( FRAMEWORK )
السَّلاَمُ عَلَيْكُمْ وَرَحْمَةُ اللهِ وَبَرَكَاتُهُ
Alhamdulillah hari ini masih bisa menguplode lagi. Pada kesempatan ini penulis ingin menulis tentang model-model investigasi karena hingga saat ini model investigasi standar belum juga kunjung tiba, Ok langsung saja ke pembahasan.
DFIF (Digital Forensics Investigation Framework) telah banyak berkembang sejak tahun 1995, namun belum ada DFIF standart yang digunakan oleh para penyidik (investigator). Penggunaan DFIF yang berbedabeda akan menyebabkan pembuktian yang dihasilkan sulit diukur dan dibandingkan. Sedangkan dalam kenyataannya persidangan selalu melibatkan lebih dari satu pihak untuk pembuktikan sebuah fakta persidangan.
Pada awal tahun 1984, Laboratorium FBI dan badan penegak hukum lainnya mulai mengembangkan program untuk memeriksa barang bukti komputer. Seiring perkembangan zaman, model-model investigasi forensik komputer pun bermunculan.
Problem
Belum adanya model investigasi standar dari sekian banyak model investigasi yang ada, sehingga membingungkan bagi para investigator terutama yang masih junior untuk mengadopsi model investigasi yang tepat. Penggunaan model investigasi yang berbeda-beda akan menyebabkan pembuktian yang dihasilkan sulit diukur dan dibandingkan. Sedangkan dalam kenyataannya, persidangan selalu melibatkan lebih dari satu pihak untuk pembuktikan sebuah fakta persidangan. Pengukuran dan pembandingan akan muncul ketika salah satu pihak tidak puas atas hasil pembuktian pihak yang lain.
Solusi
Perlu adanya model investigasi standar yang dapat mengakomodir model-model investigasi yang telah hadir sebelumnya. Metode Sequential Logic merupakan metode yang memiliki keterikatan atas latar belakang masukan terhadap keluarannya. Metode ini memiliki karakteristik yang dapat merekam histori dari masukan, sehingga dapat diasumsikan metode tersebut dapat melihat urutan model investigasi sebelumnya untuk membentuk model investigasi yang baru.
Sebelum masuk terlalu dalam alngkah baiknya kita menyimak sejenak mengenail awal perjalanan dari model investigasi serta tahapan-tahapan tiap modelnya.
Tabel 1. Model Investigasi Proses pada IDFM
|
No |
Tahun |
ID |
Nama |
Tahapan |
| 1 | 1995 | M01 | Computer Forensic Investigative Process | Acquisition→Identification →Evaluation→Admission |
| 2 | 2001 | M02 | DFRWS Investigative Model | Identification→Preservation →Collection→Examination →Analysis→Presentation |
| 3 | 2001 | M03 | Scientific Crime Scene Investigation Model | Recognition→Identification →Individualization→Recontruction |
| 4 | 2002 | M04 | Abstract Digital Forensic Model | Identification→Preparation→ Approach Strategy→Preservation →Collection→Examination↔Analysis→ Presentation→ Returning Evidence |
| 5 | 2003 | M05 | Integrated Digital Investigation Process | Readiness→Defloyment→ Physical Crime Inverstigation →(Digital Crime Investigation) → Review |
| 6 | 2003 | M06 | End to End Digital Investigation | Identification→Preservation→ Collection→Examination→ Analysis→Presentation |
| 7 | 2004 | M07 | Enhanced Digital Investigation Process | Readiness↔Deployment↔ Traceback↔Dynamite↔ Review |
| 8 | 2004 | M08 | Extended Model of Cybercrime Investigation | Awareness→Authorization→ Planning→Notification→ Search for and Identivy Evidence→Collection of evidence→Transport of evidence→ Storage of evidence→Examination of evidence→Hypotesis→ Presentation of hyphotesis→ Proof/Defence of hyphotesis →Dissemination of information |
| 9 | 2004 | M09 | A Hierarchical, Objective-Based Framework for the Digital Investigation |
Preparation↔Incident Responce↔Data collection↔ Data analysis↔Presentation of findings↔Insident closure |
| 10 | 2006 | M10 | Computer Forensic Field Triage Process Model | Planning→Triage→User usage profile→ (Home,File properties, Registry) →Cronology Timeline→ Internet→(Browser, Email, IM) →Case Specific. |
Berdasarkan tabel diatas dari sekian banyaknya tahapan pada model investigasi dapat dikelompokkan secara umum sehingga dapat dipahami dengan mudah. Untuk pengelompokkannya dapat di simak pada tabel berikut.
Tabel 2. Pengelompokan Tahapan Model Investigasi secara Umum
| Tahapan Umum | Tahapan-tahapan pada Model Investigasi |
| Pre-Process | Access, Approach Strategy, Authorization, Awareness, Notification, Planning, Pre-Analysis, Preparation, Readiness, Recognition |
| Acquisition & Preservation | Acquisition, Collection, Deployment, Detection, Identification, Pre-Analysis, Preservation |
| Analysis | Analysis, Case Specific Analysis, Chronology Timeline Analysis, Detection, Digital Crime Investigation, Dynamite, Evaluation, Examination, Hypothesis Creation, Individualization, Internet Investigation, Investigation, Physical Crime Investigation, Reconnaissance, Reconstruction, Search & Identify, Traceback, Triage, User Usage Profile Investigation |
| Presentation | Admission, Post-Analysis, Presentation, Proof & Defense, Report |
| Post-Process | Archive Storage, Dissemination of Information, Incident Closure, Incident Response, Returning Evidence, Review |
Dari pengelompokan tahapan-tahapan secara umum di atas lahirlah sebuah usulan baru yang diberi nama “Generic Computer Forensic Investigation Model” (GCFIM). Tahapannya sebagai berikut.
Gambar 1. Usulan Model Investigasi GCFIM
Keterangan:
- Pre-Process: Dalam tahapan ini berhubungan dengan semua pekerjaan yang harus dilakukan sebelum dimulainya proses investigasi dan pengumpulan data secara resmi.
- Acquisition & Preservation: Tahap pengumpulan, pengamanan, dan penyimpanan data sehingga dapat digunakan pada tahapan berikutnya.
- Analysis: Tahapan utama dalam proses investigasi forensik komputer dan merefleksikan fokus dari kebanyakan model investigasi yang telah diamati, yaitu analisis terhadap data yang telah didapatkan untuk mengidentifikasi sumber kejahatan dan menemukan pelaku kejahatan tersebut.
- Presentation: Temuan-temuan dalam fase analisis didokumetasikan dan dipresentasikan kepada pihak yang berwenang. Tahapan yang krusial karena tidak hanya bertujuan membuat pihak berwenang paham akan apa yang dipresentasikan, tetapi juga harus didukung oleh bukti yang kuat dan dapat diterima.
- Post-Process: Tahapan ini berhubungan dengan akhir dari sebuah proses investigasi. Barang bukti fisik dan digital harus dikembalikan kepada pihak yang berwenang untuk menyimpannya. Peninjauan terhadap proses investigasi harus dilakukan agar ada pembelajaran yang dapat diambil dan bisa meningkatkan performa investigasi pada masa yang akan datang.
Usulan model baru ini dirancang agar investigator dapat kembali pada tahapan berikutnya, karena ketika dilapangan tidak menutup kemungkinan para investigator akan dihadapkan pada situasi yang dapat berubah-ubah terkait dengan tempat, alat baik yang digunakan investigator ataupun pelaku kriminal dan tingkat keahlian instigator.
Tabel 3. Model Investigasi Proses pada IDFIF
|
No |
Tahun |
Peneliti |
Nama |
Tahapan |
| 1 | 2010 | Emmanuel S. Pill, R C Joshi, Rajdeep Niyogi | A Generic Framework for Network Forensics | Preparation and Authorization → Detection of Incident / Crime → Incident response and Collection of Network Traces → Preservation and Protection → Examination →Analysis ↔ Investigation & Attribution → Presentation |
| 2 | 2011 | Alharbi, Weberjahnke, & Traore | The Proactive and
Reactive Digital Forensics Investigation Process |
Proactive → Exit | Reactive di mana; Proactive = { Proactive Collection → Even Triggering Function → Proactive Preservation → Proactive Analysis → Preliminary Report } Reactive = { Identification → Preservation → Collection → Analysis → Final Report } |
| 3 | 2011 | Yusoff, Y., Ismail, R., & Hassan, Z. | Generic Computer Forensics Investigation Model | Pre-Process ↔ Acquisition & Preservation ↔ Analysis ↔ Presentation → Post-Process |
| 4 | 2011 | Ankit Agarwal, Megha Gupta, Saurabh Gupta & Prof. (Dr.) S.C.Gupta | Systematic Digital Forensic Investigation Model | Preparation ↔ Securing the Scene ↔ Survey & Recognition ↔ Documenting the Scene ↔ Communicating Shielding ↔ Evidence Collection ↔ Preservation ↔ Examination ↔ Analysis ↔ Presentation → Result di mana; Evidence Collection = { Volatile Evidence Collection → Non Volatile Evidence Collection |
| 5 | 2012 | K. lachopoulos, E. Magkos and V.Chrissikopoulos | Hybrid evidence investigation | Preparation → Crime Scene Investigation → Laboratory Examination → Conclusion di mana; Preparation = { Notification → Authorization → Preparation } Crime Scene Investigation = { Preservation → Identification → Collection Examination → Transportation } Laboratory Examination = { Examination → Storage → Report } Conclusion = { Reconstruction → Dissemination} |
| 6 | 2012 | Ben Martini, Kim- Kwang Raymond Choo | DFIF for cloud Computing | Evidence Source Identification & Preservation ↔ Collection ↔ Examination & Analysis ↔ Reporting & Presentation |
Pada tabel diatas dapat kita lihat bahwa perkembangan model investigasi terus berkembang dan bermunculan sampai tahun 2012, sampai dilahirkannya standar dalam investigasi. Dari tabel diatas dibuatlah usulan baru
Usulan Model Investigasi
Dari tabel 3 IDFIF di konstruksi kembali dalamnotasi sequential logic berikut :
IDFIF = { Pre-Process→Proactive→Reactive→Post-Process}
dimana;
1. Pre-Process ={Notification→ Authorization→Preparation}
2. Proactive = { Proactive Collection → CrimeScene Investigation→Proactive preservation→ProactiveAnalysis→Preliminary
Report→Securing the Scene→Detection of Incident / Crime}
dimana;
Proactive Collection = { Incident response volatile collection and Collection of Network Traces}
Crime Scene Investigation = {Even triggering function & Communicating Shielding→ Documenting the Scene}
3. Reactive ={Identification→Collection & Acquisition→Preservation→Exami nation→Analysis→Presentation}
dimana;
Identifiacation={Survey→Recognition}
Preservation={Tranportation→Storage}
4. Post-Process ={Conclusion→Reconstruction→Dissemination}
Konstruksi tersebut dapat diilustrasikan pada gambar berikut :
Gambar 2. IDFIF Flow
Kesimpulan
Usulan IDFIF merupakan gabungan dari model-model investigasi yang ada sebelumnya dengan menggunakan metode Sequential Logic.
SUMBER
- Yusoff, Y., Ismail, R., & Hassan, Z. (2011). Common phases of computer forensics investigation models. International Journal of Computer Science & Information Technology. Dari
http://airccse.org/journal/jcsit/0611csit02.pdf - Rahayu, Y. D., & Prayudi, Y. (2014). Membangun integrated digital forensics investigation framework (idfif) menggunakan metode sequential logic. In Seminar Nasional Teknologi Informasi dan Komunikasi 2014 (SENTIKA 2014)
DIGITAL FORENSICS 