DIGITAL

FORENSIC
AURA SAFITRI AZARIA
D W I YA N T I H A N A F A D I L L A H
PENDAHULUAN (BAB 1)
• Teknologi komputer masuk ke Indonesia dan mulai dikenal luas di tahun 1980-an, banyak orang
pada saat itu ingin menjadi seorang ahli programming
• munculnya jaringan internet yang semakin luas memudahkan untuk saling terhubung melalui
jaringan – jaringan yang semakin banyak. Di dalam ilmu jaringan, terdapat komputer yang
digunakan sebagai server dan ada juga komputer yang dikenal sebagai client.
• Komputer server digunakan untuk menyimpan database yang memiliki informasi yang siginifikan.
Sedangkan komputer client digunakan oleh pengguna jaringan untuk mengakses informasi-
informasi yang berguna.
• Pengaturan database secara benar memerlukan spesialisasi komputer lain yaitu information
management. Bidang spesialisasi information management sering dikaitkan dengan spesialisasi
information security.
• Ketika database-database yang ada di server menyimpan banyak informasi yang penting dan
berharga, hal tersebut dapat mengundang kejahatan yaitu cracker.
• Hacker adalah orang yang memiliki keahlian di bidang penetration testing dan menggunakan
keahlian tersebut untuk mencari titik-titik kelemahan dari suatu sistem untuk perbaikan sistem
tersebut.
• Cracker adalah orang yang menggunakan informasi tersebut untuk mengeksploitasi lebih dalam
demi kepentingan pribadi secara ilegal.
• digital forensic adalah aplikasi bidang bidang ilmu pengetahuan dan teknologi komputer untuk
kepentingan pembuktian hukum (pro justice) yang dalam hal ini adalah untuk membuktikan
kejahahatan berteknologi tinggi atau computer crime secara ilmiah (scientific) hingga bisa
mendapatkan bukti - bukti digital yang dapat digunakan untuk menjerat pelaku kejahatan
tersebut.
• Di Indonesia, dibentuk DFAT (Digital Forensic Analyst Team) yakni investigator yang bertugas
mencari, mengumpulakn, hingga mempertanggungjawabkan di pengadilan bukti kejahatan digital.
FAKTOR
• Manajemen
YANG MEMENGARUHI
-pemimpin yang memiliki keinginan kuat dalam perkembangan digital forensic seperti penyiapan kualitas
sumber daya manusia dan pengadaan hardware/software yang dapat diimplementasikan.
• Prosedur
- Standard Operating Procedure (SOP) untuk memastikan bahwa proses pemeriksaan dan analisis barang
bukti elektronik dan digital sudah sesuai dengan prinsip-prinsip dasar digital forensic secara internasional
sehingga output pemeriksaan yang berupa temuan-temuan digital dapat diterima sebagai alat bukti hyukum
yang sah di persidangan.
• Sumber Daya Manusia
- Peralatan yang canggih akan dapat bermanfaat dan menghasilkan output yang maksimal jika sumber daya
manusia dapat menggunakan peralatan tersebut secara professional dan berkompetensi tinggi. Untuk
mendapatkan kualitas sumber daya manusia yang professional, maka pengguna diharuskan mendapatkan
pelatihan-pelatihan (yang bersifat professional certificate) secara kontinu maupun Pendidikan formal lainnya.

• Hardware/Software
- alat yang dibutuhkan oleh analisis forensic dan investigator dalam melaksanakan tugasnya untuk memeriksa
dan menganalisis barang bukti digital/elektronik.
PRINSIP DASAR DAN PROSEDUR (BAB 2)
• Prinsip dasar dan prosedur dalam digital forensic memegang peranan penting untuk
mengarahkan pemeriksaan digital forensik dilakukan secara benar. Salah satu acuan yang
digunakan para profesional digital forensik yakni prinsip dasar yang dikeluarkan oleh Association
of Chief Police Officers (ACPO) sebagai berikut :

1. Sebuah lembaga penegak hukum dan/atau petugasnya dilarang mengubah data digital yang
tersimpan dalam suatu media penyimpanan elektronik yang selanjutnya akan dibawa dan
dipertanggungjawabkan di pengadilan.

2. Untuk seseorang yang merasa perlu untuk mengakses data-data digital yang tersimpan di
media penyimpanan barang bukti, maka orang tersebut harus benar-benar jelas
kompetensinya dan dapat menjelaskan relevansi dan implikasi dari tindakan-tindakan yang ia
lakukan selama pemeriksaan dan analisis barang bukti tersebut.
3. Seharusnya ada catatan teknis dan praktis terhadap langkah-langkah yang diterapkan terhadap
media penyimpanan barang bukti selama pemeriksaan dan analisis berlangsung, sehingga ketika
barang bukti tersebut diperiksa oleh pihak ketiga maka seharusnya pihak ketiga tersebut akan
mendapatkan hasil yang sama dengan hasil yang telah dilakukan oleh investigator/analis forensik
sebelumnya.

4. Seseorang yang bertanggung jawab terhadap investigasi kasus maupun pemeriksaan dan analisis
barang bukti elektronik harus dapat memastikan bahwa proses yang berlangsung sesuai dengan
hukum yang berlaku dan prinsip-prinsip dasar sebelumnya (prinsip 1,2, dan 3) dapat diaplikasikan
dengan baik.
KLASIFIKASI DIGITAL FORENSIC

• Computer Forensic : pemeriksaan terhadap jenis bukti berkaitan dengan files recovery.
• Mobile Forensic: informasi digital yang tersimpan pada hp/smartphone. Contoh : call logs,
history chat
• Audio Forensic : rekaman suara kepentingan voice recognition.
• Video Forensic : rekaman video (Rekaman CCTV)
• Image Forensic : file-file gambar
• Cyber forensic : pemeriksaan dan analisis yang berhubungan dengan internet atau jaringan
komputer seperti LAN.
PROSEDUR PENANGANAN AWAL DI TKP
• Persiapan : sebelum melakukan penggeledahan TKP, investigator mempersiapkan peralatan dan
dokumen yang harus dilengkapi.
• Preserving (memelihara dan mengamankan data) : untuk menjamin agar data-data yang
dikumpulkan tidak berubah.

• Collecting (mengumpulkan data) : untuk mendukung proses penyidikan dalam rangka pencarian
barang bukti
.
• Confirming (menetapkan data) : yang berhubungan dengan kasus terjadinya.

• Identifying (mengenali data) : untuk melakukan proses identifikasi terhadap data-data yang
sudah ada agar memastikan bahwa data tersebut memang asli sesuai dengan yang terdapat pada
tempat kejadian perkara.
PENANGANAN DI LABORATORIUM
• Administrasi penerimaan : mencatat secara detail seluruh bukti temuan pada log book.

• Investigasi : pemeriksaan secara komprehensit untuk mendapatkan data digital yang sesuai dengan
investigasi, artinya analisis forensik harus mendapatkan gambaran fakta kasus yang lengkap dari
investigator, sehingga apa yang dicari dan akhirnya ditemukan oleh analisis forensic adalah sama
(matching) seperti yang diharapkan oleh investigator untuk pengembanagan investigasinya

• Analisis (meneliti data) : setelah mendapatkan data yang sesuai fakta, proses selanjutnya yaitu
dilakukan analisis untuk dapat membuktikan kejahatan yang dilakukan.

• Laporan : pencatatan terhadap data-data hasil temuan dan hasil analisis sehingga nantinya data
tersebut dapat dipertanggungjawabkan atau dapat direkonstruksi ulang (jika diperlukan) atas
temuan barang bukti tersebut.
 BAB 3
UNDANG – UNDANG ITE :
TINJAUAN PERSPEKTIF
FORENSIK DAN HUKUM
 Oleh karena kejahatan yang dilakukan berhubungan dengan
teknologi komputer seiring dengan perkembangan pesat maka hukum
yang ada juga seharusnya mengatur sejauh mana batasan yang
berkaitan dengan teknologi tersebut. Untuk itu pada tahun 2008
dikeluarkanlah secara resmi Undang – Undang Nomor 11 Tahun 2008
tentang Informasi dan Transaksi Elektronik, yang biasa disebut dengan
Undang – Undang ITE.
PENGERTIAN INFORMASI ELEKTRONIK
DAN DOKUMEN ELEKTRONIK
Menurut UU ITE Pasal 1, informasi elektronik adalah satu atau sekumpulan data
elektronik, termasuk tetapi tidak pada tulisan, suara, gambar, peta, rancangan, foto, electronic data
interchange (EDI), surat elektronik, telegram, teleks, telecopy atau sejenisnya, huruf, tanda, angka,
kode akses, symbol, atau porforasi yang telah diolah yang memiliki arti atau dapat dipahami oleh
orang yang mampu memahaminya.
Syarat utama agar sesuatu digolongkan sebagai informasi elektronik adalah harus
merupakan satu atau sekumpulan data elektronik yang telah diolah dan memiliki arti. Data
elektronik adalah data diginal yang bersumber dari perangkat elektonik yang berbasis komputasi.
ALAT BUKTI HUKUM

UU ITE Pasal 5 Ayat (1) berbunyi :

Informasi Elektronik dan/atau Dokumen Elektronik dan/atau hasil cetaknya merupakan alat
bukti hukum yang sah. Selain menyebutkan bentuk sah yang dapat dijadikan alat bukti hukum, informasi
dan dokumen elektronik juga harus memenuhi syarat – syarat seperti dijelaskan pada UU ITE Pasal 6
agar dianggap sah sepanjang informasi yang tercantum di dalamnya memenuhi syarat – syarat sebagai
berikut :
• Dapat diakses.
• Dapat ditampilkan.
• Dijamin keutuhannya.
• Dapat dipertanggungjawabkan.
INVESTIGASI
• Penyidikan
Pihak yang diizinkan secara hukum untuk melakukan penyidikan tindak pidana teknologi informasi
dan transaksi elektronik yang diatur dalam UU ITE adalah penyidik Polri dan PNS yang lingkup
dan tanggungjawanya di bidang tersebut sesuai Pasal 43 Ayat (1). Penyidikan harus memperhatikan
perlindungan terhadap privasi, kerahasiaan, kelancaran layanan public, integritas data atau
keutuhan data.
• Penggeledahan dan Penyitaan
Pasal 43 Ayat (3) menyebutkan bahwa penggeledahan dan/atau penyitaan terhadap sistem
elektronik yang terkait dengan dugaan tindak pidana harus dilakukan atas izin ketua pengadilan
negeri setempat.
• Penangkapan dan Penahanan
Pasal 43 Ayat (6) menjelaskan bahwa dalam hal melakukan penangkapan dan penahanan, peyidik
melaui penuntut umum wajib meminta penetapan ketua pengadolan negeri setempat dalam waktu
1 x 24 jam.
TINDAK PIDANA TEKNOLOGI INFORMASI DAN
TRANSAKSI ELEKTRONIK
Tindak Pidana teknologi informasi dan transaksi elektronik
yang dimaksud dalam UU ITE antara lain tentang perbuatan yang
dilarang mulai dari Pasal 27 hingga Pasal 35. Tidak hanya mengatur
perbuatan yang dilarang, UU ITE juga menjelaskan ancaman hukuman
untuk tiap – tiap tindak pidana tersebut dalam Pasal 45 hingga Pasal
51.
Perbuatan atau pelanggaran yang berkaitan dengan informasi elektronik,
dokumen elektronik dan/atau sistem elektronik yang digolongkan sebagai tindak
pidana informasi dan transaksi elektronik, antara lain :
• Muatan yang melanggar kesusilaan;
• Muatan perjudian;
• Muatan pencemaran nama baik;
• Muatan pemerasan;
• Menyebarkan berita bohong;
• Menyebarkan informasi kebencian sara;
• Ancaman kekerasan secara pribadi;
• Mengakses sistem elektronik orang lain;
• Menjebol sistem pengaman dari sistem elektronik;
• Melakukan penyadapan.
SAKSI AHLI
Terdapat syarat – syarat yang harus dipenuhi oleh seseorang agar dapat
dikategorikan sebagai ahli, antara lain :
• Syarat Akademis
Berkaitan dengan pendidikan formal, baik Strata Satu (S1) mapun
Pascasarjana (S2 atau S3) di bidang ilmu pengetahuan komputer dan teknologi
informasi. Selain pendidikan formal, syarat akademis juga dapat berupa professional
certification seperti Computer Hacking Forensic Investigator (CHFI) dari EC-Council
yang juga memiliki Universitas EC-Council di Amerika Serikat. Syarat akademis
dimaksudkan agar ahli dapat memberikan pendapat ilmiah secara teori dan
praktis dengan benar dan bersifat independen.
• Syarat Praktis
Berkaitan dengan tingkat pengimplementasian bidang digital
forensic dari teori menjadi praktik. Teori dan praktik merupakan dua
hal yang berbeda, namun memiliki hubungan yang erat. Seseorang
dianggap ahli di bidang digital forensic jika ia mampu memahami teori
ilmu digital forensic dan mampu mempraktikannya dengan baik.
Syarat praktis dipengaruhi oleh lama waktu seseorang
menjalankan implementasi teori digital forensic dan jumlah kasus atau
barag bukti yang pernah dikerjakan oleh ahli digital forensic.
 BAB 4
TRIAGE FORENSIC :
PROSEDUR
PENANGANAN AWAL
Triage Forensic merupakan suatu prosedur penanganan awal barang bukti
elektronik di TKP yang menjadi panduan bagi siapapun, khususnya aparat penegak
hukum untuk dapat melaksanakan kegiatan penanganan tersebut secara
procedural.
Triage Forensic memiliki dua tujuan akhir yang penting yaitu :
• Menyelamatkan barang bukti digital yang bersifat volatile;
• Memberikan bukti digital secara cepat kepada investigator dan analis forensic.
PROSEDUR PENANGANAN AWAL
KOMPUTER DALAM KEADAAN MATI (OFF)
Hal yang paling ditekankan dalam penanganan ini adalah untuk tidak
menghidupkan kembali barang bukti komputer yang ditemukan dalam
keadaan sudah mati. Apabila hal ini dilakukan, maka akan mengubah isi
harddisk dari barang bukti komputer dan ini bertentangan dengan
prinsip pertama digital dorensic.
PROSEDUR PENANGANAN AWAL KOMPUTER
DALAM KEADAAN MENYALA (ON)
• Penggunaan triage tools yang sebenarnya dapat mengubah sebagian kecil isi dari harddisk
barang bukti komputer tersebut. Untuk itu, analis forensic dan investigator harus tahu apa saja
yang mungkin berubah dan mampu menjelaskan bahwa perubahan tersebut tidak berpengaruh
terhadap informasi lain atau bukti digital yang sedang dicari.
• Penggunaan triage tools harus dilakukan secara ketat. Artinya, tidak boleh mengakses isi
harddisk secara tidak procedural, misalnya membuka jendela windows explorer pada komputer
yang berbasis Windows, kemudian membuka file – file secara normal karena akan merubah isi
harddisk.
TRIAGE TOOLS
Berikut beberapa triage tools yang sering digunakan oleh forensic professional
secara internasional.
1. Helix Forensic
• Helix memiliki dua wajah yang diperuntukkan sesuai dengan platform-nya, yaitu
:
• Wajah berbasis Windows, digunakan untuk kegiatan triage terhadap barang
bukti yang memiliki sistem operasi Windows.
• Wajah berbasis Linux, bersifat bootable sehingga dapat digunakan untuk
menjalankan platform Linux secara live di analysis workstation.
2. Computer Online Forensic Evidence Extractor (COFEE)
Berikut aplikasi yang disediakan oleh COFEE :
• mem.exe  menampilkan penggunaan memori.
• Net.exe  melihat informasi network user accounts dan
administrator.
• Whoami.exe  menampilkan informasi user saat ini.
• LastLogon.exe -> mendapatkan informasi logon terakhir.
• Pslist.exe  melihat daftar proses – proses yang sedang running.
3. FieldSearch dari JustNet
FieldSearch adalah aplikasi triage yang lebih memfokuskan untuk
pencarian data digital secara cepat pada file – file multimedia dari
barang bukti komputer yang sedang menyala. FieldSearch juga dapat
digunakan untuk mencari data terkait dengan historis penggunaan
internet browser, serta analisis Recycle Bin.
4. Digital Evidence Forensic Tool (DEFT)
Berikut adalah fungsi – fungsi forensic yang bisa dijalankan dari aplikasi DEFT :
• System Information  untuk mendapatkan informasi lengkap dari sistem yang sedang running pada
barang bukti komputer.
• Acquisition  melakukan proses forensic imaging, baik terhadap RAM ataupun hardisk dari komputer
tersebut. Dapat menyelamatkan isi RAM yang sangat volatile ketika barang bukti komputer tersebut
dalm keadaan menyala (on).
• Analysis  pencarian file yang berbasis isinya. Teknik ini sangat membantu analis forensic dan
investigator untuk mempersempit dan mempercepat pencarian file – file yang memiliki isi berupa data
yang diinginkan dari sekian banyak file yang ada.
• Sysinternal  menyediakan aplikasi untuk kepentingan triage, misalnya analisis RAM dari barang bukti
komputer.
• Password tools  untuk mendapatkan password yang tersimpan misalnya dari internet browser.
• Utility  untuk mendapatkan historis penggunaan komputer, kapan hidup/mati dalam rentang waktu
tiga minggu terakhir dilengkapi tanggal dan jam serta dikemas dalam bentuk grafis yang baik.
TERIMA KASIH