PROSES FORENSIK

“MODEL PENDEKATAN PROSEDUR”

M.S. MANGGALANNY – WAKIL KETUA
BIDANG OPERASIONAL DAN KEAMANAN JARINGAN
MODEL PROSES FORENSIK #1
DEFINISI KOMPUTER FORENSIK

 COMPUTER FORENSIK ADALAH AKTIVITAS PRESERVASI, IDENTIFIKASI, EKSTRAKSI

DAN DOKUMENTASI BUKTI ELEKTRONIK
 PRESERVASI ADALAH RANGKAIAN PROSES UNTUK MEMPERTAHANKAN DAN
MEOINDUNGI INTEGRITAS ATAU KONDISI ASLI BUKTI ELEKTRONIK
 MEMULIHKAN INFORMASI YANG SUDAH TIDAK TERLIHAT LAGI
 DISEBUT JUGA DENGAN PROSES OTOPSI MEDIA PADA SISTEM ELEKTRONIK
DENGAN MENGGGUNAKAN PERANGKAT DAN APLIKASI SERTA TEKNIK SPESIAL
(KHUSUS) UNTUK MENDAPATKAN DAN MEMERIKSA (ANALISIS) DATA YANG
TERSIMPAN SETELAH KEJADIAN (FAKTA)
 TATA CARA MELAKSANAKAN KEGIATAN KOMPUTER FORENSIK DISEBUT DENGAN
MODEL PROSEDUR PROSES FORENSIK
REFERENSI MODEL PROSES FORENSIK

 ADA BANYAK REFERENSI MODEL PROSEDUR FORENSIK YANG DIGUNAKAN DI

SELURUH DUNIA, TERGANTUNG KEBUTUHAN PROSES DAN ATURAN HUKUM
(ACARA) YANG BERLAKU DI SETIAP NEGARA. NAMUN PADA PRINSIPNYA
DIKEMBANGKAN DARI TIGA DIMENSI KONTEKS YANG SALING TERKAIT
 REFERENSI DARI ASSOCIATION OF CHIEF POLICE OFFICERS (ACPO) - GOOD
PRACTICE GUIDE FOR COMPUTER-BASED ELECTRONIC EVIDENCE
 REFERENSI DARI ISO/IEC 27073 (2012) INFORMATION TECHNOLOGY —
SECURITY TECHNIQUES — GUIDELINES FOR IDENTIFICATION, COLLECTION,
ACQUISITION, AND PRESERVATION OF DIGITAL EVIDENCE
 PADA PRINSIPNYA, MODEL PROSES FORENSIK DIGUNAKAN UNTUK MELINDUNGI
PROSEDUR MEMPEROLEH DAN MENGEKSTRAKSI BARANG BUKTI DARI TARGET
KONTEKS MODEL PROSES FORENSIK

 PHYSICAL CONTEXT, MENGATUR PROSEDUR IDENTIFIKASI DAN PENGUMPULAN

MEDIA FISIK SEPERTI MENDOKUMENTASIKAN SELURUH BARANG BUKTI YANG
DITEMUKAN, MELAKUKAN PENGGANDAAN DAN PENYIMPANAN SECARA AMAN;
 LOGICAL CONTEXT, MENGATUR PROSEDUR PEMERIKSAAN DAN ANALISIS DATA
DI DALAM MEDIA, ANTARA LAIN UNTUK MENEMUKAN BERKAS FILE YANG
DISEMBUNYIKAN, MEMULIHKAN YANG TELAH TERHAPUS, MELAKUKAN
REKONSTRUKSI DAN PENYAJIAN KRONOLOGIS SERTA ANALISIS KETERKAITAN
TERHADAP KASUS YANG DIHADAPI;
 LEGAL CONTEXT, MENGATUR PROSEDUR TATA KELOLA FISIK DAN INFORMASI
SESUAI ATURAN, SEPERTI PENETAPAN OTORITAS YANG MEMILIKI KEWENANGAN
DAN KOMPETENSI, SURAT PERINTAH UNTUK PENGGELEDAHAN, PENYITAAN,
PEMBERKASAN DAN LAPORAN SERTA PENYAJIAN DI PERSIDANGAN.
CONTOH MODEL PROSES FORENSIK

•Verify Legal Authority

Identification •Hash Verification
Admission
•Search and Seizure •Bit Stream Imaging
Warrant •Location •Authentication •Interpretation
•Photographic •Date, Time •Chain of Custody •Retain Integrity
Documentation •Witnesses •(Audit Trail) •Filter Irrelevant Data
•Secure Collection •System Info •Analysis •Reconstruction
•Physical Evidence •Objective Unbiased
•Preservation •Present and Defend
Preparation Examination
MODEL PROSES FORENSIK INDONESIA
CONTOH FORM PROSES

 Evidence Form
 Label everything, start carving evidence
 Log make, model, and serial numbers
 Investigator activity log and records
 Hardware: motherboards, power, RAM, printer, scanner, fax, mobile devices
 OS/Apps: Microsoft, Red Hat, UNIX, Forensic Tools, MS Office, HTML etc.
 Chain of Custody
 Who, What, Where, When, Why, How
 Copy stays with evidence at all times
 Always make copies, never work on original
AKUISISI BUKTI ELEKTRONIK #2
CONTOH PROSES IMAGING

 To take an exact copy including deleted files and areas of the hard drive that
a normal backup would not copy
 Never boot off of the hard drive
 Use write protection software to protect the original evidence (source). Make
a copy of the original evidence and do all work off of the copy
 Document all aspects of the hard drive
 Tag and store original evidence
 Best evidence is original evidence
MEDIA TO MEDIA IMAGING

 PROSES PENGGANDAAN IDENTIK SECARA FISIK DAN LOGIC "CLONING”. TARGET

FORENSIC DIGANDAKAN MELALUI TRANSFER KE MEDIA YANG SEJENIS DENGAN
UKURAN KAPASITAS YANG SAMA ATAU LEBIH BESAR. HDD KE HDD. CD KE CD.
 KELEMAHAN TEKNIK INI, DIPERLUKAN JUMLAH DAN KERAGAMAN PERANGKAT
SERTA KAPASITAS YANG SANGAT BESAR DAN MAHAL.
 MASALAH KOMPATIBILITAS JADI HAMBATAN UTAMA, PERBEDAAN INTERFACE,
TARGET MENGGUNAKAN SCSI, YANG TERSEDIA HANYA PERALATAN IDE/SATA .
 PERSOALAN PORTABILITAS, SANGAT TIDAK PRAKTIS, SULIT DIGUNAKAN DI
LAPANGAN KARENA JENIS TARGET DAN TEKNOLOGINYA TERUS BERKEMBANG
PESAT DAN PRAKTISI FORENSIK TERPAKSA HARUS MEMILIKI SEMUANYA.
MEDIA TO MEDIA IMAGING TOOLS
BIT STREAM IMAGING

 TEKNIK TERBARU UNTUK AKUISISI DATA MENGGUNAKAN IMAGING TOOL, MEDIA

TARGET DIGANDAKAN DARI DEVICE TO IMAGE.
 IMAGE ADALAH SEBUAH BERKAS FILE YANG BERISI STRUKTUR IDENTIK FISIK DAN
LOGIK DARI MEDIA TARGET, SEPERTI PERANGKAT (DEVICE) YANG SEBENARNYA.
 DENGAN IMAGE FILE, MEDIA TARGET (BARANG BUKTI) MUDAH DIGANDAKAN,
DIKELOLA DAN DIANALISIS TANPA MASALAH KOMPATIBILITAS DAN PORTABILITAS.
 TEKNIK INI JUGA MEMUNGKINKAN UNTUK MELAKUKAN AKUISISI JENIS TARGET
DENGAN FORMAT YANG LEBIH BERAGAM, BUKAN HANYA TERBATAS MEDIA
PENYIMPAN KOMPUTER KONVENSIONAL, NAMUN JUGA PERANGKAT LAINNYA.
JENIS FILE IMAGE

 ENCASE EVIDENCE FILE FORMAT (.E01B ATAU .E01X), RAW IMAGE FILE FORMAT
(.DD, .RAW, .IMG), AFF, AFF4, DAN LOGICAL EVIDENCE FILE TERGANTUNG
JENIS/MERK APLIKASI DAN/ATAU PERANGKAT YANG DIGUNAKAN (OPEN
SOURCE/PROPRIETARY).
 SEMUA FORMAT STANDAR HARUS DAPAT SALING MENGENAL (INTEROPARIBILITY).
 DI DALAM FILE IMAGE TERSIMPAN DAN TERPETAKAN STRUKTUR FILE SYSTEM
TERMASUK INFORMASI PADA BOOT SECTOR DAN AREA YANG RUSAK. SETIAP
CLUSTER DISALIN SETIAP BIT-NYA DAN TERMASUK BERKAS YANG RUSAK (TIDAK
TERBACA), PERNAH TERHAPUS/TERPOTONG/TERTINDAS OLEH BERKAS BARU.
 INI MEMUNGKINKAN PROSES RECOVERY DATA APABILA DIPERLUKAN UNTUK
MEMULIHKAN BERKAS YANG RUSAK, PERNAH TERHAPUS ATAU MEREKONSTRUKSI
AREA YANG TERPOTONG/TERTINDAS OLEH BERKAS BARU SEHINGGA DAPAT
DIPEROLEH/DIBACA KEMBALI.
DEVICE TO IMAGE
KERAGAMAN INTERFACE

 BERBAGAI JENIS PERANGKAT IMAGING TERBARU JUGA MEMUNGKINKAN PROSES

AKUISISI YANG AKURAT, CEPAT DAN MAMPU MENANGANI BERBAGAI SKENARIO DI
LAPANGAN SEPERTI KONFIGURASI INTERFACE TARGET YANG BERAGAM MAUPUN,
BY-PASS PROTEKSI DAN AKUISISI SECARA REMOTE DAN ATAU PADA KONDISI LIVE.
 TEKNOLOGI IMAGING TERUS BERKEMBANG, BERGANTI, MAKA INVESTIGATOR
(PENYIDIK) DAN OPERATOR ANALIS DITUNTUT TERUS MENGIKUTI PERUBAHAN,
MENGENAL BERBAGAI JENIS APLIKASI SERTA MENGUASAINYA.
 UNTUK MENILAI KEMAMPUAN INVESTIGATOR (PENYIDIK) DAN OPERATOR ANALIS
 MENELITI KUALITAS SERTIFIKASI YANG DIMILIKI (STANDAR, TRAINER, PENERBIT)
 CATATAN AKTIVITAS PROFESIONAL (KASUS, SEMINAR, PUBLIKASI, ORGANISASI)
KERAGAMAN INTERFACE TARGET
DAN JENIS/MODEL IMAGING TOOLS
ANALISIS BUKTI ELEKTRONIK #3
INTEGRITAS BARANG BUKTI

 FILE IMAGE MEREPRESENTASIKAN ISI DARI SELURUH DATA YANG TERDAPAT

DALAM PERANGKAT (VANDEVEN, 2012), SECARA IDENTIK.
 FILE IMAGE AKAN DIBAWA DAN DITUNJUKKAN DI PERSIDANGAN. KEDUDUKANNYA
SETARA DENGAN BARANG BUKTI MEDIA TARGET (FISIK) YANG ASLI.
 PROSES IMAGING DILENGKAPI DENGAN PERHITUNGAN ALGORITMA HASHING
UNTUK MENGUJI DAN MEMASTIKAN INTEGRITAS HASIL COPY SEBAGAI MATERIAL
YANG IDENTIK SECARA STRUKTUR FISIK DAN LOGIK DENGAN TARGET ASLINYA.
 NILAI HASH ADALAH HASIL DARI KALKULASI MATEMATIKA YANG MANA,
BESARNYA VARIABEL DATA YANG DI INPUTKAN AKAN DIPROSES DENGAN
MATEMATIKA DAN MENGHASILKAN NILAI HASH DENGAN JUMLAH DIGIT YANG
SAMA (TERGANTUNG ALGORITMA YANG DIGUNAKAN) AKAN TETAPI MEMILIKI
NILAI-NILAI DIGIT YANG BERBEDA. ALGORITMA HASH MD5 MENGHASILKAN
NILAI HASH 128 BIT, DAN SHA-1 MENGHASILKAN NILAI HASH 160 BIT
TEKNIK HASHING

 SUATU TEKNIK PENGKODEAN DIBERIKAN KE

FILE, KELOMPOK ATAU BAGIAN DARI FILE,
MENGGUNAKAN ALGORITMA MATEMATIKA
UNTUK MEMBERIKAN KARAKTERISTIK ATAU
IDENTITAS UNIK PADA DATA TERSEBUT.
 ALGORITMA YANG PALING SERING
DIGUNAKAN YAITU MD5 DAN SHA, YANG
AKAN MENGHASILKAN NILAI ANGKA
KHUSUS DAN PROBABILITAS MUNCULNYA
ANGKA YANG SAMA UNTUK 2 BUAH DATA
TERSEBUT 1 BERBANDING 1 MILLIAR.
 ‘HASHING’ DIGUNAKAN UNTUK MENJAMIN
KEASLIAN DATA (SEBELUM DI AKUISISI) DAN
DAPAT DIGUNAKAN SEBAGAI CAP DIGITAL
SEPERTI CAP ATAU STEMPEL YANG
DIGUNAKAN PADA DOKUMEN KERTAS.
ATURAN FILE IMAGE

 ISO 27037 (2012) MENGATUR : IDEALNYA FILE IMAGE DIBUAT MENJADI 2

SALINAN YAITU MASTER COPY DAN WORKING COPY.
 KEDUANYA HARUS SUDAH TERVERIFIKASI (HASHING) PADA SAAT TAHAPAN
AKUISISI UNTUK MEMASTIKAN KEDUANYA IDENTIK.
 MASTER COPY MERUPAKAN SALINAN FILE IMAGE YANG HANYA BOLEH MENJADI
REFERENSI DAN TIDAK BOLEH DIGUNAKAN DALAM PROSES ANALISIS.
 WORKING COPY MERUPAKAN SALINAN FILE IMAGE YANG DIGUNAKAN OLEH
PENYIDIK DALAM MELAKUKAN PEKERJAAN ANALISIS UNTUK MENDAPATKAN
BUKTI PERKARA DAN REKONSTRUKSI FAKTA KEJADIAN.
 SELURUH PROSES EKSTRAKSI, EKSAMINASI, ANALISIS DAN PELAPORAN HANYA
AKAN DIHASILKAN DARI FILE IMAGE WORKING COPY DAN TURUNANNYA.
SKEMA FILE IMAGE COPY

COPY N1
TARGET EVIDENCE
WORKING COPY 1

TARGETED
/ SPLICE
MASTER COPY

WORKING COPY 2 COPY N2

EKSAMINASI DAN ANALISIS

 DENGAN MENGGUNAKAN FILE IMAGE PROSES ANALISIS JUGA MENJADI LEBIH

CEPAT DAN MUDAH DILAKUKAN. WORKING COPY IMAGE BISA DIGANDAKAN
DALAM JUMLAH TAK TERBATAS SESUAI DENGAN KEBUTUHAN DAN
DIDISTRIBUSIKAN KE SEMUA TERMINAL OPERATOR (ANALIS).
 ANALIS DAPAT MENGGANDAKAN WORING COPY IMAGE UNTUK OTOMATISASI DI
SEJUMLAH TOOLS BERBEDA. KOMBINASI KEUNGGULAN TIAP APLIKASI ANALISIS
AKAN MENGHASILKAN KESIMPULAN LEBIH AKURAT DAN SALING VERIFIKASI.
 PADA TEKNIK ANALISIS YANG LAIN, FILE IMAGE INI JUGA BISA DIPECAH (SPLIT)
KE DALAM AREA EKSAMINASI YANG BERBEDA UNTUK DITELITI OLEH OPERATOR
(ANALIS) YANG MEMILIKI SPESIALISASI BERBEDA. MISALNYA, AHLI MULTIMEDIA
DAN FILE CARVING (REKONSTRUKSI PECAHAN FILE). TEKNIK INI JUGA DAPAT
DITERAPKAN PADA PROSES AKUISISI, SEHINGGA DAPAT MENGHEMAT KAPASITAS
MEDIA PENYIMPAN BARANG BUKTI DAN MEMPERCEPAT PROSES ANALISIS.
TARGETED COLLECTION (SPLIT)
CONTOH PROSES ANALYSIS

 Email. Temporary Files, Recycle Bin, Info File Fragments, Recent Link Files,
Spool (printed) files, Internet History (INDEX.DAT), Registry
 Unallocated Space-free space on the hard drive
 File Slack-free space between the end of the logical file and the end of
physical file (cluster)
 RAM Slack-free space between the end of the logical file and the end of the
containing sector
 Sector-the smallest group that can be accessed on the disk. A group of disk
sectors as assigned by the operating system are known as clusters
TERIMA KASIH!

 ID-SIRTII/CC
 MENARA RAVINDO LT. 17
 KEBON SIRIH RAYA 75
 JAKARTA PUSAT, 10340
 TELEPON +62 21 3192 5551 ; FAX +62 21 3193 5556
 info@idsirtii.or.id ; www.idsirtii.or.id