komparasi digital forensik framework investigation



Komparasi Model Investigasi Forensik Digital
Pada kesempatan kali ini penulis akan menyajikan dua model investigasi digital yang di usulkan oleh Yunus Yussof pada tahun 2011 dengan judul Common Phases of Computer Forensics Investigation Models dan yang di usulkan oleh Didik Sudyana Pada tahun 2016 yang berjudul Instrumen Evaluasi Framework Investigasi Forensika Digital Menggunakan SNI 27037:2014
Framework merupakan suatu struktur konseptual dasar yang digunakan untuk memecahkan atau menangani suatu masalah kompleks. Framework dalam digital forensik dapat didefinisikan sebagai sebuah struktur untuk mendukung kesuksesan dalam penyelidikan forensik.
  • Common Phases of Computer Forensics Investigation Models
berikut adalah beberapa framework yang dimuat dalam paper Common Phases of Computer Forensics Investigation Models.
– Komputer Forensik Proses Investigasi (1984)

Pada tahap Acquisition, bukti yang diperoleh harus dengan cara dan prosedur yang tepat serta mendapat persetujuan dari otoritas setempat. Selanjutnya fase Identification, dimana pada fase ini seorang ahli forensik bertugas untuk mengidentifikasi komponen-komponen digital dari bukti yang diperoleh dan mengubahnya menjadi format yang dapat dimengerti oleh orang awam. Evaluation adalah tahap dimana ahli forensik bertugas untuk menentukan apakah komponen yang telah diidentifikasi memang relevan dengan kasus yang sedang diselidiki dan dapat dianggap sebagai bukti yang sah. Pada tahap akhir (Admission), bukti yang diperoleh diekstrak dan dipresentasikan dalam pengadilan hukum.
–  DFRWS Investigative Model (2001)

Model Digital Forensics Research Workshop (DFRWS) dimulai dengan Identification di mana pada tahap ini deteksi profil, sistem monitoring, analisis audit dilakukan. Fase Preservation, melibatkan tugas-tugas seperti: menyiapkan manajemen kasus yang tepat dan memastikan dapat diterima di pengadilan. Fase ini sangat penting sehingga untuk memastikan bahwa data yang dikumpulkan bebas dari kontaminasi. Tahap berikutnya dikenal  sebagai Collection, di mana data yang relevan sedang dikumpulkan dengani memanfaatkan berbagai teknik. Setelah fase ini adalah dua fase penting, yaitu, fase Examination dan Analysis. Dalam dua tahap ini, tugas-tugas seperti bukti pencarian, bukti validasi, pemulihan data tersembunyi / data yang dienkripsi, data mining, waktu, dll, dilakukan. Tahap terakhir adalah Presentation. Tugas yang berhubungan dengan tahap ini adalah dokumentasi, kesaksian ahli, dll.
Abstrak Digital Forensik Model (ADFM) (2002)
Terinspirasi oleh Model investigasi DFRWS, Reith, Carr & Gunsch, mengusulkan ditingkatkannya model yang dikenal sebagai Abstrak Digital Forensik Model. Di model ini diperkenalkannya tiga fase tambahan, sehingga memperluas jumlah phases menjadi sembilan

www.kerisfotopic.net

Tahap Identification adalah tahap untuk mengenali dan menentukan jenis kejahatan yang dilakukan. Setelah jenis kejahatan dipastikan, tahap berikutnya adalah Preparation diikuti dengan Approach Strategy data fisik dan digital yang diakuisisi harus benar-benar terisolir, aman dan terawat. Ada juga kegiatan untuk memperhatikan proses-proses yang dilakukan sebelumnya telah benar. Semua tugas-tugas ini dilakukan saat fase Preservation. Berikutnya adalah tahap Collection, dimana ekstraksi data dan duplikasi dilakukan. Identifikasi data dan menemukan bukti-bukti potensial dari data yang dikumpulkan, menggunakan pendekatan sistematis yang dilakukan dalam fase berikutnya, yang dikenal sebagai fase Examination. Tugas yang menentukan dan signifikan dari bukti dan menarik kesimpulan berdasarkan bukti yang ditemukan dilakukan dalam tahap Analysis. Pada tahap tahap Presentation temuan dirangkum dan disajikan. Proses penyelidikan selesai dengan melaksanakan pengembalian barang bukti pada fase Returning Evidence.

Proses Integrated Digital Investigation (IDIP) (2003)

Peroses penyelidikan ini di usulkan oleh Carrier & Spafford pada tahun 2003, dengan tujuan untuk menggabungkan berbagai proses investigasi yang tersedia menjadi satu model yang terintegrasi. Memperkenalkan konsep TKP digital yang mengacu pada lingkungan virtul yang diciptakan oleh perangkat lunak dan perangkat keras dimana bukti digital dari crime atau kejadian yang ada.
www.kerisfotopic.net


Proses ini dimulai dengan fase yang membutuhkan infrastruktur fisik dan operasional yang siap mendukung penyelidikan masa depan. Dalam fase Readliness, peralatan harus selalu siap dan personil harus mampu menggunakannya secara efektif. Fase ini memang merupakan fase yang sedang berlangsung di seluruh siklus hidup suatu organisasi. Hal ini juga terdiri dari 2 sub-tahapan yaitu, Operation Readiness dan Infrastructure Readiness. Segera setelah fase Readiness, adalah fase Deployment yang menyediakan mekanisme untuk mendeteksi kejadian kriminal. Dua sub-fase yaituDetection  &  Notification dan Confirmation  & Authorization. Mengumpulkan dan menganalisa bukti fisik yang dilakukan pada fase Physical Crime Scene. Pada fase.Physical Crime Scene terdapat sub-fase Preservation, Survey, Dokumentation, Searching & Collection, Reconstruction dan Presentation. Digital Crime Scene Investigation mirip dengan fase Physical Crime Scene denganpengecualian bahwa pada fase Digital Crime Scene Investigation memfokuskan padabukti digital dalam lingkungan digital. Tahap terakhir adalah tahap Review. Proses investigasi secara keseluruhan ditinjau untuk mengidentifikasi bagian-bagian investigasi yang membutuhkan perbaikan.

Enhanced Digital Investigation Process Model (EDIP) (2004)

Sesuai dengan namanya, Model investigasi ini didasarkan pada model sebelumnya, Integrated Digital Investigasi Proses (IDIP), seperti yang diusulkan Carrier & Spafford. Digital Enhanced Investigasi Proses Model, juga dikenal dengan EDIP yang memprkenalkan satu fase penting yang di kenal sebagai traceback, ini adalah untuk memungkinkan penyidik untuk melacak kembali semua jalan keaktual perangkat/komputer yang digunakan oleh pelaku kriminal untuk melakukan kejahatan


www.kerisfotopic.net


Proses penyidikan dimulai dengan fase Readiness dan tugas yang dilakukan adalah sama seperti di IDIP. Tahap kedua, tahap Deployment, menyediakan mekanisme untuk sebuah kasus yang sudah yang diketahui dan dikonfirmasi. Fase Ini terdiri dari 5 sub-tahap yaitu Detection  & Notification, Physical Crime Scene Investigation, DigitalCrime Scene Investigation, Confirmation dan yang terakhir Submision. Tidak seperti IDIP, tahap ini meliputi baik fisik dan investigasi digital TKP dan presentasi temuan untuk badan hukum. Pada fase Traceback, melacak sumber TKP, termasuk perangkat dan lokasi adalah tujuan utama. Hal ini didukung oleh dua sub-fase yaitu, Digital Crime Scene Investigation dan Authorization (memperoleh persetujuan untuk melakukan penyelidikan dan mengakses informasi). Setelah fase Traceback adalah fase Dynamite. Pada fase ini, investigasi dilakukan di TKP utama, dengan tujuan mengidentifikasi potensi pelakunya. Terdiri dari 4 sub-tahap, yaitu, Physical Crime Scene Investigation, Digital Crime Scene Investigation,
Reconstruction and Communication
. Pada sub-fase Reconstruction potongan informasi yang dikumpulkan diletakkan bersama-sama untuk membangun kemungkinan-kemungkinan yang bisa terjadi. Proses investigasi berakhir dengan fase Readiness dan tugas yang dilakukan adalah sama seperti di IDIP.

Computer Forensics Field Triage Process Model (CFFTPM) (2006)

The CTTTPM mengusulkan sebuah proses pendekatan onsite untuk menyediakan identifikasi, analisis dan interpretasi bukti digital dalam waktu yang relatif singkat tanpa perlu mengambil kembali perangkat atau media ke laboratorium. juga tidak memerlukan mengambil gambar forensik lengkap. CFFTPM yang terdiri dari enam fase primer kemudian dibagi lagi ke enam sub-fase lain.


www.kerisfotopic.net


Tahap Planning. Planning yang tepat sebelum memulai penyelidikan pasti akan meningkatkan tingkat keberhasilan dari penyelidikan. Setelah fase Planning ada fase Triage. Pada fase ini, bukti diidentifikasi dan diberi peringkat prioritas. Bukti dengan kebutuhan yang paling penting diolah terlebih dahulu. Fase User Usage Profile memusatkan perhatian untuk menganalisis aktivitas pengguna dengan tujuan yang berkaitan dengan tersangka. Membangun kasus kejahatan dari perspektif kronologis dengan memanfaatkan waktu MAC (misalnya) untuk urutan kegiatan kejahatan adalah tujuan utama dari fase Chronology Timeline. Di fase Internet ini, tugas memeriksa artefak dari layanan internet terkait dilakukan. Terakhir, dalam fase Case Spesific, penyidik dapat menyesuaikan fokus pemeriksaan ke kasus spesifik seperti fokus di pornografi anak yang akan berbeda dengan kasus-kasus kejahatan keuangan.

Digital Forensic Model based on Malaysian Investigation Process (DFMMIP)(2009) 

Pada tahun 2009, Perumal, S. Belum diusulkan model penyelidikan forensik digital lain yang didasarkan pada proses penyelidikan malaysia. Model DFMMIP ini terdiri dari 7 fase.

www.kerisfotopic.net


Setelah menyelesaikan tahap Planning, tahap berikutnya Identification. Setelah itu, fase Reconnaissance dilakukan. Fase ini berkaitan dengan melakukan investigasi sementara perangkat masih berjalan (dalam operasi) yang mirip dengan melakukan live forensics. Sebelum data dapat dianalisis, data-data tersebut harus dibawa dengan aman ke tempat investigasi dan disimpan dengan baik. Hal ini memang dilakukan di fase Transport & Storage. Setelah data siap, fase Analysis digunakan dan data akan dianalisa dan diperiksa menggunakan alat dan teknik yang tepat. Mirip dengan fase Presentation pada model sebelumnya, para peneliti akan diminta untuk menunjukkan bukti untuk mendukung kasus yang disajikan. Hal ini dilakukan dalam fase Proof & Defense. Lalu yang terakhir, fase Archive Storage dilakukan, dimana bukti yang relevan disimpan disimpan dengan baik untuk referensi di masa depan.

Generic Computer Forensic Investigation Model (GCFIM)

Setelah menampilkan beberapa fase di atas, yang terdapat beberapa kemiripan, kemudian di muncul kembali usulan model investigasi yang di beri nama Generic Computer Forensic Investigation Model (GCFIM) yang dimana mereka membagi semua fase-fase yang ada menjadi 5 fase baru secara umum yaitu: Pre-Process, Acquisition & Preservation, Analysis, Presentation, Post-Process. Dengan gambar alur/tahapan proses sebagai berikut:


www.kerisfotopic.net

  • Pre-Process
Pada tahapan ini, investigator melakukan hal-hal yang berkaitan dengan semua pekerjaan yang harus dilakukan sebelum memulai penyelidikan dan pengumpulan data. Di antaranya adalah menyiapkan surat dan dokumen resmi, mempersiapkan alat-alat yang akan digunakan.
  • Acquisition & Preservation
Pada tahap ini, hal-hal yang dilakukan oleh investigator adalah mengidentifikasi, mengakuisisi, mengidentifikasi, membawa, menyimpan dan menjaga data. Secara umum, pada tahap ini, semua data yang relevan didapatkan, disimpan dan dipersiapkan untuk tahap selanjutnya.
  • Analysis
Ini adalah tahapan utama dari proses penyelidikan komputer forensik. Pada tahap ini dilakukan analisis pada data yang telah diperoleh pada tahap sebelumnya untuk mengidentifikasi sumber kejahatan dan pada akhirnya menemukan orang yang bertanggungjawab atas kejahatan tersebut.
  • Presentation
Hasil analisis pada tahap sebelumnya didokumentasikan dan dipresentasikan kepada pihak yang berwenang.  Tahapan ini sangat penting karena hasil analisis tidak hanya harus dipresentasikan dengan cara yang mudah dipahami oleh pihak yang berwenang, namun juga harus didukung dengan bukti yang memadai/memenuhi syarat dan dapat diterima. Hasil dari tahap ini adalah untuk membuktikan atau menyangkal dugaan tindak pidana.
  • Post-Process
Tahapan ini berkaitan dengan penutupan sebuah penyilidikan. Bukti digital dan fisik harus dikembalikan kepada pemilik yang sah dan disimpan di tempat yang aman jika diperlukan. Investigator meninjau ulang proses investigasi yang telah dilakukan agar dapat digunakan untuk perbaikan proses penyelidikan selanjutnya.
Pada model GCFIM ini arah panah pada setiap tahapan tergambar bolak balik atau dua arah, artinya bahwa setiap tahapan dapat diulang kembali. Hal ini dapat dilakukan apabila pada saat investigasi terjadi sesuatu yang tidak diinginkan sehingga investigator dapat mengulang tahapan yang diperlukan tanpa harus mengulang dari tahap pertama.
  • Instrumen Evaluasi Framework Investigasi Forensika Digital Menggunakan SNI 27037:2014
Berikut Adalah Hal-hal penting yang terlampir dalam Instrumen Evalua Investigasi Forensika Digital Menggunakan SNI 27037:2012
Hal penting yang harus diperhatikan oleh setiap petugas investigator forensika digital dalam menjalankan aktivitas forensika digital adalah diikutinya setiap tahapan dan prosedur dalam forensika digital. Tahapan tersebut dikenal dengan istilah frameworks ataupun SOP investigasi. Tahapan dalam proses forensika digital harus sesuai dengan aturan hukum dan juga mekanisme yang tepat. Namun framework investigasi yang berkembang saat ini ternyata masih terdapat kekurangan dimana ada tahapan-tahapan yang diatur dalam standar yang berlaku seperti SNI 27037:2014, ternyata tidak diatur dalam framework tersebut.
SNI 27037:2014 terdiri dari 7 bab atau 7 bagian yang terdiri dari :
1) Scope
Berisi penjelasan tentang apa yang tercakup atau diatur dalam SNI 27037:2014. Pada bagian ini dijelaskan bahwa SNI merupakan panduan yang secara spesifik mengatur tentang aktivitas penanganan barang bukti digital.
2) Normative Reference
Pada bagian ini berisi tentang dokumen referensi yang digunakan untuk mengembangkan SNI ini. Ada 4 ISO atau standar internasional yang dijadikan dokumen referensi yaitu ISO/TR 15801, ISO/IEC 17020, ISO/IEC 17025:2005, dan ISO/IEC 27000.
3) Terms and definitions
Pada bagian ini berisi tentang istilah-istilah yang digunakan dan penjelasan dari istilah tersebut.
4) Abbreviated Terms
Pada bagian ini berisi tentang singkatan-singkatan yang digunakan. Sebagai contoh AVI yang merupakan singkatan dari Audio Video Interleave.
5) Overview
Pada bagian ini berisi tentang overview tentang penjelasan kegiatan penanganan barang bukti digital. Overview terdiri dari 4 bagian yaitu 1) konteks pengumpulan barang bukti, 2) prinsip barang bukti digital, 3) syarat-syarat penanganan barang bukti, dan 4) proses penanganan barang bukti digital.
6) Key Components of identification, collection, acquisition, and preservation of digital
evidence
Pada bagian ini berisi penjelasan tentang kegiatan penting yang dilakukan dalam identifikasi, pengumpulan, akuisisi, dan preservasi. Bagian ini terdiri dari 9 pembahasan yaitu 1) chain of custody, 2) tindakan di tempat kejadian perkara, 3) peran dan tanggung jawab petugas, 4) kompetensi yang harus dimiliki petugas, 5) Hal yang harus dilakukan sewajarnya, 6) Dokumentasi, 7) Briefing, 8) Prioritas pengumpulan dan akuisisi, 9) preservasi barang bukti digital yang berpotensi.
7) Instance of identification, collection, acquisition, and preservation
Bagian ini berisi tentang hal-hal atau kegiatan apa saja yang dilakukan dalam identifikasi, pengumpulan, akuisisi, dan preservasi.
Adapun bentuk instrument tersebut dapat dilihat pada tabel 2 dibawah ini :





Dengan menggunakan instrument ini, maka praktisi forensika digital yang ikut terlibat dalam melakukan investigasi forensika digital dapat menyesuaikan kembali SOP atau framework yang digunakan sehingga investigasi yang dilakukan tidak melewatkan ketentuan yang telah diatur dalam standar yang berlaku seperti SNI 27037:2014.
Kesimpulan
Framework atau model dalam digital forensics belum memiliki standarisasi yang mutlak, sehingga masih bisa dikembangkan sesuai dengan kebutuhan. Tahapan-tahapan pada model yang di tawarkan oleh Yunus Yussof dkk, model investigasi digital forensik yang umum dan dapat diterapkan pada semua kasus “dengan beberapa penyesuaian”.
Sedangkan model yang di tawarkan oleh Didik Sudyana Dkk Adalah memberikan penekanan identifikasi terhadap dokumen SNI 27037:2014, yang  dapat menghasilkan sebuah instrument yang dapat berguna bagi penyidik ataupun praktisi forensika digital untuk melakukan penyesuaian atau pengecekkan terhadap SOP / framework investigasinya sehingga proses investigasi yang dilakukan telah mengikuti standar yang berlaku.
Sumber
Yusoff, Y., Ismail, R., & Hassan, Z.  2011. Common Phases of Computer Forensics Investigation Models (Paper). Malaysia: Universiti Tenaga Nasional. http://airccse.org/journal/jcsit/0611csit02.pdf
Didik Sudyana., Bambang Sugiantoro., Ahmad Luthfi. 2016. Instrumen Evaluasi Framework Investigasi Forensika Digital Menggunakan SNI 27037:2014 Indonesia : Universitas Islam Indonesia https://www.researchgate.net/publication/309921272_Instrumen_Evaluasi_Framework_Investigasi_Forensika_Digital_Menggunakan_SNI_270372014

Previous
Next Post »