*Oleh: Amirullah, S.Kom/13917138
Locard Exchange Principle (LEP) sering dikutip dalam publikasi forensik, “Every contact leaves a trace”. Dalam dunia cyber, pelaku mungkin atau mungkin tidak melakukan kontak fisik dengan TKP, dengan demikian, ini membawa dimensi baru untuk analisis TKP.
Locard Exchange Principle (LEP) sering dikutip dalam publikasi forensik, “Every contact leaves a trace”. Dalam dunia cyber, pelaku mungkin atau mungkin tidak melakukan kontak fisik dengan TKP, dengan demikian, ini membawa dimensi baru untuk analisis TKP.
Hipotesis kami adalah bahwa Locard Exchange Prinsip tidak berlaku untuk kejahatan cyber yang melibatkan jaringan komputer, seperti pencurian identitas, penipuan bank elektronik, atau penolakan serangan layanan, bahkan jika pelaku tidak secara fisik datang dalam kontak dengan TKP. Meskipun pelaku dapat melakukan kontak virtual dengan TKP melalui penggunaan mesin proxy, kami yakin dia masih akan "meninggalkan jejak" dan bukti digital akan tetap ada.
Memecah prinsip ini menjadi beberapa bagian dan menganalisis penerapan Locard Exchange Prinsip, kita harus menentukan apakah atau tidak terjadi hal berikut ini:
- Apakah ada dua item?
- Apakah ada kontak?
- Apakah ada pertukaran materi?
Untuk menggambarkan penerapan Locard Exchange Prinsip untuk kejahatan cyber, kita mengambil contoh dari pencurian identitas di mana identitas seseorang dicuri dan pelaku bermaksud untuk menggunakan informasi yang dicuri untuk keuntungan kriminal. Mari kita lebih lanjut menduga pelaku mencuri identitas melalui penggunaan Trojan horse dan keyboard logger Trojan pada komputer korban. Orang bisa berpendapat bahwa selama ini jenis kejahatan cyber Locard Exchange Prinsip tidak berlaku. Alasannya adalah bahwa karena manusia tidak di TKP tidak ada bukti jejak dari manusia pada komputer atau media digital di lokasi kejadian. Namun, dalam kenyataannya mungkin ada banyak bukti digital seperti Trojan Horse itu sendiri, mengubah password, log digital, dan sebagainya. Dengan demikian, dalam contoh ini, ada jejak di, ke, dan dari tempat kejadian. Ini mungkin melibatkan menemukan bukti jejak di lokasi fisik selain hanya satu TKP. Key Logger dapat ditambahkan software atau hardware atau keduanya, tetapi dalam kedua kasus itu tetap di belakang untuk penyidik untuk menemukan.
Menurut Departemen program pelatihan Pertahanan Cyber Crime Center (ditemukan di www.dc3.mil/dcita/courseDescriptions/cac.php), analisis cyber membutuhkan pengetahuan tentang bagaimana gangguan jaringan terjadi, bagaimana berbagai log diciptakan, apa bukti elektronik, bagaimana artefak elektronik forensik dikumpulkan, dan kemampuan untuk menganalisis data untuk menghasilkan laporan yang komprehensif dan link grafik analisis.
Sebagai contoh, jika sebuah pengguna yang tidak sah dapat mengakses sistem yang tidak aman untuk exfiltrate informasi ke situs remote, dia akan, di permukaan, tidak meninggalkan bukti langsung karena tidak ada file yang diubah. Namun, jika log akses file tetap dipertahankan, rekaman akan dibuat dari file yang diakses dan subsequent network transmission. Bahkan jika tidak ada file log disimpan, analisis side-channel aktivitas disk, system calls, dan operasi jaringan mungkin tersedia sebagai bukti. Kegagalan itu, log jaringan di tingkat ISP mungkin memberikan bukti yang terkait dengan akses yang tidak sah, bahkan jika exfiltrated data itu sendiri tidak dapat diidentifikasi.
Proposal Cyber Exchange Principle addendum/tambahan ini membawa dimensi baru dan menarik untuk Locard Efek Principle yang terkenal. Seperti yang dinyatakan sebelumnya, kita percaya Locard Exchange Principle dapat digunakan sebagai dasar untuk forensik digital sebanyak itu digunakan untuk forensik tradisional. Namun, kita menantang pembaca untuk membuktikan kita salah. Apakah contoh ada dalam kejahatan cyber di mana Locard Exchange Prinsip tidak berlaku? Jika contoh-contoh seperti itu ada maka hal ini perlu dianalisa, sepenuhnya dijelaskan, dan diperhitungkan dalam pengembangan sistem cyber. Sebagai contoh, jika sebuah kejahatan dijelaskan di mana Locard Exchange Prinsip tidak berlaku, hal ini dapat menyebabkan sensor baru atau metode untuk melengkapi sistem keamanan cyber saat ini. Di sisi lain, jika tidak ada contoh diberikan yang membantah Locard Exchange Principle dalam kejahatan digital maka kita dapat menggunakan prinsip sebagai pedoman dasar dalam kejahatan digital, sebagai pemeriksa forensik telah dilakukan selama bertahun-tahun di dunia fisik.
Fragmentaris atau jejak bukti adalah jenis material yang tersisa pada atau diambil dari TKP, atau hasil dari kontak antara dua permukaan, seperti sepatu dan penutup lantai, atau serat dari mana seseorang duduk di kursi berlapis kain.
Ketika kejahatan berkomitmen, fragmentaris (atau jejak) bukti harus dikumpulkan dari tempat kejadian. Sebuah tim teknisi polisi khusus pergi ke TKP dan menutupnya. Mereka berdua merekam video dan mengambil foto-foto TKP, korban (jika ada), dan bukti fisik. Jika perlu, mereka melakukan pemeriksaan senjata api dan balistik. Mereka memeriksa sepatu dan ban mark tayangan, memeriksa setiap kendaraan, dan memeriksa sidik jari.
Untuk kejahatan digital saat ini, spesialis perlu memeriksa lingkungan yang jauh lebih kompleks. Penyidik perlu citra media digital dari banyak jenis: magnetik, solid-state, atau optik, misalnya. Bukti mungkin terus-menerus, seperti yang disimpan dalam memori non-volatile, atau sekilas, seperti melalui media transmisi yang tidak memiliki penyimpanan. Bukti mungkin juga ada di media yang volatil tapi hanya sementara dapat diakses, seperti DRAM pada live system atau "weakly/lemah" data disk yang terhapus. Selain itu, penyelidikan dapat melibatkan lebih dari subjek dan mesin host. Hal ini juga bisa melibatkan router, server, perangkat penyimpanan cadangan, dan bahkan printer, hanya untuk beberapa nama.
Kita mengilustrasikan hipotesis kita dengan dua contoh. Contoh pertama memiliki mitra langsung dalam perampokan dunia-bank elektronik fisik dimana uang dicuri dari satu akun dan curang dikirim secara elektronik ke yang lain. Dalam contoh ini transaksi elektronik ilegal terjadi. Tak ada jejak manusia di tempat kejadian (yaitu tidak ada sepatu cetakan di lantai). Sebaliknya, hanya bit di jaringan diproses oleh komputer. Mungkin ada file-file log transaksi, password yang berubah, uang ditransfer antar rekening, dan sebagainya. Ini adalah bukti tidak langsung yang harus dianalisa. Bukti ini bisa bersifat sementara, volatile, semi permanen, atau permanen. Ketepatan waktu penyitaan bukti mungkin penting. Karena tidak mungkin ada kontak dengan pelaku di bank, tidak ada bukti jejak dari pelaku manusia di tempat fisik kejahatan. Ini adalah persis mengapa tempat menjadi titik keputusan penting dengan jaksa penanganan kejahatan komputer. Memang benar ada jejak bukti oleh pelaku pada komputer berasal. Hal ini juga benar bahwa melalui penggunaan proxy pada titik-titik hop interim pelaku tidak pernah datang dalam kontak dengan TKP. Sebuah TKP adalah lokasi di mana tindakan ilegal terjadi. Dalam kasus yang melibatkan media digital, geo-location kejadian ini bisa ribuan mil jauhnya karena dari perangkat jaringan seperti router, switch, server, pertukaran poin internet, dan kebijakan yang berkaitan dengan manajemen lalu lintas oleh penyedia layanan internet.
Contoh yang kedua melibatkan penyelidikan botnet. Dalam contoh ini pelaku/perpetrator mungkin atau mungkin tidak mengambil barang-barang dari tempat kejadian, pada kenyataannya, motif mungkin untuk menolak layanan dari sistem atau sistem untuk pengguna yang sah. Pelaku dalam contoh ini dikenal sebagai master bot dan diam-diam menginfeksi ribuan komputer dengan salinan program komputer yang dikenal sebagai "bot" (singkatan dari robot). Sebuah bot dapat memiliki fungsi yang sah, tetapi juga dapat digunakan untuk mendapatkan akses tidak sah ke dan kontrol atas komputer yang mereka menginfeksi dan dengan demikian dapat menyebabkan komputer yang terinfeksi untuk menyerang komputer lain. Bot digunakan untuk tujuan terlarang tersebut sering menyamar sebagai file musik MP3 atau foto-foto yang men-download pengguna komputer yang tidak menaruh curiga dari situs internet publik. Setelah download file tersebut terinfeksi, pengguna komputer biasanya tidak menyadari adanya bot di komputer nya. Fokus hanya pada kode perangkat lunak berbahaya yang disuntikkan tidak dapat menyebabkan atribusi karena bisa saja dipinjam atau dicuri dan tidak ditulis oleh pelaku-pelaku. Ini mungkin hanya menjadi alat kejahatan. Jika kode tersebut telah berubah bervariasi, mungkin tidak cocok dengan apa yang saat ini di komputer pelaku. Hal ini membuat analisis waktu bahkan lebih penting.
Namun, kita berpendapat bahwa bukti digital ada dalam hal ini. Sebagai contoh, jika bot digunakan untuk spam situs yang sah menyebabkan situs untuk memperlambat atau menjadi tidak berfungsi, di sana akan ada transaksi antara bots dan situs yang sah. Bahkan, bots sendiri adalah bukti digital. Sementara menangkap dan menganalisa bukti digital mungkin tidak mudah atau bahkan mungkin hari ini, fakta bahwa ada bukti mendukung hipotesis kita bahwa Locard Exchange Principle tidak berlaku.
Penelitian lebih lanjut diperlukan dalam domain cyber, terutama dalam komputasi awan, untuk mengidentifikasi dan mengkategorikan aspek unik dari mana dan bagaimana bukti digital dapat ditemukan. Titik akhir seperti perangkat mobile menambah kompleksitas domain ini. Melacak bukti dapat ditemukan pada server, switch, router, ponsel, dll Setidaknya dalam dua contoh yang dijelaskan di atas, bukti digital dapat ditemukan di kejadian yang luas dari kejahatan yang mencakup berbagai komputer serta perangkat periferal. Sebuah TKP adalah lokasi di mana tindakan ilegal terjadi dan terdiri dari daerah yang sebagian besar bukti fisik diambil oleh personel terlatih penegak hukum, penyelidik TKP, atau ilmuwan forensik. Oleh karena itu, ini addendum Cyber Efek Prinsip berlaku. Sekarang saatnya untuk melihat melampaui TKP utama untuk bukti digital. Penyidik harus memperluas pencarian mereka dari seluruh jaringan. Dibutuhkan banyak waktu, penyidik kejahatan komputer harus menjelajahi beberapa kejadian untuk menemukan bukti. Untuk membantu dalam pencarian ini, forensik digital standar dan Frameworks untuk teknologi forensik digital diperlukan sekarang lebih dari sebelumnya dalam lingkungan jaringan kita.
Sumber dikutip dari :
- http://www.dfinews.com/articles/2014/01/apply-locards-exchange-principle-digital-forensics
- http://www.forensicmag.com/articles/2011/12/digital-forensics-cyber-exchange-principle
0 comments:
Posting Komentar