Daftar Isi:
- Investigasi kejahatan komputer harus segera dimulai saat melaporkan dugaan kejahatan komputer atau insiden. Awalnya, insiden apapun harus ditangani sebagai investigasi kejahatan komputer sampai penyelidikan pendahuluan menentukan yang lain. Langkah umum yang harus diikuti dalam proses investigasi adalah sebagai berikut:
- Bukti
Video: Incident Response and Computer Forensics on Rootkits 2025
Komputer forensik melibatkan melakukan penyelidikan untuk menentukan apa yang telah terjadi, untuk mengetahui siapa yang bertanggung jawab dan mengumpulkan secara legal bukti yang dapat diterima untuk digunakan dalam kasus kejahatan komputer.
Terkait erat dengan, namun sangat berbeda dengan investigasi, merupakan respon insiden. Tujuan dari penyelidikan adalah untuk menentukan apa yang terjadi, untuk menentukan siapa yang bertanggung jawab, dan untuk mengumpulkan bukti. Respon insiden menentukan apa yang terjadi, berisi dan menilai kerusakan, dan mengembalikan operasi normal.
Investigasi kejahatan komputer harus segera dimulai saat melaporkan dugaan kejahatan komputer atau insiden. Awalnya, insiden apapun harus ditangani sebagai investigasi kejahatan komputer sampai penyelidikan pendahuluan menentukan yang lain. Langkah umum yang harus diikuti dalam proses investigasi adalah sebagai berikut:
Mendeteksi dan mengandung:
- Deteksi dini sangat penting untuk penyelidikan yang berhasil. Sayangnya, teknik deteksi pasif atau reaktif (seperti peninjauan jalur audit dan penemuan yang tidak disengaja) biasanya merupakan norma dalam kejahatan komputer dan sering meninggalkan jejak bukti yang dingin. Penahanan penting untuk meminimalkan kerugian atau kerusakan lebih lanjut.
- Manajemen harus diberi tahu tentang penyelidikan sesegera mungkin. Pengetahuan tentang investigasi harus dibatasi hanya sesedikit mungkin orang dan harus berdasarkan kebutuhan. Metode komunikasi out-of-band (pelaporan secara pribadi) harus digunakan untuk memastikan bahwa komunikasi sensitif tentang penyelidikan tidak dicegat. Mulailah penyelidikan pendahuluan:
- Hal ini diperlukan untuk menentukan apakah sebuah kejahatan benar-benar terjadi. Kebanyakan insiden adalah kesalahan jujur, bukan tindak pidana. Langkah ini mencakup • Mengkaji keluhan atau melaporkan
• Memeriksa kerusakan
• Mewawancarai saksi
• Memeriksa kayu bulat
• Mengidentifikasi persyaratan penyelidikan lebih lanjut
Memulai penentuan pengungkapan:
- Yang pertama dan yang paling penting untuk menentukan adalah apakah pengungkapan kejahatan atau kejadian diwajibkan oleh hukum.Selanjutnya, tentukan apakah pengungkapan itu diinginkan. Ini harus dikoordinasikan dengan humas atau pejabat urusan publik organisasi. Lakukan penyelidikan:
- •
Identifikasi tersangka potensial. Ini termasuk orang dalam dan orang luar ke organisasi. Salah satu standar diskriminator untuk membantu menentukan atau menghilangkan tersangka potensial adalah tes IBU: Apakah tersangka memiliki motif, kesempatan, dan sarana untuk melakukan kejahatan? •
Identifikasi calon saksi. Tentukan siapa yang harus diwawancarai dan siapa yang akan melakukan wawancara. Berhati-hatilah untuk tidak mengingatkan tersangka potensial terhadap penyelidikan; fokus pada mendapatkan fakta, bukan pendapat, dalam keterangan saksi. •
Siapkan pencarian dan perampasan. Ini termasuk mengidentifikasi jenis sistem dan bukti yang akan dicari atau disita, tunjuk dan latih anggota tim pencarian dan perampasan (CIRT), mendapatkan dan melayani surat perintah penggeledahan yang tepat (jika diperlukan), dan menentukan potensi risiko terhadap sistem selama usaha pencarian dan perampasan. Laporkan temuan:
- Hasil penyelidikan, termasuk bukti, harus dilaporkan ke manajemen dan diserahkan kepada petugas penegak hukum atau jaksa yang tepat. Bukti
Bukti
adalah informasi yang disajikan di pengadilan untuk mengkonfirmasi atau menghilangkan fakta yang berada di bawah pertengkaran. Kasus tidak dapat diajukan ke pengadilan tanpa bukti yang cukup untuk mendukung kasus ini. Jadi, pengumpulan bukti dengan benar adalah salah satu tugas penyidik yang paling penting dan paling sulit. Jenis bukti
Sumber bukti hukum yang dapat diajukan di pengadilan biasanya masuk dalam salah satu dari empat kategori utama:
Bukti langsung:
- Ini adalah kesaksian lisan atau pernyataan tertulis berdasarkan informasi dikumpulkan melalui lima indera saksi (sebuah akun saksi mata) yang membuktikan atau menyangkal fakta atau masalah tertentu. Bukti nyata (atau fisik):
- Ini adalah benda-benda nyata dari kejahatan yang sebenarnya, seperti ini:
• Barang yang dicuri atau rusak
• Kaset visual atau audionya
Bukti fisik dari kejahatan komputer jarang tersedia.
Bukti dokumentasi:
-
Sebagian besar bukti yang diajukan dalam kasus kejahatan komputer adalah bukti dokumenter, seperti berikut;
- • Dokumen asli dan salinan catatan bisnis • Catatan yang dihasilkan komputer dan disimpan komputer
• Manual
• Kebijakan
• Standar
• Prosedur
• Berkas log Catatan bisnis, termasuk catatan komputer, secara tradisional dianggap sebagai bukti kabar angin oleh kebanyakan pengadilan karena catatan ini tidak dapat dibuktikan akurat dan dapat diandalkan. Salah satu hambatan paling penting bagi jaksa untuk diatasi dalam kasus kejahatan komputer adalah mencari pengakuan catatan komputer sebagai bukti.
Bukti demonstrasi.
Digunakan untuk membantu pemahaman pengadilan tentang sebuah kasus. Pendapat dianggap sebagai bukti demonstratif dan mungkin juga ahli hukum: Berdasarkan pengetahuan dan fakta pribadi
-
•
- Nonexpert: Berdasarkan fakta saja
Contoh demonstratif lainnya Bukti meliputi model, simulasi, diagram, dan ilustrasi. Jenis bukti lain yang mungkin termasuk dalam setidaknya satu kategori utama sebelumnya mencakup Bukti terbaik:
Bukti asli dan tidak berubah. Di pengadilan, ini lebih disukai daripada bukti sekunder. Data yang diambil dari komputer memenuhi peraturan bukti terbaik dan biasanya dimasukkan ke dalam proses peradilan seperti itu. Bukti sekunder:
-
Duplikat atau salinan bukti, seperti
• Tape backup
- • Screen capture • Foto Bukti yang menguatkan:
- Mendukung atau membuktikan bukti lain yang ada dalam sebuah kasus Bukti yang meyakinkan:
Tidak terbantahkan dan tak terbantahkan: senapan merokok.
Bukti sungguhan:
Fakta yang relevan yang tidak dapat dihubungkan secara langsung atau konklusif dengan kejadian lain, namun tentang kesimpulan yang masuk akal dapat dilakukan.
- Bukti yang dapat diterima Karena bukti yang dihasilkan komputer seringkali mudah dimanipulasi, diubah, atau dirusak, dan karena tidak mudah dan umum dipahami, jenis bukti ini biasanya dianggap tersangka di pengadilan.
- Agar dapat diterima, bukti harus: Relevan:
- Harus membuktikan atau membantah fakta yang relevan dan material untuk kasus ini. Reliable:
Pasti terbukti bahwa apa yang disajikan sebagai bukti adalah apa yang awalnya dikumpulkan dan bukti itu sendiri dapat dipercaya. Hal ini dilakukan, sebagian, melalui penanganan bukti yang benar dan rantai perwalian.
Yang diperbolehkan secara hukum:
Harus diperoleh melalui sarana hukum. Bukti yang tidak diperbolehkan secara hukum mencakup bukti yang diperoleh melalui sarana ini:
- • Pencarian ilegal dan penyitaan:
- Petugas penegak hukum harus memperoleh perintah pengadilan sebelumnya; Namun, petugas penegak hukum non-hukum, seperti supervisor atau administrator sistem, mungkin dapat melakukan pencarian resmi dalam beberapa situasi. •
- Penyadapan ilegal atau keran telepon: Siapa pun yang melakukan penyadapan atau keran telepon harus mendapat perintah pengadilan sebelumnya.
• Hambatan atau daya tarik: Entrapment
mendorong seseorang untuk melakukan kejahatan yang mungkin tidak dilakukan oleh perorangan tersebut. Sebaliknya, godaan memikat seseorang ke arah beberapa bukti (panci madu, jika Anda mau) setelah orang tersebut melakukan kejahatan. Perhatian tidak harus ilegal namun menimbulkan argumen etis dan mungkin tidak dapat diterima di pengadilan.
• Paksaan: Kesaksian atau pengakuan paksa tidak diperbolehkan secara hukum. • Pemantauan yang tidak sah atau tidak benar: Pemantauan aktif harus diberi wewenang dan dilakukan dengan benar; pengguna harus diberi tahu bahwa mereka dapat dikenai pemantauan.
