Kami
bahkan akan memblokir upaya untuk menyalin VM atau server virtual. Penggunaan
bandwidth yang lebih tinggi dari biasanya akan mengingatkan kami, dan setelah
diselidiki tentang apa yang sedang terjadi, kami akan memotong klien kami. Kami
tidak ingin klien kami berada di dekat infrastruktur fisik dan menyentuh struktur
direktori.10
Pemeriksa forensik digital CSP lainnya menyatakan:
Ada perbedaan antara menggunakan layanan kami dan menyentuh infrastruktur

kami, dan itu adalah garis yang tidak boleh kami lewati.
Jika ya, mereka akan masuk ke substruktur layanan yang mereka gunakan,
seperti struktur layanan yang dapat memengaruhi struktur layanan yang mereka
coba periksa secara forensik.
Hal ini secara kontraktual dan fisik dicegah dari pencitraan forensik pandangan.
Itu juga dicegah secara elektronik. Kami dapat menghentikan pelanggan
menggunakan layanan kami jika mereka mengganggu stabilitas layanan yang
kami berikan.10
(Identitas individu-individu ini dan majikan mereka adalah rahasia, sesuai dengan
perjanjian persetujuan etika yang ditandatangani sebelum wawancara untuk penelitian
doktoral saya.)
CSP tidak menyediakan klien dengan akses langsung ke infrastruktur yang
mendasarinya, mewakili platform ke klien sebagai contoh virtual.
Ini kemudian mengurangi akses ke apa yang mungkin menjadi bukti berharga. Selain itu,
Mesin Virtual (VM) itu sendiri mungkin didasarkan pada VM dari CSP klien yang telah
menyewa layanan dari CSP.11 Ini adalah proses yang dikenal sebagai penjualan kembali,
di mana pemilik mengontrol arsitektur cloud dan pengecer hanya memiliki akses ke server
virtual yang disediakan oleh pemilik infrastruktur.
CSA menyatakan bahwa jika penyelidik mempertimbangkan untuk melakukan
pemeriksaan forensik jarak jauh, pertimbangan harus diberikan pada fakta bahwa karena
komputasi awan adalah lingkungan yang dinamis, mungkin sulit bagi penyelidik untuk
mereplikasi keadaan asli data sejak saat dugaan serangan. Sifat dinamis, terdistribusi,
dan kompleks dari sistem cloud tidak dapat dengan mudah dibekukan, artinya dokumentasi,
kualifikasi, dan proses yang digunakan tidak dapat direkam.3 Saat mengunduh bukti dari
cloud, metadata mungkin hilang yang berisi informasi—seperti sebagai waktu dan tanggal
file dibuat, dimodifikasi, atau diakses—yang mungkin telah digunakan sebagai bukti.8
Akses ke bukti oleh pemeriksa dapat dibatasi tergantung pada apakah cloud bersifat
pribadi atau publik. Jika bersifat pribadi, maka penyelidik mungkin memiliki akses ke
infrastruktur fisik dan dapat secara akurat melakukan analisis di lingkungan tradisional.5
Berbagai titik akhir dapat terhubung ke platform cloud, yang memperburuk tantangan
penemuan data . Menyinkronkan log dan stempel waktu telah menjadi masalah dalam
forensik jaringan dan menjadi lebih menantang di lingkungan cloud. Bukti yang berbeda
dari yurisdiksi yang berbeda, infrastruktur,
dan klien jarak jauh, serta format log, membuat pemeriksaan bukti dengan cara yang
berarti menantang.9
Awan publik kemungkinan akan menimbulkan lebih banyak kekhawatiran bagi
penyelidik forensik jarak jauh, karena ada akses terbatas ke bukti potensial karena dimiliki
dan dioperasikan oleh organisasi independen terpisah dengan pihak ketiga yang berpotensi
menyediakan aplikasi. Tingkat data yang dapat diakses langsung oleh penyidik akan
berbeda tergantung pada produk yang dimiliki klien.35 IaaS menyediakan lebih banyak
akses ke bukti dan data log daripada PaaS, yang pada gilirannya menyediakan lebih
banyak akses ke data log daripada SaaS.2,11 Dalam Lingkungan SaaS, pelanggan tidak
memiliki kendali atas infrastruktur yang mendasarinya, seperti server, konfigurasi jaringan,
dan aplikasi yang digunakan. Jika CSP tidak menjalankan log, klien memiliki kesempatan
terbatas untuk melakukan pemeriksaan forensik. Selanjutnya, mungkin tidak dapat
ditentukan data apa yang telah dikompromikan.2 IaaS memberikan lebih banyak
kesempatan untuk pemeriksaan forensik jarak jauh, karena pelanggan dapat
menginstal dan mengatur gambar untuk tujuan forensik. Data log dapat dipertahankan.
Sebuah snapshot dari gambar virtual dapat diambil yang mungkin termasuk data dari
memori sistem secara real time, tanpa perlu mematikan sistem.2,16 Informasi log dapat
mencakup pengguna yang tercatat, port terbuka, proses yang berjalan, dan informasi
registri. Dalam contoh fasilitas IaaS virtual, jika tidak ada sinkronisasi penyimpanan yang
persisten, maka jika penyerang mematikan lingkungan virtual, semua data yang mudah
menguap akan hilang.2
Diharapkan dengan meningkatnya penggunaan perangkat seluler pintar dan berbagi
data, tantangan bagi penyidik dalam mengakses dan mengamankan data untuk
pemeriksaan forensik akan meningkat. Yang perlu diperhatikan adalah kesulitan dalam
memperoleh data jarak jauh yang terdengar secara forensik, volume data yang besar
yang berada di awan, dan sifat penyimpanan awan yang terdistribusi dan elastis, dan
membuktikan lacak balak dan mengidentifikasi pemilik data adalah beberapa di antaranya.
masalah yang dihadapi pemeriksa cloud forensik
Tergantung pada produknya, lebih banyak bukti log dapat diperoleh dari CSP yang
melakukan analisis forensik sendiri daripada dari analisis forensik jarak jauh oleh
pemeriksa jarak jauh. Karena infrastruktur yang mendasarinya tidak dapat diakses oleh
pemilik atau penyelidik data, bukti potensial seperti log akses host, log platform virtualisasi,
dan bukti registri mungkin tidak tersedia tanpa persetujuan CSP.3 Log infrastruktur hanya
dapat diakses melalui CSP .16 Keyun Ruan dan rekan juga mengamati bahwa log audit
sumber daya bersama di cloud publik dapat dibagikan di antara banyak penyewa dan
ditimpa secara teratur. Pelanggan tidak memiliki akses ke perangkat disk mentah tetapi
melihat instance tervirtualisasi. Pada tingkat fisik, log audit sistem dari sumber daya
bersama dibagikan di antara beberapa penyewa. Tantangan bagi seorang penyelidik
adalah untuk mendapatkan log sumber daya bersama tanpa melanggar kerahasiaan klien
lain.9
Jumlah data yang akan dicitrakan menciptakan masalah tersendiri bagi penyelidik jarak
jauh. Biaya yang terlibat dalam pencitraan dan kemudian menyalin drive target mungkin
menjadi penghalang untuk penyelidikan. IaaS menggunakan volume data yang sangat besar
yang mungkin tidak praktis atau tidak mungkin untuk dicitrakan atau diunduh.11
Kasing cloud tipikal dapat berupa 40.000 VM yang disediakan oleh 512 server
dengan 1.000 pengguna. Ini mungkin berisi penyimpanan 128 TB di beberapa
teknologi penyimpanan dan memori 48 TB.8
Virtualisasi di awan berarti log yang sebelumnya disimpan di server disimpan di

lingkungan virtual selama sesi berlangsung dan dapat dihapus setelah sesi ditutup dan
karenanya tidak tersedia untuk analis.5 Saat instans virtual ditutup, data yang dalam sistem
tradisional ditulis ke OS dapat dibuang. Memperoleh dan mengautentikasi metadata mungkin
penting untuk penyelidikan.2 Mengisolasi bagian pada drive fisik tempat data pengguna
disimpan mungkin rumit, karena data virtual dapat tersebar di beberapa perangkat.11
Sifat kepemilikan platform juga dapat menimbulkan masalah yang harus diatasi oleh
penyidik selama proses pemeriksaan forensik, karena teknologi unik yang digunakan mungkin
memerlukan bantuan ekstensif dari staf CSP. Ketidakpastian lebih lanjut adalah keterampilan
dan pelatihan anggota staf yang mengambil citra forensik untuk penyelidik yang pelatihan
dan metodologinya mungkin tidak konsisten dengan yurisdiksi yang mencari data.11
Sifat multi-yurisdiksi layanan cloud berarti bahwa meskipun pemeriksa berusaha untuk
menangani hanya satu CSP, data yang dicari dapat tersebar di yurisdiksi hukum yang
berbeda yang memerlukan beberapa perintah hukum untuk mendapatkan data forensik.
Selanjutnya, zona waktu yang berbeda akan membutuhkan sinkronisasi.11
Terlepas dari banyak masalah yang diidentifikasi di bagian ini dan fakta bahwa
pencitraan forensik di cloud masih belum matang, CSA percaya bahwa itu tidak berarti bahwa
bukti yang dikumpulkan dari platform cloud tidak dapat disita secara forensik dan dapat
dipertanggungjawabkan. .3 CSP yang diwawancarai untuk tesis doktoral saya menyatakan
bahwa mereka dapat mengatasi banyak dari masalah ini jika Anda meminta kerjasama
mereka pada awal penyelidikan Anda.
Pengawetan bukti yang diperoleh dari platform cloud di mana pemeriksa ujian berada di
lokasi yang asing bagi server adalah tanggung jawab pemeriksa.
Masalah-masalah ini telah dibahas di bagian tentang pelestarian bukti di bawah

"Investigasi Forensik Server Cloud-Computing" dan sama-sama relevan dengan
pemeriksaan forensik jarak jauh.
Bagian berikut menggabungkan masalah yang diidentifikasi di seluruh bagian
pemeriksaan jarak jauh dan membahas masalah yang terlibat dalam menyajikan
bukti berbasis cloud di pengadilan. Bagian ini akan memperluas empat fase proses
pengumpulan bukti ISO dan menyoroti nilai dari mengikuti metodologi pengumpulan
bukti yang mapan dan dipahami.
Presentasi Bukti
Karena langkah-langkah standar ISO dipatuhi, mungkin ada persyaratan untuk
menunjukkan beberapa bukti yang diterima di pengadilan. Karena setiap yurisdiksi
memiliki undang-undang dan preseden hukumnya sendiri yang ditetapkan oleh
pengadilan, bagian ini akan memberikan pandangan yang sangat umum tentang
penyajian bukti di pengadilan.
Bukti dari awan diyakini sangat signifikan untuk litigasi pidana atau perdata di
masa depan.2 Josiah Dykstra dan Alan Sherman memperkuat pernyataan ini dengan
menambahkan bahwa bukti yang disita, dikumpulkan, dan disajikan harus dilakukan
dengan cara yang tidak hanya dapat diterima di pengadilan, tetapi mampu bertahan
dari tantangan hukum potensial oleh pihak lain.16 Pengadilan mensyaratkan bukti
otentik, dikumpulkan dengan andal, lengkap, dapat dipercaya, dan dapat
diterima.8 Setelah bukti diperoleh, diawetkan, disaring, dan ditentukan mengandung
nilai pembuktian, harus diajukan ke pengadilan dengan cara yang sesuai dengan
peraturan perundang-undangan dan putusan pengadilan. Setiap yurisdiksi memiliki
undang-undang dan preseden yudisialnya sendiri yang relevan dan penerimaan bukti
akan ditentukan berdasarkan yurisdiksi demi yurisdiksi. Meskipun bukti telah
diperoleh, tidak ada jaminan bahwa itu akan memenuhi kriteria penerimaan
pengadilan. Kegagalan untuk mematuhi aturan pembuktian dapat mengakibatkan
bukti yang ditentang dihilangkan dari proses dan kasus pengadu menjadi lemah.
Atau, bukti dapat membawa tingkat bobot yang berkurang. Singkatnya, produksi
bukti yang diperoleh dari layanan komputasi awan mungkin sulit untuk dihadirkan di
pengadilan.25 Dalam contoh pertama sebelum keluhan didengar dan bukti diajukan,
Cristos Velasco San Martin menyatakan bahwa pengadilan perlu mengidentifikasi
apakah mereka memiliki wewenang untuk mendengar masalah tersebut. Dengan
kasus yang melibatkan bukti cloud, mungkin ada kasus di mana lokasi dugaan
pelanggaran tidak dapat diidentifikasi dan penentuan pengadilan mana yang memiliki
yurisdiksi dibuat.27 Ruan dan rekan berpendapat bahwa karena CSP memiliki pusat
data di seluruh dunia di
yurisdiksi yang berbeda, dengan data yang direplikasi di masing-masing pusatnya untuk
menyediakan cadangan data,9 ini mungkin memerlukan pertanyaan yang dibuat dengan
CSP. Konsekuensinya, aturan pembuktian yang berbeda mungkin berlaku di berbagai sidang
pengadilan, dan ini mungkin mengharuskan adanya bukti lebih lanjut.
Jika penyelidikan menentukan tingkat kesalahan pihak lain, pengadu dapat mencari
ganti rugi melalui sistem peradilan. Ini mungkin di pengadilan perdata atau pidana. Proses
dasar untuk memperoleh bukti dalam bentuk apa pun untuk diajukan ke pengadilan adalah
mengumpulkan, melestarikan, dan menyaring, dan kemudian menyajikan bukti di pengadilan.21
Proses ini menggabungkan standar yang diperkenalkan oleh ISO dan dibahas di seluruh
bagian ini, dan diperluas batas-batas untuk memasukkan penyaringan dan penyajian bukti.
Ini mengakui bahwa meskipun bukti dapat diperoleh dan disimpan seperti yang dipersyaratkan
oleh standar ISO, tidak semua bukti mungkin diperlukan dalam sidang pengadilan; proses
penyaringan akan menghilangkan bukti yang telah diperoleh dan disimpan secara sah tetapi
tidak diperlukan setelah pemeriksaan.
Dengan terbatasnya proses hukum yang telah diterima oleh pengadilan dan perbedaan
yang ada antara pengumpulan bukti di lingkungan tradisional dan cloud, upaya harus
dilakukan untuk memandu pengadilan untuk memahami metode yang digunakan untuk
mengambil data, alasan mengapa metodologi baru telah harus dibuat, dan mengapa
pengadilan dapat mengandalkan kredibilitasnya. Integritas semua langkah perlu dijelaskan
dengan jelas dan kredibilitas CSP perlu dibangun. Poin ini diperkuat dalam Buletin Pengacara
Amerika Serikat Mei 2011, yang menyatakan bahwa badan hukum kasus yang koheren belum
ditetapkan tentang pengumpulan, pengelolaan, dan pengungkapan informasi yang disimpan
secara elektronik (ESI) yang sesuai untuk presentasi di pengadilan kriminal.
Prosedur telah, bagaimanapun, telah dikembangkan untuk pengadilan sipil, yang telah
dikodifikasikan ke dalam Aturan Federal Prosedur Perdata.36 Penelitian saat ini telah gagal
untuk menemukan penelitian terbaru yang signifikan tentang fakta ini.
Dengan masalah hukum yang akan ditangani oleh penyelidik, poin telah diangkat di
pengadilan AS bahwa kegagalan lembaga penuntut untuk mencari dan memperoleh bukti
potensial dapat melemahkan kasus atau menyebabkannya ditekan. Di Amerika Serikat v.
Cross pada tahun 2009, pengadilan memberikan mosi untuk menekan bukti berdasarkan
kegagalan penuntut untuk menghasilkan bukti metadata dari bukti elektronik.37 Ini relevansi
khusus untuk kasus yang melibatkan bukti awan, sebagai bukti proses pengumpulan mungkin
memakan waktu yang lama dan melibatkan proses MLAT dan kepatuhan terhadap praktik
terbaik ISO.
Karena potensi volume dan kompleksitas bukti, penyelidik harus memberikan
pertimbangan untuk memastikan bahwa pengadilan dapat memahami apa yang mungkin
merupakan bukti yang sangat teknis yang diberikan oleh banyak aktor yang berbeda.
dalam rantai tahanan. George Grispos, Tim Storer, dan William Glisson menjelaskan
bahwa pengadilan dan juri terdiri dari perwakilan masyarakat dan mungkin atau
mungkin tidak termasuk orang-orang yang memiliki pemahaman terbatas tentang
teknologi.11 Dennis Reilly, Chris Wren, dan Tom Berry menjelaskan lebih lanjut
bahwa teknologi informasi bukti rumit bagi mereka yang mungkin tidak memiliki
latar belakang yang mapan dalam teknologi dan yang mungkin kesulitan memahami
bukti yang disajikan.8 Penjelasan tentang masalah seperti hypervisor, multitenancy
drive/sumber daya, dan platform yang berbeda cukup sulit sebelum memperkenalkan
sub-sub yang terpisah. objek forensik komputer. Tantangannya adalah untuk
menyajikan bukti dengan cara di mana tema dan bukti dari saksi ahli dipahami.
Sebagai bagian dari produksi bukti, relevansinya dengan kasus harus
ditetapkan. Bukti forensik yang dihasilkan juga harus divalidasi sebagai integritas
tingkat tinggi dan representasi yang benar dari fakta yang diwakilinya.5 Joseph
Schwerha menjelaskan bahwa jika diperlukan, orang yang memberikan bukti ke
pengadilan bertanggung jawab untuk membuktikan kepada pengadilan bahwa
bukti diperoleh dengan cara yang sah di semua yurisdiksi dengan menggunakan
metodologi yang menunjukkan integritas penyelidikan, pengumpulan, dan
penyimpanan bukti. Selanjutnya, jika diperoleh dengan melanggar undang-undang
di negara target, mereka yang terlibat dapat dikenai hukuman berdasarkan undang-
undang perdata atau pidana.23 Juga, bukti harus diperoleh dengan cara yang
tidak memuaskan pengadilan yang disampaikan, tidak dapat diterima sama sekali
oleh hakim dan/atau juri, yang dapat menentukan bahwa mereka tidak yakin
terhadapnya.5,16
Cara memperoleh bukti harus diungkapkan dan
metodologi harus cukup kuat untuk memastikan integritas hasil. Prosedur harus
dapat diulang oleh pihak independen dan menghasilkan hasil yang sama.5,11,15,38
Taylor dan rekan menjelaskan bahwa jika cara di mana bukti diambil, diamankan,
dan dianalisis tidak dapat didokumentasikan sebagai standar yang dituntut oleh
pengadilan, maka tidak mungkin diterima sebagai bukti.5 Grispos, Storer, dan
Glisson menyatakan bahwa hakim ketua memiliki tanggung jawab utama untuk
memutuskan apakah bukti diterima atau tidak.11 Perhatian khusus harus diberikan
untuk memastikan bahwa privasi klien CSP lainnya tidak dilanggar.9 Adanya
pemasok pihak ketiga yang terlibat dalam penyediaan layanan ke platform cloud
membuat penyajian bukti di pengadilan menjadi lebih rumit. Bukti yang diperoleh
dari setiap pemasok pihak ketiga harus diperlakukan sebagai bukti unik yang
memerlukan kesaksian dari perwakilan entitas tersebut.
Stewart percaya bahwa tuntutan konstan pada sumber daya komputasi awan untuk
menyimpan, memindahkan, menghapus, dan mengakses data, serta perubahan oleh sistem
operasi, menyebabkan perubahan pada repositori awan. Penggunaan aplikasi juga mengubah file
metadata, dan program AV mengakses dan berpotensi mengubah data di seluruh ekosistem
cloud. Akibatnya hal ini dapat mempengaruhi kemampuan untuk menyajikan standar integritas
data yang diperlukan yang mungkin diperlukan oleh pengadilan.20 CSA berpendapat bahwa
kecuali ada bukti peretasan atau perusakan, dokumen yang dihasilkan di cloud tidak
boleh kurang dapat diterima sebagai bukti karena diproduksi dan disimpan di cloud daripada
dokumen yang dibuat dan disimpan di infrastruktur tradisional.39 Reilly, Wren, dan Berry
memiliki pandangan yang berbeda, dengan alasan bahwa sulit, jika bukan tidak mungkin,
untuk mempertahankan lacak balak untuk data yang disita dari cloud dan bahwa prinsip-prinsip
ACPO tidak dapat dipatuhi. Mereka berpendapat bahwa pedoman ACPO berlebihan dan hal
ini menimbulkan keraguan atas keaslian, integritas, dan dapat diterimanya bukti yang
diperoleh.8
CLOUD BARRIER UNTUK SUKSES INVESTIGASI
Karena komputasi awan sangat berbeda dari bentuk penyimpanan data tradisional, bagian
sebelumnya telah menunjukkan kepada penyelidik bahwa mereka akan beroperasi dalam
lingkungan yang menantang ketika berhadapan dengan bukti komputasi awan. Beberapa
hambatan untuk penyelidikan telah diperkenalkan dalam konteks identifikasi bukti, pengumpulan,
akuisisi, dan presentasi.
Bagian ini memperluas daftar ini dan memperkenalkan hambatan lain, yang perlu ditangani
baik dalam tahap perencanaan atau selama investigasi saat peristiwa terungkap. Meskipun
daftar ini cukup banyak, ini mungkin tidak konklusif, karena Anda dapat mengidentifikasi
masalah lain untuk ditangani atau Anda mungkin beruntung dan tidak diharuskan untuk
mengatasi banyak dari mereka jika layanan komputasi awan berada sepenuhnya di dalam
yurisdiksi Anda.
Saat Anda membaca daftar ini, pahami bahwa banyak dari masalah ini dapat diatasi
dengan berkomunikasi dengan tim hukum CSP. Namun, mereka hanya dapat memberikan
bantuan jika Anda menghubungi, menjelaskan situasinya, dan mencari dukungan serta saran
mereka di awal penyelidikan. Perhatikan bahwa pengacara CSP yang diwawancarai meminta
agar kontak awal dilakukan dengan mereka ketika Anda memerlukan bantuan, dan bahwa
beberapa penyelidik digital untuk CSP yang diwawancarai sebelumnya adalah petugas
penegak hukum dan oleh karena itu sangat menyadari persyaratan untuk penyimpanan bukti,
melindungi rantai bukti, dan sejenisnya.10
Identifikasi penyedia komputasi awan. Seperti yang telah kami identifikasi, beberapa
layanan cloud terdiri dari komponen dari penyedia yang berbeda.
Ini berarti bahwa tidak semua layanan cloud berada di bawah kendali satu
Penghalang Awan untuk Investigasi yang Berhasil 197
perusahaan. Menggunakan produk SaaS cloud publik sebagai contoh, penyedia cloud dapat
menyediakan infrastruktur fisik yang mendasarinya, Microsoft sistem operasi dan office suite,
Oracle database relasional, dan seterusnya. Masing-masing membuat log sendiri, yang
kemungkinan besar tidak tersedia untuk pemasok lain. Misalnya, dalam kasus yang disajikan
Microsoft tidak akan memiliki akses ke log yang dihasilkan oleh database Oracle dan
sebaliknya.
Pada awalnya penyelidik tidak akan mengetahui detail arsitektur dan perjanjian sistem
yang mendasarinya, sehingga mereka perlu bertanya kepada CSP saat melakukan kontak
awal. Penyelidik kemudian mungkin perlu mengidentifikasi siapa di antara perusahaan-
perusahaan ini yang benar-benar menyimpan data dan log yang diminta.
Pada kenyataannya, beberapa permintaan bantuan mungkin perlu diteruskan ke perusahaan
yang berbeda.
Memperoleh kerjasama dari CSP. Sementara CSP paling populer memberikan dukungan
kepada penegak hukum dan penyelidik sipil, CSP yang lebih kecil mungkin tidak memiliki
keterampilan, kapasitas, atau minat untuk memberikan segala bentuk dukungan forensik.
EULA atau Service Level Agreement (SLA) dapat memberikan tingkat dukungan yang
disepakati dari CSP kepada klien/penyelidik jika terjadi investigasi cyber. Misalnya, mereka
mungkin bersedia memberikan beberapa bukti tanpa perintah pengadilan, seperti
penangkapan jaringan, gambar database, atau salinan server web. Memahami struktur
CSP. Cara data disimpan dan disajikan di CSP berupaya memaksimalkan kapasitas
penyimpanan fasilitas.
Akibatnya data yang disimpan bergerak dalam beberapa kasus dengan mikrodetik melintasi
yurisdiksi hukum lokal dan mungkin berbeda. Jika Anda diminta untuk menjelaskan hal ini di
pengadilan, Anda akan memerlukan bantuan dari CSP (yang tidak dapat dijamin karena
Anda tidak dapat memaksa mereka untuk memberikan bukti di pengadilan kecuali mereka
berada dalam yurisdiksi hukum Anda) atau Anda perlu mendapatkan ahli independen, seperti
arsitek awan, yang dapat memberikan pemahaman kepada pengadilan tentang bagaimana
data disimpan dalam arsitektur komputer awan. Memahami pemformatan log CSP di semua
komponen yang berbeda. Log peristiwa tidak memiliki format standar dan dapat direkam
menggunakan zona waktu dan format yang berbeda. Ini dibahas dalam Bab 11.
Ini adalah tanggung jawab penyelidik untuk memahami log dan mengidentifikasi apa yang
mereka katakan kepada Anda, sehingga mereka perlu distandarisasi menggunakan SIEM
atau perangkat lunak serupa.
Ini mungkin membantu ketika peristiwa keamanan cyber terjadi (atau bahkan dalam
penggunaan sehari-hari secara umum) jika CSP dapat memberikan umpan waktu nyata ke
dalam SIEM klien dan memiliki peringatan waktu nyata yang disediakan untuk merekam potensi
masalah. CSP dapat memberikan akses klien ke solusi pengelolaan log milik
mereka sebagai bagian dari layanan mereka.
Volume data yang disimpan. Layanan komputasi awan unggul dalam menyimpan
data dalam jumlah besar. Penyelidik perlu memahami batas-batas penyelidikan
mereka dan persis apa yang mereka cari sebelum mengamankan bukti. Jika
mereka diizinkan untuk mengunduh bukti langsung dari cloud, tuntutan pada
bandwidth perusahaan mungkin berlebihan. Ini membutuhkan banyak waktu dan
membawa biaya penyelidik digital yang mengawasi unduhan. Pengumpulan
bukti multiyurisdiksi . Seperti yang dijelaskan, arsitektur cloud berpotensi
melintasi banyak yurisdiksi hukum. Arsitektur juga menggunakan virtualisasi untuk
memperluas kapasitas dan layanan kepada klien. Server virtual dapat di-host
dari yurisdiksi yang tidak diketahui dan aplikasi dari pemasok yang berbeda
dapat dijalankan dari server virtual ini. Akibatnya, data yang dicari dapat tersebar
di beberapa yurisdiksi, dan arsitektur fisik CSP juga dapat melintasi yurisdiksi
hukum yang berbeda. Server virtual dapat di-host dari lokasi yang tidak diketahui
dan aplikasi yang di-host di lokasi lain sama sekali. Kemampuan untuk
menghubungkan tersangka dengan layanan atau aktivitas CSP. Komputasi
awan menyediakan banyak kemungkinan struktur untuk klien, menyediakan
berbagai tingkat akses ke log. Dalam semua kasus, beberapa log tidak dapat
diperoleh tanpa bantuan langsung dari CSP, karena log tersebut berada di
belakang firewall dan hypervisor CSP dan tidak dapat diakses kecuali oleh staf
CSP. Hypervisor adalah perangkat lunak atau perangkat yang mengoperasikan
sistem operasi VM.
Sayangnya, beberapa dari log ini (seperti log autentikasi) mungkin penting
untuk penyelidikan Anda dan bantuan langsung dari CSP untuk memastikan
pelestarian mungkin diperlukan.
Seperti halnya komputer yang terletak di atas meja, penyelidik harus
menemukan bukti untuk menghubungkan tersangka ke akun cloud yang sedang
diselidiki dan kejahatan yang diduga dilakukan. Beberapa bukti dapat ditemukan
di perangkat pribadi yang digunakan untuk terhubung ke akun cloud, seperti log
web yang menunjukkan waktu koneksi ke server cloud, log File Transfer Protocol
(FTP) yang menunjukkan data yang dihapus dari akun cloud ke eksternal. drive
portabel, dan sebagainya. Memvalidasi citra forensik awan. Karena infrastruktur
instans cloud bersifat dinamis, memperoleh gambar kedua dua menit setelah yang
pertama akan menghasilkan hasil yang berbeda meskipun tidak ada aktivitas
pengguna. Ini karena arsitektur sistem berubah saat data dipindahkan di latar
belakang oleh CSP per algoritme penyimpanannya.
Penghalang Awan untuk Investigasi yang Berhasil 199
Ketidakmampuan untuk menghasilkan hasil forensik yang sama tidak sesuai

dengan prinsip ACPO, yang menyatakan bahwa gambar harus dapat direplikasi—
seperti halnya dengan bukti statis, seperti komputer laptop.
Ini tidak berarti bahwa ada pertanyaan tentang legitimasi citra awan, hanya saja
Anda berurusan dengan lingkungan yang berbeda, yang sangat berbeda dari
perangkat statis. Di mana Anda berdiri ketika ada insiden keamanan di cloud?
Apakah CSP memprioritaskan klien lain daripada Anda? Haruskah ada

pelanggaran keamanan di sisi CSP, di mana Anda menilai ketika memastikan
kesinambungan layanan dan pengumpulan bukti jika dibandingkan dengan klien
CSP lainnya? Sebagai penyelidik, Anda akan segera mencari semua bukti: namun,
ketika pihak yang akan memberikan bukti kepada Anda berusaha untuk mengurangi
dan menghapus pelanggaran mereka sendiri, persyaratan Anda dapat dinilai
sebagai prioritas rendah jika dianggap sama sekali. Juga, CSP dapat mengarahkan
sumber daya mereka untuk menjaga klien utama mereka dan tidak memberikan
bantuan awal yang Anda butuhkan.
Akses ke log dibatasi, terutama tergantung pada produk CSP yang sedang
diselidiki. CSP menyimpan catatan log dan ini harus diperoleh dengan persetujuan
atau perintah pengadilan. Layanan cloud yang lebih besar, seperti IaaS atau PaaS,
memungkinkan klien untuk memelihara aplikasi dan OS mereka sendiri, yang
berarti beberapa log dapat dengan mudah diperoleh.
Seperti yang dibahas dalam Bab 11, bukti log kemungkinan akan menjadi
bagian penting dari strategi investigasi dan penuntutan Anda. Layanan komputasi
awan tidak terkecuali untuk konsep ini. Dengan layanan cloud, log yang akan Anda
cari disimpan dengan log yang dihasilkan oleh banyak klien lain yang dimiliki CSP.
Ini adalah karakteristik dari multitenancy dan resource pooling dan memperoleh
keuntungan dari outsourcing kebutuhan teknologi informasi. Log di server cloud
mungkin juga ada di banyak server di lokasi yang jauh, karena banyak fungsi
arsitektur layanan cloud sering kali tersebar dari jarak jauh di pusat data di lokasi
geografis yang berbeda. Sebagai penyelidik, Anda tidak akan memiliki akses
langsung ke log keluar dari tingkat layanan klien Anda, dan Anda akan memerlukan
CSP untuk menggunakan aplikasi spesialis mereka untuk mendapatkan log yang
Anda perlukan dalam format yang dapat dimengerti dan digunakan.
Bagi penyelidik, ini berarti bahwa bukti log Anda berpotensi tidak selalu berada
di yurisdiksi hukum Anda, dan tergantung pada arsitektur cloud, mungkin berada di
negara asing. Jika Anda beruntung, layanan cloud akan sepenuhnya berada dalam
yurisdiksi Anda, artinya perintah pengadilan setempat dapat digunakan tanpa perlu
berurusan dengan yurisdiksi lain.
Jika Anda bahkan lebih beruntung, klien Anda dapat menggunakan layanan terkelola di
mana data log yang dihasilkan oleh CSP mereka diimpor ke usia penyimpanan lokal
mereka, di mana dapat diakses dengan mudah sesuai kebutuhan.
Karena log didesentralisasi dan lapisan yang berbeda dari platform cloud membuat
log yang berbeda dalam format yang berbeda, log dihasilkan dengan cepat dan dapat
disimpan untuk waktu yang sangat singkat karena tingkat besar log yang dihasilkan setiap
hari.
Seperti yang dibahas dalam Bab 11, menjaga keaslian file log cloud merupakan
tantangan yang perlu dipahami dan diatasi oleh penyelidik dunia maya dalam tahap
perencanaan investigasi mereka. Di lingkungan cloud, banyak layanan cloud terdiri dari
penyedia infrastruktur pihak ketiga, dan Anda mungkin tidak menemukan pihak yang
memiliki akses langsung ke semua log yang Anda perlukan.
Contoh log yang mungkin dihasilkan termasuk yang berasal dari antimal ware, (IDS)
Intrusion Prevention System (IPS), manajemen kerentanan, dan perangkat lunak akses
jarak jauh, dan yang berasal dari proxy web, server otentikasi, router, dan firewall. Contoh
log OS termasuk peristiwa sistem dan catatan audit. Beberapa program aplikasi
menghasilkan log mereka sendiri. Contohnya termasuk permintaan klien dan tanggapan
server, informasi akun, informasi pengguna, dan tindakan operasional yang signifikan.40
Apa arsitektur CSP? Apakah mereka menggunakan sumber daya dari CSP lain atau
pemasok pihak ketiga? Pemasok cloud datang dalam berbagai bentuk dan ukuran. Seperti
disebutkan sebelumnya, CSP hanya dapat menggunakan infrastruktur dan rangkaian
aplikasi mereka sendiri untuk membuat produk cloud mereka, yang berarti mereka memiliki
visibilitas atas infrastruktur lengkap layanan cloud mereka. Namun, banyak penyedia cloud
menggunakan penyedia pihak ketiga untuk menyediakan aspek infrastruktur mereka, dan
perusahaan yang menjual layanan akan memiliki visibilitas terbatas atas infrastruktur dan
cara pengoperasiannya.
Relevansinya bagi penyelidik adalah bahwa ketika mereka mencari bukti berbasis
cloud, perlu ditentukan siapa dan berapa banyak pihak berbeda dalam CSP yang perlu
mereka hubungi untuk mendapatkan bukti. Memperoleh log dari banyak pemasok
merupakan tantangan tersendiri, tetapi ini juga perlu disesuaikan dengan yang berasal dari
penyedia infrastruktur. Mengidentifikasi di mana pelanggaran itu benar-benar terjadi.
Karena mungkin ada banyak yurisdiksi hukum yang terlibat, pahami di mana pelanggaran itu
sebenarnya dilakukan. Karena suatu tindakan merupakan pelanggaran di wilayah hukum
Anda tidak berarti tindakan tersebut merupakan pelanggaran di wilayah hukum asing
tempat tersangka tinggal dalam kasus serangan dunia maya. Meretas komputer dan
Penghalang Awan untuk Investigasi yang Berhasil ÿ 201
menghapus semua data bukanlah tindak pidana di setiap yurisdiksi hukum di

seluruh dunia. Elastisitas dan bukti forensik. Salah satu manfaat besar cloud
com puting adalah elastisitas produk yang diperoleh. Itu berarti Anda membeli dan
menggunakan jumlah penyimpanan dan sumber daya yang Anda perlukan tanpa
harus membeli kapasitas yang mungkin tidak Anda gunakan. Selain itu, elastisitas
bekerja di kedua arah, dengan pengurangan kapasitas jika tidak diperlukan.
Setelah kapasitas dikembalikan ke CSP, itu tersedia untuk pelanggan lain

dan ruang ditimpa. Ruang ini mungkin berisi sisa-sisa bukti yang Anda butuhkan
dan tidak dapat dipulihkan setelah hilang.
Akibatnya tindakan cepat diperlukan untuk memberi tahu CSP dan meminta
mereka untuk menyimpan semua bukti yang berkaitan dengan penyelidikan,
bahkan jika Anda memperluas batas penyelidikan lebih luas dari yang diperkirakan semula.
diperlukan.
Kemampuan untuk mendapatkan snapshot dan cadangan yang disimpan untuk
penyelidikan dan pemulihan. CSP umumnya menyimpan snapshot layanan
klien mereka sebagai cadangan jika diperlukan untuk pemulihan bencana. Ini
dapat diminta dari CSP secara langsung. Ingat, mereka adalah snapshot dari
layanan cloud klien pada titik waktu tertentu dan mungkin tidak merekam detail
pelanggaran yang Anda selidiki. Bagaimana cara menangkap bukti forensik di
seluruh yurisdiksi multitenant?
Seiring dengan penyebaran di antara yurisdiksi hukum yang berbeda, data yang
disimpan dapat tersebar di banyak pusat data fisik di berbagai negara. Mintalah
dukungan CSP dan dapatkan nasihat dari ahli hukum. Pengenalan bukti berbasis
cloud di depan pengadilan. Jika bukti diperoleh dari CSP dengan menggunakan
forensik jarak jauh secara legal, bukti tersebut masih harus diajukan ke pengadilan
dan dipertanggungjawabkan, sebagaimana diperlukan oleh bukti lainnya. Rantai
pengawasan harus ditangani dan aturan bukti di setiap yurisdiksi yang
mendengarkan masalah tersebut akan mempertimbangkan apakah ada kebutuhan
untuk kesaksian CSP mengenai keakuratan infrastruktur yang mendasarinya, dan
apakah tidak ada kekhawatiran mengenai integritas. dari data yang ditangkap.
Jika ada persyaratan untuk memenuhi rintangan ini, CSP akan diminta untuk
membantu dalam penyajian bukti. Meskipun mereka mungkin lebih memilih untuk
menangkap bukti itu sendiri dan menyajikannya sebagai bukti yang mereka
tangkap secara sah, ini adalah salah satu dari banyak masalah yang perlu
ditangani oleh penyelidik sebelum proses pengambilan bukti dimulai.
Pertanyaan tentang bukti berbasis cloud. Karena bukti berbasis cloud jarang
ditantang secara serius di depan pengadilan, penyelidik
mungkin tidak memiliki arahan yudisial dalam menentukan apa yang diperlukan pengadilan
untuk memverifikasi keaslian dan kredibilitas data yang diperoleh. Selain itu, pertanyaan
tentang yurisdiksi dan legalitas perintah pengadilan lokal yang sebagian dieksekusi di
yurisdiksi hukum asing belum diselesaikan, dan oleh karena itu tidak ada arahan yudisial
yang akan tersedia bagi penyelidik dunia maya mengenai masalah ini. Akibatnya, penyidik
akan mempertimbangkan untuk beroperasi di bawah aturan bukti yang ditetapkan yang
disetujui oleh pengadilan di yurisdiksi tertentu, seperti yang telah dibahas sebelumnya.
Kapasitas penyimpanan yang cukup. Bukti dari cloud bisa menjadi signifikan
dan membutuhkan kapasitas penyimpanan yang luas oleh klien.

Rantai penjagaan . Rantai pengawasan mungkin melibatkan banyak pihak: CSP, teknisi
forensik mereka, dan pemasok pihak ketiga. Sebagai penyelidik Anda akan diminta untuk
mendapatkan pernyataan dari semua pihak yang diperlukan untuk membuktikan lacak balak
dari barang bukti.
Pencitraan bukti, termasuk server cloud. Sebagaimana dibahas di seluruh bab ini, mintalah
nasihat hukum dan kerja sama CSP sebelum pencitraan bukti. Dapatkan otoritas hukum
dari berbagai yurisdiksi. Apakah faktanya bukti tersebut berasal dari berbagai yurisdiksi
yang menarik bagi pengadilan tertentu? Integritas data. Penangkapan barang bukti digital
bersifat fluktuatif dan tidak dapat direplikasi oleh pihak lawan di kemudian hari. Seperti
halnya forensik jaringan, ini berarti bahwa penekanan khusus harus ditempatkan pada
pelestarian data saat ditangkap dan diawetkan.
Pemulihan data yang dihapus. Tergantung pada produk cloud yang digunakan, akan ada
berbagai tingkat akses ke data yang dihapus, yang dapat memberikan bukti berharga.
Tersangka memiliki akses jarak jauh terus-menerus ke perangkat yang disusupi dan
server cloud. Di dunia kita yang semakin terancam, tersangka mungkin memiliki kemampuan
untuk mengakses server cloud dari jarak jauh dan menghapus bukti yang ingin disita oleh
pemeriksa forensik atau penyelidik dunia maya. Untuk memperumit masalah lebih lanjut,
penyelidik mungkin tidak pernah tahu tersangka telah mengakses bukti cloud dari jarak jauh
dan menghapusnya.
Kurangnya kemampuan untuk memaksa orang-orang di yurisdiksi luar negeri untuk
mendukung penuntutan. Seorang pegawai CSP mungkin merupakan saksi yang kompeten
tetapi tidak dapat dipaksakan, artinya mereka tidak dapat dipaksa untuk memberikan bukti
dalam penuntutan. Ini akan mengurangi kemampuan untuk menyajikan bukti berbasis cloud,
tergantung pada keputusan pengadilan. Memperoleh gambar virtual perangkat atau
server mungkin tidak menangkap data yang diperlukan, seperti data yang dihapus.
Gambar VM tidak memiliki akses
Kiat yang Disarankan untuk Membantu Investigasi Berbasis Cloud Anda 203
ke log jaringan, yang disimpan oleh CSP. Tergantung pada produk cloud yang digunakan,
mungkin tidak ada akses ke log autentikasi. Setelah data dihapus di VM, mungkin sulit
atau tidak mungkin untuk dipulihkan. Data terenkripsi. Enkripsi data adalah perlindungan
standar dalam keamanan dunia maya. Tergantung pada produk cloud yang digunakan di
lingkungan cloud (seperti IaaS), data yang Anda cari mungkin dienkripsi tetapi kunci
enkripsi mungkin tidak disimpan di lingkungan cloud dan mungkin tidak tersedia untuk
keamanan CSP. Ini sangat relevan dengan petugas penegak hukum yang sedang
menyelidiki tersangka yang memiliki bukti yang disimpan di layanan cloud.
Jika itu merupakan pelanggaran di yurisdiksi asing yang teridentifikasi, identifikasi

apakah penuntutan harus dimulai di yurisdiksi Anda atau di mana tersangka tinggal. Hal
ini terutama terjadi dalam masalah pidana.
TIPS YANG DISARANKAN UNTUK MEMBANTU BERBASIS CLOUD ANDA

PENYELIDIKAN
Seperti yang telah kita lihat, menyelidiki di cloud bisa menjadi lingkungan yang sangat
menantang karena banyak alasan yang dibahas di seluruh bab ini. Ini, bagaimanapun, tidak
berarti bahwa bukti berada di luar penyidik atau penyelidikan tidak boleh dilakukan. Ini berarti
bahwa penyelidik harus memahami dan menghormati lingkungan yang menantang ini dan
bahwa memperoleh bukti dari lingkungan komputasi awan bukanlah bisnis seperti biasa.
CSP menyediakan produk yang sah dan tidak suka layanan mereka disalahgunakan oleh
entitas kriminal. Banyak masalah yang dibahas dalam bab ini dapat dinavigasi dengan
komunikasi terbuka dengan CSP di awal investigasi.
Berikut beberapa ide untuk memajukan penyelidikan Anda.
Jalin kerjasama dengan CSP sebelum kejadian. Di dunia yang sempurna, mendapatkan
akses ke staf yang dibutuhkan di CSP akan semudah menanggapi insiden seperti saat
fase rekrutmen. Namun, ini tidak selalu terjadi. Direkomendasikan agar pemilik data
mendapatkan rincian kontak darurat dari orang-orang kunci di CSP mereka jika terjadi
insiden, dan informasi ini dimasukkan ke dalam rencana Incident Response (IR) mereka.
Hubungi CSP di awal penyelidikan. Isu-isu yang dibahas dalam bab ini bukanlah hal baru
dan pengacara CSP dan penyelidik digital memiliki kemampuan untuk sangat membantu
Anda. Seperti yang telah disebutkan secara teratur dalam ini
bab, memulai kontak pada awal penyelidikan dan mencari nasihat berpengalaman
mereka. Anda tidak akan menjadi penyelidik pertama yang menavigasi masalah ini, dan
jika Anda bertanya, CSP akan dapat membantu Anda mengatasi banyak masalah ini.
Bekerja dengan pengacara yang memahami lingkungan cloud dan kewajiban
kontrak dengan CSP. Sebelum memulai perolehan bukti, pastikan legalitas tindakan Anda
setelah mendiskusikannya dengan pengacara Anda dan pengacara CSP. Konsekuensi
dari kesalahan ini bisa sangat serius bagi tim investigasi dan pelapor.
Menetapkan persetujuan akses ke bukti, termasuk kayu bulat, sebelum insiden terjadi.
Memperoleh akses ke kayu umumnya perlu dilakukan dengan persetujuan CSP; namun,
log sering kali ditimpa karena banyaknya ruang yang digunakan seiring waktu. Akibatnya
pemilik data dapat membuat pengaturan agar log mereka disimpan sebagai bagian dari
perjanjian mereka atau untuk direkam ke perangkat eksternal di bawah kendali mereka.
Identifikasi sumber data yang relevan sebelum kejadian. Memiliki pemahaman tentang
data yang dapat diperoleh dari produk komputasi awan memungkinkan penyelidik untuk
memulai fase identifikasi bukti dan penyitaan dengan pengetahuan tentang batas-batas
tempat mereka beroperasi. Sebelumnya di bab ini, “Apa itu Cloud Computing?”
menjelaskan tiga konfigurasi utama dari bukti berbasis cloud dan apa yang dapat
diperoleh dengan dan tanpa dukungan langsung dari CSP.
Tentukan ambang batas untuk penyelidikan dan pemanggilan penegak hukum dari
awal. Batas-batas investigasi perlu ditetapkan dalam pertemuan awal dengan pelapor.
Namun, seperti yang akan diketahui oleh banyak penyelidik berpengalaman, batas-batas
ini dapat meluas seiring pemahaman yang lebih besar tentang peristiwa-peristiwa yang
terungkap dan skala aktivitas pelaku diketahui.
Memanggil polisi untuk penyelidikan dapat terjadi kapan saja antara penemuan awal
peristiwa dan penyelesaian penyelidikan, ketika laporan penyelidikan faktual dapat
diselesaikan untuk rujukan. Tidak semua hal akan dibawa ke polisi, dan apakah
pemberitahuan itu dibuat akan tergantung pada banyak hal, termasuk keseriusan acara
tersebut.
Ketika tampaknya suatu peristiwa sangat serius, panggilan telepon awal ke unit
kejahatan dunia maya polisi mungkin terbukti bermanfaat. Laporan online mungkin menyusul.
Contoh fasilitas pelaporan online antara lain:
Amerika Serikat . Pusat Pengaduan Kejahatan Internet (IC3), yang dapat
berlokasi di https://www.ic3.gov/default.aspx
Kiat yang Disarankan untuk Membantu Investigasi Berbasis Cloud Anda 205
Singapura . Singapura menyediakan layanan elektronik untuk melaporkan kejahatan dunia

maya online, dan ini dapat ditemukan di https://www.police.gov.sg/e services/report/
police-report Hong Kong. Polisi Hong Kong menyediakan fasilitas pelaporan online untuk
kejahatan dunia maya di https://www.erc.police.gov.hk/cmiserc/ CCC/PolicePublicPage?
language=en
Australia . Portal Australian Cybercrime Online Reporting Network (ACORN), yang dapat
ditemukan di www.acorn.gov.au Inggris . Polisi Metropolitan menyediakan fasilitas
pelaporan online untuk penipuan, termasuk kejahatan dunia maya, yang dapat ditemukan di
https://www.met.police.uk/ro/report/fo/fraud Masing-masing sistem ini memberikan nilai
bagi pelapor yang melaporkan kejahatan dunia maya melintasi perbatasan internasional.
Lembaga penegak hukum penerima menyebarkan pengaduan ke seluruh negeri ke
instansi di mana tersangka diyakini bertempat tinggal atau merujuknya ke yurisdiksi tempat
pengaduan akan memperoleh pemahaman yang lebih menyeluruh tentang kejahatan yang
dilaporkan.
Memahami sikap CSP terhadap pemeriksaan forensik jarak jauh. Ada banyak masalah yang
harus ditangani ketika berusaha memahami sikap CSP terhadap layanan forensik jarak jauh
yang dilakukan di server mereka. Beberapa adalah:
Saat data dihapus, bagaimana CSP dapat menentukan apakah klien atau penegak hukum
menyalin data karena alasan hukum? Peretasan ke server cloud melalui mesin klien
terlihat sama di CSP
sebagai klien yang mencari salinan data mereka.

CSP tidak suka alat forensik yang belum teruji digunakan pada server fisik atau virtual
mereka. Bukti dalam registri umumnya tidak tersedia untuk klien, dan jika pemeriksa
digital berusaha untuk menembus hypervisor dan mengakses bukti ini, peristiwa
keamanan akan terjadi di layanan cloud, yang menempatkan data klien lain dalam risiko.
CSP khawatir bahwa alat forensik yang digunakan dapat mengumpulkan data klien lain
bersama dengan data klien yang Anda cari. CSP prihatin dengan tuntutan bandwidth
yang terlibat dalam menghapus data klien, terutama klien korporat mapan yang mungkin
memiliki banyak terabyte data yang sedang diunduh.
CSP telah menyatakan bahwa jika pemeriksa forensik menyebabkan kerusakan pada
infrastruktur fisik atau virtual mereka saat melakukan pemeriksaan, mereka berhak untuk
memulai tindakan hukum terhadap klien mereka.
KERANGKA INVESTIGASI CLOUD-COMPUTING
Karena komputasi awan adalah platform yang sangat berbeda bagi penyelidik untuk beroperasi
di dalamnya, cara di mana bukti diperoleh dapat menimbulkan tantangan hukum dan logistik.
Jika server awan sepenuhnya berada dalam yurisdiksi lokal Anda, banyak masalah yang
dibahas tidak akan relevan; namun, mengingat cara server cloud dibangun di seluruh dunia,
ada kemungkinan besar bahwa pada tahap tertentu dalam karier Anda, Anda akan mencari
bukti dari server komputasi awan di yurisdiksi internasional asing.
Bagian berikut menyajikan metodologi yang diusulkan yang dapat digunakan untuk
memperoleh bentuk bukti ini secara legal. Ini adalah metodologi yang diusulkan saja, dan
undang-undang di yurisdiksi hukum Anda akan mempengaruhi relevansi proposal ini. Seperti
banyak ide yang disajikan di seluruh buku ini, gunakan itu sebagai dasar untuk memperluas
pemikiran Anda tentang masalah hukum dan logistik yang mungkin Anda hadapi dan modifikasi
sesuai kebutuhan.
Sepanjang metodologi adalah referensi ke lembaga penegak hukum yang menggunakan
surat perintah MLAT sesuai dengan keadaan. Meskipun penyelidik sipil tidak memiliki akses
ke surat perintah ini, mereka dapat mengakses bantuan hukum menggunakan perintah
pengadilan di yurisdiksi target. Faktanya, penyidik sipil mungkin dapat memajukan penyelidikan
mereka lebih cepat daripada rekan penegak hukum mereka, karena proses MLAT dikenal
berbelit-belit dan birokratis.
Kerangka Investigasi yang Diusulkan

Untuk membantu dalam mengikuti kerangka yang diusulkan, diagram alur disajikan untuk
memberikan representasi visual dari metodologi investigasi yang diusulkan.
Bagian ini menyediakan template yang diusulkan hanya untuk pertimbangan Anda dan
mengambil pandangan umum untuk menemukan dan memperoleh bukti secara sah dari
fasilitas cloud publik. Urutan peristiwa adalah representasi umum saja dan penyelidik dapat
menemukan dalam keadaan mereka menguntungkan untuk mengubah urutan langkah
investigasi. Selain itu, pertimbangan tersebut mungkin tidak berlaku di semua kasus,
tergantung pada beberapa versi produk dan struktur komputasi awan yang tersedia untuk klien
serta undang-undang di semua yurisdiksi yang terlibat.
Bagan alir juga mencoba untuk memasukkan proses penyidikan pidana dan perdata,
yang diidentifikasi dalam penjelasan yang diberikan untuk setiap langkah.
Gambar 12.1 menunjukkan kerangka kerja yang dapat digunakan dalam komputasi awan
lingkungan.
Kerangka Investigasi Cloud- Computing 207
LANGKAH 1–17
S6. Bisakah
Untuk 28
bukti diperoleh dengan
S4. Identifikasi di mana
bukti cloud berada? persetujuan CSP?
S1. Identifikasi apakah Untuk 28
pidana atau perdata
S5. Hubungi departemen hukum
keluhan CSP untuk menentukan bukti
tersedia dan meminta
pelestarian bukti
Tidak ada Persetujuan
Ya
S2. Identifikasi S3. Apakah pengaduan

Lokal memenuhi ambang batas
yurisdiksi investigasi yang sesuai
penyelidikan yang telah ditentukan?
S7. Apakah CSP
adalah pelapor pendamping?
Luar negeri Tidak
Bukan rekan pengadu
Tinjau bukti dan pertimbangkan prosedur

Menyiapkan dan
menyerahkan laporan pemulihan bencana dan tingkatkan keamanan
ke yurisdiksi asing jaringan
S8. Apakah CSP

Merevisi strategi wajib memberi tahu tersangka tentang S9. Menilai sumber
investigasi dan nilai bukti dari Ya Tidak
penyelidikan yang dilakukan oleh daya yang dibutuhkan
CSP
penegak hukum atau penyelidik
swasta?
S10. Pertimbangkan
Lanjutkan sebagai investigasi potensi kritik jika bukti awan

Tidak diperlukan bukti
normal
tidak
dicari
Butuh Bukti
S12. Identifikasi jumlah perintah

pengadilan yang diperlukan S13.
S11. Apakah ada Identifikasi kata-kata yang tepat
Tidak cukup bukti untuk mendapatkan Ya untuk melanjutkan perintah
perintah pengadilan? pengadilan untuk mendapatkan bukti
lengkap S14. Identifikasi
persyaratan hukum dengan yurisdiksi
asing
Ya dan tidak memiliki bukti yang cukup S15. Apakah

Ya dan memiliki bukti yang S16. Konfirmasi persyaratan
persyaratan kriminalitas ganda untuk ke 18
Saling Membantu dalam cukup hukum untuk data konten dan
Perjanjian Masalah Pidana atau non-konten S17. Cari meta-
aplikasi pengadilan sipil? data
Tidak
GAMBAR 12.1 Kerangka investigasi komputasi awan.

Sumber: Bagan © Graeme Edwards
LANGKAH 18–22
Untuk 28
Izin
Untuk 28
pelapor bersama
Untuk 23
S20. Siapkan dan

S21. Mematuhi
kirimkan aplikasi ketentuan Mutual
perjanjian Assistance in Criminal
Matters Treaties
S22. menyiapkan dan Untuk 23

menyerahkan
dokumentasi hukum
Dari 32
LEA
Dari 32
Non LEA Ya, LEA
S19. Memperoleh
bukti asing
Tidak sah - bukan LEA

Tidak sah - LEA
S18. Pertimbangkan
Dari 17 legalitas dan kelayakan Untuk 30
teknis teknologi forensik

jarak jauh?
GAMBAR 12.1 (Lanjutan)

LANGKAH 23–36
Dari 6
Dari 7 S28. Akuisisi S29. Siapkan

fisik dari bukti logistik untuk
mendapatkan bukti
Dari 21
S23. Tetap berhubungan dengan

CSP S24. Pertimbangkan penyedia
Dari 22
pihak ketiga S25. Lindungi lacak balak
S26. Melihat data berbasis cloud S27. S30.
Kualifikasi dan keterampilan penguji Pemeriksaan
digital forensik atas bukti
yang diperoleh
S31. Meninjau legalitas

barang bukti yang
diperoleh
S32. Pertimbangkan
ke 22
perlunya perintah
Ya, bukan LEA pengadilan lebih lanjut
Tidak, LEA dan non LEA
ke 20
S33. Mencari dan memperoleh bukti yang

menguatkan S34. Review kemampuan untuk menyajikan
bukti ke pengadilan S35. Mempertimbangkan kompleksitas
bukti yang akan diajukan ke pengadilan
S36. Menyebarluaskan hasil putusan pengadilan
Dari 18
Ya, sah
GAMBAR 12.1 (Lanjutan)

Langkah 1: Identifikasi apakah pengaduan itu pidana atau perdata.

Saat peristiwa siber diurutkan, mungkin ada keputusan yang dibuat oleh entitas korban
untuk melakukan penyelidikan lebih lanjut dalam upaya menemukan pelaku. Sesegera
mungkin, usahakan untuk menentukan apakah pengaduan tersebut merupakan masalah
pidana atau perdata. Jika masalah itu akan dirujuk ke penegak hukum, harus ada bukti yang
cukup untuk membenarkan suatu pengaduan pidana. Jika itu adalah masalah perdata,
manajemen harus mendukung keputusan dan menyediakan sumber daya yang memadai
untuk penyelidikan.
Kemajuan ke langkah 2.
Langkah 2: Identifikasi yurisdiksi investigasi yang sesuai.
Ini adalah tema di seluruh topik ini bahwa sifat multiyurisdiksi komputasi awan
berpotensi membawa pencarian bukti ke ranah banyak yurisdiksi hukum yang berbeda. Hal
ini menimbulkan pertanyaan yurisdiksi hukum mana yang paling tepat untuk melakukan
investigasi, karena bukti dapat disimpan di server yang berbeda di yurisdiksi hukum yang
berbeda dalam CSP. Juga, di mana pelanggaran harus diselidiki: di mana pelapor bertempat
tinggal, di mana CSP memiliki kantor terdaftarnya, di mana server CSP yang dilanggar
berada, atau di mana tersangka tinggal?
Tergantung pada situasinya, mungkin ada argumen kuat untuk salah satu opsi ini.
Pertimbangkan juga potensi beberapa lembaga penegak hukum untuk melakukan

penyelidikan bersama. Misalnya, di mana tersangka pelaku dapat diidentifikasi berada di
yurisdiksi hukum asing kepada pelapor, pengaduan dapat diterima dan diteruskan ke
yurisdiksi tersebut untuk penyelidikan, dengan penyelidikan dukungan yang dilakukan seperti
yang dipersyaratkan oleh polisi yang merujuk. Dalam hal ini, lakukan penyelidikan awal
Anda dan rujuk pengaduan ke yurisdiksi asing. Jika masalah tidak dirujuk, lanjutkan ke
langkah 3.
Langkah 3: Apakah keluhan memenuhi investigasi yang telah ditentukan?

ambang?
Jika ada bukti pelanggaran dan bukti potensial berada di platform cloud, konfirmasikan
bahwa peristiwa siber cukup bersifat dan serius untuk melanjutkan penyelidikan. Tingkat ini
sebaiknya ditentukan sebelum peristiwa dalam rencana IR atau diidentifikasi setelah fakta
tentang peristiwa tersebut mulai muncul.
Penyelidik penegak hukum akan menilai apakah peristiwa tersebut cukup serius untuk
melakukan apa yang mungkin merupakan penyelidikan internasional jika dibandingkan
dengan pengaduan lain yang mereka proses, dan apakah
pelanggarannya cukup serius untuk mencapai ambang batas yang diatur dalam undang-
undang MLAT.
Penyidik sipil akan terus memantau biaya penyidikan terhadap anggaran yang
disediakan. Biaya hukum internasional mungkin sangat mahal dan pada akhirnya terbukti
menjadi penghalang untuk memajukan penyelidikan melewati anggaran awal yang
ditetapkan.
Jika penyelidikan akan dilanjutkan, lanjutkan ke langkah 4. Jika tidak, diskusikan
opsi lain dengan pelapor, seperti memulai prosedur pemulihan bencana dan meningkatkan
keamanan jaringan.
Langkah 4: Identifikasi di mana bukti cloud berada.
Menilai apakah bukti potensial yang akan diperoleh dari server cloud melibatkan
lokasi dan penyitaan bukti dari domestik atau
yurisdiksi internasional. Pengadu mungkin dapat memberikan saran apakah data CSP
mereka disimpan di wilayah tertentu atau yurisdiksi internasional. Jika pelapor tidak dapat
mengidentifikasi hal ini, disarankan untuk berkomunikasi dengan pengacara CSP. Jika
bukti terletak di dalam yurisdiksi lokal, lanjutkan penyelidikan menggunakan metodologi
pengumpulan bukti tradisional dan minta penyimpanan bukti. Jika bukti berada di yurisdiksi
internasional atau tidak diketahui, tanyakan kepada CSP.
Maju ke langkah 5.
Langkah 5: Hubungi departemen hukum CSP untuk menentukan bukti apa yang
tersedia dan minta agar bukti disimpan.
Diskusikan bukti apa yang tersedia dan apa yang mungkin telah ditimpa.
Pasal 29 Konvensi Budapest menyatakan bahwa penyidik penegak hukum dapat meminta
agar CSP atau otoritas pusat, terkait dengan undang-undang MLAT, menyimpan salinan
data yang dicari sambil menunggu layanan instrumen hukum yang mengizinkan pelepasan
data tersebut. Meskipun CSP menyalin data mereka untuk cadangan, tidak semua data
yang dibuat di pusat data dapat direplikasi di luar negara itu karena undang-undang
setempat, seperti di UE. Pertimbangkan apakah tersangka masih memiliki akses ke
formulir cloud plat yang berpotensi melakukan pelanggaran lebih lanjut atau menghapus
bukti. Juga menyarankan pelapor untuk memperbarui pengaturan keamanan dan kata
sandi untuk mencegah pengulangan serangan.
Penyelidik sipil juga harus mencari dukungan dari tim hukum CSP dan mengidentifikasi
perintah hukum mana yang harus mereka cari untuk mendapatkan semua bukti yang ada.
Isu-isu yang diidentifikasi di bagian sebelumnya juga dapat didiskusikan dengan CSP saat
ini.
Maju ke langkah 6.
Langkah 6: Dapatkah bukti diperoleh dengan persetujuan CSP?

Menilai dari diskusi bukti apa yang dapat diperoleh dari CSP
dengan persetujuan pemilik data, pelapor, atau CSP, dan nilai yang akan dimiliki dalam
penyelidikan selanjutnya, dengan mempertimbangkan totalitas dan integritas bukti. Langkah
ini akan sangat bergantung pada sifat keluhan dan bukti yang dicari, seperti di mana akun
cloud pelapor telah diretas. Langkah ini juga akan bergantung pada apakah bukti yang dicari
berasal dari server cloud pelapor atau tersangka. Jika yang pertama, maka CSP dapat
bersedia memberikan bukti dengan persetujuan pelapor; namun, jika bukti berasal dari akun
cloud tersangka, kemungkinan tidak akan diperoleh dengan persetujuan. Jika bukti dapat
diperoleh dengan persetujuan CSP, lanjutkan ke langkah 28; jika tidak lanjutkan ke langkah
7.
Langkah 7: Apakah CSP adalah pelapor pendamping?

Pertimbangkan sifat pelanggaran dan apakah CSP mungkin juga menjadi korban
pelanggaran dan tertarik untuk mengajukan pengaduan. Jika CSP menjadi pelapor
pendamping dan bersedia memberikan bukti yang diperlukan, lanjutkan ke langkah 28; jika
tidak, pindah ke langkah 8.
Langkah 8: Apakah CSP wajib memberi tahu tersangka tentang penyelidikan yang
dilakukan oleh penegak hukum atau penyelidik swasta?
Diskusikan dengan CSP apakah layanan perintah pengadilan atau penegakan hukum
penyelidikan menempatkan kewajiban hukum atau kontraktual kepada mereka untuk memberi
tahu pihak tersangka yang datanya diperoleh bahwa perintah pengadilan telah diberikan
kepada mereka. Jika demikian, pertimbangkan kembali pilihan dan apakah mereka dapat
melanjutkan penyelidikan dan mencari bukti tersebut setelah tersangka diwawancarai.
Di beberapa yurisdiksi, seperti di Amerika Serikat, penegak hukum dapat meminta

perintah dari pengadilan yang melarang CSP memberi tahu klien mereka bahwa bukti sedang
dicari terhadap akun cloud mereka Jika CSP akan menasihati tersangka, tinjau jadwal
investigasi dan implikasi untuk itu. Jika tidak, lanjutkan ke langkah 9.
Langkah 9: Nilai sumber daya yang dibutuhkan.

Sumber daya ini dapat berupa keuangan, personel, spesialis TI, atau dukungan hukum
yang diperlukan, dan dalam penyelidikan sipil, tidak akan murah. Apakah Anda memiliki
kapasitas penyimpanan atau alat forensik untuk menangani apa yang mungkin merupakan
volume data besar yang ditulis dalam format berpemilik?
Maju ke langkah 10.
Langkah 10: Pertimbangkan potensi kritik jika bukti cloud tidak
dicari.
Pertimbangkan potensi untuk dikritik di pengadilan jika Anda berusaha melakukan

penuntutan dan tidak mencari bukti dari CSP. Jika bukti ini tidak dicari, apakah ini
membuat penyelidikan tidak lengkap, dan apakah itu berarti Anda memberikan
pembelaan dengan argumen bahwa bukti yang menunjukkan klien mereka tidak
bersalah belum dikumpulkan karena logistik, waktu, biaya, kerumitan, atau kurangnya
sumber daya? Apakah bukti dari CSP diperlukan? Pertimbangkan kembali metodologi
(seperti menggunakan tangkapan layar bukti) yang akan digunakan sebagai alat
investigasi. Jika bukti dari CSP tidak diperlukan, lanjutkan penyelidikan menggunakan
metodologi tradisional tanpa bukti berbasis cloud. Jika diperlukan, lanjutkan ke langkah
11.
Langkah 11: Apakah ada cukup bukti untuk mendapatkan perintah pengadilan?
Apakah ada cukup bukti yang tersedia untuk memuaskan otoritas kehakiman di
semua yurisdiksi ketika mencari perintah pengadilan untuk bukti dari platform cloud
bahwa suatu pelanggaran telah dilakukan dan bahwa bukti tersebut ada pada CSP?
Kegagalan untuk membuktikan poin ini mengurangi potensi untuk mendapatkan perintah
pengadilan dari salah satu yurisdiksi. Ini berlaku sama untuk penyidik pidana dan
perdata. Jika ada bukti yang cukup, lanjutkan ke langkah 12. Jika tidak, lihat kembali ke
langkah 2 dan tinjau kembali bukti yang ada.
Langkah 12: Identifikasi jumlah perintah pengadilan yang diperlukan.
Identifikasi dari diskusi dengan CSP apakah beberapa perintah pengadilan perlu
diperoleh untuk bukti yang diadakan di yurisdiksi hukum yang berbeda. Sifat
penyimpanan cloud yang multiyurisdiksi, di mana lokasi bukti potensial didistribusikan
ke banyak server yang berbeda, dan berpotensi di yurisdiksi hukum yang berbeda, telah
dibahas secara teratur di bagian lain buku ini. Ini sangat relevan ketika CSP adalah
reseller cloud
jasa.
Maju ke langkah 13.

Langkah 13: Identifikasi kata-kata yang tepat untuk mengikuti perintah pengadilan
untuk mendapatkan bukti lengkap.
Diskusikan dengan CSP kata-kata yang tepat yang mereka perlukan untuk
menghindari kebingungan dan memastikan bahwa Anda memperoleh totalitas bukti
yang Anda butuhkan. Masalah telah muncul di masa lalu di mana perintah pengadilan
telah diberikan pada CSP yang tidak masuk akal, yang meminta bukti yang tidak ada,
yang berlaku untuk yurisdiksi yang salah, yang hanya meminta sebagian dari bukti yang
tersedia, atau yang meninggalkan CSP dalam posisi harus melanggar undang-undang
lain untuk dipatuhi.
Maju ke langkah 14.
Langkah 14: Identifikasi persyaratan hukum dengan yurisdiksi asing.

Diskusikan dengan lembaga penegak hukum atau pengacara lokal di yurisdiksi tar
get proses hukum yang harus dilakukan dan tingkat bukti yang diperlukan untuk
memperoleh data melalui perintah pengadilan atau instrumen hukum serupa. Hukum
masing-masing negara dapat sangat berbeda dan apa yang dapat diakses di satu negara
mungkin tidak dapat diakses di negara lain. Selain itu, undang-undang berubah dan apa
yang mungkin merupakan penerapan hukum yang dapat diterima dalam penyelidikan
sebelumnya mungkin tidak lagi berlaku.
Maju ke langkah 15.
Langkah 15: Apakah persyaratan kriminalitas ganda untuk bantuan hukum timbal balik?
perjanjian tance atau aplikasi pengadilan sipil terpenuhi?
Menetapkan apakah tindak pidana yang sedang diselidiki juga merupakan tindak
pidana dalam yurisdiksi di mana bukti harus dicari. Di beberapa negara, kriminalitas
ganda mungkin diperlukan untuk mendapatkan kerja sama asing dalam memperoleh
perintah pengadilan dan penyitaan barang bukti. Jika demikian, hal ini dapat menghalangi
kemampuan penyidik untuk memperoleh perintah pengadilan untuk memperoleh bukti.
Apakah ini merupakan syarat dari sebuah perjanjian atau aplikasi sipil tergantung pada
kesepakatan dalam undang-undang antara kedua negara. Jika persyaratan kriminalitas
ganda terpenuhi, lanjutkan ke langkah 16. Jika tidak, lihat langkah 2 dan evaluasi kembali
bukti dan pilihan Anda.
Langkah 16: Konfirmasikan persyaratan hukum untuk konten dan nonkonten
data.
Putuskan bukti apa yang Anda cari berdasarkan penyelidikan yang Anda lakukan,
dan hasil saran yang diberikan oleh departemen hukum CSP dan nasihat hukum yang
berbasis di luar negeri. Umumnya, panggilan pengadilan dapat mengakses data
nonkonten seperti log dan surat perintah penggeledahan memperoleh data konten dan
nonkonten.
Lanjut ke langkah 17.
Langkah 17: Cari metadata.
Saat memperoleh data konten, carilah metadata yang ada di balik konten, bukan
hanya salinan bukti dokumenter yang dicari. Ini adalah bukti berharga dan dapat secara
signifikan memajukan penyelidikan Anda dan membantu mengidentifikasi orang di balik
pelanggaran tersebut. Contoh data meta yang berharga adalah kemampuan untuk
mengidentifikasi siapa yang membuat dokumen, kapan dibuat, dan kapan terakhir diakses.
Maju ke langkah 18.

Langkah 18: Pertimbangkan legalitas dan kelayakan teknis teknologi forensik jarak
jauh.
Meskipun teknologi tersedia untuk melakukan pemeriksaan forensik jarak jauh dari
komputer target, hal ini seharusnya hanya menjadi pertimbangan ketika masalah legalitas
di semua yurisdiksi, kerjasama CSP, dan kelengkapan bukti yang dicari telah ditangani
sepenuhnya. Kegagalan untuk memperhitungkan secara sah pengumpulan data dapat
mengakibatkan bukti dikeluarkan dari proses pengadilan dan pihak yang melakukan
pengambilan data di yurisdiksi terpencil dapat menghadapi proses hukum di yurisdiksi
tersebut. Juga, tidak dapat membuktikan penangkapan data yang sah dapat membuat
bukti tidak dapat diterima. Jika keputusan dibuat untuk tidak menggunakan teknologi ini,
lanjutkan ke langkah 19; jika secara teknis dan hukum mampu melakukannya, lakukan
penangkapan bukti dan lanjutkan ke langkah 30.
Langkah 19: Memperoleh bukti asing.

Pertimbangkan opsi untuk mendapatkan bukti dari CSP. Jika menggunakan aplikasi
MLAT tradisional, siapkan aplikasi dan cari otoritas melalui saluran yang ditunjuk untuk
mendapatkan permintaan perjanjian di yurisdiksi target.
Jika menggunakan pengacara sipil di yurisdiksi target, proses memperoleh bukti

akan melalui arahan pengacara asing Anda, memungkinkan untuk persyaratan yang
berbeda dari yurisdiksi hukum yang berbeda.
Jika lembaga penegak hukum, lanjutkan ke langkah 20. Jika penyidik sipil, lanjutkan
ke langkah 22.
Sekali lagi, langkah 20 dan 21 mengidentifikasi metodologi yang diusulkan untuk

penyelidik penegakan hukum yang menggunakan undang-undang MLAT untuk mendapatkan
bukti dari CSP di yurisdiksi hukum asing. Ini tidak berlaku untuk penyelidik sipil.
Penyidik Penegak Hukum

Langkah 20: Siapkan dan kirimkan aplikasi perjanjian.
Permintaan MLAT harus disiapkan dan diteruskan ke perwakilan penegak hukum di
negara target melalui saluran yang ditunjuk. Agensi dan perwakilan hukum mereka akan
memastikan bahwa permintaan tersebut sesuai dengan undang-undang setempat,
termasuk aturan pembuktian.
Jika persetujuan diberikan untuk meneruskan kiriman, lanjutkan ke langkah 21.
Langkah 21: Mematuhi aplikasi perjanjian bantuan hukum timbal balik.
Undang-undang MLAT menempatkan persyaratan pada petugas penegak hukum
yang mencari bukti dari yurisdiksi hukum asing. Adalah di luar batas buku ini untuk
memeriksa prosedur-prosedur seperti itu, karena setiap lembaga penegak hukum telah
menetapkan prosedur-prosedur untuk memperoleh bukti-bukti tersebut melalui saluran-
saluran yang telah ditentukan. Di Australia, saluran ini beroperasi melalui
Kejaksaan Agung dan di Amerika Serikat melalui kantor Departemen Kehakiman.
Jika Anda seorang penyelidik sipil, Anda akan melanjutkan ke langkah 22 setelah langkah 19;
sebagaimana disebutkan sebelumnya, langkah 20 dan 21 hanya berlaku untuk penyidik penegak hukum.
Penyelidik Sipil
Langkah 22: Siapkan dan serahkan dokumentasi hukum.
Penyelidik sipil perlu menginvestasikan waktu dengan para pengacara di yurisdiksi
mereka saat mereka mempersiapkan permintaan bukti internasional mereka. Sebuah
kemitraan perlu dibentuk dengan pengacara di yurisdiksi asing.
Penyidik penegak hukum akan melanjutkan dari langkah 21 hingga 23; sipil
penyidik dari langkah 22 ke langkah 23.
Langkah 23: Tetap berhubungan dengan CSP.

Petugas yang meminta harus tetap berhubungan secara teratur dengan CSP dan
memberi tahu mereka tentang kemajuan aplikasi perjanjian, karena aplikasi dapat
memakan waktu lama tergantung pada beban kerja perwakilan hukum di semua yurisdiksi
terkait serta kualitas aplikasi perjanjian. Kegagalan untuk tetap berhubungan dengan CSP
dapat mengakibatkan bukti yang disimpan dianggap tidak lagi diperlukan dan dibuang.
Bicaralah dengan CSP secara teratur dan konfirmasikan seberapa sering mereka perlu
diberi tahu tentang kemajuan proses hukum.
Perhatikan bahwa aplikasi MLAT dari luar Amerika Serikat mungkin membutuhkan
waktu yang sangat lama untuk melewati lapisan birokrasi. Bukan hal yang aneh jika
permintaan MLAT memakan waktu hingga dua tahun dari waktu persiapan untuk
mendapatkan bukti dari CSP. Banyak CSP tidak mengetahui lapisan birokrasi yang terlibat
dan mungkin perlu diberi tahu bahwa penundaan antara permintaan penyimpanan bukti
dan perintah pengadilan yang mengizinkan pembebasannya bukanlah kesalahan penyidik.
Maju ke langkah 24.

Langkah 24: Pertimbangkan potensi penyedia pihak ketiga.
Jika penyedia pihak ketiga dari komponen infrastruktur CSP memiliki bukti yang tidak
dapat diperoleh dari CSP, perintah pengadilan terpisah melalui aplikasi perjanjian yang
mencari data dapat dipertimbangkan.
Maju ke langkah 25.
Langkah 25: Lindungi rantai penjagaan.

Merencanakan dan mempersiapkan pelestarian lacak balak dengan ditandatangani,
keterangan saksi yang sah secara hukum.
Langkah 26: Melihat data berbasis cloud.
Diskusi dapat dilakukan antara perwakilan teknis dari lembaga penegak hukum yang
meminta dan CSP mengenai cara data target dapat dilihat, membangun kepercayaan pada
integritas bukti. Ini sangat relevan jika CSP memperoleh data menggunakan forensik
eksklusif atau jika data disimpan dengan cara yang tidak dapat dilihat dengan aplikasi
tradisional.

Langkah 27: Kualifikasi dan keterampilan penyelidik digital.
Bukti kualifikasi dan keterampilan penyidik digital wajib diajukan ke pengadilan sebagai
bukti keakuratan dan kelengkapan alat bukti. Pernyataan ini akan dicari pada saat bukti
diambil dari server CSP. Pemeriksa forensik dapat diminta oleh pengadilan untuk
menyatakan kualifikasi dan pengalamannya di bidang penyitaan barang bukti digital.
Maju ke langkah 28.
Bagian berikut melanjutkan proses pengumpulan bukti dengan memeriksa template

investigasi menggunakan undang-undang yang diusulkan dalam tesis ini dari aplikasi awal ke
pengadilan untuk menyita akun online tersangka hingga penerimaan bukti dari CSP.
Penyitaan Barang Bukti
Langkah 28: Akuisisi fisik bukti.

Pemindahan fisik barang bukti harus direncanakan; ini bisa melalui petugas investigasi
yang pergi ke negara target untuk mengumpulkannya dari CSP atau lembaga penegak
hukum yang memperoleh data. Atau, dapat diteruskan melalui kurir terdaftar yang aman
atau transfer elektronik jika memungkinkan. Selalu pertimbangkan pelestarian lacak balak
saat membuat keputusan ini.
Maju ke langkah 29.

Langkah 29: Siapkan logistik untuk mendapatkan bukti.
Rencanakan penerimaan bukti, karena data cloud dapat berukuran besar dan
membutuhkan penyimpanan dalam jumlah besar. Pertimbangan ini dapat dibahas dalam
diskusi dengan CSP, yang dapat memberi tahu Anda tentang jumlahnya
data yang dapat dihasilkan oleh perintah pengadilan dan berapa banyak kapasitas penyimpanan
yang Anda perlukan.
Maju ke langkah 30.
Langkah 30: Pemeriksaan forensik bukti setelah diperoleh.
Setelah menerima bukti, teknik forensik tradisional dapat
diterapkan tergantung pada format di mana bukti diperoleh.
Lanjutkan ke langkah 31.
Langkah 31: Legalitas kepemilikan bukti.
Pertimbangan perlu dibuat dari sifat bukti yang dicari. Jika Anda mendapatkan
gambar virtual materi di akun cloud yang berhasil Anda cari, Anda mungkin menemukan
selama pemeriksaan materi ilegal, seperti IP curian, identitas palsu, nomor kartu kredit
curian, atau CEM. Jika Anda menemukan materi ini, segera dapatkan nasihat hukum
dan hubungi polisi setempat untuk mendapatkan arahan.
Maju ke langkah 32.

Langkah 32: Pertimbangkan perlunya perintah atau bukti pengadilan lebih lanjut
menangkap.
Setelah meninjau bukti, pertimbangkan apakah perintah pengadilan lebih lanjut
diperlukan dari yurisdiksi asing. Ada potensi untuk mengeksekusi perintah pengadilan
lebih lanjut, yang menunjukkan bahwa permohonan awal dapat membuka jalan baru
untuk penyelidikan.
Jika ada persyaratan untuk mendapatkan bukti lebih lanjut dari yurisdiksi
internasional, penyidik penegak hukum akan kembali ke langkah 20. Penyelidik sipil
akan kembali ke langkah 22. Jika perintah lebih lanjut tidak diperlukan, lanjutkan ke
langkah 33.
Langkah 33: Carilah dan dapatkan bukti yang menguatkan.
Bukti yang menguatkan yang diperoleh dari CSP harus dicari jika tersedia untuk
meningkatkan integritas bukti yang diperoleh. Ini dapat diperoleh dari materi sumber
terbuka, bukti dari perangkat elektronik tersangka, penyelidikan yang dilakukan di
yurisdiksi investigasi (seperti catatan telekomunikasi/perbankan), dan sebagainya.
Maju ke langkah 34.

Langkah 34: Tinjau kemampuan untuk menyajikan bukti ke pengadilan.
Jika bukti tidak dapat didukung dengan pernyataan saksi dan tidak ada instrumen
hukum yang memaksa anggota CSP untuk memberikan bukti, maka bukti tersebut
dapat diterima oleh pengadilan dengan pertimbangannya sendiri. Atau, mungkin tidak
dapat diterima atau mungkin memiliki standar nilai yang berkurang. Tinjau bagaimana
ketidakmampuan untuk mendapatkan semua pernyataan saksi yang relevan
mempengaruhi kekuatan kasus Anda.
Maju ke langkah 35.
Langkah 35: Pertimbangkan kompleksitas bukti yang akan disajikan kepada

pengadilan.
Jika bukti berbasis cloud diperlukan untuk diperkenalkan di pengadilan sebagai bukti,
pertimbangan harus diberikan mengenai kompleksitasnya dan kemampuan hakim dan juri untuk
memahaminya. Untuk membantu dalam hal ini, pertimbangkan penggunaan ahli independen.

Langkah 36: Menyebarluaskan hasil putusan pengadilan.
Hasil sidang pengadilan di mana bukti berbasis cloud telah ditentang dan penentuan bukti
yang diberikan oleh pengadilan perlu disebarluaskan melalui jalur hukum, sehingga keputusan
dapat menjadi faktor dalam penyelidikan di masa depan dan pemahaman tentang arah yang
diambil pengadilan dengan bukti berbasis cloud yang diperoleh.
Bab ini telah menyediakan sebuah template untuk dipertimbangkan dan dimodifikasi oleh
penyidik sipil dan penegak hukum. Ini tidak dimaksudkan sebagai panduan definitif, tetapi memberikan
dasar yang dapat dimodifikasi untuk memenuhi keadaan unik penyelidikan Anda dan batasan hukum
di mana Anda beroperasi. Sebagai poin terakhir yang harus diulang, Anda kemungkinan akan
beroperasi di beberapa yurisdiksi hukum, jadi selalu pertimbangkan legalitas yurisdiksi hukum target
dan carilah nasihat hukum profesional.
John (bukan nama sebenarnya) bekerja di posisi teknis di sebuah perusahaan yang sukses.
Dia sangat dihormati dan menghasilkan pekerjaan berkualitas tinggi bersama dengan dua
karyawannya. Namun, tanpa diketahui manajemen, John naksir salah satu staf wanitanya yang tak
terbalas.
Bisnis mengalami penurunan di pasar dan memutuskan untuk membiarkan beberapa staf
pergi, salah satunya adalah wanita yang membuat John tergila-gila. Pada hari dia diberitahu bahwa
dia akan meninggalkan perusahaan, dia sangat marah dan secara agresif melawan manajemen agar
dia mempertahankan pekerjaannya. Sementara paket pesangon itu murah hati dengan dukungan
pelatihan, John menolak untuk mengizinkannya meninggalkan perusahaan tanpa perlawanan.
Sebagai tanda solidaritas yang sangat terlihat, John mengundurkan diri dari posisinya dan
memastikan semua staf mengetahui alasannya. Setelah pertemuan di mana dia diberi kesempatan
untuk mempertimbangkan kembali keputusannya dalam beberapa hari mendatang, John bersikeras
bahwa dia akan pergi pada waktu yang sama dengan karyawannya.
Setelah pengunduran dirinya diterima dengan enggan, dia kembali ke mejanya dan bekerja di
depan komputernya selama beberapa menit sebelum keluar dari kantor.
Rekan-rekan pekerja curiga dengan tindakannya dan memutuskan untuk memeriksa aktivitasnya.
Karena komputernya tidak dimatikan, mereka dapat memeriksa emailnya, di mana mereka
menemukan bahwa dia telah meneruskan seluruh IP perusahaan, yang secara konservatif bernilai
$15 juta, ke akun komputasi awan pribadinya.
Pengaduan segera dilakukan ke polisi dan permintaan pelestarian diajukan ke CSP melalui
otoritas MLAT dan dengan kerja sama CSP. Permintaan tersebut meminta salinan akun cloud
tersangka, termasuk metadata.
Kekhawatiran langsung dari pelapor dan polisi adalah apa yang dilakukan tersangka
dengan data tersebut sejak dia meninggalkan kantor. Saat dikirim ke akun cloud, dia bisa
memindahkannya ke beberapa lokasi serta mengunduh salinan ke komputer rumahnya dan
perangkat penyimpanan eksternal. Penyebab kekhawatiran lainnya adalah bahwa pesaing
berusaha untuk mendapatkan IP perusahaan, termasuk melalui penawaran untuk membeli
perusahaan, dan jika John telah melepaskan IP kepada mereka, pelapor secara efektif
menghadapi kebangkrutan dalam waktu enam bulan.
Karena data berada di cloud pribadi tersangka, pelapor dan polisi tidak memiliki akses ke
sana untuk mencegah pelanggaran lebih lanjut sementara tahap awal penyelidikan berlanjut.
Surat perintah penggeledahan dieksekusi di alamat tempat tinggal John malam itu, karena
hubungan dapat dibuat antara pencurian data dan rumahnya. John sangat terkejut dengan polisi
yang menggerebek rumahnya dan menyatakan bahwa dia percaya paling buruk dia akan
bertanggung jawab untuk sidang Pengadilan Ketenagakerjaan dan bukan penyelidikan kriminal
untuk pencurian properti senilai $15 juta. Dia membuat pengakuan penuh, dan meskipun hukum
menjelaskan kepadanya, dia menolak untuk percaya bahwa dia telah melakukan kesalahan (yang
sangat umum ketika karyawan mengambil data perusahaan ketika mereka pindah ke pekerjaan
baru).
Meskipun dia telah menandatangani dokumen pada awal pekerjaannya yang menyatakan
bahwa dia tidak memiliki kepemilikan atau hak atas KI yang telah dia bantu kembangkan, dia
merasa bahwa saat dia bekerja di KI, dia memiliki hak untuk menyalinnya. ketika dia meninggalkan
perusahaan. Dia juga suka menyimpan koleksi karya terbaiknya, termasuk IP perusahaan dalam
jumlah besar, untuk resumenya.
Pemeriksaan perangkat komputer pribadinya menunjukkan bahwa dia belum mengunduh
IP dari layanan cloud. Pemeriksaan layanan cloud menunjukkan bahwa dia tidak memindahkan
IP ke akun lain mana pun. Pemeriksaan komputernya di rumah mengidentifikasi bahwa dia telah
mengambil beberapa salinan IP perusahaan selama tahun sebelumnya serta file personel, gaji,
dewan, dan manajemen.
Dalam hal ini, motivasi pelaku yang biasa tidak berlaku dan alasan kejahatan dipandang
tidak rasional. Namun, motivatornya adalah
Catatan 221 _
sangat penting baginya dan memotivasinya untuk melakukan tindak pidana yang sangat
serius.
Meskipun dia telah mengakui pelanggaran tersebut, karena buktinya tersebar melalui
yurisdiksi internasional melalui cloud, dia masih memiliki akses ke IP dan masih dapat
menyebabkan kerusakan pada perusahaan. Begitu dia mengetahui seberapa banyak
masalah yang dia hadapi, dia memutuskan untuk membantu polisi dalam penyelidikan
mereka dan setuju untuk menandatangani kepemilikan akun cloud ke layanan polisi, di
mana kata sandi dan opsi pemulihan akun diubah.
Komputer disita dengan bukti yang dihapus dari semua salinan IP setelah proses
pengadilan selesai.
CATATAN

Internasional (IEC), Teknologi Informasi—Komputasi Awan—Ringkasan dan Kosakata,
ISO/IEC 17788:2014.
2. Dominik Birk dan Christoph Wegner, “Tantangan Teknis Investigasi Forensik di
Lingkungan Cloud Computing” dalam Prosiding Lokakarya Internasional IEEE Keenam
2011 tentang Pendekatan Sistematis untuk Teknik Forensik Digital (Washington, DC:
IEEE Computer Society, 2011).
3. Aliansi Keamanan Cloud, “Memetakan Standar Forensik ISO/IEC 27037 ke Cloud
Computing,” Juni 2013.
4. Peter Mell dan Timothy Grance, Definisi NIST tentang Komputasi Awan, Publikasi
Khusus 800-145, September 2011, Institut Standar dan Teknologi Nasional,
5. Mark Taylor, John Haggerty, David Gresty, dan David Lamb, “Investigasi Forensik
Sistem Komputasi Awan,” Keamanan Jaringan 2011, no. 3 (2011): 4–10, https://
www.sciencedirect.com/science/article/pii/ S1353485811700241.
6. Christopher Hooper, Ben Martini, dan Kim-Kwang Raymond Choo, “Cloud Computing
and Its Implications for Cybercrime Investigations in Australia,” Computer Law and
Security Review 29 (2013): 152–163, https://doi.org/ 10.1016/j.clsr.2013.01.006.
7. Ellen Messmer, “Gartner on Cloud Security: 'Skenario Mimpi Buruk Kami

Ada Di Sini Sekarang,'” Computerworld, 22 Oktober 2009.
8. Dennis Reilly, Chris Wren, dan Tom Berry, “Cloud Computing: Pro dan Kontra untuk
Pemeriksaan Forensik Komputer,” Jurnal Internasional Multimedia dan Pemrosesan
Gambar 1, no. 1 (2011): 26–34, https://pdfs
.semanticscholar.org/366e/05c9bb441247afee11f97f125c9a5ce0fc2a .pdf.
9. Keyun Ruan, Joe McCarthy, Tahar, Kechadi, dan Mark Crosbie, “Cloud Forensics:
An Overview,” 2011, Center for Cybercrime Investigation, University College
Dublin, https://www.researchgate.net/publication/
229021339_Cloud_forensics_An_overview.
10. Graeme Edwards, “Investigating Cybercrime in a Cloud-Computing
Environment” (tesis doktoral, Queensland University of Technology, 2016).
11. George Grispos, Tim Storer, dan William Bradley Glisson, “Calm Before the
Storm: The Challenges of Cloud Computing in Digital Forensics,”
Jurnal Internasional Kejahatan Digital dan Forensik 4 (2012), http://doi.org/
10.4018/jdcf.2012040103.
12. Neha Thethi dan Anthony Keane, “Investigasi Forensik Digital di Cloud,” dalam
Prosiding Konferensi Komputasi Lanjut IEEE 2014 (Gurgaon, India, 21–22
Februari 2014), https://ieeexplore.ieee.org/ document /6779543.
13. Laboratorium Forensik Komputer Regional, Laporan Tahunan 2012, Biro

Investigasi Federal, Departemen Kehakiman Amerika Serikat.
14. Laboratorium Forensik Komputer Regional, Laporan Tahunan 2013, Biro
Investigasi Federal, Departemen Kehakiman Amerika Serikat.
Internasional (IEC), Teknologi Informasi— Teknik Keamanan: Pedoman
Identifikasi, Pengumpulan, Akuisisi, dan Pelestarian Bukti Digital, ISO/IEC
27037:2012.
16. Josiah Dykstra dan Alan Sherman, “Memperoleh Bukti Forensik dari IaaS Cloud
Computing: Exploring and Evaluating Tools, Trust, and Techniques” (makalah,
Digital Forensic Research Conference, Washington DC, 6–8 Agustus 2012).
17. John Cauthen, “Executing Search Warrants in the Cloud,” FBI Law Enforcement
Bulletin, 7 Oktober 2014, https://leb.fbi.gov/articles/feature-articles/executing-
search-warrants-in-the- awan.
18. Allison Stanton dan Andrew Victor, “Apa yang Kita Lihat di Awan: Tinjauan Praktis
Litigasi Terhadap dan Atas Nama Organisasi yang Menggunakan Komputasi
Awan,” Buletin Pengacara Amerika Serikat 59, no. 3 (2011): 34–43.
19. Mark L. Krotoski dan Jason Passwaters, “Menggunakan Analisis Bukti Log untuk
Menunjukkan Aktivitas Internet dan Komputer dalam Kasus Pidana,” Buletin
Pengacara Amerika Serikat 59, no. 6 (2011): 1–15.
Catatan 223 _
20. Dennis Stewart, “Tantangan dengan Cloud Forensics, Masters of Cybercrime and
Security,” Utica College, 2014.
21. Scott Zimmerman dan Dominick Glavach, Forensik Cyber di Cloud, IAnewsletter
14, no. 1 (2011): 4–7.
22. Bernd Grobauer dan Thomas Schreck, “Menuju Penanganan Insiden di Cloud:
Tantangan dan Pendekatan,” dalam Prosiding Lokakarya Keamanan Cloud
Computing ACM ke-2 (Chicago, IL, 2010).
23. Joseph Schwerha, “Tantangan Penegakan Hukum dalam Akuisisi Bukti Elektronik
Lintas Batas dari 'Penyedia Cloud Computing,'” Januari 2010, Council of Europe.
24. Winston Maxwell dan Christopher Wolf, “A Global Reality: Government access to
Data in the Cloud,” (buku putih, Juli 2012, HI Data Protection).
25. Ivana Deyrup dkk., Komputasi Awan dan Hukum Keamanan Nasional, 2010,
Hukum.
26. Stephen Mason dan Esther George, “Bukti Digital dan Komputasi Awan,” Tinjauan
Hukum dan Keamanan Komputer 27, no. 5 (2011): 524–528. https://doi.org.10.1016/
j.clsr.2011.07.005.
27. Cristos Velasco San Martin, “Aspek Yurisdiksi Cloud Computing,”
Dewan Eropa.
28. Connie Carnabuci dan Heather Tropman, “The Cloud and US Cross-Border Risks,”
Austlii.
29. Todd Shipley, “Pengumpulan Bukti dari Internet: Bagian 2,” Forensik
Majalah, 2009.
30. Josiah Dykstra, “Merebut Barang Bukti Elektronik dari Cloud Computing Plat
formulir, "ResearchGate.
31. Konstitusi Amerika Serikat 1788, diakses 3 April 2014, https://www
.wdl.org/en/item/2708.
32. Kode Amerika Serikat 1874, diakses 2 April 2014, http://uscode.house
.gov/detailed_guide.xhtml.
33. Loi Informatique et Liberties 1978 Chapter XII (Prancis), diakses 22 Desember
2018, https://www.cnil.fr/sites/default/files/typo/document/ Act78-17VA.pdf.
34. John Haried, “Mobil Terbang dan Kacamata Web: Bagaimana Revolusi Digital
Mengubah Penegakan Hukum,” Buletin Pengacara Amerika Serikat 59, no. 3
(2011): 2–15, https://www.justice.gov/sites/default/files/usao/legacy/ 2011/07/08/
usab5903.pdf.
35. Kelompok Kerja Ilmu Forensik Cloud Computing NIST, Tantangan Ilmu Forensik
Cloud Computing NIST, Draf NISTIR 8006, Juni 2014,
Institut Nasional Standar dan Teknologi, Departemen Perdagangan Amerika Serikat.
36. Andrew Goldsmith, "Tren atau Kekurangannya dalam Kriminal eDiscovery: Survei
Pragmatis Hukum Kasus Terbaru," Buletin Pengacara Amerika Serikat 59, no. 3
(2011): 2–15, https://www.justice.gov/sites/default/files/usao/ legacy/2011/07/08/
usab5903.pdf.
37. Amerika Serikat v. Cross, WL 3233267 (EDNY Okt. 2009).
38. Christopher Marsico, “Bukti Komputer v. Daubert: The Coming Con
konflik,” Universitas Perdue.
39. Aliansi Keamanan Cloud, “Kategori Layanan yang Ditentukan 2011.”
40. Karen Kent dan Murugiah Souppaya, Panduan Manajemen Log Keamanan Komputer,
Publikasi Khusus 800-92, September 2006, Institut Standar dan Teknologi Nasional,
41. Janet Williams, Panduan Praktik Baik ACPO untuk Bukti Digital, Maret 2012, Asosiasi
Kepala Polisi.
13BAB TIGA BELAS
Mengidentifikasi, Merebut, dan

Menyimpan Bukti dari
Perangkat Internet of Things
SEPERTI mengganggu.
TEKNOLOGIDengan diperkenalkannya
berkembang, teknologi
perannya dalam generasikita
kehidupan barumenjadi lebih
ke rumah, tempat kerja, area komunitas, dan ruang lain kita, dengan cepat
mencapai tahap di mana hanya sedikit yang dapat dilakukan orang yang terhubung
yang tidak direkam pada perangkat digital di suatu tempat. Sementara diskusi terpisah
dapat diadakan tentang relevansi privasi dan keamanan dari pemantauan teknologi dan
pembuatan profil kepribadian DNA pada individu, bab ini menempatkan fokus pada
bagaimana penyelidik dapat menggunakan teknologi ini untuk memajukan penyelidikan mereka.
Generasi baru perangkat terhubung ini disebut "Internet of Things" dan menjadi mapan
di masyarakat dan kehidupan kita.
APA ITU INTERNET OF THING?
Internet of Things (IoT) mengacu pada miliaran perangkat yang terhubung ke Internet.
Meskipun kita terbiasa dengan komputer dan telepon yang terhubung, sekarang kita
memiliki pengering, lemari es, termostat, dan komponen mobil yang terhubung, serta
rumah dan gedung pintar. Sementara banyak perangkat IoT pada awalnya mungkin
tidak dianggap relevan dengan kejahatan dunia maya
225
226 Melestarikan Bukti dari Perangkat Internet of Things
penyelidik, dengan sedikit pemikiran lateral mereka dapat menjadi sangat relevan dan memberikan
bukti yang sebelumnya tidak dapat dicapai.
Contoh perangkat IoT yang mungkin relevan dengan penyelidik (tidak termasuk perangkat
tradisional seperti komputer) termasuk sensor di gedung, perangkat akses kartu gesek, sensor
cahaya; Periferal kendaraan bermotor berkemampuan Bluetooth, kamera keamanan jarak jauh, dan
banyak lagi. Masing-masing dan banyak lagi mungkin relevan untuk memahami bagaimana
pelanggaran keamanan terjadi dan menempatkan orang tertentu di lokasi tertentu pada titik waktu
tertentu saat dugaan pelanggaran terjadi. Cakupan perangkat IoT yang dapat digunakan untuk
membantu penyelidik hanya dibatasi oleh pemahaman mereka tentang perangkat digital apa, atau
mungkin, di TKP.
Ide dengan perangkat IoT adalah untuk memahami apa yang dilakukan perangkat dan data apa
yang ditangkapnya. Asisten rumah akan menangkap banyak data yang dapat memberikan bukti
kepada penyelidik kriminal tentang siapa yang berada di TKP pada saat pembunuhan. Bangunan
pintar dapat memberikan bukti kepada penyelidik kejahatan dunia maya tentang siapa yang berada di
balik keyboard komputer yang disusupi pada pukul 14:00 ketika Kekayaan Intelektual (IP) perusahaan
disalin.
Bab ini berupaya memperluas pemikiran penyelidik kejahatan dunia maya sehingga lingkungan
IoT dimasukkan ke dalam rencana penyelidikan, terutama ketika tersangka adalah karyawan internal
sebuah bisnis atau orang yang memiliki akses fisik (disetujui atau tidak) ke tempat kejadian kejahatan
dunia maya.
APA RELEVANNYA DENGAN INVESTIGASI ANDA?
Bukti digital ada di mana-mana, termasuk dalam teknologi yang dapat dikenakan seperti jam tangan
yang terhubung ke Internet. Segala sesuatu yang menangkap data menceritakan sebagian dari
sebuah cerita: bahkan jika itu adalah bagian data yang tampaknya tidak terkait, itu dapat memberikan
bantuan di masa depan.
Komputer merekam apa yang mereka amati dalam file log, dan sementara mereka dapat
memberi tahu penyelidik bahwa IP diambil oleh seseorang di kantor menggunakan perangkat tertentu,
mengetahui siapa yang menggunakan keyboard perangkat itu mungkin sulit untuk diketahui, terutama
jika itu adalah perangkat bersama dengan kata sandi bersama. Namun, bukti dari IoT dapat
memberikan beberapa petunjuk tentang siapa yang berada di dekat perangkat pada saat IP diambil.
Sebagai contoh yang sangat sederhana: sementara lima orang mungkin memiliki akses ke perangkat
tersangka yang digunakan untuk menyalin IP ke USB, perangkat dalam ruang pintar dapat
mengidentifikasi bahwa tiga dari orang ini tidak berada di dekat perangkat pada saat yang
bersangkutan, meninggalkan dua tersangka.
Apa Relevansinya dengan Investigasi Anda? 227 _
Perangkat seperti Bluetooth dan router nirkabel seluler terus mencari perangkat untuk
disambungkan, dan mereka meninggalkan jejak unik kehadirannya. Pemeriksaan router
dapat menemukan (Media Access Control)
Alamat MAC telepon tersangka, menempatkannya di TKP pada saat dugaan pelanggaran.
Dengan IoT, lokasi lokasi kejahatan dunia maya Anda berpotensi meluas hingga
mencakup banyak lokasi yang bervariasi. Rumah sakit telah melihat potensi produk IoT
untuk membantu pengiriman layanan perawatan kesehatan yang efisien, dengan item seperti
pompa pengiriman obat yang terhubung ke intranet.1 Perawatan kesehatan adalah area
potensi kejahatan dunia maya, karena perangkat implan seperti alat pacu jantung dan pompa
insulin terhubung secara online. Badan Pengawas Obat dan Makanan AS telah
mengidentifikasi potensi penjahat dunia maya untuk mengakses perangkat medis implan
secara tidak sah, seperti alat pacu jantung, dan memodifikasi perintah yang dikirim ke
perangkat tersebut.2 Pada saat penulisan buku ini, telah ada tidak ada serangan aktual
terhadap teknologi ini yang tercatat, tetapi ini tidak dapat dijamin di masa depan.
Serangan Distributed Denial of Service (DDoS) dapat diluncurkan menggunakan perangkat IoT
yang tidak aman. Botnet Mirai menggunakan perangkat IoT.3 Dengan banyak perangkat IoT yang
memiliki keamanan yang lemah atau tidak sama sekali, penyerang setengah terampil dapat menemukan
perangkat yang tidak aman ini secara online, membuat botnet IoT mereka sendiri, dan meluncurkan
serangan DDoS yang sangat kuat terhadap target mereka.
Bukti IoT juga akan sangat berharga bagi penyelidik yang menyelidiki kejahatan yang
bukan kejahatan dunia maya, karena IoT meluas ke semua aspek kehidupan kita. Detektif
pembunuhan di TKP pembunuhan domestik yang ingin
mengetahui apa yang terjadi dapat menggunakan bukti IoT dari rumah pintar untuk
mendapatkan log dari pintu, lampu, jam tangan pintar (mencatat waktu kematian), sensor,
asisten rumah, AC (menyesuaikan dengan pintu terbuka), kulkas (membuka), shower
(tersangka mandi setelah pembunuhan), dan banyak lagi. Ponsel pintar dengan koneksi
nirkabel yang tersisa akan meninggalkan bukti Kontrol Akses Media
(MAC) saat telepon mencoba untuk terhubung ke router. Log dari kendaraan bermotor
tersangka dapat digunakan untuk melacak pergerakan mereka, termasuk menempatkan
mereka di tempat kejadian pada saat pembunuhan. Potensi penggunaan IoT untuk
menyelidiki bentuk-bentuk tindak pidana tradisional hanya dibatasi oleh imajinasi penyidik.
Sebagai penyelidik kejahatan dunia maya, memperluas pemikiran Anda untuk

memasukkan IoT menempatkan Anda selangkah lebih maju dari internal kriminal ke entitas
korban. Seringkali mereka akan begitu fokus untuk melakukan kejahatan dan mendapatkan
data mereka sehingga mereka tidak akan menyadari bahwa perangkat mereka meninggalkan
sidik jari digital atau merekam bahwa mereka berada di lokasi yang di masa depan ingin mereka tolak.
228 Melestarikan Bukti dari Perangkat Internet of Things
berada di mana saja dekat pada waktu yang bersangkutan. Mereka juga sebagian besar tidak
akan menyadari banyak perangkat IoT di tempat kerja, yang akan merekam bukti aktivitas dan
lokasi mereka.
DIMANA INTERNET OF THINGS BUKTI DIGITAL

ANDA BERADA?
Seperti halnya bukti cloud, penyelidik harus memahami di mana perangkat IoT menyimpan
buktinya. Tidak seperti cloud, perangkat fisik dapat diakses, diurutkan, dan diperiksa dengan
cara tradisional. Jika log perangkat IoT tidak disimpan di perangkat, pertanyaan dapat diajukan
ke administrator sistem atau produsen perangkat untuk menemukannya. Membaca Perjanjian
Lisensi Pengguna Akhir (EULA) perangkat juga dapat memberikan beberapa arahan.
Singkatnya, bukti IoT dapat disimpan di perangkat, di penyimpanan internal

age drive, atau pada server jarak jauh yang dioperasikan oleh produsen perangkat IoT.
BUKTI PENYIAPAN INTERNET OF THINGS HUKUM
Seperti semua barang bukti, penyitaan harus sah. Pengadu akan dapat memberikan otoritas
dalam banyak kasus, tetapi waspadai nilai perangkat yang terhubung dengan IoT saat
mengajukan petisi ke pengadilan untuk surat perintah penggeledahan atau perintah pengadilan perdata.
Jika kemungkinan untuk memberikan bukti dan pemeriksaan dapat dibenarkan kepada pejabat
pengadilan, jelaskan relevansinya dan minta otoritas untuk menyita dan memeriksa alat
tersebut.
Poin kunci dari bab ini adalah untuk melihat secara luas ketika mencari bukti dalam
investigasi digital. Ketika masyarakat menjadi lebih terhubung, sidik jari digital ditinggalkan di
banyak lokasi, memberikan bukti untuk mengidentifikasi tersangka. Karena banyak perangkat
IoT memiliki sedikit atau tanpa keamanan bawaan, mereka dapat menjadi vektor serangan
yang sangat berharga bagi penjahat dunia maya, yang mengarah ke intrusi jaringan melalui
perangkat yang tidak terduga—seperti detektor asap, webcam, lemari es, dan televisi—yang
terhubung ke jaringan yang belum ditambal dan tidak aman.
Karena kurangnya keamanan memberikan kesempatan kepada penjahat cyber atau

internal, demikian juga memberikan kesempatan kepada penyelidik, karena remah roti bukti
yang akan ditinggalkan perangkat ini di dalam dan di sekitar TKP akan memberikan kesempatan
untuk mengidentifikasi seseorang secara unik dan menempatkan mereka di TKP pada saat
kegiatan yang sedang diselidiki.
Catatan 229 _
CATATAN
1. Steve Mansfield-Devine, “Mengamankan Internet of Things,” Penipuan Komputer

& Keamanan 2016, no. 4 (2016): 15-20.
2. Administrasi Makanan dan Obat-obatan Amerika Serikat, “Kerentanan Keamanan
Siber yang Diidentifikasi dalam Perangkat Jantung Implan St. Jude Medical
dan Pemancar Mer lin@home: Komunikasi Keamanan FDA,” Januari 2017.
3. Josh Fruhlinger, “The Mirai Botnet Menjelaskan: Bagaimana Penipu Remaja dan
Kamera CCTV Hampir Menghancurkan Internet,” Maret 2018, CSO Online.
14BAB EMPAT BELAS
Bukti Sumber Terbuka
layanan
BUKTI OPEN seperti media
SOURCE sosial,
adalah apa database pemerintah
yang dapat dan perusahaan,
diambil secara online dari
dan situs berita. Ada banyak kategori open source sobat
rial tersedia untuk membantu penyelidikan dan ada penyelidik spesialis yang tidak
melakukan apa-apa selain mencari materi sumber terbuka untuk klien mereka. Intinya,
Internet adalah ruang kerja mereka.
NILAI BUKTI SUMBER TERBUKA
Nilai materi open source adalah tersedia secara bebas sehingga untuk mendapatkannya
jarang memerlukan surat perintah penggeledahan. Situs open source yang paling sering
dicari adalah situs media sosial, seperti Facebook, di mana banyak penjahat dengan profil
terbuka tertangkap membual tentang kejahatan mereka atau meninggalkan bukti rekan
mereka. Sementara beberapa penjahat sangat protektif terhadap profil media sosial mereka,
yang lain sangat ceroboh, dan bukti yang mereka biarkan terbuka untuk penyelidik telah
digunakan di pengadilan oleh penuntut.
Materi open source sangat berharga karena dapat ditangkap oleh salah satu dari
banyak perangkat perekaman berbasis perangkat, seperti Microsoft Expression Encoder.
Jika situs web atau situs media sosial terbuka untuk umum, Eropa
231
232 Bukti Sumber Terbuka
Konvensi tentang Kejahatan Dunia Maya memungkinkan negara penandatangan untuk melihat halaman
yang tunduk pada undang-undang yurisdiksi Anda.1 Expression Encoder mencatat halaman seperti yang
dilihat oleh pengguna web dan memungkinkannya untuk disimpan dalam format yang mudah dilihat.
Untuk menghasilkan versi rekaman yang paling akurat dan lengkap, unduh dan tampilkan
jam atom, yang dapat disesuaikan untuk akurasi waktu pada awal perekaman dan dilihat
selama pengambilan bukti. Hal ini memungkinkan pemirsa untuk melihat pengambilan bukti
yang lengkap dan waktu pengambilannya, memberikan bukti bahwa tidak ada manipulasi bukti
(seperti konten yang diedit dari rekaman) telah terjadi.
Ada banyak bentuk bukti sumber terbuka yang mungkin tersedia bagi penyelidik dan ada
banyak buku dan kursus bagus yang membahas materi ini. Toolkit open source diproduksi oleh
banyak organisasi dan individu, termasuk Toddington International (www.toddington.com),
IntelTech niques (https://inteltechniques.com), Qwarie (https://www.qwarie.com), dan OSINT
Kerangka (http://osintframework.com).
Jika Anda memutuskan untuk mengambil materi sumber terbuka, ada keahlian khusus
yang diperlukan untuk melakukannya tanpa mengorbankan penyelidikan Anda. Penjahat dunia
maya yang terampil secara teknis melakukan kontra intelijen di situs web mereka untuk melihat
siapa yang telah mengunjungi dan apa yang telah mereka lihat. Misalnya, dengan menggunakan
alat analitik web, mereka dapat menemukan alamat Protokol Internet (IP) yang ingin mereka
ketahui lebih lanjut dan menentukan bahwa alamat tersebut dapat dilacak ke lembaga penegak
hukum, penyelidik swasta, atau entitas investigasi serupa. Ini akan mengingatkan mereka
bahwa mereka sedang diselidiki dan dapat menyebabkan mereka menghancurkan bukti yang
Anda cari atau melancarkan serangan balik terhadap Anda.
Investigasi open source memerlukan keahlian mereka sendiri dan disarankan agar Anda
mencari saran spesialis sebelum maju di bidang ini. Beberapa contoh keterampilan yang Anda
perlukan meliputi:
Menggunakan perangkat laptop spesialis yang dapat memiliki Operating System (OS)
diinstal ulang tanpa khawatir
Menggunakan Virtual Private Network (VPN) untuk koneksi sebelum memulai
penyelidikan Anda
Menggunakan sistem virtual
Menggunakan koneksi yang tidak memiliki tautan ke organisasi Anda
Memiliki tingkat keamanan yang tinggi pada perangkat Anda dan memastikan bahwa OS dan
semua aplikasi baru saja ditambal
Seperti yang dirujuk dalam bab-bab sebelumnya: pahami undang-undang di yurisdiksi

terkait untuk memahami legalitas melakukan penyelidikan sumber terbuka.
Bab ini akan memperkenalkan contoh bentuk materi sumber terbuka

tersedia untuk penyidik dan mendiskusikan manfaatnya.
CONTOH BUKTI OPEN SOURCE
Ada banyak lokasi online untuk menemukan bukti, yang dapat diakses secara
bebas. Beberapa contoh mengikuti.
Blog . Blog adalah situs web tempat penulis mendiskusikan masalah yang menarik
bagi mereka dan pembacanya. Tergantung pada suasana hati dan minat
penulis, itu mungkin membahas subjek tertentu, seperti politik, atau mencakup
berbagai topik.
Ada beberapa ratus juta blog yang ada, dengan lebih banyak bermunculan
setiap hari. Nilai bagi penyelidik adalah potensi untuk menautkan seseorang ke
nama pengguna, yang dapat digunakan di berbagai situs. Hal ini juga membantu
untuk memahami dinamika topik tertentu yang relevan dengan penyelidikan.
Jaringan gelap. Web gelap adalah bagian dari Internet di mana alat mesin pencari
tradisional (seperti Google) tidak beroperasi karena pembatasan yang dikenakan
pada mereka. Meskipun ada alasan sah untuk menggunakan web gelap,
umumnya dipahami sebagai tempat di mana penjahat berkomunikasi dan
menjadi tuan rumah pasar yang menjual berbagai bentuk barang dan jasa ilegal,
seperti kartu kredit curian, identitas curian, Kekayaan Intelektual (IP) , dan
banyak lagi. Alat dan aplikasi khusus diperlukan untuk memasuki web gelap.
Penyelidik yang percaya bukti untuk penyelidikan mereka berada di web

gelap harus sangat berhati-hati sebelum melanjutkan, karena komunitas kriminal
melakukan pengawasan balik yang kuat di lingkungan ini dan menunjukkan
kecurigaan terhadap orang yang mereka curigai sebagai penyelidik, petugas
penegak hukum, dan orang lain yang dapat menimbulkan risiko bagi mereka.
Jika Anda tidak yakin dengan lingkungan ini, tidak yakin tentang legalitas masuk
ke web gelap dari yurisdiksi Anda, atau memiliki kekhawatiran tentang keamanan
Anda (pribadi atau digital), rujuk area penyelidikan ini ke penyelidik spesialis
yang memiliki pengetahuan dan pengalaman dalam hal ini. bidang.
Dark web akan dibahas lebih detail di Bab 15. Alat pencarian
domain. Alat pencarian domain memberikan detail tentang pemilik domain Internet
yang terdaftar. Meskipun detail mengenai pemilik domain mungkin diblokir atau
salah, detail tersebut merupakan tempat yang sangat berguna untuk memulai
pertanyaan, karena banyak pendaftaran yang berisi informasi yang benar.
Alat pencarian domain juga memberikan informasi tentang lokasi halaman
web atau server email. Contoh alat termasuk CentralOps (https:// centralops.net),
Whois Lookup (https://www.whois.com.au/whois/index .html), dan pemeriksaan
domain Protokol Internet terbalik di ViewDNS (http:/ /viewdns.info/reverseip/).
Pelacakan email. Informasi header yang disertakan pada email dapat
memberikan alamat Protokol Internet pengirim. Ini tidak selalu terjadi, karena
beberapa layanan hosting web tidak mempertahankan alamat IP pengirim. Setelah

alamat Protokol Internet telah ditemukan, pertanyaan lebih lanjut dapat diperoleh
dari alat pencarian domain yang tercantum di atas.
Layanan email. Layanan email memberikan dukungan yang berharga bagi penyelidik
dalam memahami konten tema, data, dan informasi lain tentang email tersangka.
Layanan seperti penganalisa header email (mxtoolbox.com atau whatismyip.com)
memungkinkan penyelidik untuk mengunggah email yang sedang diselidiki dan
membuat program memasukkan metadata ke dalam format yang dapat dibaca.
Did TheyReadIt (didtheyreadit.com) dan ReadNotify (readnotify.com)
memungkinkan penyelidik mengirim email dan mengidentifikasi apakah email itu
dibaca dan kapan.
Pencarian gambar. Dalam kejahatan rekayasa sosial khususnya, penjahat mengirimkan
target mereka gambar, sering mengaku sebagai dirinya sendiri, sebagai bagian dari
proses pembangunan hubungan. Gambar-gambar ini biasanya diperoleh dari situs
open source seperti Facebook dan Google Images.
Untuk mengidentifikasi dari mana gambar itu berasal, alat pencarian seperti Gambar
Google (images.google.com) dan TinEye (tineye.com) memungkinkan gambar
untuk diunggah, di mana itu akan dianalisis dan daftar yang disediakan dari tempat
lain gambar-gambar ini secara online berada. Arsip internet. Saat halaman web
menghilang atau diubah, tampilan halaman web beberapa bulan sebelumnya mungkin
sangat berbeda dari tampilan hari ini. Penyelidik mungkin perlu mengetahui
bagaimana tampilan situs tertentu beberapa bulan yang lalu pada saat dugaan
aktivitas kriminal yang melibatkan situs web tersebut.
Situs seperti Internet Archive (https://archive.org) berisi (seperti namanya)
arsip halaman web yang berasal dari beberapa dekade. Mungkin tidak ada arsip
lengkap dari setiap halaman dan tautan yang terkait dengan situs tersebut, tetapi
situs tersebut dapat memberikan beberapa bantuan dan arahan kepada penyelidik.
Pelacakan alamat Protokol Internet. Melacak alamat Protokol Internet mungkin

memerlukan perintah pengadilan dari Penyedia Layanan Internet (ISP) untuk
mengidentifikasi akun tempat alamat tersebut dilampirkan. Beberapa alat open
source akan memberikan perkiraan lokasi di mana alamat tersebut berada, namun
ini hanya perkiraan. Gunakan alat ini sebagai panduan saja dan bukan sebagai
bukti pendukung dalam dokumen hukum seperti aplikasi surat perintah
penggeledahan, dengan penekanan yang lebih definitif ditempatkan pada
pertanyaan dengan ISP. Peta . Peta sumber terbuka dapat digunakan untuk
memasukkan data GPS yang diperoleh dari perangkat atau disematkan dalam foto.
Mereka umumnya akurat; namun, kehati-hatian harus dilakukan untuk menguatkan
data terhadap bukti lain sebelum bertindak
di atasnya. Sebagai contoh: jika Anda mengajukan permohonan perintah pengadilan, data
dari peta mungkin bermanfaat tetapi harus berhati-hati sebelum menyajikannya sebagai bukti
definitif di hadapan pengadilan. Gunakan data ini sebagai bukti yang membantu tetapi tidak
harus definitif. Alat jaringan. Ada banyak alat jaringan—seperti netstat dan
ping—yang dapat digunakan untuk menemukan bukti.

Toolkit Intelijen Sumber Terbuka. Seperti disebutkan dalam pengantar bab ini, organisasi seperti
Qwarie (https://www.qwarie .com), Toddington International (www.toddington.com), IntelTech
niques (https://inteltechniques.com), dan OSINT Framework (http:// osintframework.com)
menyediakan sejumlah besar materi open source intelligence (OSINT) yang dapat Anda
gunakan untuk memajukan penyelidikan Anda. Ada lebih banyak situs yang berisi berbagai
macam bahan sumber terbuka dan penyelidik dapat menemukan banyak jalan penyelidikan
dari sumber-sumber ini. Pencari orang. Ada banyak alat open source yang berguna yang
tersedia untuk membuat pertanyaan latar belakang tentang orang-orang yang berkepentingan
dalam penyelidikan. Sebelum menempuh jalan ini, periksa undang-undang setempat untuk undang-
undang tentang mengumpulkan dan menyimpan Informasi Identifikasi Pribadi (PII).
Contoh situs pencari orang yang populer adalah Pipl, PeopleSmart, dan Spokeo.
Beberapa situs ini fokus pada catatan AS tetapi tentu saja layak untuk dilihat.
Pencarian nomor telepon. Menemukan nama orang yang ditautkan ke nomor telepon sering kali
memerlukan perintah pengadilan, tetapi ada banyak situs online yang menyediakan informasi
ini melalui pemeriksaan telepon terbalik. Ini sangat berguna ketika mencoba mengidentifikasi
apakah panggilan telepon yang diterima terkait dengan situs penipuan.
Mesin pencari. Ada banyak mesin pencari online, dengan Google menjadi contoh yang jelas.
Jangan batasi pencarian Anda hanya ke Google; mencoba banyak mesin pencari lain yang
tersedia, seperti DuckDuckGo, Yahoo, Bing, dan lain-lain.
Hasil pencarian yang Anda terima dari masing-masing mesin pencari mungkin berbeda,
terutama jika seseorang telah mencoba untuk mengubur riwayat mereka di hasil pencarian
Google tetapi membiarkan riwayat mereka terbuka di hasil mesin pencari lainnya. Media
sosial. Platform media sosial yang paling umum adalah Facebook dan Twitter. Ada banyak
platform lain yang digunakan dan berbagai negara memiliki favorit mereka. Platform media
sosial meliputi:
Facebook Flickr
__
Instagram _
LinkedIn _
Myspace
Periskop
Tagged Tumblr
____
Twitter _
Alat terjemahan. Alat-alat ini menerjemahkan bahasa menjadi satu yang dapat digunakan
oleh pembaca. Meskipun seringkali tidak 100 persen akurat dan memungkinkan
perbedaan tata bahasa, mereka sangat berguna untuk memperoleh pemahaman tentang
isi komunikasi. Gunakan alat seperti itu sebagai panduan, dan jika Anda memerlukan
terjemahan definitif dari suatu komunikasi, pertimbangkan untuk menggunakan layanan
terjemahan profesional atau berkonsultasi dengan mahasiswa pascasarjana atau dosen
di universitas yang fasih dalam bahasa yang bersangkutan.
Salinan situs web. Kadang-kadang akan ada kebutuhan untuk mendapatkan salinan situs
web untuk bukti atau untuk memajukan jalur penyelidikan. Fasilitas penyalinan web
mengambil salinan seluruh situs web, termasuk kode yang mengoperasikan situs.
Saat mempertimbangkan untuk menggunakan alat ini, pahami hukum yurisdiksi Anda
serta hukum tempat situs web dihosting untuk memastikan ada otoritas yang sah untuk
pengambilan data tersebut.
Ada banyak alat sumber terbuka yang tersedia untuk penyelidik. Beberapa kategori telah
disebutkan dalam bab ini, tetapi memahami dan mengoperasikan materi sumber terbuka
merupakan kursus yang lengkap. Memiliki seseorang di tim investigasi Anda sebagai spesialis
open source mungkin merupakan sumber investigasi yang sangat berharga.
Setelah Anda mengumpulkan bukti Anda dari berbagai sumber yang terdaftar sejauh ini,
ada saatnya wawancara harus dilakukan untuk membawa penyelidikan ke tingkat berikutnya.
Wawancara dapat dilakukan saat bukti dikumpulkan, dan ini adalah ide yang bagus, karena
orang yang memberikan bukti kunci mungkin akan meninggalkan perusahaan besok dan tidak
dapat ditemukan.
CATATAN
1. Komite Konvensi Kejahatan Dunia Maya, Akses Data Lintas Batas (Pasal 32),
Catatan Panduan T-CY #3, Desember 2014, Dewan Eropa.
15BAB LIMA BELAS
Web Gelap
T HE DARK web adalah

seperti Google, bagian
Yahoo, dan darimengindeks
Bing tidak Internet tempat
konten mesin pencari
situs web. Situs web gelap secara khusus memblokir perusahaan yang sah ini
agar tidak mengindeks halaman mereka untuk meningkatkan privasi aktivitas yang
terjadi pada mereka.
Laboratorium Riset Angkatan Laut AS menciptakan konsep web gelap untuk tujuan
yang sah dalam membantu orang-orang mereka berkomunikasi melalui Internet
menggunakan bentuk keamanan yang ditingkatkan.1 Ini juga sangat bermanfaat bagi
orang-orang yang berada di negara-negara yang memusuhi hak asasi manusia untuk
dapat berkomunikasi melalui Internet menggunakan saluran komunikasi aman yang
mencegah pemerintah tuan rumah memata-matai komunikasi mereka.2
Untuk mengakses web gelap, pengguna perlu menggunakan browser tertentu,
seperti Tor, yang namanya berasal dari The Onion Router, nama proyek aslinya.
Browser Tor tersedia di www.torproject.com. Ada opsi lain yang tersedia tetapi browser
Tor adalah yang paling umum digunakan.
Jalur Anda ke web gelap terdiri dari lokasi tertentu yang berada di yurisdiksi hukum
yang berbeda, yang berarti melacak aktivitas alamat Protokol Internet (IP) melalui
strategi investigasi tradisional tidak mungkin dilakukan karena waktu yang dibutuhkan
untuk menemukan bentuk bukti ini. Selain itu, node jaringan Tor tidak menyimpan
catatan log di luar sesi.
237
238 Web Gelap
GAMBAR 15.1 Gambar koneksi browser Tor.

Gambar 15.1 menunjukkan browser Tor dengan jalur yang digunakan ditunjukkan di
sudut kiri atas. Alamat IP telah dihapus, karena tidak diketahui apakah alamat ini masih
merupakan bagian dari jaringan Tor.
Perlu diulang saat ini peringatan sebelumnya tentang web gelap. Sebelum
mempertimbangkan untuk beroperasi di lingkungan ini, pahami keterampilan yang
diperlukan untuk beroperasi di lingkungan yang terkadang sangat tidak bersahabat dan di
mana penjahat profesional suka melakukan penyelidikan kontra-intelijen tentang orang-
orang yang mengunjungi toko vendor mereka atau berkeliaran di pasar kriminal. Periksa
juga legalitas mengunjungi web gelap dan pasarnya di yurisdiksi Anda, karena beberapa
negara melarang keras warganya berada di web gelap atau memiliki aplikasi seperti
browser Tor di perangkat.
Jika Anda ragu tentang kemampuan Anda untuk mengamankan komputer dan
menavigasi web gelap dengan aman dan legal, pertimbangkan kembali perlunya
penyelidikan Anda di sana. Jika legal, dapatkan jasa penyelidik spesialis, banyak di
antaranya sebelumnya adalah penyidik penegak hukum dengan pelatihan spesialis di
lingkungan ini.
KEJAHATAN DAN WEB GELAP
Komunitas kriminal telah mengidentifikasi web gelap sebagai manfaat khusus bagi mereka,
karena metode komunikasi yang aman ini sambil menyembunyikan identitas mereka berarti
bahwa mereka juga dapat berkomunikasi secara diam-diam dengan lebih sedikit peluang.
dari campur tangan penegak hukum. Pasar kriminal awal yang disebut Silk Road
diciptakan, memungkinkan penjahat dunia maya untuk membeli dan menjual barang dan jasa di
forum pasar di mana pembeli dapat memeriksa kredibilitas vendor dan produk/layanan mereka
sebelum melakukan pemesanan. Banyak pasar baru telah muncul sejak Jalur Sutra ditutup oleh
penegak hukum AS, beberapa hanya ada untuk waktu yang singkat dan yang lain beroperasi
selama bertahun-tahun. Sebuah keuntungan dari pasar kriminal yang dikutip oleh banyak pembeli
adalah bahwa mereka menghilangkan kebutuhan untuk bertemu penjual secara tatap muka,
yang meningkatkan anonimitas.
Ada banyak barang dan layanan kriminal yang tersedia di web gelap
pasar, antara lain sebagai berikut:
Narkoba
Senjata Bahan
Eksploitasi Anak (CEM ) Kartu kredit
Identitas _
Kekayaan Intelektual (IP) Rekening
bank Nama pengguna dan kata
sandi yang disusupi Layanan peretasan Akun escrow
kejahatan dunia maya Buku petunjuk
Basis data perusahaan Akun

media sosial yang disusupi Paket paket kejahatan
dunia maya Tembakau Layanan pemalsuan
Alkohol
Kerentanan zero-day
Contoh iklan mata uang palsu ditunjukkan pada Gambar 15.2. Semua pengenal telah
dihapus, meskipun pasar Middle Earth sudah tidak ada lagi. Perhatikan bahwa di sudut kanan
bawah adalah jam waktu atom. Ini digunakan untuk merekam aktivitas dan waktu jika gambar
web digunakan sebagai bukti.
Meskipun pasar memasok komunitas kriminal, permintaan yang tidak biasa

untuk bantuan terkadang muncul, seperti yang ditunjukkan pada Gambar 15.3.
Pasar didasarkan pada model situs lelang online, di mana vendor mengiklankan barang
dan jasa mereka dan pembeli menilai produk dan vendor.
Seorang pembeli akan meninjau umpan balik vendor dari pelanggan sebelumnya dan menilai
kualitas barang/jasa yang diberikan. Mereka mungkin juga pergi ke
240 Web Gelap
GAMBAR 15.2 Gambar mata uang palsu yang dijual.

GAMBAR 15.3 Gambar layanan hacking.

papan buletin di situs dan ajukan pertanyaan kepada komunitas tentang reputasi vendor yang
mereka minati atau siapa yang menjual barang atau layanan tertentu yang mereka coba temukan.
Gambar 15.4 menunjukkan contoh profil pengguna vendor dengan peringkat ulasan dan
komentar dari pembeli. Semua rincian identitas telah dihapus.
Penyelidik mungkin menemukan bahwa pasar gelap adalah tempat data klien mereka
berakhir setelah pelanggaran dunia maya. Mungkin juga tempat penyerang Anda mempelajari
keahlian mereka dari penjahat dunia maya yang lebih berpengalaman.
GAMBAR 15.4 Gambar profil pengguna vendor dengan peringkat ulasan dan komentar dari
pembeli.
Sumber: Sumber Terbuka.
Di pasar, orang-orang yang berdagang pada umumnya adalah anggota komunitas

kriminal. Mereka ada di sana untuk motif mereka sendiri dan memahami risiko yang terlibat
dalam diidentifikasi. Banyak yang sangat serius tentang perdagangan dan sangat serius
dengan keamanan siber mereka, termasuk, seperti yang disebutkan sebelumnya,
mengambil tindakan seperti mencoba mengidentifikasi siapa yang telah melihat toko
vendor, tidak berinteraksi dengan vendor, dan tidak bertemu pembeli. Orang-orang dalam
kategori ini dipandang sebagai polisi, penyelidik swasta, atau jurnalis. Meskipun perlu kehati-
hatian, pasar kriminal adalah tempat yang sah bagi penyelidik untuk mencari bukti dan/atau
meningkatkan pengetahuan mereka sendiri tentang metodologi kriminal yang muncul.
Lembaga penegak hukum internasional telah menutup banyak pasar, tetapi lebih
banyak lagi yang terus didirikan untuk menggantikan yang ditutup. Contoh situs yang
dihapus oleh penegak hukum ditunjukkan pada Gambar 15.5.
Jika Anda memerlukan lebih banyak pengetahuan tentang web gelap dan pasar, ada
situs web permukaan yang didedikasikan untuk memahami apa yang terjadi di pasar. Situs-
situs ini memberikan informasi dasar tentang pasar apa yang ada dan memberikan banyak
informasi bagi mereka yang ingin mempelajari lebih lanjut.
242 Web Gelap
GAMBAR 15.5 Gambar pasar kriminal yang ditutup oleh penegak hukum.
Bab 16 akan memberikan beberapa gagasan tentang wawancara saksi dan tersangka.
Ini menyediakan banyak daftar yang dapat berfungsi sebagai template dan juga dapat
membantu dalam memperoleh informasi lebih lanjut, yang merupakan inti dari wawancara!
CATATAN
1. “Tor: Inception,” Proyek Tor, www.torproject.com.

2. Ibid.
16BAB ENAM BELAS
Wawancara Saksi
dan Tersangka
SAYA WAWANCARA
memperbaiki. ADALAH
Tidak seni,cepat
ada cara dan semakin banyak wawancara
untuk menjadi yangahli,
pewawancara Anda lakukan,
karena ini semakin banyak Anda
adalah keterampilan
yang membutuhkan bertahun-tahun latihan terus-menerus. Saat mewawancarai, terimalah bahwa
wawancara ke-100 Anda akan jauh lebih baik daripada yang pertama dan bahwa wawancara ke-200
Anda akan jauh lebih baik daripada ke-100 Anda. Ini adalah seni yang selalu Anda pelajari, karena setiap
mata pelajaran berbeda dan memiliki motivasi yang berbeda-beda, dan kepribadian manusia itu dinamis,
jadi strategi wawancara yang sukses luar biasa dalam satu contoh mungkin menjadi kegagalan dramatis
di kesempatan berikutnya.
Ada banyak faktor yang terlibat dalam menjadi pewawancara yang terampil, dengan model yang
berbeda yang digunakan oleh penegak hukum dan penyelidik swasta. Buku ini tidak berusaha untuk
mengajarkan seni wawancara, tetapi untuk menyediakan konten yang dapat digunakan dengan strategi
yang Anda pilih yang Anda anggap relevan dalam situasi yang Anda hadapi.
Wawancara adalah pencarian fakta untuk memperdalam pemahaman Anda tentang pengetahuan
orang tersebut dan relevansinya dengan masalah yang sedang diselidiki. Keterkaitan mereka mungkin
sangat jelas sejak Anda pertama kali mendekati mereka untuk mengambil bagian dalam wawancara, atau
Anda mungkin mewawancarai mereka secara menyeluruh dan untuk memastikan bahwa semua jalan
penyelidikan yang potensial tercakup. Dalam kedua keadaan tersebut, pemikiran awal Anda mungkin
terbukti benar atau sebaliknya, saat Anda mendengarkannya, pendapat Anda mungkin mengalami
perubahan radikal. Saksi yang Anda rasa memiliki bukti kunci mungkin
243
244 Wawancara Saksi dan Tersangka
tidak memilikinya sama sekali, dan saksi yang hanya Anda ajak bicara sebagai hal yang menyeluruh
dalam metodologi investigasi Anda dapat mengungkapkan informasi yang membawa mereka langsung
ke pusat penyelidikan sebagai saksi penting atau tersangka. Kunci dalam kedua kasus tersebut adalah
memperlakukan setiap wawancara sebagai peristiwa unik, untuk secara aktif menghilangkan bias yang
Anda miliki dalam apa yang Anda harapkan untuk didengar, dan bersiaplah untuk wawancara yang
sangat berbeda dari apa yang Anda harapkan.
Salah satu saran yang dapat diberikan bab ini adalah mendengarkan dan mengizinkan orang yang
diwawancarai untuk berbicara. Hal ini berlaku sama untuk tersangka dan saksi wawancara. Sebuah
perangkap wawancara banyak jatuh ke dalam mengajukan pertanyaan, kemudian fokus pada pertanyaan
berikutnya yang akan ditanyakan daripada secara aktif mendengarkan dan mencerna kata-kata yang
dikatakan orang yang diwawancarai. Dalam skenario ini, informasi berharga akan terlewatkan dan inti
wawancara, yaitu untuk mendapatkan semua pengetahuan yang ditawarkan subjek, dikalahkan. Di sinilah
memiliki rekan kerja sebagai mitra wawancara Anda akan membantu, karena mereka mungkin dapat
mengidentifikasi bukti yang mungkin terlewatkan oleh Anda sebagai pewawancara utama.
Diam juga merupakan strategi wawancara yang kuat. Tersangka khususnya dapat memberikan
jawaban yang sudah dilatih untuk pertanyaan yang mereka harapkan dan mengantisipasi bahwa
pertanyaan baru akan diajukan segera setelah mereka berhenti berbicara, memungkinkan mereka untuk
memimpin wawancara jauh dari area yang mereka rasa tidak nyaman. Dengan tetap diam, pewawancara
memproyeksikan kesan bahwa mereka melihat jawaban yang diberikan hanya sebagian yang lengkap
dan bahwa mereka menunggu tersangka untuk memberikan lebih banyak informasi. Tergantung pada
kepribadian tersangka dan pengalaman mereka dalam diwawancarai, banyak yang secara tidak sengaja
akan mulai berbicara lagi, mengatakan hal-hal yang sebelumnya mereka latih tidak mengatakannya.
Banyak pengacara di pengadilan yang ahli dalam menggunakan strategi ini ketika memeriksa saksi-saksi.
Berbeda dengan menggunakan keheningan sebagai strategi wawancara, banyak pewawancara

merasa bahwa mereka perlu terus-menerus membicarakan pihak lain sebagai tanda untuk mengendalikan
wawancara, atau bahwa mereka perlu segera menantang orang yang diwawancarai ketika ada sesuatu
yang dikatakan berbeda dari apa yang dikatakan orang yang diwawancarai. pewawancara mengharapkan
atau ingin mendengar. Sebagai aturan praktis yang sangat kasar, cobalah untuk membuat saksi/tersangka
berbicara sekitar 90 persen dari waktu dibandingkan dengan 10 persen Anda.
Sebagai panduan umum, jika Anda melakukan wawancara dan itu menyerupai sesuatu dari acara
polisi favorit Anda di televisi, kemungkinan Anda salah melakukannya, karena banyak wawancara polisi
di televisi perlu didramatisasi untuk pengembangan cerita dan hiburan, dan tidak digambarkan dengan
akuntabilitas ketat yang perlu Anda tunjukkan di pengadilan hingga dua tahun kemudian. Lelucon atau
ejekan yang tampak sangat efektif selama wawancara tersangka terlihat sangat buruk ketika dimainkan
di hadapan hakim dan juri saat
Wawancara Tersangka 245
Anda sedang duduk di kotak saksi menunggu pengacara pembela menghabiskan beberapa jam
berikutnya menanyai Anda tentang keterampilan dan sikap komedi Anda terhadap klien mereka.
Hal ini dapat menyebabkan garis pertanyaan sepanjang baris, jika Anda kurang profesionalisme
dalam wawancara, apa lagi tentang penyelidikan Anda kurang profesionalisme? Juri juga
sepertinya tidak menyukai penggunaan sarkasme oleh inter
pemirsa.
WAWANCARA TERGUGAT
Jika Anda berada dalam posisi di mana Anda sedang mempertimbangkan untuk mewawancarai
tersangka, pikirkan apakah Anda orang yang tepat untuk melakukan wawancara atau jika ada
seseorang di tim Anda yang lebih tepat. Yang paling senior per anak tidak selalu pewawancara
terbaik. Juga pertimbangkan apakah anggota tim Anda memiliki hubungan baik dengan tersangka,
karena ini mungkin terbukti menjadi keuntungan taktis atau menguntungkan wawancara. Tidak
jarang seorang tersangka membangun kebencian terhadap penyidik utama yang telah ditunjuk
sebagai pewawancara, tetapi memiliki hubungan baik dengan orang yang ditunjuk untuk melakukan
pekerjaan lain, seperti mengumpulkan barang bukti. Ini mungkin masalah chemistry pribadi dan
ego tidak boleh memainkan peran apa pun dalam wawancara.
Sebagai contoh, di awal karir polisi saya, saya menangkap seorang laki-laki muda karena
mencuri mobil, tuduhan yang dibantahnya dalam wawancara meskipun ketahuan mengemudikannya
pada pukul 2:00 pagi, tidak dapat memberikan nama pemiliknya, dan memiliki banyak keyakinan
sebelumnya karena mencuri mobil. Dia tidak siap untuk membuat pengakuan apa pun tentang
mengendarai mobil curian, tetapi pasangan saya, seorang perwira wanita yang bersama suaminya
balapan mobil di balapan lokal, mengambil alih wawancara dan berbicara bahasa balap motor
kepadanya, dan dia bisa tidak mengaku mencuri mobil dan beberapa lainnya cukup cepat. Sebagai
petugas yang menangkap dan pewawancara utama, saya dengan senang hati menyerahkan
kendali wawancara kepadanya, karena hasil sedang diperoleh dan saya tidak peduli siapa di
antara kami yang memperoleh pengakuan sebagai hal yang dapat diterima.
bukti. Meskipun dia akan ditangkap karena mencuri mobil selama ini, pengakuan selama
wawancara berarti bahwa dia mengaku bersalah atas tuduhan awal dan beberapa lainnya segera
setelah dia menghadapi pengadilan.
Sebagai penyelidik sipil yang terlibat dalam penyelidikan yang kemungkinan akan dirujuk ke
polisi, pertimbangkan apakah kebijakan terbaik adalah tidak mewawancarai tersangka dan
menyerahkannya kepada polisi, seperti yang telah disebutkan sebelumnya. Seringkali seorang
tersangka hanya akan memberikan satu wawancara dan itu lebih baik diserahkan kepada polisi.
Terlepas dari apakah Anda atau kolega Anda mewawancarai tersangka, ingatlah bahwa mereka
harus diberikan perlindungan untuk melindungi diri mereka sendiri dalam wawancara di mana mereka dianggap
telah melakukan tindak pidana perdata atau pidana. Hak-hak ini bervariasi menurut yurisdiksi,
namun beberapa yang paling umum adalah:
Hak untuk berbicara dengan pengacara dan/atau orang pendukung dan memilikinya
hadir saat wawancara
Hak untuk membungkam dan/atau tidak memberatkan diri mereka sendiri
Hak untuk berbicara dengan perwakilan serikat pekerja dan meminta mereka hadir selama
wawancara dalam penyelidikan sipil Hak untuk memahami sepenuhnya tentang apa
wawancara itu dan apa yang dituduhkan kepada mereka Hak untuk menolak diwawancarai
kecuali dipaksa oleh undang-undang setempat Hak agar wawancara direkam secara
elektronik dan diberikan salinan rekamannya (periksa undang-undang setempat tentang
wawancara yang direkam secara elektronik)
Hak untuk mengakhiri wawancara sebagian jika diinginkan Hak untuk wawancara tidak
bersifat memaksa Hak atas penerjemah jika tersangka tidak dapat berkomunikasi dalam
bahasa tersebut
diucapkan oleh pewawancara
Kemungkinan hak agar kedutaan/konsulat negara asal diperingatkan jika tersangka adalah
warga negara asing (persyaratan ini mungkin ada dalam kasus penyelidik penegak hukum)
Kegagalan untuk memberikan salah satu atau semua perlindungan yang dituntut oleh
yurisdiksi berarti bahwa wawancara dan semua bukti darinya dapat dikecualikan ketika masalah
tersebut dibawa ke pengadilan atau nilainya dapat dikurangi. Hal ini pada gilirannya akan
merusak reputasi Anda di antara rekan kerja dan pengadilan, terutama jika Anda kalah dalam
kasus tersebut dan perusahaan Anda bertanggung jawab atas biayanya.
WAWANCARA SAKSI
Wawancara saksi berbeda dengan tersangka; namun, banyak dari keramahan yang sama
berlaku. Dalam kebanyakan kasus, saksi hadir secara sukarela dan ingin membantu. Anda
akan menemukan beberapa contoh langka di mana saksi lebih mengelak daripada tersangka
dan mengekstraksi informasi dari mereka hampir tidak mungkin. Ini karena alasan penting bagi
mereka, seperti yang mungkin terjadi jika Anda mewawancarai seorang manajer yang
karyawannya telah melakukan penipuan skala besar terhadap perusahaan. Sementara manajer
tidak dicurigai terlibat, mereka takut akan karier mereka, disalahkan karena lalai, dan kehilangan
pekerjaan.
Sebagai contoh, saya mewawancarai seorang manajer menengah dari sebuah

organisasi besar yang anggota stafnya diduga secara curang memperoleh lebih dari $15
juta. Manajer sangat mengelak dan menghalangi dalam wawancara saksi, meskipun
diberitahu dalam banyak kesempatan bahwa mereka bukan tersangka dan hanya dilihat
sebagai saksi yang memberikan latar belakang tersangka dan tugasnya.
Manajer ini tidak mencoba untuk mengganggu, tetapi tujuan wawancara mereka
adalah untuk melepaskan diri dari penyelidikan, karena mereka khawatir bahwa
wawancara akan memberikan bukti kelalaian mereka sebagai manajer, yang kemudian
akan digunakan oleh penyelia mereka untuk pemecatan. Ini berarti kehilangan pekerjaan
dan rumah mereka dan harus mengeluarkan anak-anak dari sekolah swasta mereka, jadi
dalam pikiran mereka menghindari pemecatan adalah prioritas yang lebih tinggi daripada
penyelidikan.
Atau, saksi mungkin mencoba untuk sangat membantu penyelidikan, dan ini harus
dihargai. Namun, kadang-kadang bukti dapat secara tidak sengaja dibumbui oleh saksi.
Ini bukan ukuran ketidakjujuran mereka, tetapi upaya bawah sadar untuk memberikan
informasi sebanyak mungkin untuk penyelidikan. Pembuktian mereka harus dibatasi
pada peristiwa yang mereka ketahui dan bukan desas-desus, termasuk menceritakan
peristiwa yang mereka dengar dari pihak lain (bukan tersangka). Informasi yang dikatakan
tersangka kepada mereka sendiri mungkin merupakan bukti yang dapat diterima, tetapi
cerita yang mereka dengar di ruang makan kemungkinan besar tidak.
Terakhir, pikirkan urutan Anda mewawancarai orang. Salah satu strateginya adalah
membangun pemahaman sebanyak mungkin tentang peristiwa dari saksi sebelum Anda
mendekati tersangka. Keadaan Anda dapat menentukan urutan wawancara karena
ketersediaan saksi, tersangka berada di dekatnya, atau kurangnya pengetahuan tentang
peristiwa dan kebutuhan untuk membangun pemahaman yang mendalam tentang
peristiwa dan lingkungan.
PERSIAPAN UNTUK WAWANCARA
Terlepas dari apakah wawancara itu tersangka atau saksi, mempersiapkan wawancara
menghemat waktu dan rasa malu nantinya. Memiliki ruang wawancara yang disiapkan
dengan baik dengan pewawancara berpengalaman yang menyapa subjek memproyeksikan
citra profesional.
Apakah Anda sedang mewawancarai saksi atau tersangka, keberhasilan wawancara
ada dalam perencanaan. Menciptakan lingkungan yang memungkinkan orang yang
diwawancarai untuk memberikan informasi selama proses yang lebih menarik
lebih disukai daripada wawancara polisi tradisional di mana pertanyaan diajukan oleh petugas
polisi dan dijawab oleh orang yang diwawancarai dalam urutan yang menarik bagi petugas polisi.
Apa yang penting bagi petugas polisi yang melakukan wawancara mungkin sangat berbeda dari
informasi yang ingin diberikan oleh orang yang diwawancarai pada awalnya.
Saat mewawancarai anggota staf organisasi yang menjadi korban peristiwa siber, pahami
bisnis dan peran orang yang diwawancarai sebelum wawancara dimulai. Ini tidak hanya menghemat
waktu, tetapi juga menunjukkan kepada orang yang diwawancarai bahwa Anda diberi pengarahan
tentang topik Anda dan tidak perlu membuang waktu wawancara yang berharga untuk hal-hal
yang tidak perlu. Meski begitu, mengajukan beberapa pertanyaan yang sangat mendasar dari
orang yang diwawancarai memungkinkan mereka untuk masuk ke wawancara dengan beberapa
jawaban sederhana yang tidak terkait dengan mekanisme acara.
Beberapa contoh termasuk:
Sudah berapa lama usaha ini berdiri? Sudah berapa lama

Anda bergabung dengan organisasi? Apa peran Anda?
Bersamaan dengan perlindungan hukum yang disediakan oleh yurisdiksi tertentu, ada hal-
hal lain yang akan ditangani oleh pewawancara yang terampil. Contohnya meliputi:
Rencanakan keselamatan diri sendiri, orang lain yang hadir, dan antar
melihat
Rencanakan wawancara untuk waktu yang dapat diterima bersama jika keadaan
mengizinkan.
Lakukan wawancara di tempat yang tenang di mana tidak ada kebisingan latar belakang atau
kesempatan untuk diinterupsi oleh orang-orang yang masuk ke kantor. Kebisingan latar
belakang bisa berasal dari ruang makan di sebelah atau AC yang bising di dalam ruangan
itu sendiri. Sebagai alternatif, tergantung pada keadaan Anda mungkin perlu merekam
wawancara pendahuluan secara elektronik dengan seorang saksi di sisi jalan dengan lalu
lintas yang lewat—yang meskipun tidak diinginkan, mungkin diperlukan karena keadaan
kasus yang unik.
Bangun hubungan baik dengan orang yang akan diwawancarai. Pelajari latar belakang dan
minat mereka untuk mendorong percakapan yang bersahabat sebelum wawancara dimulai
untuk mendobrak hambatan dan meredakan ketegangan.
Berhati -hatilah dengan apa yang Anda katakan kepada saksi tentang suatu kasus. Jangan
membuat komentar langsung yang negatif tentang tersangka, karena hal ini kemungkinan
akan diulangi kepada saksi lain atau bahkan mungkin direkam oleh saksi yang menginginkan
salinan elektronik wawancara mereka sendiri.
Periksa untuk memastikan bahwa saksi/tersangka tidak perlu meninggalkan wawancara

karena alasan tertentu, seperti menjemput anak dari sekolah dalam waktu setengah jam.
Sediakan air, teh, kopi, atau sejenis minuman. Pastikan mereka

memahami bahasa yang Anda gunakan, dan jika tidak, aturlah juru bahasa. Hindari juga
jargon dan akronim, karena hal ini kemungkinan akan membingungkan tidak hanya saksi
Anda, tetapi juga juri yang menonton/mendengarkan wawancara Anda beberapa tahun
kemudian setelah tersangka didakwa. Periksa kesehatan fisik dan mental mereka dan
apakah mereka perlu minum obat yang diresepkan atau jika ada masalah lain yang perlu
Anda waspadai.
Pastikan ada aliran udara yang cukup di dalam ruangan, sebagai ruang wawancara tertutup
dengan aliran udara yang buruk mengurangi wawancara untuk semua pihak.
Rekam wawancara secara elektronik sesuai dengan hukum Anda
yurisdiksi.
Berikan mereka salinan pernyataan mereka. Di
akhir wawancara, beri tahu mereka apa yang terjadi selanjutnya dan nilai kesejahteraan
mereka. Terima mereka untuk waktu mereka. Pastikan mereka bisa pulang dengan
selamat.
Perangkat seluler harus dimatikan atau disetel senyap, karena dapat mengganggu
alur wawancara.
Pertimbangkan nilai memiliki orang kedua saat wawancara sebagai pendukung untuk
mendukung Anda. Ini mungkin untuk keselamatan pribadi, manajemen pameran, atau
untuk meminta orang lain mengamati tingkah laku orang yang diwawancarai dan untuk
memberikan garis pertanyaan yang mungkin tidak terpikirkan oleh Anda tetapi yang dapat
diidentifikasi oleh koroborator melalui wawancara dengan orang yang diwawancarai.
jawaban.
Jika saksi adalah orang yang rentan atau mungkin terlihat sangat dirugikan sehubungan
dengan pewawancara, rencanakan kehadiran orang pendukung untuk memastikan bahwa
bukti mereka diperoleh secara adil sambil menunjukkan rasa hormat terhadap kebutuhan
mereka dan setiap gangguan, yang mungkin termasuk cacat kesehatan fisik / mental.
Pertimbangan berharga sebelum wawancara adalah merencanakan untuk mengontrol

bukti Anda. Orang kedua dalam wawancara dapat ditugaskan untuk memastikan bahwa
tersangka tidak memiliki akses fisik ke bukti yang dapat mereka hancurkan atau hal-hal yang
dapat digunakan sebagai senjata. Salinan dokumen penting mungkin bermanfaat untuk
ditunjukkan kepada tersangka, dan meminta mereka untuk menandatangani dan memberi
tanggal salinan ini memberikan tingkat keaslian.
PROSES WAWANCARA
Bagian ini memberikan pengantar umum untuk wawancara dan strukturnya.

Seperti yang telah dinyatakan di bagian lain, undang-undang dan peraturan setempat Anda akan
menentukan bagaimana wawancara Anda dilakukan dan standar yang disyaratkan oleh pengadilan Anda.
Gunakan bagian berikut sebagai pedoman saja dan masukkan ke dalam rencana wawancara Anda
jika hukum dan keadaan Anda mengizinkan.
Pengantar Wawancara Saksi
Ketika perlindungan telah diberikan dan Anda siap untuk memulai wawancara, mulailah dengan
dasar-dasar untuk menetapkan siapa yang diwawancarai dan relevansinya dengan penyelidikan.
Mampu menjawab pertanyaan yang membuat mereka nyaman juga memungkinkan mereka untuk
membangun kepercayaan diri mereka. Ini sama relevannya dalam wawancara saksi dan tersangka.
Pertanyaan yang Anda ajukan selama wawancara akan ditentukan oleh acara; namun, daftar
pertanyaan berikut dapat digunakan untuk wawancara saksi atau tersangka. Gunakan pertanyaan
terbuka (pertanyaan dimulai dengan “ex plain”, “who”, “what”, “when”, “where”, “why”, dan “how”),
yang menghalangi jawaban ya atau tidak. Juga buat pertanyaan singkat, karena ada beberapa hal
yang lebih sulit bagi orang yang diwawancarai daripada pertanyaan yang berlangsung beberapa
menit dan mencakup beberapa subpertanyaan.
Contohnya meliputi:
Di mana Anda bekerja? Apa

tugas Anda? Siapa manajer
Anda? Berapa banyak staf yang
Anda laporkan kepada Anda? Berapa lama Anda berada di
posisi Anda saat ini? Kapan Anda bergabung dengan perusahaan?
Apa yang akan terdiri dari hari rutin sehubungan dengan tugas Anda?
Pertanyaan-pertanyaan ini bersifat sangat umum dan memungkinkan subjek untuk memudahkan
jalan mereka ke dalam wawancara dengan mampu memberikan jawaban rinci atas pertanyaan-
pertanyaan yang mereka kenal dan nyaman. Saat kepercayaan orang yang diwawancarai meningkat,
lebih banyak pertanyaan terkait bukti dapat diajukan.
Tubuh Wawancara
Membiarkan orang yang diwawancarai untuk berbicara tentang apa yang penting bagi mereka
adalah cara yang berharga untuk membuka bagian utama dari proses wawancara. Saksi/
tersangka mungkin memiliki informasi berharga yang ingin mereka ungkapkan dan mencari
kesempatan pertama dalam wawancara untuk mengungkapkannya.
Perhatikan apa yang mereka katakan dan cara mereka mengatakannya.
Teknik ini juga memungkinkan pengungkapan bukti yang bahkan tidak Anda pikirkan.
Pewawancara yang berpengalaman akan mencatat bahwa seorang saksi dapat memberikan
perincian tentang banyak poin yang diajukan, sedangkan tersangka dapat memberikan perincian
besar tentang hal-hal yang tidak terkait tetapi sangat sedikit informasi tentang hal-hal spesifik
dari pelanggaran yang sedang diselidiki.
Setelah Anda menetapkan relevansi orang tersebut dengan masalah yang sedang
diselidiki, Anda dapat beralih ke pertanyaan yang lebih relevan. Sekali lagi, pastikan bahwa
pertanyaan yang diajukan bersifat terbuka dan dirancang untuk mendapatkan jawaban yang
terperinci. Jika Anda mengidentifikasi ketidakkonsistenan antara apa yang dikatakan subjek
dan apa yang Anda ketahui, jangan langsung masuk dan menentangnya, karena ini merusak
aliran dan kepercayaan diri mereka.
Jenis pelanggaran yang diselidiki akan menentukan arah wawancara mulai sekarang.
Mewawancarai eksekutif senior akan berbeda dengan mewawancarai manajer lini seorang
tersangka, karena pengetahuan mereka tentang kejadian mungkin sangat berbeda.
Daftar berikut mencakup berbagai pertanyaan wawancara yang mungkin tercakup dalam
wawancara; jika memungkinkan, akan sangat membantu untuk mengetahui beberapa informasi
ini sebelum wawancara. Ini tidak selalu mungkin; namun, persiapan pra-wawancara seringkali
sama pentingnya dengan wawancara itu sendiri. Daftar ini bersifat sangat umum, karena tidak
praktis untuk memberikan jadwal pertanyaan wawancara yang mencakup masing-masing dari
banyak jenis kejahatan dunia maya.
Pengetahuan Saksi tentang Alat-alat yang Terkait dengan Penyidikan Alat

apa yang anda gunakan? Siapa yang memiliki perangkat? (Pertanyaan ini
berkaitan dengan wawancara yang dilakukan di rumah tersangka atau ketika Perangkat Bawa
Sendiri (BYOD terlibat.) Tugas apa yang Anda lakukan pada perangkat ini? Siapa lagi
yang memiliki akses ke perangkat ini? (Apakah perangkat dalam kantor seseorang atau di
ruang bersama?) Bagaimana Anda mendapatkan akses ke perangkat? Apakah Anda
menggunakan perangkat individu atau bersama
kata sandi untuk mendapatkan akses?

Siapa orang yang bertanggung jawab untuk menyediakan akses ke perangkat ini?
Siapakah orang-orang yang dapat mengubah hak akses sesuai kebutuhan?
(Di sini Anda ingin melihat apakah hak akses ke data telah ditingkatkan secara tidak
sah oleh peretas.) Berapa lama perangkat subjek berada di jaringan? Apa kata sandi
untuk perangkat? (Ini sangat penting untuk penyelidik digital dan dapat menyertakan
kunci enkripsi untuk perangkat dan lalu lintas jaringan.) Aplikasi dan protokol keamanan
apa yang ada di perangkat dan jaringan? Apa itu Kontrol Akses Media (MAC) dan
Protokol Internet subnet
(IP) alamat? (Ini adalah pertanyaan untuk staf teknis.) Siapa

pemilik perangkat yang terkait dengan pelanggaran keamanan, bisnis pengadu atau
saksi/tersangka? Jika perangkat BYOD, apa perjanjian dengan manajemen terkait
akses ke perangkat untuk pemeriksaan? Siapa yang memiliki akses jarak jauh ke
perangkat atau jaringan? Keamanan apa yang melekat pada akses jarak jauh? Siapa
yang membuat penyimpanan cadangan? Siapa yang memiliki akses ke penyimpanan
cadangan? (Akses dibuat untuk bukti latar belakang potensial, terutama ketika bukti pada
perangkat telah dihancurkan oleh penyerang.)
Siapa yang memiliki daftar aplikasi resmi pada perangkat? (Identifikasi program yang
tidak sah dan bagaimana mereka sampai di sana. Identifikasi apa yang mereka
lakukan.)
Apa perilaku pengguna normal pada perangkat? Contohnya termasuk jumlah lalu lintas
dan pengguna.
Akses komputasi awan apa yang terlibat dalam jaringan? (Identifikasi apakah data
disimpan secara rutin di cloud.) Perangkat penyimpanan eksternal apa yang terkait
dengan perangkat subjek?
Contohnya termasuk perangkat USB, ponsel, dan hard drive portabel. Apa saja
contoh shadow IT (Information Technology) ? (Ini termasuk aplikasi dan layanan yang
diinstal oleh pengguna tanpa persetujuan atau sepengetahuan administrator sistem.)
Apa pengenal akun dan alamat email Anda? Apakah Anda memiliki nama pengguna lain
yang terkait dengan perangkat/jaringan? Program pembersih apa (seperti CCleaner
atau BleachBit) yang digunakan pada
komputer? Kapan dipasang dan oleh siapa?
Jika seorang karyawan internal melakukan pelanggaran yang dicurigai, bagaimana dapat
ditentukan bahwa itu adalah tindakan ketidakjujuran yang disengaja dan bukan orang
yang melebihi wewenangnya?
Pengetahuan Saksi tentang Tersangka

Menurut Anda siapa yang mungkin berada di balik kejahatan dunia maya yang sedang
diselidiki? Jelaskan kejadian tidak biasa yang terjadi baru-baru ini, terutama yang melibatkan
teknologi.
Bagaimana Anda mengetahui insiden cyber yang terjadi? Bagaimana Anda
mengenal orang ini? (Pertanyaan ini relevan untuk internal
penyelidikan.)
Berapa lama Anda mengenal orang ini? (Pertanyaan ini relevan untuk penyelidikan internal.)
Apa tugas sehari-hari mereka? (Pertanyaan ini relevan untuk investasi internal
tigasi.)
Seperti apa hari-hari biasa bagi orang ini? (Pertanyaan ini relevan
untuk penyelidikan internal.)
Siapa manajer mereka? (Pertanyaan ini relevan untuk investigasi internal
tion.)
Seperti apa sikap mereka terhadap tempat kerja dan manajemen?
(Pertanyaan ini relevan untuk penyelidikan internal.) Jelaskan
setiap contoh perilaku negatif atau mencurigakan dari orang ini.
(Pertanyaan ini relevan untuk penyelidikan internal.) Jelaskan
pengetahuan Anda tentang keterampilan mereka sehubungan dengan teknologi.
(Pertanyaan ini relevan untuk penyelidikan internal.)
Pengetahuan Saksi tentang Peristiwa yang Diselidiki

Apa pemahaman Anda tentang peristiwa yang sedang diselidiki? Bagaimana
itu ditemukan?
Apa keterlibatan Anda dalam penyelidikan ini? Apa buktinya
bahwa suatu pelanggaran telah dilakukan?
Kapan kejadian itu terjadi?
Kapan kejadian itu pertama kali ditemukan? Siapa yang
menemukan kejadian itu?
Siapa yang bertanggung jawab atas investigasi? Berapa
perkiraan kerugian akibat insiden tersebut? (Pertanyaan ini ditujukan untuk manajer senior
dan dapat mencakup kerugian finansial, reputasi, dan biaya peluang.)
Siapa yang memberi perintah untuk mengamankan barang bukti? (Relevant ketika seseorang
telah diarahkan untuk mengamankan bukti)
Siapa yang mengidentifikasi bukti apa yang harus diamankan? Di
mana bukti yang dikumpulkan sampai saat ini disimpan dan siapa yang memiliki akses ke sana?
Tindakan apa yang telah diambil untuk mengidentifikasi, mengumpulkan, melestarikan, atau menganalisis
data dan perangkat yang terlibat?
Jelaskan dengan kata-kata Anda sendiri relevansi bukti yang telah

dijamin.
Apa hubungan Anda dengan bukti? (Pertanyaan ini relevan jika

saksi memiliki akses ke perangkat bersama.)
Perhatikan bahwa semua pertanyaan bersifat terbuka, artinya orang yang diwawancarai tidak dapat
menjawab dengan ya atau tidak. Perhatikan juga bahwa semua pertanyaan sangat singkat dan langsung.
PENUTUP WAWANCARA
Setelah Anda puas bahwa Anda telah memperoleh semua bukti yang Anda dapat dari orang yang
diwawancarai, sekarang saatnya untuk menutup wawancara. Pada saat ini, akan sangat membantu untuk
mengulangi pemahaman Anda tentang informasi yang diperoleh dari orang yang diwawancarai dengan
kata-kata Anda sendiri, yang memungkinkan orang yang diwawancarai untuk mengoreksi pemahaman
Anda dan mungkin menambahkan materi baru yang tiba-tiba mereka ingat.
Menutup wawancara dapat melibatkan beberapa pertanyaan untuk membuktikan bahwa proses
wawancara telah adil bagi saksi/tersangka dan untuk melindungi integritas Anda di depan pengadilan.
Contoh pertanyaan tersebut dapat mencakup:
Apakah Anda ikut serta dalam wawancara ini atas kehendak bebas Anda
sendiri? Apakah Anda memiliki informasi lebih lanjut yang menurut Anda relevan dengan masalah ini
yang belum saya tanyakan kepada Anda? Apakah Anda memiliki keluhan tentang cara Anda
selama ini
diperlakukan?
Apakah ada ancaman, janji, atau bujukan yang diberikan hari ini untuk membujuk Anda untuk
melakukan wawancara ini?
Selalu ucapkan terima kasih kepada orang yang diwawancarai atas waktu mereka dan beri tahu
mereka tentang perkembangan yang praktis.
TINJAUAN WAWANCARA
Setelah wawancara selesai, godaannya adalah untuk melanjutkan ke pertanyaan berikutnya dan
membangun manfaat apa yang telah Anda peroleh dari wawancara tersebut.
Pewawancara yang berpengalaman memahami bahwa mungkin ada bukti atau indikator penting yang
mereka lewatkan selama wawancara, dan mereka akan meninjaunya
Penyusunan Brief untuk Rujukan ke Polisi 255
rekaman untuk melihat apakah ada sesuatu yang berharga yang mereka lewatkan. Beberapa
contoh indiktor adalah mengidentifikasi bahwa seseorang tidak nyaman dengan garis pertanyaan,
memberikan jawaban yang sangat spesifik untuk beberapa pertanyaan tetapi tidak jelas dalam
menjawab orang lain, mengubah referensi untuk diri mereka sendiri dari orang pertama ke orang
ketiga, bergerak di kursi mereka ketika tidak nyaman. , atau menggerakkan mata mereka dengan
gugup saat mendiskusikan hal-hal tertentu. Meskipun ini mungkin tampak jelas setelah fakta, ketika
melakukan wawancara pewawancara mungkin berkonsentrasi pada bukti dan kehilangan beberapa
indikator nonverbal vital ketidaknyamanan atau kegelisahan.
Terkadang seiring dengan berkembangnya investigasi, mungkin ada kebutuhan untuk melihat
kembali seorang saksi. Ini bukan tanda bahwa wawancara asli tidak dilakukan dengan baik,
melainkan bahwa informasi baru berkembang melalui penyelidikan apa pun dan jalur pertanyaan
baru berkembang, yang berarti pertanyaan yang semula tidak pernah dianggap relevan.
Bergantung pada undang-undang setempat Anda, catat pernyataan baru dan rujuk yang asli.
Misalnya, kalimat pengantar dari pernyataan baru dapat berbunyi:
Pernyataan ini merupakan tambahan dari pernyataan yang saya berikan pada tanggal 2 Oktober,
2018.
PERSIAPAN SINGKAT UNTUK REFERENSI KE POLISI
Apakah tujuan awal klien/pelapor adalah untuk mengajukan pengaduannya ke polisi untuk
penyelidikan lanjutan, akan ada contoh ketika fakta-fakta yang terungkap selama penyelidikan
memerlukan rujukan ke polisi.
Saat mempersiapkan penyelidikan untuk rujukan, ingatlah bahwa laporan peliputan Anda akan
dibacakan oleh polisi yang tidak mengetahui masalah tersebut dan perlu mengidentifikasi dalam
dua paragraf pertama informasi terpenting tentang rujukan Anda. Jika Anda meminta polisi
memeriksa laporan Anda untuk perincian tentang apa keluhannya, siapa pelapor/tersangkanya,
bukti apa yang Anda miliki, dan mengapa itu adalah masalah kriminal, kemungkinan besar polisi
akan kehilangan minat. dalam referensi Anda dengan sangat cepat. Mereka tidak punya waktu
untuk mencari fakta, yang harus disorot oleh orang yang membuat rujukan.
Ketika kejahatan dunia maya sangat serius, Anda dapat menghubungi pakar kejahatan dunia maya
polisi Anda untuk meminta nasihat dan mereka mungkin (bergantung pada sumber daya yang tersedia)
bersiap untuk menerima keluhan Anda sekaligus.
Saat merujuk pengaduan kejahatan dunia maya Anda ke polisi, menyajikan kasus yang
tajam dan akurat akan sangat dihargai oleh detektif yang akan menangani kasus tersebut. Hal
ini dapat menyebabkan keluhan Anda lebih diprioritaskan daripada rujukan lain di mana kurang
perhatian terhadap detail yang diberikan Jika memungkinkan, siapkan dan sediakan informasi
berikut:
Internet atau pengiriman tertulis

Ringkasan eksekutif
Identifikasi dengan jelas kejahatan yang
dituduhkan Modus Operandi dari dugaan
pelanggaran Jadwal investigasi dari penyelidikan yang
dilakukan Keterangan saksi kunci Jadwal pembuktian (fakta
versus rincian potensi pelanggaran) Draf ringkasan fakta Draf permohonan surat
perintah penggeledahan Jadwal penyelidikan lebih lanjut yang akan dilakukan oleh
polisi Salinan digital brief yang tersedia untuk polisi Jadwal kata kunci yang digunakan
dalam pemeriksaan komputer terhadap tersangka dan/atau perangkat pengadu Sandi
untuk barang bukti yang diserahkan Dokumen pendukung, termasuk formulir
persetujuan untuk pemeriksaan Titik kontak
Garis waktu peristiwa dalam urutan kronologis
Setelah bukti manusia dan digital dikumpulkan, proses selanjutnya adalah meninjau bukti;
ini dibahas dalam Bab 17.
17BAB TUJUH BELAS
Tinjauan Bukti
SETELAH pemeriksaan
disimpan adegan
dan disimpan dengan selesai,dilakukan,
aman, wawancara ujian pameran
dan pertanyaan
sumber terbuka selesai, ada saatnya untuk meninjau semua bukti yang
diperoleh dalam penyelidikan dan mencoba untuk mendapatkan gambaran yang jelas
tentang peristiwa tersebut dan bukti apa yang Anda miliki. Gambaran ini dapat
berkembang sangat cepat atau sangat kompleks. Anda mungkin menemukan bahwa
jalan penyelidikan yang awalnya tampak sangat menjanjikan akhirnya mengarah ke
jalan buntu dan bahwa jalur penyelidikan lain yang dilakukan terutama sebagai hal yang
menyeluruh mengarah pada bukti senjata api.
Selama fase awal penyelidikan Anda, Anda telah membangun fondasi. Seperti
disebutkan sebelumnya, meskipun selalu merupakan hasil yang bagus ketika Anda
menemukan bukti yang menghubungkan pelaku dengan kejahatan saat masih di tempat
kejadian, hal ini sering tidak terjadi. Melalui peninjauan bukti, gambaran menjadi lebih
jelas dan Anda memperoleh pemahaman yang lebih besar tentang apa yang telah terjadi.
Hindari memiliki prasangka tentang peristiwa dan tersangka saat Anda meninjau
bukti. Ini mungkin tidak selalu mudah, karena bukti awalnya mungkin tampak cukup
meyakinkan. Jika Anda menginginkan bukti dalam pikiran Anda untuk menunjuk ke
orang tertentu atau Modus Operandi (MO), pemikiran Anda secara tidak sadar akan
membuat bukti itu menunjuk ke teori Anda, bahkan jika itu salah besar. Jika Anda tidak
menentang bukti dan teori Anda, Anda dapat yakin bahwa pengacara terdakwa akan melakukannya
257
258 Tinjauan Bukti
memandu Anda melalui latihan secara rinci jika Anda muncul di pengadilan dan diminta untuk
membela penyelidikan Anda. Ikuti bukti dengan pikiran terbuka dan lihat ke mana bukti itu membawa
Anda!
Selama investigasi, Anda akan mendapatkan banyak materi dari banyak sumber yang
berpotensi. Beberapa akan membawa bobot lebih dari yang lain dan beberapa bukti akan ditentukan
tidak memiliki nilai. Di beberapa yurisdiksi akan ada persyaratan untuk mengembalikan barang bukti
yang disita setelah Anda memeriksanya dan mengidentifikasi barang tersebut tidak berharga. Dalam
keadaan ini, menyimpan salinan barang bukti mungkin bermanfaat, karena bukti yang dianggap
tidak berharga saat ini dapat berkembang menjadi barang bukti penting beberapa minggu kemudian
dalam penyelidikan.
Dalam investigasi besar ada manfaat untuk membuat spreadsheet yang merupakan siapa dari
banyak orang yang Anda temui dan yang mencakup peran mereka yang berbeda dalam investigasi
dan bukti yang terkait dengan mereka. Membuat garis waktu kronologis peristiwa juga akan
memungkinkan berbagai bukti kompleks disajikan dengan cara yang dapat digunakan oleh setiap
orang yang meninjau investigasi untuk memahami peristiwa dengan cepat.
Singkatnya, saat meninjau penyelidikan Anda dan buktinya, berikut adalah

12 tips cepat untuk membantu ulasan Anda:
1. Tinjau semua wawancara untuk memastikan bahwa Anda memiliki pemahaman yang kuat
tentang sifat keluhan dan apa yang diduga telah terjadi. Dapatkan addendum (pernyataan
kedua) jika diperlukan. Ini bukan tanda kelemahan dalam wawancara awal Anda, karena
meninjau kasus secara keseluruhan akan memberikan pemahaman yang lebih baik tentang
peristiwa, peran saksi, dan kemungkinan pertanyaan baru terhadap saksi. Memiliki
pernyataan tambahan adalah tanda bahwa Anda teliti dalam penyelidikan Anda dan Anda
mengejar setiap petunjuk.
2. Tinjau bukti digital, termasuk laporan yang diberikan oleh teknisi. Jika Anda tidak dapat
memahami bukti teknis, kemungkinan besar juri juga tidak akan memahaminya. Ini adalah
kesempatan bagi Anda untuk menelusuri bukti teknis, dengan para ahli Anda sehingga Anda
dapat memahami dengan tepat apa yang mereka katakan dalam laporan mereka.
Buat banyak catatan jika perlu, karena ini akan membantu dalam memahami bukti.
Salah satu cara yang berguna untuk mendapatkan pemahaman tentang bukti teknis
adalah memiliki kesempatan untuk menggunakan alat forensik yang digunakan pemeriksa,
di bawah pengawasan mereka dan pada perangkat yang terpisah. Ini akan dilakukan pada
salinan gambar awal untuk memastikan bahwa tidak ada kerusakan pada integritas barang
bukti. Orang yang belajar dengan melakukan suatu kegiatan akan merasa terbantu.
Review Bukti 259
Misalnya, pemeriksa forensik mungkin dapat memandu Anda dalam mengikuti bukti
yang tercatat saat penyerang bergerak melalui jaringan dan memperoleh akses ke data
perusahaan yang berharga.
Idealnya teknisi Anda akan memberikan laporan mereka dalam bahasa yang jelas
dan menghindari istilah teknis jika memungkinkan. Saat Anda meninjau bukti, Anda
tidak perlu menjadi ahli tentang apa yang dikatakan ahli tersebut, tetapi Anda harus
dapat menjelaskan secara akurat bukti di pengadilan jika pengacara pembela meminta
Anda.
3. Pernyataan saksi harus dilengkapi dan ditandatangani selama tahap awal penyelidikan
Anda, karena orang dapat meninggalkan perusahaan atau bahkan negara dan mungkin
tidak mungkin untuk menemukannya nanti. Ini juga melengkapi garis penyelidikan.
Berkali-kali pernyataan akan direkam menggunakan rekaman digital di tempat kejadian
dan kemudian diterjemahkan ke dalam pernyataan wawancara formal di kantor.
Pernyataan-pernyataan ini kemudian perlu
diperiksa dan disahkan oleh saksi.
Godaan mungkin untuk merekam pernyataan dan fokus pada jalur penyelidikan
yang lebih menjanjikan, seperti identifikasi tersangka, dengan maksud bertemu saksi
untuk meninjau pernyataan di kemudian hari.
Anda akan menemukan penyelidikan Anda lebih jelas ketika Anda memiliki pernyataan
tertulis yang direkam dan ditandatangani oleh saksi, karena itu berarti mereka telah
secara resmi mengadopsi versi peristiwa saat penyelidikan berlanjut.
Ini adalah satu hal yang harus Anda rencanakan untuk diselesaikan dan memberikan
dasar yang kuat untuk penyelidikan Anda.
4. Dokumen Sumber Daya Manusia (SDM) sangat berguna ketika ada pelanggaran
keamanan internal. Amankan mereka lebih awal dan identifikasi anggota staf mana
yang dapat memperkenalkan mereka sebagai bukti dan menjelaskan isinya.
Investigasi Anda terhadap pelanggaran data internal mungkin bergantung pada
dokumentasi SDM, karena dokumentasi tersebut merinci penggunaan komputer yang
dapat diterima, kebijakan terkait penggunaan Bring Your Own Devices (BYOD), dan
kepemilikan Kekayaan Intelektual (IP) yang dibuat selama masa kerja. Saat menangani
dugaan pelanggaran data internal, berbicara dengan petugas SDM dan mendapatkan
file personel dengan dokumen-dokumen ini akan menentukan di awal penyelidikan
Anda potensi legalitas tindakan tersangka.
Saat meninjau bukti yang diperoleh dari pemeriksaan tempat kejadian, dokumen
HR dapat menentukan apakah penyelidikan Anda harus dilanjutkan atau selesai.
Misalnya, jika tidak ada dokumen yang merinci kepemilikan IP yang dibuat selama
masa kerja tersangka, mintalah nasihat hukum apakah ada pelanggaran yang dilakukan
saat tersangka menyalinnya.
260 Tinjauan Bukti
5. Lanjutkan untuk memastikan lacak balak barang bukti saat melakukan peninjauan.
Siapkan jadwal yang menjelaskan semua pergerakan dan keamanan barang-barang
pameran, karena ini sangat berguna jika petugas pameran diperiksa di pengadilan
mengenai rantai penjagaan barang bukti. Tim hukum Anda juga akan sangat
menghargai dokumen ini untuk membantu mereka mengklarifikasi hak asuh barang
bukti.
Sebagai petugas investigasi, ketika meninjau rantai bukti, Anda mungkin
menemukan ada bukti yang tidak Anda ketahui telah disita atau bukti yang
relevansinya tidak Anda pahami saat itu. Misalnya, buku catatan yang disita dari
meja tersangka mungkin berisi banyak catatan yang mencakup tugas sehari-hari
mereka tetapi juga berisi kata sandi mereka atau rincian kata sandi anggota staf lain
yang telah mereka kumpulkan.
6. Tetap beri tahu klien tentang kemajuan investigasi. Tidak perlu menjelaskan setiap
teori, karena ini dapat berubah secara teratur, tetapi klien akan sangat tertarik
dengan kemajuan penyelidikan, biaya, dan potensi untuk mengidentifikasi tersangka,
terutama jika ada kecurigaan pelaku internal.
Saat Anda meninjau bukti, tersangka dapat berubah, teori baru berkembang,
masalah hukum dihadapi, dan relevansi bukti berubah. Pelapor telah menaruh
banyak kepercayaan pada tim investigasi, dan saat Anda meninjau bukti dan kasus
secara umum, mereka akan bertanya-tanya tentang apa yang terjadi dan
perkembangan bukti, dan akan menghargai komunikasi reguler dari Anda, bahkan
jika itu hanya panggilan telepon lima menit.
7. Saat membuat rekomendasi kepada klien atau membuat keputusan untuk menuntut,
pastikan setiap klaim dalam rekomendasi didukung oleh bukti yang dapat diterima.
Bandingkan bukti dengan unsur-unsur pelanggaran yang sedang diselidiki. Jika

ada unsur tuduhan potensial yang tidak dapat dibuktikan, maka penyelidikan lebih
lanjut akan diperlukan atau penyelidikan harus dihentikan. Identifikasi dengan jelas
saksi mana yang memberikan atau mendukung bukti yang mendukung unsur-unsur
dugaan pelanggaran.
Tinjauan bukti Anda akan memproyeksikan profesionalisme penyelidikan dan

pengetahuan Anda tentang peristiwa. Pahami undang-undang yang Anda
pertimbangkan dan hubungkan bukti dengan unsur pelanggaran. Jika Anda tidak
dapat mendukung klaim tersebut, bersiaplah untuk mengatakannya.
8. Mempertanyakan apakah bukti mendukung tuduhan. Hal ini tidak selalu terjadi, karena
Anda mungkin menemukan orang yang merujuk keluhan membuatnya berdasarkan
Review Bukti 261
pada kesalahpahaman yang jujur tentang keadaan. Mereka mungkin lega menemukan
penyelidikan Anda tidak menemukan bukti penipu internal atau pelanggaran
keamanan.
Sebagai penyidik, akan ada saatnya Anda diminta untuk memberi tahu pelapor/
klien hal-hal yang tidak ingin mereka dengar, seperti setuju dengan mereka bahwa
ada pelanggaran data dan bahwa ada karyawan tertentu yang menjadi tersangka
kuat, tetapi ada tidak ada standar bukti untuk membuktikannya. Meninjau bukti dan
penyelidikan akan mengarahkan Anda ke pelaku, tetapi akan ada saat-saat dalam
karir Anda ketika Anda tahu siapa pelakunya tetapi tidak akan dapat memenuhi
standar bukti yang diperlukan untuk membuktikannya di pengadilan. Dalam keadaan
ini hindari godaan untuk menafsirkan bukti untuk memenuhi asumsi Anda atau
harapan klien, karena ini akan menyebabkan masalah besar bagi Anda sebagai
penyidik dan pelapor ketika ditantang di pengadilan.
9. Buat garis waktu peristiwa dalam urutan kronologis untuk kejelasan visi untuk
membantu peninjauan. Saat Anda meninjau bukti Anda, Anda akan menemukan
banyak contoh aktivitas di sekitar tanggal dan waktu tertentu dan menjadi sangat
sulit untuk mengikuti apa yang terjadi. Garis waktu kronologis menempatkan setiap
peristiwa dalam urutan yang benar sehingga Anda dapat memahami apa yang telah
terjadi.
Saat Anda meninjau garis waktu kronologis, tambahkan kolom di spreadsheet
Anda yang menunjukkan dari mana bukti berasal. Misalnya: 25/10/2018 10:43am
Akses tidak sah ke komputer desktop Jake Smith ABD 1234E Bersumber dari
pernyataan Jacobs (penguji digital)
10. Bersiaplah untuk meminta pihak independen meninjau kasus tersebut untuk
mendapatkan pandangan baru tentang penyelidikan, bukti yang diperoleh, dan
kesimpulan yang dicapai.
Terlepas dari upaya terbaik Anda, Anda mungkin telah memutuskan motif,
tersangka, dan metodologi. Memiliki orang independen yang meninjau bukti dapat
mengkonfirmasi hal ini atau menantang persepsi Anda. Tinjauan orang lain juga
dapat mengidentifikasi bukti atau teori yang belum Anda ketahui, karena orang
tersebut membawa pengalaman dan pengetahuan profesionalnya ke dalam
penyelidikan Anda.
Tidak ada orang di bidang investigasi yang mengetahui segalanya, dan
perspektif baru juga dapat menemukan kelemahan dalam penyelidikan Anda yang
tidak Anda sadari.
262 Tinjauan Bukti
11. Tantang diri Anda dan bukti yang diperoleh untuk memastikan bahwa Anda memiliki
kesimpulan yang kuat.
Saat Anda meninjau penyelidikan Anda, pikirkan juga dari sudut pandang apa
yang mungkin ditanyakan oleh pengacara pembela ketika mereka meninjau kasus Anda.
Mereka akan sangat kritis dan mungkin berusaha untuk meningkatkan kecurigaan
tentang orang lain yang telah Anda singkirkan dari daftar tersangka Anda.
12. Semua pernyataan penyelidik harus lengkap dan lengkap sebelum melanjutkan ke
penyelidikan berikutnya. Ini termasuk penyimpanan catatan yang dibuat selama
penyelidikan, karena mungkin diperlukan sebagai bukti dalam hak mereka sendiri.
Sebuah penyelidikan menyimpulkan hari ini mungkin akan dibangkitkan tahun

depan ketika bukti baru yang tak terduga tersedia. Misalnya, teknologi baru mungkin
dapat menemukan bukti pada perangkat digital yang sebelumnya tidak dapat diakses.
Setelah semuanya selesai dan diawetkan berarti penyelidikan dapat dengan mudah
diambil dan dilanjutkan tanpa bertanya-tanya apa yang perlu diselesaikan yang pada
awalnya tidak dilakukan.
Saat meninjau bukti dalam investigasi teknologi, hindari menempatkan fokus total pada
bukti digital dengan mengorbankan pemahaman pribadi dan motivasi penyerang yang terlibat.
Hal ini terutama terjadi ketika Anda mengidentifikasi calon tersangka, seperti karyawan internal
atau pesaing bisnis. Pikirkan tentang motivasi mereka dan manfaat apa yang akan mereka
peroleh dari tindakan tersebut, dan bukti apa yang dapat Anda peroleh dari memeriksa aktivitas
offline mereka.
Melihat perilaku tersangka pasca-pelanggaran adalah cara yang sangat baik untuk
menguatkan bukti yang Anda peroleh selama penyelidikan Anda. Misalnya, apakah mereka
tampak memiliki gaya hidup yang lebih mewah pasca-pelanggaran, atau apakah mereka tiba-
tiba melunasi hutang-hutang yang sebelumnya tidak mampu mereka bayar?
Atau, apakah karyawan internal telah memperoleh pekerjaan baru di pesaing melebihi
keterampilan yang mereka ketahui?
Mengikuti tema tersebut, pemeriksaan TKP di rumah tersangka seringkali menunjukkan
tanda-tanda gaya hidup yang jauh di atas penghasilan tersangka. Bukti ini mungkin juga dapat
ditemukan di ponsel atau akun media sosial mereka, di mana mungkin ada foto rumah mewah,
makanan di restoran mahal, atau perjalanan belanja besar di pengecer berkualitas tinggi.
Gunakan materi sumber terbuka ini untuk keuntungan Anda. Surat Pemberitahuan Pajak dan
rekening koran yang terletak di alamat tersangka memberikan bukti kuat tentang penghasilan
mereka yang sah dan mungkin menjadi bukti yang sangat relevan jika dibandingkan dengan
pengeluaran tersangka. Juga, lihat
Review Bukti 263
menyimpan kuitansi yang terletak di alamat tersangka, yang akan memberikan informasi
mengenai kegiatan pembelanjaan.
Ini adalah teknik investigasi umum dari pemeriksa penipuan.
Menemukan tanda terima atau foto pembelian bernilai tinggi akan memberikan tanggal
pengeluaran, yang pada gilirannya dapat dikaitkan dengan waktu dugaan pelanggaran.
Tergantung pada keadaan dan otoritas hukum Anda, bukti pengeluaran besar dapat
ditelusuri kembali melalui rekening bank untuk mengetahui dari mana uang ini berasal. Pada
saat ini, membawa seorang akuntan dengan keahlian khusus dalam investigasi keuangan dan/
atau pemeriksa penipuan akan memberikan dukungan yang berharga bagi penyelidik kejahatan
siber.
Setelah Anda meninjau penyelidikan dan bukti, tiba saatnya Anda memutuskan apakah
akan memulai penuntutan. Jika ini terjadi, Bab 18 akan memberikan beberapa ide untuk
menyajikan bukti Anda, digital dan lainnya, ke pengadilan. Anda akan menemukan ada
kalanya meskipun penyelidikan Anda bersifat ekstensif, Anda tidak dapat menemukan
tersangka. Ini mungkin karena bukti yang Anda butuhkan seperti file log tidak ada, penyerang
telah menggunakan teknologi seperti server proxy, anonimizer, atau perangkat yang disusupi,
atau sebagai alternatif, mereka tidak dapat ditemukan di yurisdiksi asing. Menyiapkan laporan
terperinci tentang penyelidikan dan temuan Anda memberikan informasi kepada pelapor untuk
memahami tingkat serangan dan kerusakan, memberikan mereka informasi untuk memahami
serangan dan cara memulihkan kompromi sistem dan data.
18BAB DELAPAN BELAS
Menghasilkan Bukti untuk Pengadilan
mengidentifikasi siapa yang dapat dituntut atas peristiwa tersebut. Ini mungkin dalam
SETELAH MENINJAU investigasi dan bukti, seseorang mungkin:
pengadilan (seperti pengadilan ketenagakerjaan), atau menjadi penuntut sipil—atau
bahkan kriminal. Dengan pengecualian yang jarang terjadi, pihak yang membawa masalah ke
pengadilan memiliki beban untuk membuktikan kasus tersebut terhadap pihak lain.
Di sinilah profesionalisme dan ketelitian investigasi Anda akan diuji secara kritis. Pengacara
pembela akan melihat pekerjaan mereka sebagai menantang kesimpulan Anda bahwa klien
mereka telah melakukan pelanggaran yang dituduhkan, tetapi mereka juga dapat memperpanjang
tantangan mereka dengan menanyai tim Anda tentang pemeriksaan tempat kejadian, pengumpulan
bukti, perlindungan lacak balak, dan kualifikasi Anda tim investigasi untuk pekerjaan yang mereka
lakukan. Sementara tinjauan Anda tentang penyelidikan berfokus pada mempertanyakan bukti,
tugas pengacara pembela adalah untuk mewakili klien mereka dengan kemampuan terbaik mereka
dan ini melibatkan fokus yang kuat pada penyelidikan, bukti, dan kesimpulan Anda.
Akibatnya, dalam evaluasi pra-pengadilan Anda, bersiaplah untuk tidak hanya menjelaskan
mengapa orang yang dituduh melakukan pelanggaran, tetapi juga mengapa orang di sebelahnya
tidak melakukannya. Misalnya, jika perangkat komputer digunakan bersama oleh lima orang yang
menggunakan nama pengguna dan kata sandi yang sama, mengapa tersangka ini di pengadilan
sebagai terdakwa dan bukan empat lainnya? Sebagai bagian dari persiapan pengadilan Anda, jadilah
265
266 Menghasilkan Bukti untuk Pengadilan
mampu menjelaskan dengan bukti mengapa orang-orang tersebut tidak juga hadir di ruang sidang
sebagai terdakwa.
Seorang pengacara pembela dapat memperkenalkan teori-teori alternatif tentang siapa pelakunya,
dan dalam persiapan Anda mengantisipasi teori-teori ini dan memikirkan apakah mereka memiliki
validitas. Bangun kasus Anda tidak hanya untuk menghasilkan bukti mengapa terdakwa diajukan ke
pengadilan, tetapi juga mengapa orang lain yang mungkin terlibat bukanlah terdakwa.
Keadaan umum adalah di mana seorang karyawan mencuri Kekayaan Intelektual (IP) untuk
dibawa ke majikan baru mereka karena pemahaman ketika mereka ditawari pekerjaan baru adalah
bahwa mereka akan mendapatkannya hanya jika mereka membawa IP.
Hukum persekongkolan untuk melakukan pelanggaran mensyaratkan bahwa setidaknya dua orang
terlibat: dalam hal ini, orang yang mencuri HKI dan majikan baru yang menawarkan pekerjaan kepada
orang tersebut selama mereka membawa HKI tersebut. Anda mungkin memiliki bukti kuat untuk
menuntut karyawan tersebut, tetapi tidak lebih dari kecurigaan yang kuat tentang orang yang diduga
menerima IP. Penjelasan mereka mungkin setuju bahwa karyawan tersebut membawa IP tetapi mereka
tidak mengetahui bahwa IP itu dimiliki oleh pesaing mereka karena terdakwa menyatakan bahwa mereka
adalah pemiliknya.
Pengacara pembela dapat memperkenalkan teori ini kepada Anda dalam pemeriksaan silang di
pengadilan dalam upaya untuk mengurangi keterlibatan klien mereka, jadi bersiaplah untuk mengakui
bahwa meskipun ini adalah suatu kemungkinan, Anda tidak memiliki bukti untuk memajukan teori ini.
Mengakui bahwa tidak ada cukup bukti untuk menuntut seorang tersangka coconspirator akan
menunjukkan bahwa Anda objektif dalam pengambilan keputusan. Penuntutan Anda kemudian akan
bergantung pada tuduhan berdasarkan pencurian IP dan bukan tuduhan konspirasi.
Bukti Anda akan teknis dan nonteknis. Secarik kertas yang ditemukan di meja tersangka pada hari
pemeriksaan TKP yang dianggap bernilai terbatas mungkin akan menjadi bukti paling penting dalam
keseluruhan kasus. Meskipun Anda sedang menyelidiki masalah teknis, jangan mengabaikan nilai
selembar kertas yang Anda temukan di tempat kejadian.
Semua bukti menceritakan sebuah kisah dan tugas Anda adalah memastikannya diceritakan
sejelas dan sesingkat mungkin. Pekerjaan pengacara pembela mungkin melibatkan kebingungan juri
dengan rincian teknis sampai-sampai tidak ada yang bisa mengerti apa arti bukti, dan ini telah terbukti
menjadi strategi yang sukses dalam dirinya sendiri.
Itu adalah tugas mereka dan tugas Anda adalah meniadakan strategi hukum yang sah ini sebelum dapat
digunakan untuk melawan kasus Anda.
Seperti semua bukti, pertimbangan utama adalah mempertimbangkan keabsahannya di
pengadilan di mana Anda ingin masalah Anda diadili. hukum
Bukti Digital dan Penerimaannya 267
perwakilan di tim Anda akan memainkan peran utama di sini, jadi mintalah saran mereka sejak dini
dan teratur. Bukti terbesar yang Anda miliki tidak ada nilainya jika tidak dapat diterima.
BUKTI DIGITAL DAN DAPAT DITERIMANYA
Dalam masalah perdata, seorang pengacara perdata berpotensi ditambahkan ke tim investigasi
untuk membantu mendapatkan perintah pengadilan, mencegah tersangka menggunakan data yang
diperoleh secara tidak sah, memperoleh bukti komputer, atau membekukan rekening bank dan
aset tersangka. Hal ini kemudian dapat mengarah pada tindakan pengadilan lebih lanjut atau
bahkan menjadi awal dari pengaduan pidana yang diajukan ke polisi. Karena setiap yurisdiksi
berbeda, memperoleh nasihat hukum dari seorang pengacara yang berpengalaman mungkin akan
menghabiskan waktu dan uang dengan baik sebelum merencanakan tindakan semacam itu.
Bukti digital Anda akan relevan dengan sidang pengadilan seperti halnya bukti lainnya.
Namun, bukti digital membutuhkan perawatan dalam penyajiannya untuk memastikan relevansinya
dipahami.
Semua masalah bukti akan diputuskan oleh yurisdiksi lokal Anda dan aturan pembuktian
diputuskan dengan undang-undang lokal dan keputusan pengadilan.
Contoh pertimbangan ketika mengajukan bukti di depan pengadilan dengan uraian non-hukum
yang sangat singkat adalah sebagai berikut:
1. Relevan. Bukti yang mengarah pada pembuktian atau penyangkalan suatu elemen dari
dakwaan di depan pengadilan.
2. Otentik. Aturan ini adalah untuk menunjukkan bahwa bukti yang diajukan ke pengadilan adalah
apa yang dimaksudkan. Misalnya, bahwa dokumen yang disajikan sebagai bukti adalah
otentik dan bukan dokumen yang dibuat secara curang untuk membuktikan atau menyangkal
suatu unsur dakwaan. Seorang saksi yang memberikan bukti yang kredibel, diterima oleh
pengadilan, bahwa mereka membuat dokumen tertentu dapat membuktikan keaslian dokumen
tersebut.
3. Bukan desas-desus atau desas-desus yang dapat diterima. Bukti di mana saksi memberikan
bukti yang berada dalam pengetahuan langsung mereka. Misalnya, mendengar desas-desus
di ruang makan kantor bahwa orang tertentu yang mengaku melakukan kejahatan tidak akan
menjadi bukti yang dapat diterima di sebagian besar yurisdiksi karena saksi tidak memiliki
pengetahuan langsung tentang pengakuan yang dituduhkan.
4. Bukti terbaik. Di dunia yang sempurna, salinan asli dokumen dan gambar disajikan ke
pengadilan. Dengan bukti digital, aslinya dapat berupa salinan digital yang dihasilkan dan
disajikan sebagai bukti. Pengadilan umumnya akan menerima ini kecuali ada alasan hukum
atau alasan lain mengapa tidak.
5. Tidak terlalu merugikan. Bukti-bukti yang dihadirkan tidak menimbulkan prasangka yang
tidak adil terhadap terdakwa, seperti menghadirkan bukti-bukti yang sama di masa lalu.
Juga, karena Anda menemukan materi di komputer mereka yang menunjukkan bahwa
tersangka memiliki karakter buruk tidak berarti materi tersebut dapat diajukan ke
pengadilan sebagai bukti kecuali jika relevan dengan kasus tersebut.
penuntutan. Misalnya, menemukan bukti di komputer tersangka bahwa mereka telah
melakukan kesalahan di media sosial tidak mungkin menjadi bukti yang dapat diterima
ketika Anda menyelidiki mereka karena mencuri data perusahaan dari majikan mereka.
PERSIAPAN UNTUK PENGADILAN
Teknologi bisa menjadi sangat kompleks, dan meskipun bukti yang disajikan mungkin sangat
relevan, pihak yang mempresentasikannya perlu memastikan nilainya sangat terang dan
tidak hilang dalam kompleksitas teknologi yang mendasarinya, seperti halnya dengan bukti
berbasis cloud. Akibatnya, menginvestasikan waktu dalam mengembangkan rencana
teknologi untuk pengadilan menghabiskan waktu dengan baik, terutama ketika pengacara
tergugat menggunakan strategi untuk membuat teknologi terdengar serumit mungkin bagi
juri.
Jika bukti teknologi Anda sangat kompleks, memiliki ahli independen sebagai saksi
yang tahu sedikit tentang kasus tersebut tetapi banyak tentang teknologi membantu
memberikan pemahaman kepada pengadilan tentang teknologi penting dalam kasus tersebut
tanpa sedikit pun bias terhadap pihak yang meminta mereka untuk memberikan kesaksian.
Orang ini adalah saksi ahli di pengadilan dan bukan dari pihak yang membawanya ke
pengadilan untuk bersaksi. Jika Anda memperkenalkan seseorang sebagai ahli di bidangnya,
mereka tidak akan diterima oleh pengadilan sebagai ahli sampai mereka telah menetapkan
kualifikasi dan keahlian mereka dan pengacara pihak lain memiliki kesempatan untuk
menantang mereka jika mereka mau. Di sebagian besar yurisdiksi, seseorang hanya menjadi
ahli di pengadilan ketika hakim menyetujuinya.
Masalah yang dihadapi juri adalah mengikuti volume bukti dalam kasus yang kompleks.
Bukti bergerak cepat melintasi saksi, dan merupakan sifat manusia untuk mengambil waktu
untuk memahami bukti yang kompleks dan maknanya dalam konteks kasus. Jika sepotong
bukti sangat kompleks tetapi memberikan nilai terbatas, tinjau dengan pengacara Anda
apakah itu harus disajikan, karena nilainya mungkin diliputi oleh kompleksitasnya.
Menyediakan monitor dan/atau perangkat (tablet) bagi para juri untuk mengakses bukti
digital seperti yang disajikan memungkinkan mereka untuk mendengar kesaksian pada saat
yang sama ketika mereka melihatnya beroperasi. Mereka juga dapat meninjau pameran dari
Persiapan Sidang 269
perangkat seperti yang mereka butuhkan. Ini membantu mereka yang belajar dengan melakukan serta mereka
yang belajar dengan mendengarkan.
Ketika meninjau berbagai pelanggaran oleh terdakwa, jika ada periode pelanggaran
yang panjang, pertimbangkan apakah ada manfaat dalam menuntut setiap kasus
pelanggaran selama beberapa tahun dan membingungkan pengadilan. Strategi alternatif
adalah mengidentifikasi periode utama pelanggaran dan menuntut berdasarkan kerangka
waktu ini. Hukuman potensial untuk menggunakan teknologi untuk mendapatkan $15 juta
secara curang tidak jauh berbeda dengan menggunakan teknologi untuk mendapatkan $16
juta secara curang, terutama ketika tidak ada kemungkinan reparasi. Jadi, jika periode
utama pelanggaran melibatkan $15 juta dan bukti Anda sangat kuat, tetapi buktinya lebih
lemah dan membingungkan untuk sisa $1 juta, strategi umum adalah tetap berpegang pada
kekuatan Anda.
Saat memilih ahli Anda, tentukan kualifikasi dan pengalaman mereka. Meskipun tidak
semua penyelidik digital harus ahli, mereka harus mampu menunjukkan kualifikasi dan
pengalaman mereka dalam menggunakan teknologi yang digunakan untuk menangkap dan
menilai bukti digital dengan standar yang dipersyaratkan oleh pengadilan. Akibatnya,
pengadilan ingin melihat kompetensi dalam tindakan mereka dan kredibilitas hasil dan
interpretasi.
Membantu pengacara Anda dalam memahami penyelidikan Anda adalah bahan
penyelidikan yang sering diabaikan. Pengacara sering dibanjiri dengan masalah dan
terkadang memiliki waktu terbatas untuk memahami nuansa kasus yang akan mereka
tangani. Adalah kepentingan Anda untuk menyiapkan ringkasan lengkap masalah dan bukti
untuk memastikan mereka memiliki pengetahuan untuk mewakili kasus Anda di pengadilan/
pengadilan. Ringkasan eksekutif yang dibuat dengan baik sepadan dengan waktu yang
dibutuhkan untuk mempersiapkannya. Sertakan jadwal bukti utama dan mengapa itu
relevan. Mempersiapkan jadwal lacak balak juga akan sangat dihargai. Jika Anda tidak
dapat meyakinkan pengacara Anda tentang bukti dan kasus Anda dengan cara yang jelas
dan tepat, Anda akan berjuang untuk meyakinkan juri.
Bekerja dengan pengacara Anda adalah investasi. Anda mungkin memiliki perwakilan
hukum di tim Anda dan ini mungkin bukan orang yang sama yang mengajukan kasus di
pengadilan. Bersiaplah untuk menerima nasihat dari pengacara Anda bahkan ketika Anda
tidak menyukainya, karena merekalah yang harus mengajukan kasus Anda di pengadilan
dan telah mempelajari pelajaran yang diperoleh dengan susah payah dari ruang sidang dan
persyaratan peradilan. Jika mereka ingin jalur penyelidikan diselidiki lebih lanjut, ini harus
diperlakukan sebagai prioritas.
Sejak pertama kali memulai penyelidikan Anda, pahamilah bahwa semua yang Anda
lakukan mungkin akan ditanyai di pengadilan di mana Anda akan diminta untuk membenarkan
tindakan Anda. Ini berlaku untuk metodologi investigasi Anda serta manajemen bukti. Kami
telah membahas mencatat keputusan yang dibuat dan
keadaan yang diketahui pada waktu tertentu, dan di sinilah mereka akan terbukti berharga.
Keputusan yang dibuat mungkin kemudian terbukti salah; namun, ketika Anda bekerja di
tempat kejadian atau berbicara dengan tersangka, Anda tidak memiliki kemewahan untuk
menunggu semua informasi yang Anda butuhkan, dan keputusan itu mungkin masuk akal
pada saat itu. Anda bekerja dengan apa yang Anda ketahui dan menggunakan pengalaman Anda.
Jarang terjadi ketika Anda melakukan tinjauan pasca-penyelidikan dan tidak berpikir bahwa
Anda akan membuat keputusan yang berbeda pada saat-saat penting jika Anda memiliki
informasi yang tersedia kemudian pada saat keputusan dibuat.
Saat Anda mengajukan klaim di depan pengadilan, pastikan bukti Anda cukup kuat
untuk membuktikannya. Seperti disebutkan, memiliki pihak independen, seperti pengacara,
meninjau kasus Anda dan bukti akan bermanfaat, karena memberikan kesempatan untuk
keyakinan yang telah Anda kembangkan selama penyelidikan untuk ditantang. Sayangnya,
terlepas dari upaya terbaik dari tim investigasi, mereka mungkin menjadi begitu yakin akan
teori mereka yang melibatkan bukti dan tersangka sehingga teori alternatif untuk fakta yang
terungkap mungkin terlewatkan. Memiliki bukti Anda ditantang sebelum Anda memulai
penuntutan dan memperbaiki kekurangan apa pun lebih baik daripada kekurangan yang
diidentifikasi dan disorot oleh pengacara terdakwa di ruang sidang. Standar pembuktian
untuk memenangkan suatu kasus dapat berbeda antara hukum pidana dan perdata. Pahami
ambang batas untuk keyakinan yang diperlukan di pengadilan tempat Anda ingin menuntut.
Dengan berkembangnya teknologi, penyitaan, pemeriksaan, dan penyimpanan alat

dan gambar dapat menjadi faktor penentu keabsahannya di pengadilan. Saat memilih
metode penyitaan bukti digital, pahami bahwa pengadilan ingin melihat metodologi yang
dapat diandalkan. Pengadilan telah memutuskan hal-hal yang melibatkan teknologi dan bukti
digital selama bertahun-tahun dan yurisdiksi Anda akan memiliki banyak preseden hukum
yang memberikan panduan.
Jika metodologi Anda tampak sangat rumit, rencanakan penjelasannya dengan cermat.
Pengadilan telah menafsirkan bukti kompleks selama beberapa generasi. Dulu, bukti sidik
jari masih baru dan menantang; sekarang telah diterima tanpa pertanyaan selama beberapa
dekade. Sejak itu, pengadilan telah berhasil memahami banyak bentuk bukti baru, termasuk
komputer, perangkat seluler, dan DNA. Dalam setiap kasus, penjelasan dari bukti ini dan
keakuratannya akan direncanakan dengan cermat sebelum diperkenalkan.
Teknologi baru berkembang lebih cepat daripada yang dapat diperkenalkan pengadilan
kepada mereka. Misalnya, teknologi komputasi awan bukan lagi hal baru di pasar dan
Internet of Things (IoT) sudah berkembang pesat, artinya bukti diajukan ke pengadilan yang
mungkin tidak dikenal oleh petugas pengadilan dan mungkin tidak dimiliki oleh petugas
pengadilan. preseden yang jelas untuk diandalkan ketika mereka mempertimbangkan
integritas dan keasliannya. Mungkin ada contoh di masa depan ketika
Persiapan Sidang 271
bukti penting berasal dari bentuk baru perangkat digital dan pihak lawan menempatkan teknologi dan
akurasinya di pengadilan daripada fokus pada bukti yang dihasilkan dan implikasinya bagi klien
mereka. Bukti ini seringkali tidak ditantang karena pihak-pihak yang terlibat tidak memahami teknologi
itu sendiri dan tidak tahu pertanyaan yang diajukan.
Sebagai bagian dari persiapan Anda untuk pengadilan, siapkan saksi Anda. Banyak orang yang
menjadi saksi belum pernah berada di ruang sidang sebelumnya dan pemahaman mereka tentang
pengadilan adalah apa yang mereka lihat di TV. Adalah umum bagi para saksi untuk gugup menghadiri
pengadilan, karena mereka melangkah ke tempat yang tidak diketahui melawan pengacara terampil
yang melihat ruang sidang sebagai rumah kedua mereka dan mengetahui aturan pengadilan secara
dekat.
Strategi positif adalah dengan mengambil saksi kunci atau saksi gugup untuk menunjukkan
kepada mereka ruang sidang yang kosong sebelum mereka memberikan bukti. Tunjukkan pada
mereka di mana mereka harus duduk, di mana para pengacara akan ditempatkan, dan ajari mereka
protokol pengadilan, seperti bagaimana berbicara dengan hormat kepada hakim dan menampilkan diri
mereka dalam sudut pandang positif yang terbaik. Akibatnya, bawa misteri itu keluar dari ruang sidang.
Izinkan mereka untuk meninjau kembali pernyataan mereka untuk menyegarkan ingatan mereka (jika
undang-undang setempat mengizinkan), karena sidang pengadilan dapat berlangsung beberapa tahun
setelah dugaan pelanggaran saat pernyataan mereka diambil. Juga perkenalkan mereka kepada
pengacara Anda, yang akan menghargai kesempatan untuk meninjau bukti dengan saksi mereka dan
mengklarifikasi masalah apa pun.
Jelaskan prosedur ruang sidang, seperti peran panitera pengadilan (atau pejabat serupa,
tergantung pada yurisdiksi Anda), yang memberikan sumpah atau penegasan dan apa peran mereka.
Dalam hal high profile, mungkin ada media yang hadir dan mereka memiliki peran masing-masing,
yaitu merekam peristiwa di ruang sidang. Jelaskan bahwa mungkin ada anggota masyarakat yang
tidak terlibat dalam kasus tersebut tetapi tertarik karena media
laporan.Mengajar saksi Anda beberapa trik memberikan bukti adalah strategi berharga yang dapat
Anda terapkan dalam mempersiapkan pengadilan. Beberapa nasihat yang baik termasuk berpegang
teguh pada apa yang Anda ketahui; tidak memberikan bukti pendapat kecuali Anda adalah saksi ahli
dan pengadilan mengizinkan bukti tersebut; dan menyadari taktik diam, di mana saksi memberikan
jawaban mereka dan pengacara tetap diam, menunggu informasi lebih lanjut saksi tidak berniat
memberikan. Keheningan mendorong saksi secara tidak sadar bahwa lebih banyak informasi
diperlukan, dan mereka mungkin mengatakan sesuatu yang kemudian mereka sesali.
Tips lainnya adalah tetap profesional, tidak memberikan komentar yang merendahkan terdakwa,
tidak berkomentar yang cerdas/sarkastis, dan menghadiri persidangan dengan berpakaian profesional
dan terhormat. Saksi tidak boleh menggunakan bahasa kotor kecuali kutipan langsung yang relevan
dengan bukti dan
kesaksian, seperti “Ketika ditantang untuk mencuri kekayaan intelektual, terdakwa mengatakan
*******.” Hakim dan juri akan menilai karakter orang yang memberikan bukti seketat bukti itu
sendiri, dan menunjukkan profesionalisme dan rasa hormat kepada pengadilan adalah dasar untuk
menjadi saksi yang berkualitas dan kredibel.
Tip lebih lanjut untuk memberikan saksi Anda adalah bahwa mereka diperbolehkan untuk
mengatakan bahwa mereka tidak tahu jawaban atas sebuah pertanyaan atau bahwa mereka tidak
dapat mengingat ketika mereka memberikan bukti. Membuat jawaban dari fragmen memori
bukanlah bukti yang berkualitas dan mereka mungkin akan mempertanyakan mengapa memori ini
tidak dimasukkan dalam pernyataan aslinya tetapi baru diingat beberapa tahun kemudian.
Jika ada sesuatu yang diingat yang tidak termasuk dalam pernyataan asli, pernyataan tambahan
harus dicatat dan diberikan kepada pengacara pembela sebelum sidang.
Pengacara pembela adalah praktisi yang terampil dalam membaca saksi dan mengidentifikasi
strategi untuk mengurangi dampak dari bukti mereka. Ini adalah tugas mereka dan mereka ada di
sana untuk mewakili klien mereka dengan kemampuan terbaik mereka.
Singkatnya, penyelidikan Anda dapat memberikan bukti yang sangat kuat untuk
mengidentifikasi pelaku, metodologi mereka, dan motivasi mereka untuk melakukan kejahatan
dunia maya. Namun, kecuali Anda dapat membuktikan fakta-fakta bila diperlukan, kesimpulan
Anda akan tetap tidak terbukti.
19BAB SEMBILAN BELAS
Kesimpulan
SEMENTARA
ke dalamdunia menjadi
setiap aspek lebihkita,
kehidupan terhubung danlebih
target menjadi teknologi berkembang
mudah ditemukan dan
serangan untuk penjahat dunia maya. Dengan perkembangan teknologi, sering
dikatakan bahwa Anda dapat menjangkau dan menyentuh dunia dari rumah Anda. Namun,
kebalikan dari ini adalah bahwa penjahat dunia maya sekarang dapat menjangkau rumah dan/
atau bisnis Anda dari lokasi mereka di mana pun di dunia. Penjahat dunia maya telah menyadari
bahwa lebih mudah dan lebih aman untuk melakukan kejahatan dunia maya terhadap seseorang
atau perusahaan di belahan dunia lain daripada melakukan kejahatan terhadap tetangga mereka.
Ambang batas untuk menjadi penjahat dunia maya sangat rendah, dan tidak ada perang
wilayah antara penjahat dunia maya yang menuntut agar tidak ada orang lain yang mengganggu
wilayah mereka, yang tidak terjadi pada semua jenis kejahatan. Internet adalah anak laut terbuka
pada semua orang oleh siapa saja. Penjahat dunia maya yang muncul hanya perlu memiliki
keahlian yang sangat terbatas, karena ada banyak sumber daya pelatihan yang tersedia secara
online yang disediakan oleh penjahat dunia maya yang lebih berpengalaman untuk berbagi
perdagangan mereka, serta alat otomatis yang melakukan kerja keras untuk membobol
perangkat rumah dan jaringan perusahaan. Sayangnya, imbalannya besar, dan kerusakan yang
terjadi pada korban yang tidak bersalah sering kali mengerikan dan mengubah hidup.
Karena banyaknya masalah teknis yang dibahas dalam buku ini, dari sudut pandang
penyelidik kejahatan dunia maya menemukan pelaku dan menahan mereka.
273
274 Kesimpulan _
untuk mempertanggungjawabkan tindakan mereka mungkin merupakan operasi yang sangat sulit dan
kompleks yang membutuhkan investasi waktu dan sumber daya yang signifikan, terlepas dari apakah
penegak hukum atau penyelidik sipil ditugaskan untuk menangani kasus tersebut. Sebagian besar
keberuntungan dan keuntungan ada pada penjahat dunia maya; Namun, penyidik akan menemukan
banyak remah roti yang mengungkapkan identitas aslinya. Remah-remah roti ini berasal dari adegan
kejahatan dunia maya dan banyak penjahat dunia maya terkejut menemukan ketukan di pintu depan
mereka berasal dari penegak hukum yang mencari penangkapan mereka, terutama ketika mereka percaya
bahwa mereka 100 persen anonim secara online.
Terlepas dari persepsi tersebut, tidak semua penjahat dunia maya berada di yurisdiksi internasional,
bersembunyi di balik banyak lapisan teknologi. Banyak yang berada di dalam organisasi kita, atau memiliki
hubungan dengan mereka, seperti menjadi pesaing bisnis.
Orang-orang ini dapat diakses dalam yurisdiksi Anda dan dapat dimintai pertanggungjawaban. Di sinilah
pemeriksaan tempat kejadian dan manajemen bukti Anda sangat penting, karena metodologi investigasi
Anda akan diperiksa secara mendalam di ruang sidang.
Seiring berkembangnya teknologi, semakin banyak bukti yang tersedia bagi penyidik pidana dan
perdata. Menemukan bukti hanya dibatasi oleh imajinasi penyelidik, karena dunia kita yang semakin
terhubung mengumpulkan semakin banyak data tentang aktivitas kita. Internet of Things (IoT) dapat
mempermudah pekerjaan penjahat dunia maya, tetapi juga dapat digunakan untuk keuntungan Anda saat
Anda menyelidiki pelanggaran di mana Anda mencurigai pelaku secara fisik berada di TKP.
Sebagai penyelidik, pekerjaan Anda menjadi lebih kompleks; namun, ada lebih banyak bukti yang
tersedia untuk memajukan penyelidikan Anda jika Anda tahu di mana mencarinya dan perangkat apa yang
berfungsi serta bukti yang mungkin ada di dalamnya. Memasukkan bukti ini ke dalam penyelidikan Anda
adalah keterampilan yang akan Anda perbaiki sepanjang karier Anda, dengan hasil positif yang dicapai,
kesalahan jujur yang dibuat, pelajaran yang dipetik, dan penyelidik berketerampilan lebih tinggi muncul.
Bukti digital yang Anda peroleh mungkin sangat mudah berubah, dan keterampilan yang Anda
pelajari dan praktikkan akan sangat penting dalam banyak penyelidikan. Sebagai penyelidik digital/siber,
Anda akan berguna bagi banyak bentuk investigasi, tidak hanya yang melibatkan penipuan siber atau
internal. Di mana pun pelanggaran terjadi, dalam masyarakat saat ini ada harapan yang sangat kuat
bahwa bukti digital akan dilibatkan dalam penyelidikan. Misalnya, adegan pembunuhan di rumah dengan
banyak perangkat yang terhubung dapat mengungkapkan banyak hal kepada penyelidik tentang tindakan
yang menyebabkan kematian almarhum dan siapa yang bersalah.
Saat Anda menyelidiki berbagai bentuk kejahatan dunia maya, Anda akan mendapatkan kemenangan
dan Anda akan memiliki penyelidikan di mana Anda tidak dapat mengidentifikasi tersangka. Pada beberapa
kesempatan, penyelidikan Anda akan bekerja dengan sempurna menggunakan metodologi yang Anda
Kesimpulan 275 _
telah berkembang melalui pengalaman Anda, dan pada kesempatan lain Anda akan menggunakan metodologi
yang sama dan menemukan bahwa Anda tidak turun dari basis pertama. Ini adalah sifat melakukan segala
bentuk investigasi dan aparat penegak hukum yang telah menangani kasus akan memahami frustrasi melakukan
segalanya dengan benar dan tidak menyelesaikan kasus seperti yang mereka inginkan.
Setiap penyelidikan adalah kesempatan untuk belajar dan mengembangkan keterampilan Anda dan
berbagi pelajaran yang didapat.
Glosarium
DAFTAR ISTILAH
terdapat memberikan
di seluruh pemahaman
buku ini. Ini untuk memberikanumum tentang
pemahaman kerja istilah teknis
saja dan tidak memberikan analisis rinci tentang istilah yang tercantum.
APT: ancaman persisten tingkat lanjut Kompromi perangkat atau jaringan, biasanya oleh
penyerang, kelompok, atau negara bangsa yang sangat terampil. Setelah serangan berhasil
dan penyerang berada di dalam perangkat/jaringan, mereka menavigasi ke data yang ingin
mereka ekstrak. Banyak penyerang APT tetap berada di dalam perangkat/jaringan selama
berbulan-bulan, mengumpulkan data baru saat dibuat.
ARP: Address Resolution Protocol ARP digunakan dalam jaringan untuk
menghubungkan alamat IP internal ke alamat kontrol akses media (MAC).
Alamat MAC secara unik mengidentifikasi perangkat di jaringan. Alamat MAC dapat
ditemukan di NIC, yang merupakan perangkat fisik yang memungkinkan komunikasi antara
satu perangkat dengan perangkat lainnya. Perangkat juga memiliki alamat IP internal, yang
dikenal sebagai alamat subnet. Tabel ARP menghubungkan MAC
dan alamat IP dan berada di dalam router tempat perangkat terhubung.
server otentikasi Server komputer yang menentukan apakah seseorang atau aplikasi
mewakili dirinya sendiri ketika mencoba mengakses jaringan komputer.
AV: perangkat lunak antivirus AV mendeteksi dan menghilangkan virus komputer.

botnet Kumpulan perangkat komputer yang disusupi yang digunakan untuk melakukan
serangan penolakan layanan (DDoS) terdistribusi. Botnet dapat terdiri dari ratusan ribu
perangkat yang disusupi. Perangkat yang disusupi dapat mencakup komputer desktop,
laptop, dan salah satu dari banyak perangkat IoT.
BYOD: bawa perangkat Anda sendiri Perangkat milik seorang karyawan di mana karyawan
tersebut telah diberi wewenang untuk melakukan pekerjaan perusahaan, dan yang memiliki
akses ke jaringan dan data perusahaan.
CEM: materi eksploitasi anak Gambar porno anak.
277
278 Glosarium _
CERT: tim tanggap darurat komputer Tim CERT memiliki peran yang berbeda di setiap
negara; namun umumnya memberikan pendidikan dan pelatihan, berbagi informasi
(indikator kompromi, pengarahan keamanan siber), hubungan antara Pemerintah dan
industri, kolaborasi internasional dan dukungan respons insiden langsung kepada
pemerintah serta infrastruktur penting. Beberapa tim CERT menyediakan layanan
berbayar kepada klien industri.
CSP: penyedia layanan cloud Sebuah bisnis yang menyediakan layanan komputasi awan
kepada pelanggan. Contohnya termasuk Amazon Web Services dan Microsoft Azure.
DHCP: Dynamic Host Configuration Protocol DHCP adalah metode di mana server
secara dinamis memberikan alamat IP ke komputer di jaringannya; itu menggantikan
administrator sistem yang menetapkan alamat secara manual.
DMZ: zona demiliterisasi Lapisan keamanan yang dihadapi Internet yang memberikan
garis pertahanan pertama ke jaringan area lokal terhadap serangan cyber.
DNS: server nama domain DNS adalah lokasi yang dikirimi permintaan oleh komputer
Anda ketika mencoba menemukan alamat komputer di Internet Inter yang belum pernah
Anda kunjungi sebelumnya. Komputer Anda menanyakan alamat server DNS dan dikirim
lokasinya. Komputer Anda kemudian mengarahkan permintaannya ke situs yang ingin
Anda kunjungi. Dalam kebanyakan kasus, DNS Anda juga merupakan penyedia layanan
Internet Anda.
DDoS: penolakan layanan terdistribusi DDoS adalah banyak komputer yang menyerang
perangkat dengan tujuan merusak kapasitas perangkat target agar berfungsi dan dapat
diakses oleh komputer lain.
DoS: penolakan layanan DoS adalah serangan komputer dari perangkat dengan maksud
merusak kapasitas perangkat target untuk berfungsi dan dapat diakses oleh komputer
lain.
Tas Faraday Tas yang dirancang untuk menghentikan saluran komunikasi eksternal
menjangkau perangkat di dalamnya. Tas Faraday dapat digunakan untuk menyimpan
ponsel untuk mencegah tersangka masuk dari jarak jauh ke perangkat dan menghapus
bukti Anda.
FTP: File Transfer Protocol Sebuah protokol untuk mentransfer file dari satu bentuk plat
ke yang lain, misalnya, dari komputer laptop ke drive USB.
GDPR: Peraturan Perlindungan Data Umum GDPR adalah undang-undang Uni Eropa
yang mencakup keamanan dan respons dalam pelanggaran informasi pengenal pribadi
warga negara Uni Eropa.
hash Sebuah algoritma hash membuat kompilasi matematis data dan menghasilkan output
tertentu. Nilai yang dikembalikan adalah angka unik, jadi jika Anda mengubah satu
karakter dalam data yang tunduk pada proses hash, Anda
Glosarium 279 _
akan mendapatkan hasil yang berbeda. Misalnya, nilai hash untuk kata "kejahatan dunia
maya" adalah 507C9BFA28900497DE242262C755ECDE. Namun, jika kita menambahkan
karakter lain ke kata—misalnya, mengubahnya menjadi “cybercrime!”—nilai hash menjadi
FF5D162B91779BD2897F277972E1A2CC, menggunakan salah satu protokol hash yang
tersedia.
Nilai hash digunakan untuk memvalidasi keaslian bukti yang telah Anda amankan untuk
memastikan bahwa itu memiliki integritas dan belum dimanipulasi, seolah-olah bahkan satu
karakter diubah dalam data sumber, output berubah. hypervisor Hypervisor adalah
perangkat lunak atau perangkat yang mengoperasikan virtual
sistem operasi mesin.
IaaS: infrastruktur sebagai layanan Suatu bentuk komputasi awan di mana CSP menyediakan
infrastruktur dasar dan klien menyediakan sistem operasi dan aplikasi. Contoh IaaS adalah
Amazon EC2.
IDS: sistem deteksi intrusi Memantau perangkat atau jaringan untuk aktivitas
yang dapat membahayakan dan melaporkannya untuk ditinjau dan tindakan yang mungkin dilakukan.
IoT: Internet of Things Istilah kolektif untuk banyak perangkat

terhubung ke Internet.
IP: Data kekayaan intelektual yang telah dibuat oleh entitas yang
unik dan memiliki nilai.
IP: Protokol Internet [alamat] Pengidentifikasi unik untuk akun ISP.
ISP memberikan alamat IP ke klien mereka untuk jangka waktu tetap atau dinamis. Saat
Anda melacak alamat IP, Anda biasanya melacaknya ke akun di ISP.
IPS: sistem pencegahan intrusi Memantau jaringan untuk aktivitas yang dapat
membahayakannya dan memiliki kapasitas untuk merespons ancaman secara otomatis.
IR: respons insiden Tindakan yang terlibat dalam menanggapi peristiwa dunia maya.
ISP: Penyedia layanan Internet Menyediakan akses klien ke Internet.
Mungkin juga bertindak sebagai server DNS.
TI: teknologi informasi Deskripsi yang sangat umum untuk berbagai bentuk
teknologi di masyarakat kita.
LEA: lembaga penegak hukum Polisi atau lembaga terkait
terlibat dalam penyelidikan pelanggaran hukum.
MAC: kontrol akses media [alamat] Pengidentifikasi unik untuk perangkat yang mencoba
mengakses sumber daya jaringan. Alamat MAC ada di kartu antarmuka jaringan fisik (NIC)
di dalam perangkat. Perangkat mungkin memiliki satu alamat MAC unik untuk akses Ethernet
dan yang terpisah untuk nirkabel
mengakses.
280 Glosarium _
MLAT: perjanjian bantuan hukum timbal balik Sebuah perjanjian internasional di mana hukum
lembaga penegak memberikan bantuan satu sama lain atas permintaan dari sesama
anggota perjanjian.
NIC: kartu antarmuka jaringan NIC adalah papan fisik dalam komputer yang memfasilitasi
akses ke jaringan. Perangkat mungkin memiliki NIC terpisah
untuk koneksi Ethernet dan nirkabel.
NIST: Institut Nasional Standar dan Teknologi NIST adalah sebuah
badan Departemen Perdagangan Amerika Serikat.
OS: sistem operasi Sistem operasi adalah program komputer yang
memungkinkan perangkat komputer fisik untuk beroperasi dan berinteraksi dengan banyak
aplikasi yang terpasang padanya. Sistem operasi umum termasuk:
Microsoft Windows 10 dan Apple Mojave.
PaaS: platform as a service Suatu bentuk komputasi awan di mana CSP menyediakan
infrastruktur dasar dan alat yang diperlukan untuk pengembangan aplikasi.
Contoh PaaS adalah Google App Engine.
PII: informasi pengenal pribadi Data pengenal khusus tentang a
individu unik, seperti nama lengkap, alamat, nomor Jaminan Sosial, dan
tanggal lahir.
port Sebuah lokasi dalam komputer di mana data perjalanan ke dan dari. Pelabuhan adalah
khusus untuk aplikasi yang menggunakannya; misalnya, port 80 digunakan untuk web
lalu lintas dan port 25 untuk lalu lintas email.
proxy server Sebuah server komputer yang berfungsi untuk menerima permintaan dari
perangkat jaringan mencari sumber daya dari perangkat jaringan lain. Contoh
termasuk server web dan email.
RAID: Redundant Array of Independent Disks [sistem] Data disimpan
di serangkaian drive dalam sistem untuk meningkatkan redundansi dan kualitas kinerja.
RAM: memori akses acak Menyimpan data dan kode saat sedang digunakan sehingga
bahwa perangkat tidak perlu mengarahkan setiap instruksi ke sistem operasi dan aplikasi
tertentu di dalam perangkat.
SaaS: perangkat lunak sebagai layanan Suatu bentuk komputasi awan di mana CSP
menyediakan infrastruktur dasar serta sistem operasi dan aplikasi yang dipilih oleh
pengguna. Pengguna memiliki sedikit atau tidak ada kontrol atas sistem SaaS,
karena mereka telah membuat kontrak dengan CSP untuk menyediakan dan mengelola layanan.
Contoh SaaS adalah Microsoft Office 365.
SANS Institute SANS Institute menyediakan pendidikan berkualitas tinggi dan
pelatihan untuk profesional keamanan di berbagai disiplin ilmu TI.
Aplikasi shadow IT dan layanan online yang diinstal pada perangkat/jaringan
tanpa wewenang dari administrator keamanan sistem. Contoh
Glosarium 281 _
menyertakan layanan komputasi awan yang dioperasikan pengguna untuk membantu

mereka saat bekerja di luar kantor saat mereka tidak memiliki akses VPN.
SIEM: informasi keamanan dan manajemen acara Perangkat lunak SIEM menyediakan
informasi keamanan dan manajemen acara untuk analisis waktu nyata dari potensi
ancaman ke jaringan. Ini adalah sistem terintegrasi yang mengumpulkan data dari
berbagai sumber dan memberikan peringatan tentang potensi pelanggaran keamanan.
subnet Subnet adalah divisi dalam alamat IP yang menyediakan dua atau lebih jaringan
yang berbeda dalam alamat IP tersebut. Ini digunakan di lingkungan domestik dan
perusahaan dengan subnetwork yang berkomunikasi satu sama lain melalui router di
jaringan internal itu. Misalnya, mungkin ada subnet terpisah untuk departemen sumber
daya manusia, keuangan, dan penelitian.
perangkat lunak manajemen kerentanan Proses mengidentifikasi dan memperbaiki
kerentanan dalam sistem operasi atau aplikasi. zero-day exploit Bagian baru dari
malware komputer yang tidak diketahui keamanannya
vendor, sistem operasi, dan aplikasi.
Indeks
Kebijakan penggunaan yang dapat diterima, Mengatasi

pelanggaran (metodologi serangan), serangan, 85
42 Akun terkait akun, 115 detail akun keuangan, metodologi, 41–44, 78 modus
115 pendaftaran, detail, 114–115 pencurian, operandi, identifikasi, 72–73
13–14 ACPO. Lihat Asosiasi Kapolri Atrisi, 41
Peringatan peringatan audiovisual (AV), 38
Jejak audit, pembuatan/pelestarian, 56
Darurat Komputer Australia
Petugas Tim Response (AusCERT),
Cache Protokol Resolusi Alamat (ARP), urutan volatilitas, 121
121 Australia, fasilitas pelaporan online, 205
Tuduhan, dukungan bukti, 260–261
Dugaan / dugaan pelanggaran, Otentikasi, kegagalan, 162
pemahaman, 71 Log otentikasi, pelestarian, 78–79
Log aplikasi, 164 Tingkat akses resmi,
Jadwal daftar putih aplikasi, 105–106 mendapatkan/melebihi, 15
ARP. Lihat Protokol Resolusi Alamat Mendapatkan

Akun terkait, 115 cadangan, kemampuan, 201
Persatuan Kapolres penyitaan, 141
(ACPO), rekomendasi penanganan bukti Blog (contoh bukti sumber terbuka), 233
digital, 55–56
Penyerang Bluetooth, penggunaan,
yurisdiksi asing, 88 111 komputer Bring-your-own-device
Alamat Protokol Internet (IP), (BYOD), penggunaan, 72 kebijakan,
identifikasi, 73 67 Brute force (metodologi
Alamat IP, identifikasi serangan), 41 Pesaing bisnis (motivator
pengambilan paket, 73 cybercriminal), 31–32 Penipuan kompromi
penyerang bermotivasi masalah, email bisnis, 22–23 Bisnis bagal
32 perangkat lunak berbahaya, salin (memperoleh),uang, 21 BYOD. Lihat Bawa-perangkat-Anda-
79 sendiri
motivasi, 29
keterampilan (bukti), vandalisme
(penggunaan), 18 sumber daya sistem, Kamera, penggunaan, 102, 113–114
penggunaan, 67 eksploitasi kerentanan, memastikan,
Penipuan tanpa kartu, pencurian data kartu
81 kredit, 16–17
283
284 Indeks _
Rantai pengawasan, Investigasi, bantuan berbasis cloud,

202 pertimbangan, 203-205
59 memastikan, kelanjutan, 260 Komputasi awan
integritas, pemeliharaan, 57–58 lacak balak, perlindungan, 217
pelestarian, 56–58 pernyataan, karakteristik, 168–169 aplikasi
memperoleh, 140 prosedur, 78 pengadilan sipil, persyaratan
perlindungan, 217 Rantai bukti, kriminalitas ganda, 214 penyelidik
74. Lihat juga Bukti digital; sipil, dampak, 216–217 data berbasis
Kehilangan bukti fisik, 154 pemeliharaan, cloud, melihat, 217 kompromi (metodologi
89 aplikasi pengadilan sipil, serangan), 42 data konten/nonkonten,
persyaratan kriminalitas ganda, 214 hukum
investigasi perdata, 90 pelanggaran persyaratan (konfirmasi), 214
perdata, identifikasi, 85 bisnis klien, kelanjutan
(tunjangan), bukti yang menguatkan,
mencari/memperoleh, 218
perintah pengadilan, kebutuhan,
218 putusan pengadilan, hasil
(penyebaran), 219
134–135 pengadilan, kemampuan penyajian bukti
dokumen sumber daya manusia (SDM), (review), 218
memperoleh (persetujuan), 68 Kontak CSP, 216
kemajuan penyelidikan, 260 atraksi kejahatan dunia maya, 173-174
rekomendasi, 260 definisi, 167-172 penyelidik digital,
kualifikasi/keterampilan, 217 bukti
Hambatan awan,
196-203 lacak balak,
202 integritas data, 202 penangkapan, kebutuhan,
perangkat/server, citra virtual 218 kerumitan, pertimbangan, 219
(memperoleh), 202-203 perintah pengadilan, 213
lingkungan, pemahaman, 204 pemeriksaan forensik, 218
perolehan, logistik (persiapan),
bukti 217–218
kritik, 212–213 akuisisi fisik, 217 kepemilikan,
pencitraan, 202 legalitas, 218 penyitaan,
lokasi, 211 otoritas 217–219 bukti asing,
hukum, 202 penuntutan, memperoleh, 215 yurisdiksi asing,
dukungan, 202 insiden persyaratan hukum (identifikasi), 214
keamanan, kedudukan, 199 server, kerangka investigasi, 206–219
202 penggunaan, 160 layanan, log
(generasi), 161 kapasitas bagan alur metodologi, 207f–209f
penyimpanan, 202 ambang batas penyidikan, pengaduan
(pertemuan), 213 kerangka
Data berbasis cloud, tampilan, 217 penyidikan, 206 identifikasi, 210
Bukti berbasis cloud penyidik penegak hukum, 215–216
pengantar pengadilan,
201 pertanyaan, 201–202
Indeks 285 _
dokumentasi hukum, kredibilitas, pendirian, 194 pusat

persiapan/pengajuan, 216 data, 193-194 perolehan, 178
metadata, pencarian, 214 multitenancy, penyimpanan/transportasi/
169 perjanjian bantuan hukum timbal akses, 185 pernyataan
balik, persyaratan kriminalitas ganda, pemeriksa forensik digital, 190
214 layanan mandiri sesuai
permintaan, 169 platform, bukti (identifica
diskusi, 170 bukti,
tion/penyitaan/pelestarian), memperoleh (persetujuan), 212
167 rencana respons insiden, 179 CSP
penyedia, identifikasi, 196-197 internasional, investigasi, 172-173
kecepatan/elastisitas/skalabilitas, 169
teknologi forensik jarak jauh, leasing, 174–175
legalitas/kelayakan teknis departemen hukum, kontak, 211
(pertimbangan), 214–215 tim hukum, komunikasi, 196 bukti
sumber log, 191–192 tabungan, 181
penilaian, 212 pemahaman, 197–198 metadata,
penyatuan, 169 penyimpanan (penghindaran),
server, investigasi forensik, 180 prioritas, perbedaan, 189
178-182 layanan, kontrol, prioritas, 199 produk, 170 penyelidikan,
169 penyedia pihak ketiga, 199–200 permintaan, pengajuan, 188
pertimbangan, 216 aplikasi perjanjian, kebijakan maksimalisasi sumber daya,
persiapan/pengajuan, 215 83 sumber daya, penggunaan, 200
surat perintah penggeledahan, 187–
188 layanan/aktivitas, tersangka
Bukti digital awan (tautan), 198 perjanjian tingkat layanan,
pelestarian, 177-178 188–189 staf
penyitaan, 175-177
Forensik awan
definisi, 183
gambar, validasi, 198–199
Penyedia layanan cloud (CSP), 42, 107, 168 bantuan, 192
interaksi, 169
arsitektur, 200 perangkat
bantuan penyimpanan, 185 struktur,
ketergantungan penyidik, 181-182 pemahaman, 197 dukungan, 179, 185–186
persyaratan, 186 sikap, Perintah, penggunaan (identifikasi), 72
pemahaman, 205 privasi klien, Komunikasi, 121
pelanggaran (ketidakhadiran), 195 co- Awan komunitas, 172
pelapor, 212 kontak, 177, 203-204, 216 Bagan organisasi perusahaan, 115
kewajiban kontrak, 204 kontrol, 170-171 Reputasi pesaing (merusak),
kerjasama, 184, 189 pendirian, 203 keunggulan pasar
perolehan, 197 (mendapatkan), 17–19
Perusahaan
pengadu, rincian, 68
rincian, 68
286 Indeks _
Informasi pengadu (lanjutan) , sidik jari, 133

pengungkapan/pencurian/ pelestarian / penyitaan, 139
penghapusan/korupsi, 67 aturan, pemahaman / kepatuhan, 129
diskusi awal, 65–68 pertemuan Akses TKP,
awal, 65 pertanyaan, contoh, 66– 138 aktivitas,
68 persyaratan, perubahan, 153– dokumentasi, 133 kehadiran,
154 legalitas, 125 pencadangan,
Data/sumber daya yang penyitaan, 141 batasan,
dikompromikan, identifikasi, 85 pemahaman sementara, 128 lacak
Pengkodean balak (pelestarian),
komputer, 111 pernyataan (memperoleh), 140
pameran, 136
peretasan, 14–15 rantai bukti, kehilangan, 154
kehilangan/pencurian (metodologi sistem rahasia, 146 pameran
serangan), 42 jaringan/perangkat, komputer, 136 aktivitas kontrol,
investigasi, 66 printer, nomor seri, sistem/ 132 gambar yang disalin,
perangkat 99f , perubahan, 18 penggunaan, 149 sistem zona
Tempat pengumpulan dokumen rahasia, 114 demiliterisasi (DMZ), 146 pemeriksaan
bukti digital, 141 penangkapan
Data konten, persyaratan hukum langsung, 150-151 keamanan, 140
(konfirmasi), 214 pengontrol domain, 146 server nama
Kekayaan intelektual perusahaan/file, login domain (DNS), 146 sistem email, 146
pengguna, 40 daftar karyawan, memperoleh, 138
Situs perusahaan enkripsi, 137 proses pemeriksaan,
kerusakan, serangan bermotivasi masalah, tindakan (dokumentasi), 149 pameran,
79 deface, 40 153 keluar, persiapan, 124-130 perangkat
Bukti yang menguatkan, penyimpanan eksternal, 140 pemeriksaan
mencari/memperoleh, 218 akhir, 141 perangkat tetap, penggunaan,
Mata uang palsu, penjualan (gambar), 240f 147-151 kantor lorong, pengidentifikasi,
Perintah pengadilan, nilai hash 135f , dokumentasi, 149
213 keharusan, kekayaan intelektual, kepemilikan, 140
218 kata-kata, identifikasi, 213 orang yang diwawancarai, 138 investigasi,
pengadilan 123-130 persyaratan, pemahaman, 134
bukti tim, komentar (masalah), 155 tindakan
persiapan, 268–272 penyelidik, 130–141 serangan, 152
presentasi, kemampuan (review), 218 masalah/pengetahuan, 149–150
produksi, 265 putusan, hasil (diseminasi),
219
Data kartu kredit, pencurian, 16–17

Kejahatan, web gelap (hubungan), 238–242
Pengumpulan bukti TKP,
penghindaran, pengumpulan 129–
130 , kelanjutan bisnis klien (tunjangan), 134–
135 kontrol/penangkapan, 126–127
Indeks 287 _
isolasi, 127 akses pengguna/administrasi, 139

pengetahuan, batasan volatilitas, pesanan bukti digital, 136 senjata,
(pemahaman), 129 lokasi, kehadiran, 124–125 saksi komentar/rincian,
132-133 kembali, 151-152 rekaman, 139 identifikasi/ketersediaan, 137
dukungan manajerial, 134
metodis, 135 kesalahan,
152-153 jaringan proses akses pekerja, 138
Pengaduan pidana/perdata, identifikasi, 210
arsitektur, identifikasi, 141-147 Barang/jasa kriminal, 239 Pasar

kriminal, penutupan penegakan hukum
diagram, 143–145 (gambar), 242f Pelanggaran
catatan/sinkronisasi waktu, 140 server, kriminal, identifikasi, 85 akun
150 perangkat jaringan, penggunaan, Cryptocurrency , 111-112 CSP. Lihat
147–151 catatan, penggunaan, 140 Penyedia layanan Cloud Melakukan
pelanggaran, lokasi (konfirmasi), 135 data kejahatan dunia maya, penentuan, 37
online, penyitaan (rencana pemrosesan), 129 penyelidikan dimulai, 47 perencanaan,
pertimbangan hukum, 53 alasan, 47–48
pelanggaran, 9, 11, 200–201 adegan,
penilaian keamanan di tempat kejadian, investigasi, 93 item nonteknis adegan
131-132 kata sandi, lokasi, 137 orang, kejahatan dunia maya, 112–115 item
kedatangan (persiapan), 128 personel, fisik, 112–115 item teknis, 105–112 Pesaing
pengantar, 132 fotografi, 132–133 bahaya bisnis penjahat dunia maya, 31–32 daya
fisik, 128 pengarahan pra-pencarian, 125 tarik komputasi awan, 173–174
kehadiran, 70 pengalamatan IP pribadi/
internal , 146 masalah, 152–155 rentang
alamat IP publik, 145 pencatatan, masalah,
154 titik akses jarak jauh, 146 sumber daya,
masalah, 155 pencarian, pengaturan waktu,
127 server/database, 146 peta sketsa,
penggunaan, 137 keamanan staf, 124
pernyataan , memperoleh (kehilangan), 154 geopolitik, 32
pemeriksaan digital perangkat subjek, keserakahan, 31
dukungan spesialis eksternal, 140 identifikasi, penyerang bermotivasi isu, 32
138 identifikasi tersangka, 137 kehadiran, motivator, 30-33 peluang, 30-31
125–126 peran tim, penunjukan, 128–129 penjahat profesional, keuntungan,
32
balas dendam,
30 keterampilan,
ujian, 31 terorisme, 32–33
Pengaduan
pidana/perdata peristiwa dunia maya,
identifikasi, 207
Investigasi peristiwa dunia maya, dukungan
manajemen, 48–50
288 Indeks _
Peringatan insiden sistem/perangkat komputer, perubahan,

dunia maya, 38 18
sejarah, diskusi, 69 pemeriksaan, penggunaan cadangan,
Klaim asuransi cyber, pengajuan, 90 60 perangkat penyimpanan eksternal,
Penyelidik dunia maya, peran, 48 113 pemeriksaan forensik, 108
Sejarah keamanan siber, 69–70 informasi identifikasi, 78 identifikasi/
Insiden keamanan siber penghapusan, 80 pengidentifikasi,
yang mengandung, 77-80 perekaman, 122 perangkat seluler, 113
pemberantasan, 80-82 kata sandi, asosiasi, 73 perangkat
batas investigasi, definisi, komputer fisik, 112-113 tingkat
84 tantangan, 83, 84-91 keamanan, 232 penargetan, 73 penggunaan,
perbaikan, 77 122. Lihat juga Perangkat tetap;
Jaring gelap, 237 Perangkat jaringan.

kejahatan, hubungan, 238–242 Perangkat USB, penyitaan, 150
pasar, barang/jasa kriminal, 239 contoh bukti perangkat pengguna, aktivitas (masalah),
sumber terbuka, 233 38 nama pengguna/sandi, 112 citra virtual,
Akses perolehan, 202-203 pengetahuan saksi,
data, kompetensi, 56 data 251-252 DHCP. Lihat Protokol konfigurasi
konten/nonkonten, legal host dinamis Investigasi kejahatan digital,
persyaratan (konfirmasi), 214 data hukum (peran), 54 Akuisisi bukti digital,
yang dihapus, pemulihan, 202 116, 120-122 penerimaan, 267-268 jejak audit,
perbedaan, 160 enkripsi, 203 data pembuatan/pelestarian, 56 ketersediaan/pengelolaan,
geolokasi, 111 integritas, 202 metadata, 104-105 penangkapan, 116-118 rantai , 74
pencarian, 214 perolehan, persetujuan, koleksi, 116, 119–120
67 data online, penyitaan (rencana
pemrosesan), 129
implikasi hukum, 60–62

pengambilan, tanggung jawab, 50–51 prioritas, 61 kompleksitas,
sumber pra-peristiwa, identifikasi, 204 volume, pemahaman, 89 pendefinisian, 104
198 Penargetan basis data, 73 salinan penghancuran, 122 pemeriksaan, 141
tepercaya, penginstalan ulang, 81 penggunaan, perangkat yang ditunjuk, penggunaan,
146 Data yang dihapus, pemulihan, 202 60 implikasi etis, pemahaman, 61–62
Sistem zona demiliterisasi (DMZ), 146 batas yang ditentukan secara
Perangkat yang ditentukan, penggunaan, 60 hukum, 61 jadwal pameran, 58 penanganan,
Alat perusak, keberadaan, 149 Perangkat. Lihat 116– 118
Akses perangkat subjek, perangkat lunak
berbahaya (penggunaan), 17 kompromi,
identifikasi, 81
Rekomendasi ACPO, 55–56 holding,
durasi, 60 identifikasi, 116, 118–119
Indeks 289 _
investigasi, pelaksanaan, 62 Penangkapan bukti elektronik, proses,

penyelidik, pengamanan bukti yang mudah 121-122
menguap, 121 penautan, 71 penangkapan Email
langsung, 150-151 lokasi, 88, 174-175. Lihat terpental, perangkat lunak/tautan
juga Internet of Things. pelestarian, 116, 122– berbahaya (ada), 39 penipuan
123. Lihat juga bukti digital Cloud. perlindungan, kompromi email bisnis, 22–23
55–56, 59–60 ulasan, 247–259 keamanan,
140 penyitaan. Lihat bukti digital Cloud. identifikasi pihak eksternal, 39 phishing/
penandatanganan / penyegelan / kencan, rekayasa sosial (metodologi serangan), 42
57 perawatan, pendekatan pameran pengadilan, layanan (contoh bukti sumber
terbuka), 234 sistem, penggunaan, 147
pelacakan (contoh bukti sumber
terbuka), 233–234
62 Daftar karyawan, memperoleh, 138

melihat, perangkat lunak berpemilik (penggunaan), Bukti terenkripsi, 111
58 Volume terenkripsi, 40
urutan volatilitas, 136 Enkripsi, 137
volatilitas, urutan (identifikasi), Keamanan entitas, ancaman, 70
121-122 Pemeriksaan digital, Kehilangan/pencurian peralatan
sifat/tujuan (pertimbangan), 60–61 Forensik (metodologi serangan), 42
digital, 108–109 Penyelidik digital, Kabel Ethernet, pelacakan
100 masalah, 149–150 kualifikasi/ 143f , 144f, 145f
keterampilan, 217 Perekam digital , Detail
penggunaan, 102 Perekaman digital, acara, 68–69
penggunaan, 137 serangan Distributed acara yang diteruskan,
Denial of Service (DDoS), 39–40 DMZ. Lihat 164 yurisdiksi hukum, 70
Dokumen sistem zona demiliterisasi, 109– log, 105 sinkronisasi
110 korupsi, pencegahan, 149 perolehan, waktu, 89–90
persetujuan, 67–68 kesadaran anggota staf, 70 target,
identifikasi, 72 garis waktu,
pembuatan, 261 log tertulis,
pemeliharaan, 57
Penampil Acara
Pengontrol domain, 146 log aplikasi, log sistem
Alat pencarian domain (contoh bukti 164f , contoh, 163f Bukti, 74.
sumber terbuka), 233 Lihat juga Bukti TKP; Bukti digital; bukti
Server nama domain (DNS), 146 log, 106 terenkripsi; Perjanjian akses
bukti teknis, penetapan, 204 akuisisi,
Unduhan drive-by, 19 180-182, 187-192 ketersediaan,
Protokol konfigurasi host dinamis penentuan, 211 penangkapan, kebutuhan,
(DHCP) log, 106–107 218 tantangan, 262
Elastisitas, bukti forensik

(hubungan), 201
290 Indeks _
Karakteristik bukti Media eksternal/dapat dilepas, ancaman orang

(lanjutan) , 267–268 dalam (metodologi serangan), 41
pengumpulan, 178–180, 184–186 Pemberitahuan sumber eksternal, 40
penghindaran, 129–130 kompleksitas, Dukungan spesialis eksternal, 140
pertimbangan, 219 kontrol/penangkapan, Perangkat penyimpanan eksternal, 113, 113f,
rencana, 126–127 perintah pengadilan, 140
213 hak asuh, legalitas, 74 keberadaan,
87– 88 sidik jari, 133 pemeriksaan Tas Faraday, pemakaian, 102
forensik, 218 identifikasi, 167, 178, 184 Perangkat lunak pemantauan integritas file, penggunaan,
integritas, pelestarian, 126-127 lokasi, 40
78 pemeliharaan. Lihat Rantai bukti. File
mengunduh, 39
upaya masuk, 39
identifikasi nama, 39
File Transfer Protocol (FTP) log, tinjauan, 39
memperoleh, logistik (persiapan),
217–218 Detail akun keuangan, 115
perolehan fisik, 217 kepemilikan, Firewall, identifikasi intrusi/
legalitas, 218 presentasi, 193– percobaan, 38
196 pelestarian, 139, 167, 182, Perangkat tetap, penggunaan, 147-151
192–193 produksi, 265 pertanyaan, 260–261 Folder, upaya masuk, 39
ulasan, 257 bantuan, saran, 258–262 aturan, Pertanyaan tindak lanjut, jadwal
pemahaman/ mematuhi, 129 penyimpanan lokasi (persiapan), 151-152
aman, 151 pengamanan, 87 penyitaan, 139, 167, Jejak kaki, bukti, 70
217–219. Lihat juga Internet of Things. Bukti asing, memperoleh, 215
penyimpanan, 151 volatilitas, 88 Laporan Yurisdiksi asing, persyaratan hukum
pemeriksaan, pertimbangan, 59–60 (identifikasi), 214
Bukti forensik
proses penangkapan,
201 , elastisitas, hubungan, 201
Pemeriksaan forensik, 108
Acara yang diteruskan, 164
Tipuan
penipuan kompromi email bisnis, 22–23
Pameran penipuan warisan, 25 penipuan
perubahan/kerusakan, pencatatan, 58 hubungan, 23–25 penipuan rekayasa
peti kemas, penggunaan, 101 tahanan, sosial, 23–25
123 penangan, identifikasi, 58 lokasi,
pencatatan, 58 petugas, 97–98 jadwal, FTP. Lihat Protokol Transfer File
58 pertimbangan, 59
Data geolokasi, 111
Geopolitik (motivator kejahatan dunia maya),
32–33
Kerentanan yang dieksploitasi, identifikasi, 86 Kamera GoPro, penggunaan, 102
Shutdown anggun, melembagakan, 149
Hard drive eksternal, penggunaan, 102 Keserakahan (motivator kejahatan dunia maya), 31
Indeks 291 _
Layanan peretasan, gambar, 240f Log/konten pesan instan (IM), 109

Kantor lorong, pengenal, 135f
Hard drive, nomor seri, 98f Kekayaan intelektual, kepemilikan, 140
Shutdown keras, melembagakan, 149 Ancaman internal (metodologi serangan), 42
Nilai hash, dokumentasi, 149 CSP Internasional, investigasi,
Hong Kong, fasilitas pelaporan online, 205 172-173
Aktivitas internet, identifikasi, 149
Dokumen sumber daya Arsip internet (contoh bukti sumber terbuka),
manusia (SDM) 234
memperoleh, persetujuan, Pendefinisian Internet of
68 kegunaan, 259 Things (IoT), 225–226
dukungan manajerial, 134 perangkat, bukti (identifikasi
catatan, memperoleh, 72 tion/penyitaan/pelestarian), 225
Awan hibrida, 172
bukti digital, lokasi, 228 bukti,
IaaS. Lihat Infrastruktur sebagai penyitaan, 228 identifikasi/forensik
Pengidentifikasi Layanan, keunikan, 123 digital, 108–109
Pencurian identitas, 13–14 IM. Lihat
Pesan instan Pencarian gambar (contoh investigasi, relevansi, 226–228
bukti sumber terbuka), 234 Biaya dampak, identifikasi alamat Protokol Internet (IP),
penilaian. Lihat Investigasi 73 penelusuran (contoh bukti sumber
Kejadian insiden, yurisdiksi hukum terbuka), 234 pengalamatan IP
(pemahaman), 87–88 Rencana pribadi/internal, 146 rentang alamat
respons insiden (IR), 179 pembuatan, 85 IP publik, 145 Orang yang
Peran respons insiden (IR), 87 Tim diwawancarai, keamanan, 248–249
respons insiden (IR) Pewawancara, 100-101 Wawancara.
Lihat wawancara Tersangka; Wawancara
saksi
area, konsentrasi, 79–80 respons

serangan, 2 proses, contoh, 81 penutupan,
254 persiapan, 247–249
Alat respons insiden (IR), penggunaan, proses, 250–254 ulasan,
73 258
Tinjauan pihak independen, persiapan, 261 Intrusi / upaya, identifikasi firewall, 38
Spionase industri, 12–13 Batas

Kelemahan keamanan informasi investigasi, penetapan, 85
(eksploitasi), rantai pasokan anggaran, 66–67 investigasi
(penggunaan), 15–16 sipil, 90
Pencurian informasi, 13–14 Kontak CSP, 203–204
Infrastruktur sebagai Layanan (IaaS), target akhir, 66 pengenal,
171-172 pencatatan, 57–58 biaya
Penipuan warisan, 25 dampak, penilaian, 90–91
Ancaman orang IoT, relevansi, level 226–
dalam, 41 metodologi serangan, 43 228 , keinginan, 66
292 Indeks _
Investigasi (lanjutan) batas otentikasi, kegagalan, 162

fisik/virtual, 70 persyaratan, ketersediaan, 69 tantangan,
pemahaman, 134 keberhasilan, 160-161 data, perbedaan, 160
penghalang awan, 196-203 ambang format, perbedaan, 160
batas, pendefinisian, 204-205 identifikasi/pelestarian/
Tim investigasi, 96-101 penyelidik pengumpulan/ akuisisi, 159 struktur,
digital, 100 petugas pameran, penyertaan informasi, 162 pembuatan
97-98 dampak, 67 sistem, 160-161
pewawancara, 100-101
fotografer, 99-100 sumber Bom logika, keberadaan, 149
daya, 101-104 manajer Masalah logistik, 70 Upaya
adegan, 98-99 pencari, 97 masuk, pengulangan/kegagalan, 39 Perilaku
keterampilan, persyaratan/ masuk, masalah, 38 Akses log, 160
tekad, 96 -101 pembatasan, 199–200 log antivirus, 106
tantangan, 160–161 kompleksitas, 161
domain server nama (DNS) log, 106
total, 96 bukti, 110, 161-162 kesenjangan/
penyerangan ketidakhadiran, penghapusan bukti,
Penyidik, 152 generasi 39 , 161 log/konten pesan instan
penyelidik utama, pengetahuan, 149–150 (IM), 109 log/konten server email, 108
relevansi, 172-173 aksi adegan, 130–141 IoT. pelestarian. Lihat Log otentikasi. log proxy,
Lihat Internet of Things iPhone, kerusakan 106 biaya penyimpanan, 161 perbedaan
(foto), 136f IR. Lihat Tanggapan insiden Aktivis zona waktu, 90 jenis, 162-164 penggunaan,
berbasis masalah, ancaman, 40 Penyerang 204 log jaringan pribadi virtual (VPN), 106
bermotivasi masalah (motivator kejahatan dunia
maya), 32
Yurisdiksi, rantai bukti (pemeliharaan),

89
Statistik/modul kernel, 121

Keylogger (metodologi serangan), 43
Label, penggunaan, Log/konten server surat, 108

101 LAN. Lihat Jaringan area lokal Metodologi serangan
Laptop, penggunaan, 102 perangkat lunak berbahaya, 43–
Lembaga penegak hukum (LEA), tindakan 44 salinan, perolehan, 79
data, 55 unduhan drive-by, 19 lokasi/
Penyelidik utama, pengetahuan, 149–150 upaya, peringatan peringatan AV,
Dokumentasi hukum, 38
persiapan/pengajuan, 216 kehadiran, 39
Jaringan area lokal (LAN), 70 penggunaan,
Aktivitas 17 MAN. Lihat Tujuan manajemen jaringan
file log, cap waktu, 162 area metropolitan, mendefinisikan, 84
Indeks 293 _
Peta (contoh bukti sumber terbuka), 234–235 Antarmuka jaringan, 112

Data nonkonten, persyaratan hukum
Keuntungan pasar, keuntungan, 17–18 (konfirmasi), 214
Daftar pameran utama, penggunaan, 101 Notebook, penggunaan, 101
Metadata, pencarian, 214 Catatan, penggunaan, 140
Jaringan area metropolitan (MAN), 70
Ponsel/perangkat, 113 Pelanggaran
Modus operandi (MO), pemahaman, 72–73 identifikasi, 71, 85 dugaan

pelanggaran, bahan (pemahaman),
Bagal 71
uang bisnis uang, 21 pencucian, Layanan mandiri sesuai permintaan, 169
20–22 bagal uang rekayasa Riwayat penjelajahan online, 109
sosial, 21 Layanan/aplikasi obrolan online, 110
Motivasi, identifikasi, 86 Data online, penyitaan (rencana pemrosesan),
Motivator (penjahat dunia maya), 30–33 129
Investigasi multiyurisdiksi, biaya (pemahaman), Metode pembayaran online, 111
90 Fasilitas pelaporan online, 204–205
Pengumpulan bukti multiyurisdiksi, 198 Penjualan online, pencurian data kartu kredit, 16
Penilaian keamanan di tempat kejadian, 131-132
Multimedia, 110 Akun sumber
Multitenancy, 169 terbuka, 111
Yurisdiksi multitenant, forensik perangkat intelijen (contoh bukti sumber
bukti (proses penangkapan), 201 terbuka), 235
Perjanjian bantuan hukum timbal balik Bukti sumber terbuka, 231
aplikasi, kepatuhan, 215–216 persyaratan contoh, 233–236 nilai, 231–
kriminalitas ganda, 214 232
Investigasi sumber terbuka, keahlian, 232
Jaringan Sistem operasi (OS), 109
akses, 168–169 korupsi, pencegahan, 149 instalasi
interferensi, 19 ulang, 81, 232
identifikasi aktivitas, Eksploitasi sistem operasi/aplikasi
149 masalah, 38 (metodologi serangan), 43
arsitektur, identifikasi,
141–147 pengkabelan, penangkapan 142f , Peluang (motivator kejahatan dunia maya), 30–
108 diagram, 143–145 pemadaman, 39 31
catatan, sinkronisasi waktu, 140 server, 150 Yurisdiksi luar negeri, 202
alat (contoh bukti sumber terbuka), 235
topologi , 121 pengguna/pihak eksternal, PaaS. Lihat Platform sebagai
alamat IP, 162 nama pengguna/sandi, 112 pengambilan Paket Layanan,
penggunaan, 73 Kata Sandi, 112
kompromi, 79
perangkat, asosiasi, 73
lokasi, 121, 137
Program peer-to-peer, 110
Pencari orang (contoh bukti sumber
Perangkat jaringan, penggunaan, 147-151 terbuka), 235
294 Indeks _
Serangan phishing, 20–22 Sumber daya, penilaian, 212

metodologi, 42 Data terbatas (memperoleh), diotorisasi
Daftar tingkat akses (mendapatkan/melebihi), 15
telepon,
115 ponsel, 113 nomor Balas dendam (motivator kejahatan dunia maya), 30
Konfigurasi router, 121
pencarian (contoh bukti sumber Tabel perutean, 121
terbuka), 235 penggunaan, 112 Tempat sampah, 114, 115f
Lembar berjalan, penggunaan, 123
Mesin fotokopi, 113–114
Fotografer, 99–100 SaaS. Lihat Perangkat Lunak sebagai Layanan
Perangkat komputer fisik, 112-113 Ancaman keamanan, ulasan,

Bukti fisik, rantai, 74 72 Adegan. Lihat TKP
Platform sebagai Layanan (PaaS), 170-171 rincian, 70
Latihan pra-acara, 87 manajer, 98–99
Label/formulir pracetak, penggunaan, 102 jadwal properti, contoh, 103f
Printer, 113–114, 114f Mesin pencari (contoh bukti sumber terbuka),
Aplikasi privasi, 108 235
Awan pribadi, 171 Pencari, 97
Pengalamatan IP pribadi/internal, 146 Memori sekunder, 121
Tabel proses, 121 Peringatan
Penjahat profesional (motivator kejahatan aplikasi keamanan, 38
dunia maya), 32 acara, diskusi, 69 log, 164
Profil (kreasi), upaya (masalah), 39
Informasi keamanan dan peringatan
Aplikasi berpemilik, 109 manajemen acara (SIEM), 40
Perangkat lunak berpemilik, log, ketersediaan, 73
kebutuhan (pertimbangan), 58
Log proxy, 106 Server
Awan publik, 171 penggunaan,
Rentang alamat IP publik, 145 146 gambar virtual, perolehan, 202–203
Perjanjian tingkat layanan, 173-174 Log
Ransomware, 19–20 pengaturan, 164 SIEM. Lihat Informasi
serangan, 40 keamanan dan manajemen acara Singapura,
Buku/dokumen kwitansi, pemakaian, 101 fasilitas pelaporan online, 205 Peta sketsa,
Tanda terima, 112 penggunaan, 137 Keterampilan, tes (motivator
Pencatatan, masalah, 154 kriminal siber), 31 Metodologi serangan rekayasa
Pemeriksaan pendaftaran, 110 sosial, 42 penipuan, 23–25
Penipuan hubungan, 23–25
Titik akses jarak jauh, 146
Pemeriksaan forensik jarak jauh, 182-196
Sikap CSP, pengertian, 205 Bagal uang yang direkayasa secara sosial, 21–22
Teknologi forensik jarak jauh, Akun media
legalitas/kelayakan teknis sosial, 111 contoh
(pertimbangan), 214–215 bukti sumber terbuka, 235–236
Pengumpulan sumber daya, 169
Indeks 295 _
Perangkat Lunak sebagai Layanan (SaaS), 170 tim

Perangkat laptop spesialis, penggunaan anggota, ancaman keamanan (tinjauan), 72
(instal ulang OS), 232 risiko, identifikasi, 70 peran, penunjukan TKP,
File staf, pencurian, 13–14 128–129
Pernyataan (rekaman), komputer
(penggunaan), 102 Bukti teknis, 73
Alat tulis/bahan, penggunaan, 102 Terorisme (motivator kejahatan dunia maya),
Fasilitas 32–33
penyimpanan, login, Kontraktor pihak ketiga, penggunaan, 15–16
57 keamanan, pertimbangan, 59 Penyedia pihak ketiga, pertimbangan, 215
Snapshot yang disimpan, memperoleh (kemampuan), 201
Akses perangkat Pemasok pihak ketiga, sumber daya (penggunaan),
subjek, 138 200
penentuan/lokasi, 70 Sumber waktu, penggunaan, 149
pemeriksaan digital, dukungan spesialis eksternal, Sinkronisasi waktu, 140
140 identifikasi, 138 Alat, penggunaan, 72
Koneksi browser Tor, gambar, 238f
Rantai pasokan, penggunaan, 15–16 Alat terjemahan (contoh bukti sumber terbuka),
Dugaan pelanggaran, bahan 236
(pengertian), 71 Aplikasi perjanjian,
Wawancara tersangka, 243, 245–246 persiapan/pengajuan, 215
penutupan, 254 rujukan polisi, persiapan
singkat, 255–256 persiapan, 247–249 Perubahan tidak sah (identifikasi),
proses, 250–254 peninjauan, 254– perangkat lunak pemantauan integritas file
255 keselamatan, 248–249 (penggunaan), 40
Inggris Raya, fasilitas pelaporan online, 205
Amerika Serikat, fasilitas pelaporan online, 204

Identifikasi
tersangka, 71–72, 86, 137 karyawan Kebijakan penggunaan, pelanggaran, 39
internal, 72 kehadiran, 74, 125–126 Perangkat USB, penyitaan, 150

hak, 246 pengetahuan saksi, 253–254 Kehilangan/pencurian USB (metodologi serangan), 42
Perangkat pengguna, aktivitas (masalah), 38
Nama pengguna/kata sandi, 112
Log sistem, 163
contoh, 163f Vandalisme, bukti keterampilan penyerang, 18
Akses Vendor, profil pengguna (gambar), 241f
sistem, perangkat lunak berbahaya (penggunaan), Perekam video, penggunaan, 102
17 arsitektur, log peristiwa (sinkronisasi waktu), Log jaringan pribadi virtual (VPN), 106
89–90 sistem/perangkat komputer, penggunaan, 232
perubahan,
18 Sistem virtual, penggunaan, 232
sumber Bukti volatil (pengamanan), penyelidik bukti
akses, peretasan komputer, 14–15 digital (penggunaan), 121
sumber daya Eksploitasi
penggunaan penyerang, 67 kerentanan, 73
296 Indeks _
Identifikasi kerentanan identifikasi, 71, 137

(lanjutan) , 73. Lihat juga Kerentanan penyelesaian/
yang dieksploitasi. penandatanganan
Pemindai kerentanan, penggunaan, 38, 72 pernyataan, 259 persyaratan,
151 pengetahuan tersangka, 253–254
Akun email web, 107–108 Wawancara saksi, 243, 246–247
Salinan situs web (contoh bukti sumber jenazah, 251–254 penutupan, 254
terbuka), 236 perkenalan, 250 rujukan polisi,
Jaringan area luas (WAN), 70 persiapan singkat, 255–256
Titik akses nirkabel (WAP), 110
Detektor nirkabel, penggunaan, 149
Saksi persiapan, 247–249
ketersediaan, 137 proses, 250–254 tinjauan,
komentar/detail, rekaman, 139 254–255 keselamatan,
pengetahuan perangkat, 251–252 248–249

Graeme Edwards - Cybercrime Investigators Handbook-John Wiley &amp; Sons (2020)

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Graeme Edwards - Cybercrime Investigators Handbook-John Wiley &amp; Sons (2020)

Diunggah oleh

Hak Cipta:

Format Tersedia

Machine Translated by Google

Kejahatan dunia maya

Kejahatan dunia maya

Library of Congress Katalogisasi-dalam-Publikasi Nama Data:

Subyek: LCSH: Kejahatan komputer—Investigasi.

Desain Sampul: Wiley

Tentang Penulis xiii

Ucapan terima kasih xvii

Bab 2: Pelanggaran Kejahatan Dunia Maya 9

Potensi Pelanggaran Cybercrime 11

Studi Kasus Kejahatan Dunia Maya 26

Bab 3: Motivasi Penyerang 29

Studi Kasus Kejahatan Dunia Maya I 33

Studi Kasus Kejahatan Dunia Maya II 34

Bab 4: Menentukan Bahwa Kejahatan Dunia Maya Itu Terjadi

Peringatan Insiden Cyber 38

Studi Kasus Kejahatan Dunia Maya I 44

Studi Kasus Kejahatan Dunia Maya II 44

Bab 5: Memulai Investigasi Kejahatan Dunia Maya 47

Mengapa Menyelidiki Kejahatan Dunia Maya? 47

Bab 6: Pertimbangan Hukum Saat Merencanakan

Peran Hukum dalam Investigasi Kejahatan Digital 54

Bab 7: Pertemuan Awal dengan Pelapor 65

Bab 8: Menahan dan Memulihkan Dunia Maya

Berisi Insiden Keamanan Cyber 77

Bab 9: Tantangan dalam Insiden Keamanan Cyber

Bab 10: Menyelidiki TKP Cybercrime 93

Tim Investigasi Sumber 96

Bab 11: Identifikasi File Log, Pelestarian,

Log Tantangan 160

Bab 12: Mengidentifikasi, Merebut, dan Melestarikan Bukti

Apa itu Komputasi Awan? 167

Bab 13: Mengidentifikasi, Merebut, dan Melestarikan Bukti

Apa itu Internet of Things? 225

Di mana Lokasi Bukti Digital Internet of Things Anda? 228

Bab 14: Bukti Sumber Terbuka 231

Nilai Bukti Sumber Terbuka 231

Bab 15: Web Gelap 237

Bab 16: Mewawancarai Saksi dan Tersangka 243

Wawancara Tersangka 245

Bab 17: Tinjauan Bukti 257

Bab 18: Menghasilkan Bukti untuk Pengadilan 265

Bukti Digital dan Penerimaannya 267

Bab 19: Kesimpulan 273

Gambar 10.1 Hard drive menunjukkan nomor seri sebagai unik

Gambar 10.2 Printer komputer menunjukkan nomor seri sebagai unik

Gambar 10.3 Contoh jadwal properti adegan. 103

Gambar 10.4 Perangkat penyimpanan eksternal. 113

Gambar 10.5 Pencetak. 114

Gambar 10.6 Kantong sampah berisi barang bukti potensial. 115

Gambar 10.7 Pengenal lorong kantor. 135

Gambar 10.8 Gambar iPhone rusak. 136

Gambar 10.9 Pengkabelan jaringan. 142

Gambar 10.10 Kabel Ethernet. 143

Gambar 10.11 Menelusuri kabel Ethernet 1. 144

Gambar 10.12 Menelusuri kabel Ethernet 2. 145

Gambar 11.1 Sistem log di Peraga Peristiwa. 163

Gambar 11.2 Aplikasi log di Peraga Peristiwa. 164

Gambar 12.1 Kerangka investigasi komputasi awan. 207

Gambar 15.1 Gambar koneksi browser Tor. 238

Gambar 15.2 Gambar mata uang palsu untuk dijual. 240

Gambar 15.3 Gambar layanan hacking. 240

Gambar 15.4 Gambar profil pengguna vendor dengan peringkat ulasan

Gambar 15.5 Gambar pasar kriminal yang ditutup oleh hukum

Graeme Edwards - Cybercrime Investigators Handbook-John Wiley & Sons (2020)

Graeme Edwards - Cybercrime Investigators Handbook-John Wiley & Sons (2020)