Analisis Forensik Teknologi Informasi dengan Barang Bukti Hardisk

Chandra Irvan Diky Simarmata

Naikson Fandier Saragih

e-mail:naikson@naikson.com; website:www.naikson.com

ABSTRAK

Penghilangan barang bukti digital pada perangkat digital seperti menghapus dan merubah data sering
dilakukan untuk menutupi jejak kejahatan. Proses forensic untuk alat bukti digital pada hardisk
memerlukan teknis pembuktian tersendiri.
Penelitian ini membahas tentang penggunaan forensik Teknologi Informasi (TI) dalam menemukan bukti
kejahatan computer pada perangkat hardisk sesuai dengan prosedur standar baku. Tools forensic Autopsy
pada BackTrack Linux 5R1digunakan sebagai alat bantu implementasi tahapan forensic ini.
Fasilitas pada tools forensic autopsy telah dapat digunakan menunjukkan langkah-langkah penerapan
forensic TI pada hardisk dan mengembalikan data yang hilang beserta data dan informasi pendukung
yang dibutuhkan sesuai dengan sebuah skenario yang dirancang.

Kata Kunci: Forensik TI, Bukti Digital, BackTrack, Autopsy, Hardisk

Latar Belakang Kerangka Teoritis

Forensik Teknologi Informasi (TI) Digital Evidence

digunakan dalam penelusuran bukti digital untuk Seiring dengan kemajuan teknologi
keperluan penyidikan sebuah kasus kejahatan. komputer, perlakuan terhadap bukti digital
Hardisk merupakan media non-volatile yang biasa dengan non digital menjadi lebih sulit, karena
digunakan sebagai media penyimpanan data mungkin saja bukti digital tersebut telah
digital. direkayasa sebelumnya, Untuk itu diperlukan
sebuah cara khusus untuk menelaah bukti digital.
Rumusan Masalah Barang bukti elektronik yang berasal dari
Bagaimana penerapan dan implementasi komputer juga merupakan bukti digital dari
teknik Forensik TI dalam penelusuran bukti-bukti sebuah aktifitas kejahatan tersebut.
digital (Digital Evidence) yang terdapat di dalam
sebuah hardisk? Forensik TI
Menurut Marcella (2002), secara
Batasan Masalah terminologi, Komputer Forensik atau forensik TI
Batasan permasalahan adalah sebagai adalah aktivitas yang berhubungan dengan
berikut: pemeliharaan, identifikasi, pengambilan/
1. Analisis bukti digital pada sebuah hardisk penyaringan, dan dokumentasi bukti komputer
dengan implementasi menggunakan tools dari sebuah kejahatan komputer.
forensik autopsy Judd Robin yang juga seorang ahli
komputer forensik dalam Abdullah (2007) juga
2. Implementasi pada sebuah kasus penghapusan
menyatakan bahwa “komputer forensik
file merupakan penerapan secara sederhana dari
penyelidikan komputer dan teknik analisisnya
Metode Penelitian untuk menentukan bukti-bukti hukum yang
mungkin”.
Tahapan Forensic TI
Proses analisis dari awal hingga akhir secara Metode Forensik TI
umum mengacu kepada Gambar 1 Menurut Kemmish (1999), “Metode
forensic TI memiliki empat elemen forensik yang
START Proses
Analisis
Forensik
MD5 / SHA1
Checksum
menjadi kunci dalam proses pengungkapan bukti
(Gambar 2.1)
digital”. Empat elemen tersebut adalah:
Input
Kasus
1. Identifikasi bukti digital,
Kejahatan
Komputer
Proses Kloning Analisis Kasus
Pada tahapan ini perlu dilakukan
Hardisk
Bitstream 1:1
Menggunakan
Autopsy identifikasi dimana bukti itu bersumber, dimana
Proses
bukti itu disimpan, dan bagaimana
Pengumpulan
Barang Bukti penyimpanannya untuk mempermudah
(Hardisk)
Siap Menjadi Proses penyelidikan. Pihak yang perlu dilibatkan dalam
Saksi Ahli Di Pengembalian
Pengadilan Barang Bukti proses ini adalah : Para petugas keamanan
END (Officer), Penelaah Bukti (Investigator), Teknisi
Khusus.
Pembuatan
Laporan dan
Simpan Hasil
Analisis Sebagai 2. Penyimpanan bukti digital,
Presentasi Barang Bukti
Bentuk, isi, makna dari bukti digital
hendaknya disimpan dalam tempat yang steril.
Gambar 1 Tahapan Forensik TI Copy data secara Bitstream Image. Teknik
pengkopian ini menggunakan teknik komputasi
CRC. Teknik ini umumnya diistilahkan dengan
Cloning Disk atau Ghosting.
3. Analisa bukti digital,
Barang bukti yang telah didapatkan perlu
dikembangkan (Explore and Exploit) kembali
kedalam sejumlah scenario yang berhubungan
dengan tindak pengusutan sehingga didapat hasil
analisa antara lain: siapa yang telah melakukan,
apa yang telah dilakukan, dan waktu melakukan.
Secara umum, tiap-tiap data yang ditemukan
dalam sebuah sistem komputer sebenarnya adalah
potensi informasi yang belum diolah, sehingga
keberadaannya memiliki sifat yang cukup
penting. Dalam proses analisa forensik terkhusus
pada hardisk dapat dilakukan terhadap semua
jenis sistem operasi (operating system) yang
digunakan.
4. Presentasi bukti digital.
Kesimpulan akan didapatkan ketika semua
tahapan telah dilalui, terlepas dari ukuran
obyektifitas yang didapatkan, atau standar
kebenaran yang diperoleh, minimal bahan-bahan
inilah nanti yang akan dijadikan bukti untuk
mengungkap sebuah kasus yang berkaitan dengan
kejahatan komputer. Selanjutnya bukti-bukti
digital diuji otentifikasi dan dikorelasikan dengan
kasus yang ada. Pada tahapan ini semua proses-
proses yang telah dilakukan sebelumnya akan
diurai kebenarannya serta dibuktikan kepada
hakim untuk mengungkap data dan informasi
kejadian.
Hardisk
Data storage hardisk merupakan media
penyimpanan umum pada setiap komputer yang
bersifat non-volatile. Hardisk digunakan untuk
menyimpan data yang dipergunakan oleh
pengguna komputer seperti : software komputer,
file-file data user, dan lain lain.
Menurut Goldner (2010:4), ada beberapa tipe dari
hardisk interface menurut perkembangannya
hingga saat ini yaitu:
1. Small computer system interface (SCSI)
2. Integrated drive electronics/enhanced IDE
(IDE/EIDE):
3. Universal Serial Bus (USB)
4. Advanced Technology Attachment (ATA)
5. Fiber Channel
Bukti Digital
Bukti digital kini telah diakui di
Indonesia sesuai dengan Undang-undang
Republik Indonesia Nomor 11 Tahun 2008
tentang Informasi dan Transaksi Elektronik,
bahwa informasi elektronik dan/atau dokumen
elektronik dan/atau hasil cetaknya merupakan
alat bukti hukum yang sah. Abdullah (2007)
mengemukakan bahwa bukti digital yang
dimaksud dapat berupa e-mail, file-file word
processors, spreadsheet, source code dari
perangkat lunak, image, web browser, bookmark,
cookies, dan kalender
Kemmish (1999), mengemukakan bahwa
ada beberapa aturan standar agar bukti-bukti
digital dapat diterima dalam proses peradilan
diataranya:
1. valid, artinya data harus mampu diterima dan
digunakan demi hukum.
2. Asli
3. Lengkap, artinya bukti bisa dikatakan lengkap
jika di dalamnya terdapat banyak petunjuk
yang dapat membantu investigasi.
4. Dapat dipercaya
Menurut U.S. Department of Justice ada tiga
hal yang ditetapkan dalam memperoleh bukti
digital:
1. Tindakan yang diambil untuk mengamankan
dan mengumpulkan barang bukti digital tidak
boleh mempengaruhi integritas data.
2. Seseorang yang melakukan pengujian
terhadap data digital harus sudah terlatih.
3. Aktivitas yang berhubungan dengan
pengambilan, pengujian, penyimpanan atau
pentransferan barang bukti digital harus
didokumentasikan dan dapat dilakukan
pengujian ulang.
Sotware Forensik
Tools software forensik dipergunakan
untuk menganalisa data secara digital dalam
proses analisa forensik untuk mendapatkan bukti-
bukti digital. Diantara software yang umum dan file-file dicurigai telah dihapus oleh Mr. Andi
digunakan untuk kepentingan identifikasi pada komputernya dapat dilihat seperti Gambar 2.
perolehan bukti digital adalah: Oleh karenanya, sekarang tinggal bagaimana
1. Norton Ghost Pihak Berwajib melalui ahli-ahli forensik
Software ini biasa digunakan untuk digitalnya mengumpulkan data tersebut kembali.
kepentingan penyimpanan bukti digital, salah
satu teknik yang disebut Cloning Disk atau
Ghosting. Teknik ini adalah teknik copy data
secara bitstream image yang bersifat 1:1 atau
sama persis satu dengan yang lain.
2. The Sleuthkit (Autopsy)
Autopsy merupakan salah satu software
forensic yang terdapat di dalam BackTrack
Linux dan dapat digunakan dalam audit
forensik.
Gambar 2 File Keuangan yang Dihapus Mr.
Tools untuk komputer forensik diharapkan
Andi
dapat memenuhi 5 fungsi, yaitu untuk
kepentingan akuisisi (acquisition), validasi-
Analisis Bukti
diskriminasi (validation and discrimination),
Ada beberapa sebab yang telah
ekstraksi (extraction), rekonstruksi
ditemukan terhadap kejadian hilangnya suatu file.
(reconstruction) dan pelaporan (reporting).
Antara lain terhapus dengan sengaja maupun
tidak disengaja, terkena virus komputer, hardisk
Analisis dan Pembahasan
yang terformat, kesalahan dalam mempartisi
hardisk, dihapus oleh orang yang tidak
Skenario Kasus
bertanggung jawab, hardisk mengalami
Mr. Andi bekerja pada sebuah
malfunction, hardisk crash dan lain sebagainya.
perusahaan Negara yang fokus membawahi
Oleh karena itu, Pihak Berwajib
tender-tender proyek Negara.
meminta para investigator untuk melakukan
Selama pengerjaan proyek, dia beserta
Penanganan sebagai solusi sesuai Standar
pemenang tender proyek terindikasi terlibat
Operasional Prosedur (SOP). Solusi yang
korupsi. Pihak Berwajib selanjutnya menanggapi
dimaksud disini adalah penanganan/tindakan yang
isu yang beredar dengan cepat, dengan berupaya
dilakukan untuk tiap kasus berdasarkan langkah-
mengumpulkan bukti-bukti yang terkait dengan
langkah dari penggunaan software forensik.
isu tersebut, termasuk diantaranya bukti-bukti
digital dari komputer.
Analisa Bukti Dengan Autopsy
Salah satu barang bukti yang ikut dibawa
Pada penelitian ini, digunakan sistem
adalah komputer dekstop kantor milik Mr. Andi .
operasi BackTrack Linux selama proses
Data terkait proyek sudah terlebih dahulu
investigasi. Isi hardisk yang sudah digandakan
dihapus. Sekarang menjadi tugas yang tidak
(cloning), akan dilakukan pengecekan kapasitas
ringan untuk mengumpulkan data digital yang
serta jumlah partisi untuk mendapatkan informasi
sangat dibutuhkan tersebut agar dapat menjadi
umum dari hardisk tersebut sehingga tidak terjadi
barang bukti yang valid dan dapat dipertanggung
kesalahan dalam proses analisis.
jawabkan di muka hukum.
Tahap selanjutnya hardisk akan di-
Berdasarkan investigasi awal,
mounting (Gambar 3) agar sistem operasi
ditenggarai ada folder dan file tertentu yang
BackTrack dapat membaca seluruh isi hardisk
merupakan kunci penyelesaian dalam kasus ini,
selama proses analisis forensik.
namun sayangnya barang bukti tersebut tidak
dapat ditemukan lagi di dalam komputer. Folder
 Gambar 3 Pembuatan Folder Dijifor dan
Mounting Hardisk

Selanjutnya proses dapat dilanjutkan

dengan melakukan checksum terhadap hardisk
barang bukti guna memastikan tidak adanya
kerusakan terhadap seluruh file atau terjadinya
perubahan data. Gambar 4 memperlihatkan
bahwa untuk dapat melakukan pengecekan
checksum, maka Investigator dapat
menggunakan md5sum maupun sha1sum.

Gambar 6 Pembuatan Contoh Case Pada

Autopsy
Gambar 4 Pengecekan MD5Sum Source File Gambar 7 memperlihatkan image file
yang sudah dibuat pada proses sebelumnya dan di
Untuk mempermudah dalam proses input untuk dianalisis.
investigasi, hardisk yang sudah dicloning dapat
diubah ke dalam bentuk image maupun
melakukan pembacaan langsung dari hardisk yang
menjadi barang bukti tersebut. Gambar 5
memperlihatkan aplikasi yang bisa digunakan
untuk pembuatan image yaitu dcfldd.

Gambar 5 Pembuatan Image Hardisk

Setelah semua keperluan dasar Gambar 7 Simbolik Link Dari Source Image
dipersiapkan, investigator akan mulai melakukan ke-Path Folder Baru
analisis awal menggunakan aplikasi sleuthkit
dengan interface autopsy. Investigator dapat
melakukan analisis dan identifikasi konten dari
file serta direktori, melakukan recovery, analisis
metadata dan beberapa keunggulan lainnya.

Gambar 6 menunjukkan proses input

kasus (case), investigator dapat mempergunakan
opsi yang ada

Gambar 8 Disk Image Siap Dianalisis

 menunjukkan bahwa dengan bantuan aplikasi ini,
Berdasarkan Gambar 8, bisa dilihat investigator juga dapat dengan mudah untuk
mount-disk mendeteksi sebuah hardisk dengan menemukan nilai-nilai ASCII, MFT,
hanya satu partisi sehingga membentuk disk Hexadecimal ataupun metadata yang merupakan
berlabel C:/. Mount disk C:/ merupakan hidden informasi terstruktur yang mendeskripsikan,
partisi dari sistem operasi windows yang biasa menjelaskan, menemukan, atau setidaknya
dikenal dengan istilah “system reserved”, yang membuat menjadikan suatu informasi mudah
juga berisi dokumen, history, dan network logging untuk ditemukan kembali, digunakan, atau
information. Kemudian investigator dapat masuk dikelola dari file yang dicurigai telah dihapus.
ke menu analyze untuk melakukan analisis
menggunakan autopsy.
File-Analysis merupakan menu yang bisa
digunakan oleh investigator untuk proses analisis
isi hardisk. Gambar 9 menunjukkan bahwa
dengan melakukan File-Analysis akan ditemukan
file apa saja yang terdapat pada hardisk, selain itu
informasi mengenai kapan sebuah file ditulis,
diakses, berubah dan dibuat tersedia disini.
Gambar 11 Informasi MFT File Rugi
Laba.doc

Gambar 9 Menu File Analysis

Pada sisi kiri menu file analysis terdapat

tiga buah sub-menu, yaitu directory seek, file
name search dan all deleted files.

Gambar 12 Informasi Hex-Metadata File Rugi

Laba.doc
Gambar 10 Pencarian File Terhapus

Autopsy juga memiliki fitur deleted files

(Gambar 10). Fitur ini berguna untuk melakukan
pemeriksaan terhadap data yang terindikasi sudah
dihapus.
Informasi lain yang bisa didapatkan dari
hasil proses tersebut adalah informasi waktu
terakhir data tersebut diakses, informasi waktu
data tersebut dibuat, dan informasi waktu
data/berkas tersebut berubah. Gambar 11 dan 12
 Gambar 15 Folder Output Foremost

Pada Gambar 15 ditunjukkan hasil dari

penggunaan foremost untuk recovery data dengan
tipe file berekstensi doc, jpg, png, dan bmp. File
yang berhasil direcovery secara default oleh
foremost akan disimpan pada direktori
/root/output pada sistem operasi BackTrack.

Pembahasan
Gambar 13 Informasi Hex-Metadata
Dari hasil implementasi teknik forensic
Keuangan Perusahaan.xls
Teknologi Informasi, maka beberapa temuan
dalam penelitian ini antara lain:
Selanjutnya pemeriksaan metadata dari
1. Teknik Forensik Digital berhasil menemukan
file atau media yang merupakan barang bukti
file Keuangan Perusahaan.xls. Lokasi file
sangat perlu untuk dilakukan. Output yang
tersebut sebelum dihilangkan yaitu berada di
dihasilkan berupa informasi dari informasi yang
direktori C:/Program Files/Data
ada akan menjadi dasar perbandingan untuk
Keuangan/Keuangan Perusahaan.xls. File
proses investigasi selanjutnya. Dalam kasus ini
tersebut dapat diduga telah dihilangkan
hasil metadata dari sebuah file dapat terlihat pada
dengan sengaja maupun dimanipulasi terlebih
Gambar 13
dahulu.
Setelah melakukan analisis terhadap
2. Selain file kekeuangan dalam bentuk excel,
data yang terdapat pada file, investigator
Teknik Forensik Digital juga berhasil
Pihak Berwajib akan mencoba untuk melakukan
menemukan file Laporan Rugi Laba.doc.
recovery terhadap file-file yang terdapat
Lokasi file tersebut sebelum dihilangkan yaitu
didalam hardisk kloning. Gambar 14
berada di direktori C:/Program Files/Data
menunjukkan sintak untuk melakukan recovery
Keuangan/Laporan Rugi Laba.doc. File
file dengan menggunakan Foremost. Investigator
tersebut juga dapat diduga telah dihilangkan
juga dapat menggunakan beberapa aplikasi lain
dengan sengaja ataupun dimanipulasi terlebih
seperti scalpel.
dahulu.

Laporan dan Presentasi

Untuk teknis pelaporan dan presentasi
hasil penyelidikan bukti digital lewat proses
Gambar 14 Recovery File Menggunakan analisa forensik, maka akan digunakan form yang
Foremost sesuai dengan standar pelaporan pada kasus
kejahatan computer. Form laporan proses
pembuktian dengan menggunakan teknik analisa
forensik digital yang baku dapat diperoleh dari
pihak kepolisian.
Kesimpulan
Beberapa kesimpulan sebagai berikut:
1. Teknik Forensik Teknologi Informasi (TI)
berhasil diimplementasikan dalam
penelusuran bukti-bukti digital (Digital
Evidence) yang terdapat didalam sebuah
hardisk. Proses Forensik TI
diimplementasikan dengan mengacu kepada
tahapan-tahapan forensik yang baku.
2. Beberapa bukti digital yang terdapat di dalam
hardisk berhasil ditemukan. Beberapa file
terkait dengan data keuangan yang hilang
berhasil dikembalikan sehingga informasi
hexadecimal dan metadata dapat diambil
dengan bantuan software forensic Autopsy
yang terdapat dalam sistem operasi Backtrack
Linux 5R untuk di analisa.
3. Bukti digital yang terdiri dari beberapa data
keuangan yang sengaja dihilangkan dapat
dijadikan bukti sah diperadilan ataupun
sebagai arsip.
Utdirartatmo, Firrar, 2005, Cara Mudah
Menguasai Komputer Forensik dan
Aplikasinya, Cetakan Pertama, Graha Ilmu,
Yogyakarta.
Goldner, Michael H., 2010, Computer Forensics:
Investigating Hard Disks, File and Operating
Systems, EC-Council Press Volume 2 of 5,
Course Technology Cengage Learning, USA.
Indrajit, Richardus Eko, IDSIRTII Artikel
Forensik Komputer, Email:
indrajit@post.harvard.edu Website:
http://www.EkoIndrajit.com, diakses Januari
2014.
Kemmish, Rodney Mc., 1999, What is forensic
computer, Australian institute of Criminology
,Canberra. Alamat situs:
www.aic.gov.au/publications/tandi/ti118.pdf.
diakses April 2013.
Marcella, Albert J., and Robert S. Greenfiled,
2002, Cyber Forensics a field manual for
collecting, examining, and preserving
evidence of computer crimes, by CRC Press
LLC, USA. Alamat Situs: www.forensics-
intl.com/def4.html.

Saran

Berdasarkan hasil penelitian ini, terdapat

beberapa saran untuk kajian dan penelitian
berikutnya :

1. Analisa metadata yang lebih detail

2. Analisa dan implementasi dengan variable

skenario yang lebih banyak.

DAFTAR PUSTAKA

Abdullah, Lolly A., 2007, Tutorial Interaktif

Instalasi Komputer Forensik Menggunakan
Aplikasi Open Source, Cetakan ke-vi,
Departemen Komunikasi Dan Informatika,
Jakarta.
Alamsyah, Ruby, 2009, Teknik Forensik Meneliti
Bukti Digital, Edisi 708,
http://www.perspektifbaru.com/wawancara/70
8/, diakses September 2013.