BAB 18

COMPUTER FORENSICS

Computer forensics adalah penerapan teknik-teknik analitis dan investigtif untuk

mengidentifikasi, mengumpulkan, memeriksa, dan melidungi (preserve) bukti atau informasi
digital.
Proses hukum yang mengisyaratkan adanya tindak pidana, sengketa perdata, dan hukum
administrative meskipun lingkup yang popular adalah tindak pidana yang dikenal sebagai cyber
crime, diantaranya:

1. Penyalahgunaan dan penipuan melalui internet

2. Pemerasan
3. Pengungkapan rahasia perusahaan
4. Kegiatan mata-mata industry (industrial espionage)
5. Penyimpanan informasi berkenaan dengan perencanaan dan pelaksanaan kejahatan

Ada tiga langkah utama dalam computer forensic, yaitu:

• Imaging : Secara sederhana, suatu alat dihubungkan ke salah satu communication port
(biasanya parallel port atau scsi port) dan alat ini akan merekam seluruh data yang ada pada
electronic stroge media (seperti hard disk) dalam computer secara lengkap, tidak kurang
tidak lebih. Hard disk terkadang dilepas dari rumah computer (computer housing). Dikopi
secara lengkap, byte-byte copy atau mengopi byte demi byte, tanpa ada yang ditambah
atau dikurangi. Hal ini penting di pengadilan dan ketika computer forensic specialist
• Processing : Sesudah mendapat “bayangan cermin” dari data aslinya, citra atau image
ini harus diolah untuk memulihkan file yang “terlanjur” dihapus (deleted) atau yang
ditulisi kembali (overwritten) dengan current file. Dengan memulihkan image hasil kopian,
files dan folders akan tampil seperti pada media penyimpanan data yang asli.
• Analyzing : Pada langkah ketiga ini memerlukan keahliannya, kreativitasnya, dan
penerapan gagasan orisinal. Ketiak memeriksa current file, yang sering menjadi perhatian
adalah nama file, seperti nama-nama seksi untuk bahan pornografi; dewa perang untuk
penyelundupan senjata, warna-warni untuk uang suap kepada pimpinan partai, bahkan
istilah yang menunjukan jabatan seorang pejabat sipil atau militer dalam kasus
korupsi.Semua file dalam langkah ketiga (analyzing) ini diupanyakan membangun fraud
theorynya. Inilah yang dilakukan oleh penyidik dalam kisah-kisah detektif di awal bab ini.

Seperti penyidik pada umunya, ahli computer forensics “mencari bukti kejahatan”.
Perlindungan terhadap bukti dan barang bukti sangat penting. Computer forensics specialist akan
bekerja dengan kehati-hatian professional untuk memastikan:

1. Tidak ada kemungkinan bukti menjadi rusak, dihancurkan, atau tidak lagi “murni”
(compromised) karena prosedur yang diguanakan dalam investigasi.
 2. Tidak ada kemungkinan masuknya (atau dimasukannya) computer virus sejak kedatangan
penyidik.
3. Semua bukti yang diperoleh ditangani sedemikian rupa sehingga terlindug dari kerusakan
mekanis dan kerusakan electromagnetic
4. Ada mata rantai penyimpanan, pengawasan, dan dokumentasi yang berkesinambungan atas
bukti dan barang bukti.
5. Kalau tidak dapat dihindari, terhentinya kegiatan usaha ditekan serendah mungkin.
6. Semua informasi rahasia yang dilindungi oleh undang-undang (seperti clientattorney
information di Amerika Serikat dan informasi yang diperoleh seorang pastor Katolik dari
pengakuan dosa umatnya, menurut (KUHAP) tidak boleh disadap. Kalau hal itu terjadi
tidak sengaja, maka penanganan informasi itu harus dilakukan secara hukum dan
memperhatikan segi etika.

Secara lebih spesifik, computer forensic specialist menentukan bukti yang mungkin
terkandung dalam system computer dan berupaya untuk mendapatkannya (retrieve) dengan:

1. Melindungi seluruh system computer yang menjadi subyek pemeriksaan forensiknya

dari segala perubahan, perusakan, kerusakan, korupsi data atau kemasukan dan
pemasukan virus.
2. Menemukan semua files yang terdiri atas files yang terlihat di monitor, files yang sudah
di-delete tetapi masih ada, files yang tersembunyi (hidden files), files yang dilindungi
dengan password, dan file yang dilindungi dengan sandi (encrypted files)
3. Memulihkan sedapat mungkin, semua files yang ditemukan
4. Mengungkapkan isi dari files yang tersembunyi dan temporary files (file sementara) swap
files (file yang dipertukarkan) yang diguanakan oleh program aplikasi dan operating
system.
5. Mengakses, kalau bisa dan kalau tidak melawan hukum; files yang dilindugi dengan
password, dan file yang dilindungi dengan sandi (encrypted files)
6. Menganalisis semua data relevan yang mungkin ada. Ini lazimnya ditemukan pada area
khusus di disk yang tidak dapat diakses dengan cara biasa. Area ini meliputi, tetapi tidak
terbatas kepada “unallocated space” pada disk (berisi area yang dahulunya tempat
penyimpanan data lama yang bisa merupakan bukti penting).dan slack space dalam file
(area tersisa pada akhir pada akhir file atau pada disk cluster terakhir di-assigned, yang
sekarang ini tidak terpakai lagi, tetapi merupakan tempat yang diadakan untuk menyimpan
data atau bukti penting).
7. Mencetak hasil analisis yang menyeluruh mengenai system computer yang diperisa, daftar
dari semua file yang relevan dan data relevan yang ditemukan; systems layout, files
structures, infomasi yang mencantumkan pengarang atau pembuatnya, catatan
mengenai upaya menyembunyikan (hide),
 8. Menghilangkan (delete), melindungi (protect), member sandi (encrypt), dan segala
sesuatu yang yang terungkap yang kelihatannya relevan dlam pelaksnaan computer
forensics.
9. Memberikan konsultasi sebagai seorang ahli bidang computer forensics dan kesaksian
pengadilan.

Siapa yang dapat memanfaatkan bukti forensic computer? Pemakainya umumnya sama
dengan pemakai jasa akuntansi forensic :

1. Para penyidik (dalam upaya penggeledahan dan penyitaan) dan penuntut umuum dalam
kasus pidana.
2. Litigasi dalam kasus perdata.
3. Perusahaan asuransi yang berusaha menghentikan klain karena adanya unsure fraud
4. Perusahaan yang menangani perkara tuduhan pelecehan seksual di tempat kerja, asset
misappropriation termasuk rahasia dagang, korupsi, dan informasi konfidensial lainnya.
5. Individu dalam kasus perceraian dan pelecehan seksual.

SPESIFIKASI DARI DISK IMAGING TOOL

Peralatan computer forensics yang canggih, akurat, dan andal mutlak diperlukan dalam
menginvestigasi kejahatan yang melibatkan computer. Di Amerika Serikat, NIST (the Natioal
Institute of Standards and Technology) mengatur dan memberikan peujuk yang memberikan
keyakinan terhadap perangkat lunak yang digunaan dalam investigasi forensik. NIST menyiapkan
penegak hukum dengan segala wewenang untuk menentukan apakah perangkat lunak yang
dirancang memang boleh diterpkan untuk tujuan yang ditetapkan
NIST misalnya, menerbitkan dokumen yang menjadi bahan tulisan ini. Dokumen tersebut
memerinci persyaratan dari alat- alat pencitraan cakram digital (disk imaging tool) yang digunakan
dalam investigasi forensic dan metode pengujian untuk memastikan bahan alat-alat itu memenuhi
syarat.
Dokumen NIST itu menetapkan lingkup dari spesifikasi yang dibahasnya, yakni terbatas pada
software tools yang mengopi atau membuat pencitraan (image) hard disk drives saja.
Spesifikasi itu tidak meliputi software tools yang membuat pencitraan dari emovable media
seperti floppy disks atau zip disks, analog media, dan digital media lainnya seperti telepon selular
dan pegers.
Persyaratan Yang Wajib Dipenuhi (Mandatory Requirements)

Persyaratan berikut ini wajib dipenuhi oleh semua disks imaging tools (disingkat DIT)

1. DIT tidak boleh mengubah objek aslinya

2. Kalau tidak ada kesalahan (eror) dalam mengakses objek aslinya, maka DIT akan
menghasilkan bit- stream duplicate atau bit-stream image dari aslinya
 3. Kalau kesalahan input/ output (I/O errors). Maka DIT akan menghasilkan qualified bit-
stream duplicate atau qualified bit-stream image dari aslinya. Tempat yang diidentifikasi
mengandung kesalahan akan di-replace dengan nilai yang ditentukan oleh dokumentasi
dalam DIT.
4. DIT akan membuat daftar (log) dari semua kesalahan input/output (I/O errors ) dalam
bentuk yang dapat diakses dan dibaca, termasuk jenis da lokasi kesalahan.
5. DIT dapat dapat mengakses disks drivesmelalui atau lebih inefaces yang ditentuakan.
6. Dokumentasi berkenaan dengan persyaratan wajib (mandatory requirements) harus benar.
Artinya, sepanjang seluruh prosedur DIT menghasilkan hasil yang diharapkan, maka
dokumentasi harus dianggap benar.
7. Kalau DIT mengopi sumber (source) ke tujuan akhir (destination) yang lebih besar dari
sumbernya, maka DIT akan mendokumentasikan is dari area yag tidak merupakan bagian
dari copy-an
8. Kalau DIT mengopi sumber (source) ke tujuan akhir (destination) yang lebih kecil dari
sumbernya, maka DIT akan member tahu si pemakai (user), memotong (truncate)
kopiannya, dan membuat log (catatan) tentang apa yang dilakukannya.

CLONING ATAS DATA DALAM PONSEL

Alat untuk meng-clone data dalam telepon selular dipakai untuk mengambil (extract) data
seperti daftar nomor telepon (phonebook), citra atau image berupa gambar dan videos, pesan-pesan
(text messages), daftar telepon masuk dan keluar (call logs), dan informasi mengenai identitas
tersebut (IMEI- International Mobile Equipment Indentification atas ESN-Electronic Serial
Number).
Disamping data yang disebut di atas, perlatan ini juga dapat meng-extract pesan-pesan yang
sudah dihapus (deleted text messages), rekaman audio dan video, serta ringtones. Seperti halnya
dengan data imaging atau data cloning untuk data di hard disk, data dalam ponsel hanya dibaca,
tanpa modifikasi apa pun sesuai standar industry di Amerika Serikat untuk keperluan pengadilan

MENGENALI BUKTI DIGITAL

Computer dan media digital semakin sering dimanfaatkan dalam kegiatan melawan hukum.
Ia bisa menjadi alat atau sarana kejahatan (misalnya penggunaan telepon selular untuk memeras),
hasil kejahatan (misalnya informasi digital hasil curian), atau sebagai sarana penyimpan informasi
mengenai kejahatan.
Jawaban terhadap pertanyaan-pertanyaan sederhana berikut ini akan dapat menentukan yang
sebenarnya peranan computer dalam kejahatan

1. Apakah computer digunakan untuk penyeludupan informasi atau merupakan hasil

kejahatan? Misalnya, dalam pencurian perngkat keras (hardware) dan perangkat lunak
(software)
 2. Apakah system computer digunakan untuk kejahatan. Pelaku menggunakan system
computer secra aktif untuk kejahatan, seperti identitas palsu atau identitas asli (password)
yang dicuri , downloading dari informasi yang tersimpan dalam system atau data base, dan
lain-lain
3. Ataukah computer hanya digunaan untuk menyimpan data, misalnya nama, alamat,
perincian kontrak-kontrak yang dibuat dengan para penyuplai yang memberikan “uang
suap” atau kickback
4. Apakah computer digunakan dalam kejahatan, sekaligus untuk menyimpan informasi.
Misalnya, computer hacker yang menyerang system dan data base dari penerbit kartu
kredit untuk mencuri informasi mengenai mengenai kartu kredit pelanggan. Hacker ini
juga menyimpan informasi hasil curiannya dalam computer atau media digital.

Setelah mengetahui peranan computer dalam kejahatan, pertanyaan penting berikut harus
dijawab.

1. Apakah ada alasan untuk meyita perngakat keras?

2. Apakah ada alasan untuk menyita perangkat lunak?
3. Apakah ada alasan untuk menyita data?
4. Di mana penggeledahan akan atau harus dilakukan?
a) Misalnya, apakah lebih praktis melakukan penggeledahan di mana system computer
berada atau di lapangan? Contoh: system computer berada di Jakarta, tetapi tempat
yang dicuragai berada di lading-ladang minyak yang tersebar.
b) Apabila penegak hukum menyita system dan membawanya pergi dari lokasi semula,
apakah system tersebut

Disamping computer yang menyimpan data dan informasi digital, ada beberapa peralatan
elektronis yang kita gunakan sehari-hari yang juga menyimpan informasi digital.

1. Telepon nirkabel (wireless telephones) Telepon nirkabel menyimpan data berikut :

a. Nomor telepon yang dihubungi
b. Nomor telepon yang disimpan untuk akses cepat (speed dialing)
c. Caller ID untuk telepon yang diterima
d. Informasi lain yang tersimpan dalam memori dari telepon nirkabel seperti kode pin dll
2. Alat penyeranta (electronic paging device). Berikut bukti-bukti digital yang mungkin
tersimpan dalam pesawat penyeranta :
a. Data yang tersimpan dalam bentuk angka (untuk penyeranta yang disebut numeric
pagers komunikasi dilakukan hanya dalam bentuk angka atau kode)
b. Data yang tersimpan dalam bentuk angka dan huruf (untuk penyeranta yang disebut
alpha numeric pagers komunikasi dilaukan dalam angka, huruf, dan teks penuh atau
full text).
 c. Voice pagers dapat mengirimkan komunikasi suara, terkadang sebagai tambahan atas
komunikasii alpha numeric.
d. Pesan-pesan masuk dan keluar dalam 2-way pagers atau penyeranta dua arah
3. Mesin faks : Alat ini bisa berisi nomor telepon dan informasi mengenai pelanggan telepon
dari telepon yag masuk. Gangguan atau terputusnya arus listrik dapat menyebabkan
hilangnya data apabila tidak dilindungi degan baterai pedukung. Dokumentasikan semua
data yang tersimpan sebelum penyitaan atau sebelum kemungkinan hilangnya data. Mesin
faks dapat menyimpan informasi berikut
a. Daftar nomor telepon yang dapat dihubungin dengan dial cepat
b. Faks masuk dan keluar yang tersimpa secara digital
c. Catatan mengenai faks masuk dan keluar
d. Judul di faks
e. Setelan waktu
4. Kartu cerdas : Kartu cerdas, lazimnya seukuran kartu kredit, dilengkapi dengan chip
atau microprocessor yang menyimpan sejumlah nilai uang dan informasi lain. Kartu
cerdas ini digunakan untuk
a. Pembayaran transaksi pada point off sale, misalnya utuk pulsa telepon
b. Pembayaran antar pemegang kartu cerdas
c. Melakukan pembayaran untuk transaksi internet
d. Kemampuan ATM
e. Kemampuan menyimpan data dan file lainnya, seperti pada disk computer
5. Lain-lain : Pembahasan di atas yang diambil dari United States Secret Service hanyalah
mengenai informasi digital dalam beberapa peralatan sederhana yang digunakan sehari-
sehari. Secara terpisah, akan dibahas cloning dari data digital yang tersimpan dalam hard
disk suatu computer.

PERSPEKTIF HUKUM DARI BUKTI DIGITAL

Penanganan Perangkat Keras dan Lunak

Penyidikan yang diarahkan kepada perangkat keras secara konseptual tidaklah sulit. Seperti
halnya pemeriksaan terhadap senjata yang dipakai dalam kejahatan, perangkat keras merupakan
benda berwujud. Benda-benda menggunakan ruang dan dapat dipindahkan dengan cara-cara yang
kita kenal secara tradisional. Penyelidikan terhadap data, informasi, dan perangkat lunak lebih
rumit dari pemeriksaan perangkat keras.
Karena itu, untuk memudahkan pembahasan, jenis pemeriksaan dibedakan antara: ( a )
pemeriksaan di mana informasi yang dicari ada pada komputer di mana pemeriksaan dilakukan,
dengan ( b ) pemeriksaan atas informasi yang disimpan off-site di tempat lain di mana komputer
digunakan untuk mengakses data.
Informasi Hasil Kejahatan

Informasi hasil kejahatan bisa berupa penggandaan perangkat lunak dengan pelanggaran hak
cipta atau harta kekayaan intelektual dan pencurian informasi perusahaan atau negara yang
dirahasiakan. Karena itu, teori dan praktik yang berlaku untuk penyitaan benda berwujud lazimnya
juga berlaku untuk informasi yang merupakan hasil kejahatan.

Informasi sebagai Instrumen Kejahatan

Dalam hal tertentu, informasi dapat digunakan sebagai alat atau instrumen untuk melakukan
kejahatan, misalnya perangkat lunak yang dirancang khusus untuk membuka kode atau password,
atau untuk memperoleh daftar nomer kartu kredit yang hilang dicuri. Apabila secara wajar,
informasi tersebut patut diduga telah atau dapat digunakan sebagai instrumen kejahatan, penyidik
boleh atau dapat menyitanya.

Informasi sebagai Bukti Kejahatan

Secara umum, di Amerika Serikat, informasi sebagai instrumen kejahatan. Sementara itu,
informasi “sekedar sebagai bukti” diperlakukan sebagai tidak dapat disita. Dengan perkembangan
ini, pengakuan bahwa dokumen dan informasi lain yang mengkaitkan perbuatan tersangka dengan
kejahataannya umumnya harus dilihat sebagai bukti kejahatan dan bukan instrumen kejahatan.
Bukti kejahatan bisa berupa cetakan (hard copy printouts). Bukti ini (kalau ada atau ditemukan
berada dalam “tangan” si pelaku) merupakan bukti yang penting. Misalnya pelaku mengaku ia
“buta komputer”, tidak tahu isi dari data base. Fakta bahwa dia mempunyai hard copy printouts
merupakan bantahan terhadap ketidakmampuannya menggunakan informasi dalam data base.
Bukti kejahatan lainnya adalah catatan yang dibuat berupa tulisan tangan yang ada did dekat
komputer atau peralatan elektronis lainnya, seperti catatan mengenai password atau sandi-sandi
yang dapat memberi petunjuk, daftar nama rekan-rekan yang ikut dalam kejahatan, atau daftar
nama korban, dan seterusnya.