PROSES INVESTIGASI FORENSIK
INVESTIGASI KEJAHATAN KOMPUTER Sebuah insiden adalah suatu peristiwa yang mengancam keamanan sistem komputer atau jaringan dalam sebuah organisasi . Seorang penyidik ​harus memverifikasi setiap pengaduan yang terkait dengan intrusi , karena mungkin berubah menjadi tipuan panggilan . Intrusi sistem deteksi peringatan hanya dapat mengindikasikan usaha , intrusi berhasil , atau mungkin menjadi alarm palsu . Oleh karena itu, penyidik ​harus mempertimbangkan kekuatan, kelemahan , dan nuansa lain yang dikenal berkaitan dengan sumber dan mencakup faktor manusia serta faktor digital .
KEBIJAKAN DAN PROSEDUR PEMBANGUNAN • Pernyataan misi • Persyaratan komputer forensik • Pertimbangan administratif : • Lisensi software • Komitmen Sumber • Pelatihan • Penyampaian permintaan layanan komputer • Pelaksanaan manajemen
kasus • Penanganan bukti • Pengembangan prosedur processing • Pengembangan prosedur teknis : • identifikasi tugas • Usulkan solusi • Pengujian solusi • Evaluasi hasil tes
INVESTIGASI PERUSAHAAN PELANGGARAN KEBIJAKAN Setiap perusahaan memiliki standar kebijakan bahwa setiap karyawan harus mengikuti penggunaan komputer yang dimiliki oleh perusahaan. 1.
Mengimplementasikan dan Menegakkan Kebijakan Perusahaan
Mengimplementasikan dan Menegakkan Kebijakan Perusahaan Sebagai komputer forensik profesional, penyidik ​harus mengumpulkan bukti dari komputer tersangka dan menentukan apakah suatu kejahatan atau pelanggaran terhadap kebijakan perusahaan telah terjadi. Seorang penyidik ​harus mengikuti metodologi standar untuk menyelidiki pelanggaran kebijakan perusahaan.
SEBELUM MEMULAI INVESTIGASI Suatu persyaratan awal untuk penyelidikan adalah bahwa seorang teknisi yang terampil adalah pada tim. Teknisi harus cukup mampu untuk menganalisis dan memperoleh berbagai bukti . Persyaratan terpenting kedua adalah workstation atau data laboratorium pemulihan . 1. Pertimbangan hukum
Pertimbangan hukum Satu hal penting penyidik ​perlu diingat ketika berhadapan dengan kasus yang melibatkan kejahatan komputer adalah memiliki sinkronisasi dengan jaksa wilayah setempat. Beberapa poin hukum yang penting penyidik ​harus diingat adalah: • Memastikan lingkup pencarian • Memeriksa kemungkinan masalah
INVESTIGASI METODOLOGI Metodologi tidak lebih dari seperangkat pedoman yang digunakan untuk menjaga konsistensi . Ini bisa sangat sulit untuk mengembangkan metodologi untuk investigasi komputer karena ada banyak variabel pada kasus forensik. A. 10 Langkah Mempersiapkan Investigasi Forensik Komputer B. Langkah memecahkan kasus forensik
10 Langkah Mempersiapkan Investigasi Forensik Komputer 1. 2. 3. 4. 5.
Menilai kasus. Menentukan desain awal untuk kasus. Siapkan desain rinci. Tentukan apa sumber daya yang diperlukan. Dapatkan informasi.
6.
Dapatkan password untuk akses file . 7. Menyusun daftar identitas. 8. Perhatikan file yang di akses. 9. Menjaga kepemilikan. 10. Buat kata kunci.
MENGEVALUASI KASUS 1 .Memeriksa permintaan ​. 2 . Cari otoritas hukum. 3 . Pastikan bahwa permintaan diberikan . 4 . Menyediakan rantai lengkap tahanan. 5 . Periksa apakah proses forensik dilakukan pada bukti. 6 . Periksa apakah mengikuti metode investigasi. 7 . Mengidentifikasi relevansi ke TKP .
8 . Membangun potensi bukti. 9 . Mendapatkan rincian tambahanyang digunakan pengguna. 10 . Mengevaluasi tingkat keahlian dari para pengguna. 11 . Mengatur urutan. 12 . Identifikasi apakah person tambahan diperlukan . 13 . Identifikasi apakah peralat tambahan diperlukan .
MENGUMPULKAN BUKTI Seorang penyidik ​harus meminta izin untuk melakukan pencarian di lokasi. Sebuah komputer dapat menjadi sumber informasi. 1. 2. 3. 4.
5. 6.
Rantai kejadian pengumpulan bukti: Mendapatkan Surat 7. Memperoleh bukti Perintah perihal Lingkup Surat 8. Metode pengumpulan Perintah bukti Mempersiapkan 9. Mengamankan bukti Pencarian komputer Pencarian tanpa 10. Mengambil langkah jaminan yang di perlukan Melakukan penilaian 11. Mencegah perusak awal bukti Meneliti dan 12. Pengelolahan lokasi mengumpulkan bukti penilaian
Mendapatkan Surat Perintah Seorang penyidik ​dapat menjalankan investigasi nya setelah rencana investigasi telah dikembangkan. Penyidik perlu terlebih dahulu mendapatkan surat perintah penggeledahan dari pengadilan. Sebuah surat perintah penggeledahan adalah perintah tertulis yang dikeluarkan oleh hakim yang mengarahkan petugas penegak hukum untuk mencari bagian tertentu dari bukti di lokasi tertentu.
Lingkup Surat Perintah Tergantung pada situasi tertentu, surat perintah dapat dikeluarkan untuk: • Sebuah seluruh perusahaan • Sebuah lantai bangunan perusahaan • Sebuah kamar di sebuah gedung perusahaan • Sebuah perangkat • Sebuah mobil • Sebuah rumah • Setiap properti perusahaan lain
Mempersiapkan Pencarian Sebelum seorang hakim mengeluarkan surat perintah pencarian dan penyitaan untuk seluruh atau sebagian dari komputer target, penyidik ​perlu untuk menentukan signifikansi komputer dalam pelanggaran. Peran komputer dalam suatu kejahatan bisa itu adalah: 1. Sebuah alat pelanggaran. 2. Sebuah repositori pelanggaran
Pencarian Tanpa Jaminan Dalam situasi tertentu, pencarian yang dilakukan tanpa surat perintahmungkin diperbolehkan. Ini situasi khusus diidentifikasi berikut: • "Ketika perusakan barang bukti sudah dekat,tanpa surat bukti yang dibenarkan jika ada kemungkinan penyebab untuk percaya bahwa item disita merupakan bukti kegiatan kriminal. “ • " Agen dapat mencari tempat atau objek tanpa surat perintah atau penyebab, jika seseorang dengan otoritas memiliki setuju . "
Melakukan Penilaian Awal Seorang penyidik ​harus melakukan penilaian awal untuk mencari bukti. Setelah penilaian selesai , penyidik ​perlu melakukan langkahlangkah berikut : 1 . Mengambil snapshot dari TKP sebelum mengumpulkan bukti. 2 . Mengumpulkan peralatan yang digunakan dalam melakukan kejahatan. 3 . Dokumentasikan item. Setelah melakukan langkah-langkah ini , penyidik ​dapat mendokumentasikan prosedur diikuti selama pengumpulan bukti dan kemudian mulai penyelidikan yang sebenarnya .
Meneliti dan Mengumpulkan Bukti Langkah-langkah berikut harus diikuti ketika memeriksa dan mengumpulkan bukti-bukti : 1 . Menemukan bukti 2 . Temukan data yang relevan 3 . Siapkan urutan volatilitas
Memperoleh Bukti Perihal • Menyelidiki susunan perangkat penyimpanan untuk memastikan bahwa semua ruang. • Ambil nomor seri elektronik drive dan dapat diakses pengguna , data host spesifik lainnya . • Mendapatkan bukti dengan menggunakan alat yang tepat , termasuk : • Stand-alone software duplikasi • Forensik analisis suite software • Perangkat keras Dedicated • Menggunakan oleh sektor- sektor perbandingan.
Metode Pengumpulan Bukti Bukti yang dikumpulkan dari komputer hidup dengan mencari berikut : • Proses mendaftar . • Virtual dan memori fisik . • Jaringan. • Menjalankan proses. • Disk, kaset , dan CD-ROM. • Kertas cetakan.
Mengamankan Bukti Komputer Langkah pertama penyidik ​harus mengambil setelah mengidentifikasi insiden keamanan dan mengumpulkan bukti-bukti untuk mengamankan bukti untuk mencegah terjadinya penyalahgunaan . Mengamankan bukti melibatkan mengambil semua informasi yang dimiliki tentang komputer sehingga dapat digunakan dalam penyelidikan . Istilah komputer di sini meliputi semua media komputer. Dengan mengamankan bukti , penyidik ​memastikan bahwa itu tidak berubah selama proses pemeriksaan . mengamankan bukti harus sesuai dengan praktik terbaik . Praktik terbaik adalah set terbukti secara empiris metode untuk melakukan tugas dengan cara yang terbaik dan paling efisien . Jika keamanan dilanggar , bukti mungkin kehilangan kredibilitasnya .
Mengambil Langkah yang Diperlukan Karena bukti digital dapat dengan mudah dirusak , diubah , atau dihancurkan , penyidik perlu memastikan bahwa bukti yang diawetkan dan diamankan dengan baik . Langkah-langkah berikut untuk mengamankan bukti digital: • Ikuti panduan departemen bila mungkin , jika tidak, gunakan Sebuah Panduan untuk Responders Pertama . • Dokumen dan memverifikasi konfigurasi hardware dari sistem yang akan diperiksa . • Bongkar komputer untuk diperiksa . • Mengidentifikasi dan mendokumentasikan perangkat penyimpanan internal .
Mencegah Kerusakan Bukti Hal ini penting bagi penyidik ​untuk memastikan bahwa sedikitnya jumlah gangguan dilakukan untuk bukti , karena gangguan dapat mengubah bukti. Untuk melakukannya , penyidik ​harus mencegah orang dari gangguan dengan bukti, baik jarak jauh atau sistem tersangka . 1 . Mengumpulkan bukti : Mengumpulkan bukti menggunakan teknik yang tepat dan industri yang berlaku dan prosedur . 2 . Siapkan lacak balak : Peneliti harus mendokumentasikan proses pengumpulan.
Pengolahan Lokasi Penilaian Sebuah lingkungan seperti area kerja forensik khusus atau laboratorium dianjurkan . Hal ini juga dianjurkan untuk mengendalikan lingkungan dalam hal pemeriksaan dilakukan onsite . Pertimbangan penilaian yang mungkin meliputi: • Waktu yang diperlukan untuk memulihkan bukti saat penukaran • kekhawatiran logistik dan tenaga kerja yang terkait dengan penyebaran jangka panjang • Bisnis dampak dari pencarian memakan waktu • Kesesuaian peralatan, sumber daya , media, pelatihan , dan pengalaman untuk pemeriksaan
RINGKASAN ■ Mengamankan bukti komputer adalah proses dimana semua informasi yang dimiliki pada komputer akan diambil ke membantu penyelidikan . ■ Sebuah organisasi harus memberikan pemberitahuan yang jelas dan tegas untuk penyusup bahwa dengan penandatanganan ke sistem , mereka tegas menyetujui pemantauan . ■ Salinan bit-stream adalah salinan bit-by - bit dari media penyimpanan asli dan salinan yang tepat dari disk yang asli . ■ Memeriksa bukti-bukti tergantung pada jenis kasus dan media digital yang tersedia di TKP . ■ bukti digital harus benar-benar dikaji sehubungan dengan lingkup kasus untuk menentukan tindakan . ■ Analisis adalah proses menafsirkan data yang diambil untuk menentukan signifikansi mereka untuk kasus ini .