Dasar-dasar Digital Forensics
Aspek Hukum & Chain of Custody
Tujuan
- Menjelaskan prinsip integritas evidence
- Menerapkan prosedur chain of custody
- Menggunakan cryptographic hashing untuk verifikasi evidence
- Memahami standar dokumentasi
- Mengetahui kerangka kerja utama (ISO 27037, NIST SP 800-86)
1. Prinsip Integritas Evidence
- Authenticity: Evidence harus dapat dibuktikan sebagai asli dan sesuai dengan yang diklaim.
- Reliability: Proses pengumpulan evidence harus dapat dipercaya.
- Completeness: Tidak boleh ada evidence yang sengaja dihilangkan secara selektif.
- Non-contamination: Evidence tidak boleh berubah selama proses pengumpulan atau analisis.
- Reproducibility: Examiner lain dengan proses yang sama harus memperoleh kesimpulan yang sama.
Golden Rule: Jangan pernah bekerja pada evidence asli. Selalu buat forensic copy dan lakukan analisis pada salinan tersebut.
2. Proses Chain of Custody
Chain of custody adalah catatan terdokumentasi yang melacak penanganan evidence sejak penyitaan hingga disajikan di pengadilan.
| Elemen | Deskripsi |
|---|---|
| Who | Nama dan peran setiap orang yang menangani evidence |
| What | Deskripsi item evidence |
| When | Tanggal dan waktu setiap transfer atau tindakan |
| Where | Lokasi penyimpanan atau analisis evidence |
| Why | Tujuan setiap transfer atau tindakan |
| How | Metode penanganan, transportasi, atau penyimpanan evidence |
- Identification – Mengenali dan memberi label evidence potensial
- Collection – Mengamankan evidence secara fisik
- Transportation – Memindahkan evidence secara aman ke laboratorium forensic
- Storage – Menyimpan di lingkungan aman dengan kontrol akses
- Analysis – Bekerja hanya pada forensic copy
- Return/Disposal – Evidence dikembalikan ke pemilik atau dimusnahkan secara aman
3. Hashing (MD5, SHA-1, SHA-256)
Fungsi cryptographic hash menghasilkan sidik jari data dengan panjang tetap. Perubahan sekecil apa pun pada data akan menghasilkan hash yang berbeda sepenuhnya.
| Algoritma | Panjang Output | Status |
|---|---|---|
| MD5 | 128-bit (32 karakter heksadesimal) | Legacy – memiliki kerentanan collision |
| SHA-1 | 160-bit (40 karakter heksadesimal) | Deprecated – serangan collision telah dibuktikan |
| SHA-256 | 256-bit (64 karakter heksadesimal) | Direkomendasikan – saat ini aman |
Best Practice: Selalu hitung minimal dua algoritma hash berbeda (misalnya MD5 + SHA-256) dan dokumentasikan keduanya.
4. Standar Dokumentasi
- Evidence Log: Semua item yang disita, termasuk nomor seri, deskripsi, dan hash
- Analysis Notes: Catatan langkah demi langkah selama pemeriksaan
- Tool Documentation: Versi dan konfigurasi semua tools yang digunakan
- Screenshots: Bukti visual temuan pada setiap tahap penting
- Timeline: Catatan kronologis kejadian yang ditemukan selama analisis
- Tulis seolah orang lain harus mengulangi pekerjaan Anda
- Sertakan timestamp untuk setiap tindakan
- Gunakan formulir dan template standar
- Simpan catatan asli meskipun ada kesalahan (coret, jangan dihapus)
5. Gambaran ISO 27037 & NIST SP 800-86
ISO/IEC 27037 — Pedoman untuk identification, collection, acquisition, dan preservation digital evidence. Mendefinisikan peran Digital Evidence First Responder (DEFR) dan Digital Evidence Specialist (DES).
NIST SP 800-86 — Panduan integrasi teknik forensic ke dalam Incident Response organisasi. Mencakup pengumpulan data, examination, analysis, dan reporting dari berbagai sumber (file, OS, network, aplikasi).
Referensi
- ISO/IEC 27037:2012
- NIST SP 800-86
- ACPO Good Practice Guide for Digital Evidence
- RFC 6151 (MD5 Security Considerations)