COMPUTER INVESTIGATION PROCESS
Baskoro Aditya Rahman 4711010002
• Selidiki kejahatan komputer • Mengembangkan kebijakan dan prosedur • Menyelidiki pelanggaran kebijakan perusahaan • Memahami metodologi investigasi • Mengevaluasi kasus (melakukan penilaian kasus) • Mengembangkan dan mengikuti rencana investigasi • Mendapatkan surat perintah pencarian • Memahami spanduk peringatan • Mengumpulkan bukti • Melaksanakan investigasi • Gambar disk bukti • Periksa bukti digital • Tutup kasus • Mengevaluasi kasus
INVESTIGASI KEJAHATAN KOMPUTER •
Sebelum memulai penyelidikan, penyidik perlu terlebih dahulu menentukan bahwa insiden telah terjadi dan kemudian menilai dampaknya.
•
Seorang penyidik harus memverifikasi setiap pengaduan yang terkait dengan intrusi, karena beberapa mungkin berubah menjadi tipuan panggilan.
KEBIJAKAN DAN PROSEDUR PEMBANGUNAN Jenis kebijakan dan prosedur yang harus ditetapkan: •
Pernyataan misi: Menggabungkan fungsi inti unit yang meliputi kejahatan teknologi tinggi investigasi, pengumpulan bukti, dan analisis forensik
•
Persyaratan personil untuk unit komputer forensik: Termasuk deskripsi pekerjaan, kualifikasi minimum,jam operasi, status on-call tugas, struktur komando, dan konfigurasi tim.
•
Pertimbangan-pertimbangan administratif : Termasuk pertimbangan lisensi software, sumber komitmen, dan pelatihan.
•
Penyampaian dan pengambilan layanan permintaan komputer forensik : Mengembangkan pedoman untuk mengatur proses pengajuan permintaan dan penerimaan permintaan layanan komputer forensik iniuntuk pemeriksaan bukti digital
•
Pelaksanaan prosedur manajemen kasus: Termasuk sifat kejahatan, tanggal pengadilan, tenggat waktu,mungkin korban, pertimbangan hukum, dan sifat bukti volatile
•
Penanganan bukti: Memberikan pedoman untuk menerima, memproses, mendokumentasikan, dan melestarikan bukti pada saat pemeriksaan
•
Pengembangan prosedur kasus-processing: Membantu dalam melestarikan dan pengolahan bukti digital
•
Pengembangan teknis prosedur: Mengidentifikasi tugas atau masalah, Mengusulkan solusi yang mungkin, Pengujian setiap solusi pada sampel kontrol yang dikenal, Mengevaluasi hasil tes, dan Menyelesaikan prosedur
INVESTIGASI PERUSAHAAN PELANGGARAN KEBIJAKAN •
Setiap perusahaan memiliki seperangkat standar kebijakan bahwa setiap karyawan harus mengikuti mengenai penggunaan peralatan komputer yang dimiliki oleh perusahaan.
•
Karyawan yang menggunakan sumber daya perusahaan seperti Internet atau sistem komputer untuk penggunaan pribadi tidak hanya melanggar kebijakan perusahaan tetapi juga membuangbuang sumber daya, waktu, dan uang.
PERSYARATAN SEBELUM MEMULAI INVESTIGASI •
Teknisi harus cukup mampu untuk menganalisis dan memperoleh berbagai bukti.
•
Laboratorium harus dilengkapi dengan peralatan yang tepat dan alat -alat forensik yang diperlukan untuk penyelidikan.
PERTIMBANGAN HUKUM •
•
Ketika penyidik berhadapan dengan kasus yang melibatkan kejahatan komputer adalah memiliki sinkronisasi dengan jaksa wilayah setempat. Beberapa poin hukum yang penting ​ harus diingat penyidik adalah: - Memastikan lingkup pencarian - Memeriksa kemungkinan masalah yang berkaitan dengan undang-undang federal yang berlaku
METODOLOGI INVESTIGASI •
Metodologi tidak lebih dari seperangkat pedoman yang digunakan untuk menjaga konsistensi.
•
Ada dua hal yang dapat memberikan dasar untuk analisis mudah dan bangunan kasus: mendefinisikan metodologi dan bekerja sesuai.
•
Dengan mendefinisikan metodologi, penyidik dapat memiliki gambaran tentang bagaimana kasus forensik harus ditangani secara umum, meskipun setiap kasus ditangani secara berbeda.
MENGEVALUASI KASUS Ada beberapa langkah yang harus diambil ketika menilai kasus: 1.
Awalnya memeriksa permintaan layanan penyidik​​.
2.
Cari otoritas hukum untuk permintaan pemeriksaan forensik.
3.
Pastikan bahwa permintaan bantuan diberikan.
4.
Menyediakan rantai lengkap tahanan.
5.
Periksa apakah proses forensik seperti analisis DNA, sidik jari, tanda alat, jejak, dan mempertanyakan dokumen harus dilakukan pada bukti.
6.
Periksa apakah ada kemungkinan untuk mengikuti metode investigasi seperti mengirim perintah ke pelestarian Penyedia layanan Internet, mengidentifikasi lokasi penyimpanan terpencil, dan mendapatkan e-mail. Layanan Internet (ISP) adalah perusahaan yang menyediakan akses Internet untuk perorangan atau organisasi.
7.
Mengidentifikasi relevansi berbagai komponen periferal, seperti kartu kredit, cek kertas, scanner, dan kamera, ke TKP.
8.
Membangun potensi bukti yang dicari.
9.
Mendapatkan rincian tambahan seperti alamat e-mail, ISP yang digunakan, dan nama pengguna.
10.
Mengevaluasi tingkat keahlian dari para pengguna untuk mengidentifikasi keahlian mereka dalam menghancurkan atau menyembunyikan bukti.
11.
Mengatur urutan pemeriksaan bukti.
12.
Identifikasi apakah personil tambahan diperlukan.
13.
Identifikasi apakah peralatan tambahan yang diperlukan.
MELAKUKAN PENILAIAN AWAL Setelah melakukan penilaian awal untuk mencari bukti, penyidik perlu melakukan langkah berikut: 1.
Mengambil snapshot dari TKP sebelum mengumpulkan bukti.
2.
Mengumpulkan dan merebut peralatan yang digunakan dalam melakukan kejahatan.
3.
Dokumentasikan item dikumpulkan , seperti disket , CD , dan DVD . Setelah melakukan langkah-langkah ini , penyidik ​ dapat mendokumentasikan prosedur diikuti selama pengumpulan bukti dan kemudian mulai penyelidikan yang sebenarnya .
SPANDUK PERINGATAN •
Sebuah spanduk peringatan teks bahwa pengguna biasanya membaca sebelum menandatangani pada sistem di mana pengguna tanggung jawab saat menggunakan sistem dinyatakan.
•
Spanduk Peringatan menginformasikan pengguna bahwa sistem dapat dimonitor untuk mendeteksi penggunaan yang tidak benar dan kegiatan terlarang lainnya selama ini dia adalah pada sistem.
•
Sebuah spanduk peringatan harus menginformasikan pengguna otentik ketika pemantauan yang digunakan untuk mengidentifikasi atau menonton penyusup
MENGUMPULKAN BUKTI •
Peneliti harus mencari bukti di TKP yang mungkin berhubungan dengan kasus.
•
Komputer dan komponen terkait dapat menentukan rantai kejadian yang menyebabkan kejahatan dan dapat memberikan bukti yang diperlukan untuk keyakinan.
MENDAPATKAN SURAT PERINTAH PENCARIAN Sebuah surat perintah penggeledahan adalah perintah tertulis yang dikeluarkan oleh hakim yang mengarahkan petugas penegak hukum untuk mencari bagian tertentu dari bukti di lokasi tertentu. Yang diusulkan surat perintah pada dasarnya adalah bentuk satu halaman, bersama dengan lampiran dimasukkan oleh referensi, menunjukkan tempat yang akan dicari dan orang-orang atau hal yang harus disita. Jika kemungkinan penyebab pencarian dan deskripsi tempat yang akan dicari dan hal yang harus disita secara memadai didirikan pada pengadilan, maka Hakim akan menandatangani surat perintah. Berdasarkan aturan federal acara pidana, pelaksanaan surat perintah harus mengambil tempatkan dalam waktu 10 hari dari penandatanganan surat perintah.
MEMPERSIAPKAN PENCARIAN Peran komputer dalam suatu kejahatan bisa itu adalah:
1.
Sebuah alat pelanggaran: Misalnya, pemalsu mungkin menggunakan scanner dan printer untuk memindai dan mencetak mata uang. Dalam konteks ini, komputer secara aktif terlibat dalam melakukan kegiatan terlarang.
2.
Sebuah repositori pelanggaran: Sebagai contoh, seorang pencuri identitas mungkin diamdiam menyimpan rincian kartu kredit pelanggan. Dalam situasi tertentu, komputer digunakan baik sebagai alat dan repositori. Sebagai contoh, hacker dapat menggunakan komputer baik untuk menyerang sistem dan untuk menyimpan file dicuri. Surat perintah harus dikeluarkan dengan pertimbangan untuk peran komputer dalam kejahatan tersebut.
LANGKAH MENELITI DAN MENGUMPULKAN BUKTI 1.
Menemukan bukti : penyidik ​ harus mencari tempat di mana bukti itu disimpan. Penyidik ​ perlu untuk mempersiapkan checklist untuk cross-check temuan dan daftar semua item yang dapat digunakan untuk melakukan kejahatan .
2.
Temukan data yang relevan
3.
Siapkan urutan volatilitas : bukti tersebut disebut bukti volatile, karena memerlukan daya pasokan yang konsisten untuk penyimpanan atau mengandung informasi yang terus berubah.
Urutan volatilitas berfungsi sebagai panduan yang dapat membantu penyidik mengumpulkan bukti dalam urutan terbaik. Orde volatilitas dapat : • Register dan cache • Routing tabel • cache ARP • Tabel Proses • Statistik Kernel dan modul
MENURUT NATIONAL INSTITUTE OF JUSTICE ( 2004 ) , BEBERAPA LANGKAH KETIKA MEMPEROLEH BUKTI BAHWA IA TELAH DIIDENTIFIKASI SEBAGAI RELEVAN DENGAN KASUS INI : •
Menyelidiki susunan perangkat penyimpanan untuk memastikan bahwa semua ruang dicatat , termasuk hostprotected daerah data
•
Ambil nomor seri elektronik drive dan dapat diakses pengguna , data host - spesifik lainnya .
•
Mendapatkan bukti dengan menggunakan alat yang tepat , termasuk : - Stand-alone software duplikasi - Forensik analisis suite software - perangkat keras Dedicated
•
Menggunakan oleh sektor- sektor perbandingan , menghubungkan nilai-nilai dalam bukti dan cadangan .
METODE PENGUMPULAN BUKTI Bukti yang dikumpulkan dari komputer hidup dengan mencari berikut : •
Proses mendaftar : Ini termasuk layanan seperti inspeksi dan pengujian kalibrasi , manajemen konstruksi , perangkat keras, dan perangkat lunak .
•
Virtual dan memori fisik : ini menyediakan ruang alamat yang lengkap untuk setiap proses dan melindungi setiap proses dari proses lainnya.
•
Jaringan negara : Ini menunjukkan keadaan jaringan dan termasuk alamat IP dan URL .
•
Menjalankan proses : Ini semua proses yang sedang berjalan pada komputer .
•
Disk, kaset , dan CD-ROM : Ini adalah media fisik yang digunakan untuk penyimpanan data .
•
Kertas cetakan : Ini menunjukkan data yang telah dicetak dari komputer hidup .
Berikut ini adalah sumber stabil dan perintah yang digunakan untuk menangkap bukti pada komputer hidup : •
ps atau / proc file system : Digunakan untuk menjalankan proses
•
netstat : Menampilkan koneksi TCP yang aktif , statistik Ethernet , dan tabel routing IP
•
arp ( cache ARP ) : Menampilkan pemetaan antara lapisan yang berbeda dari arsitektur jaringan
•
lsof ( daftar berkas yang dibuka ) : Menunjukkan semua file yang sedang terbuka
•
/ dev / mem dan / dev / kmem : Memeriksa setiap patch komputer
Berikut ini adalah alat-alat forensik komputer yang digunakan untuk pengumpulan data: •
EnCase Bimbingan Software (www.guidancesoftware.com) , EnCase adalah data forensik dan analisis Program untuk berbagai sistem operasi yang digunakan untuk melakukan penyelidikan yang berkaitan dengan komputer .
•
Access Data yang Forensik Toolkit ( www.accessdata.com ) ; AccessData yang Forensik Toolkit , disebut dengan analis forensik hanya sebagai FTK , berisi rangkaian lengkap dari alat pemulihan password, drive dan wiper media, penampil registri , dan produk berguna lainnya . Alat pemulihan password juga membuka file terkunci .
LANGKAH MENGAMANKAN BUKTI DIGITAL KOMPUTER •
Ikuti panduan departemen bila mungkin , jika tidak, gunakan Sebuah Panduan untuk Responders Pertama .
•
Dokumen dan memverifikasi konfigurasi hardware dari sistem yang akan diperiksa .
•
Bongkar komputer untuk diperiksa .
•
Mengidentifikasi dan mendokumentasikan perangkat penyimpanan internal .
MENCEGAH MERUSAKKAN BUKTI 1.
Mengumpulkan bukti : Mengumpulkan bukti menggunakan teknik yang tepat dan industri yang berlaku dan prosedur .
2.
Siapkan lacak balak : Peneliti harus mendokumentasikan proses pengumpulan . Dokumen harus termasuk perangko waktu , tanda tangan digital , dan pernyataan ditandatangani .
PENGOLAHAN PENILAIAN LOKASI •
Waktu yang diperlukan untuk memulihkan bukti saat penukaran
•
Kekhawatiran logistik dan tenaga kerja yang terkait dengan penyebaran jangka panjang
•
Bisnis dampak dari pencarian memakan waktu
•
Kesesuaian peralatan, sumber daya , media, pelatihan , dan pengalaman untuk pemeriksaan onsite
FORMULIR RANTAI- DARI- BUKTI •
Dokumen berupa rantai- bukti apa yang telah dan belum dilakukan dengan baik bukti asli dan setiap salinan bukti forensik .
•
Beberapa informasi yang terkandung pada bentuk rantai-bukti seperti: - Nomor Kasus : Setiap kasus memiliki nomor kasus yang berbeda , dan jumlah ini diberikan oleh organisasi yang dimiliki penyidik .
- Investigasi organisasi: Nama organisasi menyelidiki kasus ini . - Penyidik untuk kasus : Nama penyidik yang menangani kasus tersebut . - Sifat kasus : Sebuah deskripsi singkat dari kasus tersebut . - Deskripsi bukti : Berisi informasi tentang jenis bukti yang dikumpulkan . - Bukti ditemukan oleh : Nama penyidik yang pulih bukti . Ini adalah blok bangunan untuk lacak balak . Lacak balak adalah metode mendokumentasikan sejarah dan kepemilikan sampel dari waktu penagihan kepada disposisi akhir. -Tanggal dan waktu : Tanggal dan waktu ketika bukti itu dibawa ke tahanan.
- Lokasi dari mana bukti itu pulih : Lokasi di mana bukti ditemukan . - Bukti diproses oleh nomor item : Ketika bukti diproses dan dianalisa oleh penyidik ​ , nama orang yang ditangani dan diproses pada tanggal tertentu dan waktu yang tertulis di sini. - Bukti ditempatkan di loker: Berisi informasi tentang yang aman kontainer bukti sedang digunakan untuk menyimpan bukti dan ketika bukti ditempatkan di dalamnya. - Barang / bukti diproses oleh / Disposisi bukti / Tanggal / Waktu: Berisi informasi mengenai penyidik nama, nomor item tertentu bukti, dan deskripsi tentang apa yang dilakukan ketika penyidik ​ memperoleh bukti untuk pengolahan dan analisis. - Nomor halaman: ditentukan dalam format "Halaman x y." - Nama vendor: Nama produsen bukti. - Model atau nomor seri: kebanyakan komputer komponen memiliki nomor model yang bukan nomor seri.