Panduan untuk Forensik Digital

Forensik komputer atau forensik digital adalah istilah dalam ilmu komputer untuk mendapatkan bukti hukum yang ditemukan di media digital atau penyimpanan komputer. Dengan penyelidikan forensik digital, penyidik ​​dapat menemukan apa yang terjadi pada media digital seperti email, hard disk, log, sistem komputer, dan jaringan itu sendiri. Dalam banyak kasus, penyelidikan forensik dapat menghasilkan bagaimana kejahatan bisa terjadi dan bagaimana kita dapat melindungi diri kita sendiri di lain waktu.

Beberapa alasan mengapa kita perlu melakukan penyelidikan forensik: 1. Untuk mengumpulkan bukti-bukti sehingga dapat digunakan di pengadilan untuk menyelesaikan kasus-kasus hukum. 2. Untuk menganalisis kekuatan jaringan kami, dan untuk mengisi lubang keamanan dengan tambalan dan perbaikan. 3. Untuk memulihkan file yang terhapus atau file apa pun jika perangkat keras atau perangkat lunak rusak

Dalam forensik komputer, hal terpenting yang perlu diingat ketika melakukan penyelidikan adalah:

1. Bukti asli tidak boleh diubah dengan cara apa pun, dan untuk melakukan proses, penyelidik forensik harus membuat gambar bit-stream. Citra bit-stream adalah sedikit demi sedikit salinan dari media penyimpanan asli dan salinan persis dari media asli. Perbedaan antara gambar bit-stream dan salinan normal dari penyimpanan asli adalah bit-stream image adalah ruang slack di penyimpanan. Anda tidak akan menemukan informasi ruang kosong di media salin.

2. Semua proses forensik harus mengikuti hukum hukum di negara yang bersangkutan di mana kejahatan terjadi. Setiap negara memiliki tuntutan hukum yang berbeda di bidang TI. Beberapa mengambil aturan TI dengan sangat serius, misalnya: Inggris, Australia.

3. Semua proses forensik hanya dapat dilakukan setelah penyidik ​​memiliki surat perintah penggeledahan.

Peneliti forensik biasanya akan melihat garis waktu tentang bagaimana kejahatan terjadi secara tepat waktu. Dengan itu, kita dapat menghasilkan TKP tentang bagaimana, kapan, apa dan mengapa kejahatan bisa terjadi. Dalam perusahaan besar, disarankan untuk membuat Tim Forensik Digital atau Tim Penanggap Pertama, sehingga perusahaan masih bisa mempertahankan bukti sampai penyidik ​​forensik datang ke TKP.

Aturan Respon Pertama adalah: 1. Dalam situasi apa pun, siapa pun, kecuali Analis Forensik, tidak boleh berusaha memulihkan informasi dari sistem atau perangkat komputer apa pun yang menyimpan informasi elektronik. 2. Setiap upaya untuk mengambil data oleh orang yang dikatakan di nomor 1, harus dihindari karena dapat membahayakan integritas bukti, yang menjadi tidak dapat diterima di pengadilan hukum.

Berdasarkan aturan itu, telah dijelaskan peran penting memiliki Tim Responder Pertama di sebuah perusahaan. Orang yang tidak memenuhi syarat hanya dapat mengamankan perimeter sehingga tidak ada yang dapat menyentuh TKP sampai Analis Forensik telah datang (Ini dapat dilakukan dengan mengambil foto TKP. Mereka juga dapat membuat catatan tentang adegan dan yang hadir pada saat itu). .

Langkah-langkah harus diambil ketika kejahatan digital terjadi dengan cara profesional: 1. Amankan TKP sampai analis forensik tiba.

2. Analis forensik harus meminta surat perintah penggeledahan dari otoritas lokal atau manajemen perusahaan.

3. Analis forensik membuat gambar TKP jika ada foto yang diambil.

4. Jika komputer masih dihidupkan, jangan mematikan komputer. Sebaliknya, gunakan alat forensik seperti Helix untuk mendapatkan beberapa informasi yang hanya dapat ditemukan saat komputer masih dinyalakan, seperti data pada RAM, dan registri. Alat-alat seperti itu memiliki fungsi khusus untuk tidak menulis apa pun kembali ke sistem sehingga integritas tetap masuk.

5. Setelah semua bukti hidup dikumpulkan, Analis Forensik tidak dapat mematikan komputer dan mengambil harddisk kembali ke laboratorium forensik.

6. Semua bukti harus didokumentasikan, di mana rantai lacak digunakan. Chain of Custody menyimpan catatan pada bukti, seperti: siapa yang memiliki bukti untuk terakhir kalinya.

7. Mengamankan bukti harus disertai oleh petugas hukum seperti polisi sebagai formalitas.

8. Kembali di laboratorium, Analis Forensik mengambil bukti untuk membuat gambar bit-stream, sebagai bukti asli tidak boleh digunakan. Biasanya, Analis Forensik akan membuat 2-5 bit-stream image dalam gambar kasus 1 rusak. Tentu saja Chain of Custody masih digunakan dalam situasi ini untuk menyimpan catatan bukti.

9. Hash dari bukti asli dan bit-stream image dibuat. Ini berfungsi sebagai bukti bahwa bukti asli dan gambar bit-stream adalah salinan persisnya. Jadi setiap perubahan pada gambar bit akan menghasilkan hash yang berbeda, yang membuat bukti-bukti yang ditemukan menjadi tidak dapat diterima di pengadilan.

10. Analis forensik mulai menemukan bukti dalam gambar bit-stream dengan hati-hati melihat lokasi yang sesuai tergantung pada jenis kejahatan apa yang telah terjadi. Sebagai contoh: File Internet Sementara, Slack Space, File yang Dihapus, file Steganografi.

11. Setiap bukti yang ditemukan harus di-hashing juga, sehingga integritas tetap masuk.

12. Analis Forensik akan membuat laporan, biasanya dalam format PDF.

13. Analis Forensik mengirim laporan kembali ke perusahaan bersama dengan biaya.