Nurmi Hidayasari's Blog
Contoh Model Framework Penyelidikan Forensika Digital
Contoh Model Framework Penyelidikan Forensika Digital
0cjuh
July 14, 2017
Uncategorized
Sebuah proses penyelidikan (investigation) harus bersifat scientific atau ilmiah, agar hasil yang didapatkan juga bersifat ilmiah. Hal ini sesuai dengan konsep Frye Standard yang menerapkan cara pembuktian barang bukti pada pengadilan harus secara ilmiah, agar dapat diterima di pengadilan. Penyelidikan secara ilmiah dapat dibuktikan dengan metodologi-metodologi, seperti misalnya menggunakan framework.
Framework  untuk investigation forensika digital mengalami banyak perkembangan dan perubahan. Salah satu penelitian yang membahas tentang investigation framework dilakukan oleh Yussof, dkk, dengan paper berjudul "Common Phases of Computer Forensics Investigation Models". Pada penelitiannya, Yussof menggunakan berbagai referensi untuk mengembangkan sebuah model investigasi yang diberi nama Generic Computer Forensic Investigation Model (GCFIM). Berikut tampilan dari GCFIM [1]:
GCFIM
Generic Computer Forensic Investigation Model (GCFIM)
Model investigasi tersebut diterbitkan pada Juli tahun 2011. Setelahnya banyak bermunculan model-model framework terbaru, antara lain:
1. Integrated Digital Forensics Investigation Framework (IDFIF), Tahun 2014[2]
Model yang dihasilkan oleh Rahayu ini juga merupakan model baru yang dihasilkan dari gabungan model-model yang telah ada. Model ini disebut sebagai Integrated Digital Forensics Investigation Framework karena cara kerjanya memperhitungkan DFIF (Digital Forensics Investigation Framework) sebelumnya, dengan menggunakan Metode Sequential Logic. Metode ini merupakan metode yang memiliki keterikatan antara latar belakang masukan dengan keluarannya serta dapat merekan histori dari masukan, sehingga metode tersebut dapat melihat DFIF sebelumnya untuk membentuk model DFIF yang baru.
IDFIF
Integrated Digital Forensics Investigation Framework (IDFIF)
IDFIF ini pada dasarnya terdiri dari empat tahap, yaitu Pre-Process, Proactive, Reactive dan Post-Process.
1. Pada tahap Pre-Process terdapat tahap-tahap lainnya yang meliputi Natification, yaitu tahap pemberitahuan pelaksanaan investigasi atau melapotkan adanya kejahatan kepada penegak hukum. Authorization, yaitu tahap untuk memperoleh hak akses terhadap barang bukti dan status hukum proses penyelidikan, yang terakhir adalah tahap preparation, yaitu tahap persiapan yang terdiri dari ketersesiaan alat, personil dan berbagai hal lain yang dibutuhkan untuk penyelidikan.
2. Pada tahap proactive terdapat tujuh tahapan lagi, yaitu:
  • Proactive Collection, pada tahap ini dilakukan tindakan cepat untuk mengumpulkan barang bukti di TKP. Tahapan ini termasuk Incident response volatile collection (mekanisme penyelamatan dan pengumpulan barang bukti) dan Collection of network traces (mekanisme pengumpulan barang bukti serta melacak rute sampai ke sumber branag bukti yang berada dalam jaringan. Pada tahap ini juga memperhitungkan keberlangsungan sistem dalam pelaksanaan pengumpulan barang buktinya.
  • Crime Scene Investigation, terdiri dari Even triggering function & communicating shielding dan Documenting the scene. Tujuan pokok dari tahapan ini adalah mengolah tempat kejadian perkara, mencari sumber pemicu kejadian, mencari sambungan komunikasi atau jaringan dan mendokumentasikan tempat kejadian dengan mengambil gambar setiap detail TKP.
  • Proactive Preservation, merupakan tahap untuk menyimpan data/kegiatan yang mencurigakan melalui metode hashing.
  • Proactive Analysis, merupakan tahap analisis secara langsung terhadap barang temuan dan membangun hipotesa awal dari kejadian.
  • Preliminary Report, merupakan pembuatan laporan awal atas kegiatan penyelidikan proaktif yang telah dilakukan.
  • Securing The Scene, merupakan tahap dimana dilakukan sebuah mekanisme untuk mengamnkan TKP dan juga melindungi integritas sebuah barang bukti.
  • Detection of Incident / Crime, merupakan tahap untuk memastikan bahwa telah benar-benar terjadi pelanggaran hukum berdasarkan premilinary report yang telah dibuat sebelumnya. Pada tahap ini dapat ditentukan penyelidikan yang telah dilakukan cukup kuat untuk dilanjutkan atau tidak.
3. Reactive, merupakan tahap penyelidikan secara tradisional, yang meliputi Identification, Collection & Aquisition, Preservation, Axamination, Analysis dan Presentation.
4. Tahap Post-Process merupakan tahap penutup investigasi. Pada tahap ini dilakukan pengolahan terhadap barang bukti yang telah digunakan sebelumnya. Meliputi: mengembalikan barang bukti pada pemiliknya, menyimpan barag bukti di tempat yang aman dan melakukan review pada investigasi yang telah dilakukan guna perbaikan untuk penyelidikan yang selanjutnya.

2. Model Proses Forensik Terbaru, Tahun 2015[3]
Model ini merupakan gabungan model GCFIM (Yussof, 2011) dan Phased Investigation Methodology (PIM) for tracing computer usage (Lee, 2009). Model ini memberikan model investigasi baru dalam memilih sistem terget dan menganalisis bukti-bukti yang relevan saja. Model ini terdiri dari tiga tahap utama yaitu pranalisis, tahap analisis dan tahap pascaanalisis.
1. Praanalisis
  • Identifikasi insiden, kepala penyidik harus memilih jenis kasus tertentu dan mengambil kemungkinan-kemungkinan pasti dari TKP. Kepala penyidik memastikan waktu insiden terjadi, lokasi kasus, sistem apa yang harus diinvestigasi bedasarkan jsnis kasus.
  • Prainvestigasi, tahap ini melakukan analisis terhadap live data dan metadata sistem berkas yang diperoleh.
  • Penelusuran menggunakan komputer. Data taeget yang diperoleh pada tahap ini adalah registry, prefectch dan aktivitas internet seperti berkas riwayat web, pengguna messenger dan arsip surel. Semua data yang diperoleh kemudian di analisis untuk menentukan apakah tersangka melakukan task yang berkaitan dengan kasus untuk menentukan apakah komputer digunakan dalam kasus.
2. Analisis
  • Analisis pola pengguna komputer, pada tahap ini dapat diperoleh petunjuk tentang kapan tersangka sering menggunakan komputer dan jenis berkas atau aplikasi apa saja yang digunakan. MAC time pada metadata sistem berkas dapat digunakan untuk melihat kapan tersangka membuat, memodifikasi mengakses berkas.
  • Analisis berkas pengguna, melakukan pengumpulan berkas-berkas dan data yang relevan, untuk memutuskan apakah tersangka benar melakukan kejahtan atau tidak.
3. Pascaanalisis
Terdiri dari dua tahap, yaitu pembuatan laporan dan pembuatan ulasan. Lporan yang dibuat berisi rincian insiden dan dokumentasi dari semua langkah yang dilakukan pada tahap praanalisis dan tahap analisis. Sedangkan ulasan berisi mengenai proses investigasi yang telah dilakukan dibuat sebagai bahan pembelajaran dan perbaikan untuk proses investigasi yang akan datang.

Itulah dua contoh framework terbaru untuk investigasi forensika digital. Jika kita bandingkan antara GCFIM dengan IDFIF dan model proses terbaru, maka dapat diambil kesimpulan bahwa framework GCFIM masih relevan dengan perkembangan zaman dan masih dapat digunakan sebagai framework investigasi. Karena pada dasarnya ketiga model tersebut memiliki tahap utama yang sama, yaitu tahap awal investigasi, tahap utama (analisis) dan tahap akhir. Hanya saja, kedua model yang terbaru menjabarkan lagi dengan lebih rinci tahap-tahap yang seharusnya dilakukan, yang berguna untuk membantu investigator ketika melakukan investigasi.

Sumber:
[1] Yusoff Yunus , Ismail Roslan, Hassan Zainuddin. 2011. Common Phases of Computer Forensics Investigation. International Journal of Computer Science & Information Technology (IJCSIT), Vol 3, No 3.
[2] Rahayu Yeni D, Prayudi Yudi. 2014. Membangun Integrated Digital Forensics Investigation Framework (IDFIF) Menggunakan Metode Sequential Logic. Magister Teknik Informatika, Fakultas Teknik Industri, Universitas Islam Indonesia.
[3] Ridayanti Fitria. 2015. Penerapan Model Proses Forensik Untuk Merespon Insiden dan Menganalisis Penggunaan Komputer.
🔖Tags: Magister MITK
Share on Facebook
Share on Twitter

Leave a Reply

Your email address will not be published. Required fields are marked *