Model Investigasi pada Paper: “Common Phases of Computer Forensics Investigation Models”
By Meningkatnya jumlah aktivitas kriminal yang menggunakan informasi digital sebagai alat atau target, memerlukan tata cara terstruktur dalam penanganannya. Proses atau prosedur penanganan yang digunakan dalam investigasi forensik komputer akan memiliki pengaruh langsung terhadap hasil investigasinya. Melewatkan satu langkah atau mengganti prosedur penanganan barang bukti dapat mengakibatkan kesimpulan yang tidak valid. Dan parahnya lagi, barang bukti tersebut tidak dapat dijadikan rujukan di pengadilan.
Pada awal tahun 1984, Laboratorium FBI dan badan penegak hukum lainnya mulai mengembangkan program untuk memeriksa barang bukti komputer. Dan dengan semakin berkembangnya zaman, model-model investigasi forensik komputer pun bermunculan.
Melalui pengamatan terhadap model-model investigasi tersebut, dapat ditarik kesimpulan, yaitu:
- Beberapa model investigasi hanya dapat diaplikasikan pada skenario tertentu, sementara model yang lain dapat diaplikasikan pada skenario yang lebih luas.
- Beberapa model ada yang sangat mendetail, sementara model yang lain general.
PROBLEMATIKA
Dari dua poin di atas, muncul sebuah problematika, yaitu sulit dan betapa membingungkannya bagi seorang investigator terutama yang masih junior untuk mengadopsi model investigasi yang tepat dalam penanganan sebuah kasus.
SOLUSI
Untuk itu diperlukan sebuah analisis terhadap berbagai macam model investigasi, mengekstrak fase-fase yang sama di antara model-model investigasi tersebut, dan mengusulkan model investigasi yang baru yang dapat dijadikan starting point dalam penanganan sebuah kasus dan dapat diaplikasikan pada setiap skenario.
PERKEMBANGAN MODEL INVESTIGASI FORENSIK KOMPUTER
Sebelum tiba pada usulan model investigasi, ada baiknya menyimak perkembangan model investigasi forensik komputer dari masa ke masa.
| Computer Forensic Investigative Process |  |
||
| DFRWS Investigative Model |  |
||
| Scientific Crime Scene Investigation Model |  |
||
| Abstract Digital Forensic Model |  |
||
| Integrated Digital Investigation Process |  |
||
| End to End Digital Investigation |  |
||
| Enhanced Digital Investigation Process |  |
||
| Extended Model of Cybercrime Investigation |  |
||
| A Hierarchical, Objective-Based Framework for the Digital Investigation |  |
||
| Computer Forensic Field Triage Process Model |  |
||
| Framework for a Digital Forensic Investigation |  |
||
| Dual Data Analysis Process |  |
||
| Common Process Model for Incident and Computer Forensics |  |
||
| Digital Forensic Model based on Malaysian Investigation Process (DFMMIP) |  |
||
| Network Forensic Generic Process Model |  |
PENGELOMPOKAN & GENERALISASI FASE PADA MODEL INVESTIGASI
Setiap model investigasi memiliki fase-fasenya sendiri yang dapat dilihat pada kolom “Gambaran Fase” di tabel atas. Fase-fase tersebut adalah:
| 1. Access | 11. Collection | 21. Incident Closure | 31. Preparation | 41. Review |
|---|---|---|---|---|
| 2. Acquisition | 12. Deployment | 22. Incident Response | 32. Presentation | 42. Search & Identify |
| 3. Admission | 13. Detection | 23. Individualization | 33. Preservation | 43. Traceback |
| 4. Analysis | 14. Digital Crime Investigation | 24. Internet Investigation | 34. Proof & Defense | 44. Transport & Storage |
| 5. Approach Strategy | 15. Dissemination of Information | 25. Investigation | 35. Readiness | 45. Triage |
| 6. Archive Storage | 16. Dynamite | 26. Notification | 36. Recognition | 46. User Usage Profile Investigation |
| 7. Authorization | 17. Evaluation | 27. Physical Crime Investigation | 37. Reconnaissance | |
| 8. Awareness | 18. Examination | 28. Planning | 38. Reconstruction | |
| 9. Case Specific Analysis | 19. Hypothesis Creation | 29. Post-Analysis | 39. Report | |
| 10. Chronology Timeline Analysis | 20. Identification | 30. Pre-Analysis | 40. Returning Evidence |
Fase-fase tersebut juga dapat dikelompokkan dan digeneralisir ke dalam beberapa fase general agar lebih sederhana. Pengelompokan fase-fase pada model investigasi ke dalam fase general, tampak pada tabel berikut.
| Pre-Process | Access, Approach Strategy, Authorization, Awareness, Notification, Planning, Pre-Analysis, Preparation, Readiness, Recognition | semua model, kecuali M01, M02, dan M06 |
| Acquisition & Preservation | Acquisition, Collection, Deployment, Detection, Identification, Pre-Analysis, Preservation | semua model, kecuali M10 & M11 |
| Analysis | Analysis, Case Specific Analysis, Chronology Timeline Analysis, Detection, Digital Crime Investigation, Dynamite, Evaluation, Examination, Hypothesis Creation, Individualization, Internet Investigation, Investigation, Physical Crime Investigation, Reconnaissance, Reconstruction, Search & Identify, Traceback, Triage, User Usage Profile Investigation | semua model, kecuali M12 |
| Presentation | Admission, Post-Analysis, Presentation, Proof & Defense, Report | semua model, kecuali M3, M05, M07, dan M10 |
| Post-Process | Archive Storage, Dissemination of Information, Incident Closure, Incident Response, Returning Evidence, Review | M04, M05, M07, M08, M09, M14, M15 |
USULAN MODEL INVESTIGASI FORENSIK KOMPUTER
Berdasarkan tabel tersebut, dibuatlah usulan model investigasi yang menggunakan 5 fase general di atas. Model investigasi ini diberi nama “Generic Computer Forensic Investigation Model” (GCFIM).
Keterangan:
1. Pre-Process
Tugas-tugas yang dilaksanakan dalam fase ini berhubungan dengan semua pekerjaan yang harus dilakukan sebelum dimulainya proses investigasi dan pengumpulan data secara resmi.
2. Acquisition & Preservation
Fase ini adalah fase pengumpulan, pengamanan, dan penyimpanan data sehingga dapat digunakan pada fase berikutnya.
3. Analysis
Fase ini adalah fase utama dari proses investigasi forensik komputer dan merefleksikan fokus dari kebanyakan model investigasi yang telah diamati, yaitu analisis terhadap data yang telah didapatkan untuk mengidentifikasi sumber kejahatan dan menemukan pelaku kejahatan tersebut.
4. Presentation
Temuan-temuan dalam fase analisis didokumetasikan dan dipresentasikan kepada pihak yang berwenang. Fase ini merupakan fase yang krusial karena tidak hanya bertujuan membuat pihak berwenang paham akan apa yang dipresentasikan, tetapi juga harus didukung oleh bukti yang kuat dan dapat diterima. Tujuan utama dari fase ini adalah untuk membuktikan kebenaran dari suatu kasus kejahatan.
5. Post-Process
Fase ini berhubungan dengan akhir dari sebuah proses investigasi. Barang bukti fisik dan digital harus dikembalikan kepada pihak yang berwenang untuk menyimpannya. Peninjauan terhadap proses investigasi harus dilakukan agar ada pembelajaran yang dapat diambil dan bisa meningkatkan performa investigasi pada masa yang akan datang.
Diagram usulan model investigasi GCFIM dirancang agar investigator dapat kembali ke fase sebelumnya, karena tidak menutup kemungkinan investigator akan berhadapan dengan situasi yang dapat berubah-ubah terkait dengan Tempat Kejadian Perkara (TKP, baik fisik maupun digital), alat investigasi yang digunakan, alat kejahatan yang digunakan, dan tingkat keahlian investigator. Dengan kata lain, investigator dapat kembali ke fase sebelumnya apabila diperlukan dengan tujuan tidak hanya untuk mengoreksi kelemahan investigasi, tetapi juga untuk mendapatkan temuan atau informasi baru.
KESIMPULAN
Tujuan dari diusulkannya model investigasi forensik komputer GCFIM ini adalah untuk memberikan starting point dalam penanganan kasus kejahatan komputer dan dapat diterapkan ke dalam setiap skenario, sehingga problematika sulitnya mengadopsi model investigasi yang tepat dalam penanganan sebuah kasus, dapat terselesaikan.
SUMBER
- Yusoff, Y., Ismail, R., & Hassan, Z. (2011). Common phases of computer forensics investigation models. International Journal of Computer Science & Information Technology (IJCSIT), 3(3). Retrieved from http://airccse.org/journal/jcsit/0611csit02.pdf
