Nah sekarang saya akan menjelaskan tentang kejahatan cyber yang menghubungkan antara Locard Exchange, ini  adalah bukti bahwa tidak akan pernah  lupa. Hal ini tidak  dan tidak akan pernah terjadi kebingungan lagi. Hal ini tidak akan Cuma ada saksi manusia saja. namun Ini adalah bukti faktual. Bukti fisik tidak bisa disalahkan, dan tidak bias dipalsukan. Hanya kegagalan manusia yang tidak bisa menemukannya , mempelajarinya, dan memahaminya, dan dapat mengurangi nilainya.

"Artefak aktivitas elektronik dalam perangkat digital yang terdeteksi melalui pemeriksaan forensik, meskipun pemeriksaan tersebut mungkin memerlukan akses ke komputer dan sumber daya jaringan yang melibatkan lingkup diperluas yang mungkin melibatkan lebih dari satu tempat dan geolocation." (Zatyko dan Bay, 2011)

Pada artikel ini disajikan pertanyaan yang menantang bagi para ahli digital forensik hari ini, para ilmuwan cyber, dan analis cyber. Apakah Locard Exchange Prinsip berlaku dalam forensik digital? Peningkatan dramatis dalam kejahatan cyber dan intrusi cyber diulang ke dalam infrastruktur kritis menunjukkan perlunya meningkatkan keamanan. Eksekutif Kantor Presiden mencatat pada tanggal 12 Mei 2011, "ancaman dunia maya adalah salah satu tantangan keamanan nasional dan ekonomi paling serius yang kita hadapi sebagai bangsa." kepercayaan menangani apakah atau tidak Locard Exchange Prinsip berlaku untuk forensik digital adalah Pertanyaan mendasar yang dapat membimbing atau membatasi pencarian ilmiah untuk bukti digital.

Locard Exchange Prinsip sering dikutip dalam forensik publikasi "setiap kontak yang meninggalkan jejak ..." Pada dasarnya Locard Exchange Prinsip diterapkan untuk TKP di mana pelaku (s) dari kejahatan datang ke dalam kontak dengan adegan. Pelaku (s) akan baik membawa sesuatu ke TKP, dan meninggalkan dengan sesuatu dari tempat kejadian. Dalam dunia cyber, pelaku mungkin atau mungkin tidak datang dalam kontak fisik dengan TKP, dengan demikian, ini membawa aspek baru untuk analisis TKP. Menurut World of Forensic Science, terbitan Locard tidak menyebutkan dari "prinsip pertukaran," meskipun ia membuat pengamatan "Il est mungkin au malfaiteur d'agir avec l'Intens que kira l'tindakan criminelle sans laisser des jejak de anak bagian. "(Tidak mungkin bagi seorang kriminal untuk bertindak, terutama mengingat intensitas kejahatan, tanpa meninggalkan jejak kehadiran ini.) Istilah" prinsip pertukaran "pertama kali muncul di Kepolisian dan Kejahatan-Detection, pada tahun 1940, dan diadaptasi dari pengamatan Locard.

Bidang forensik digital dapat secara ketat didefinisikan sebagai "aplikasi dari ilmu komputer dan prosedur investigasi untuk tujuan hukum yang melibatkan analisis bukti digital setelah otoritas pencarian yang tepat, lacak balak, validasi dengan matematika, penggunaan alat-alat divalidasi, pengulangan, pelaporan , dan kemungkinan presentasi ahli. "Selain itu, bukti digital didefinisikan sebagai informasi yang disimpan atau ditransmisikan dalam bentuk biner yang dapat diandalkan di court. Namun, forensik alat digital dan teknik juga telah digunakan oleh analis cyber dan peneliti untuk melakukan Media analisis, kompilasi penilaian kerusakan, membangun jadwal, dan menentukan atribusi.

Menurut Departemen Pertahanan program pelatihan Cyber ​​Crime Center (ditemukan di www.dc3.mil/dcita/courseDescriptions/cac.php), analis maya memerlukan pengetahuan tentang bagaimana gangguan jaringan terjadi, bagaimana berbagai log diciptakan, apa bukti elektronik, bagaimana artefak elektronik forensik dikumpulkan, dan kemampuan untuk menganalisis data untuk menghasilkan laporan yang komprehensif dan grafik analisa link.

Hipotesis kami adalah bahwa Locard Exchange Prinsip tidak berlaku untuk kejahatan cyber yang melibatkan jaringan komputer, seperti pencurian identitas, penipuan bank elektronik, atau penolakan serangan layanan, bahkan jika pelaku tidak secara fisik datang dalam kontak dengan TKP. Meskipun pelaku dapat melakukan kontak virtual dengan TKP melalui penggunaan mesin proxy, pasti masih akan "meninggalkan jejak" dan bukti digital akan ada.

Beberapa prinsip ini dibagi menjadi beberapa bagian dan menganalisis penerapan Locard Exchange Prinsip, dan harus menentukan apakah atau tidak berikut terjadi:

Apakah ada dua item?

Apakah ada kontak?

Apakah ada pertukaran materi?

Untuk menggambarkan penerapan Locard Exchange Prinsip untuk kejahatan cyber, kita ambil contoh pencurian identitas di mana identitas seseorang dicuri dan pelaku berniat untuk menggunakan informasi yang dicuri untuk keuntungan kriminal. Mari lanjut ke pelaku mencuri identitas melalui penggunaan kuda dan keyboard logger Trojan pada komputer korban. Orang bisa berpendapat bahwa selama ini jenis kejahatan cyber Locard Exchange Prinsip tidak berlaku. Alasannya adalah bahwa karena manusia tidak di TKP tidak ada bukti jejak dari manusia pada komputer atau media digital di lokasi kejadian. Namun, dalam kenyataannya mungkin ada banyak bukti digital seperti kuda Trojan itu sendiri, berubah password, log digital, dan sebagainya. Dengan demikian, dalam contoh ini, ada jejak di, ke, dan dari, adegan. Ini mungkin melibatkan menemukan bukti jejak di lokasi fisik selain hanya satu TKP. Logger kunci dapat ditambahkan software atau hardware atau keduanya, tetapi dalam kedua kasus itu tetap di belakang untuk penyidik ​​untuk menemukan.

Dari sudut pandang ini, Locard Exchange Prinsip tidak berlaku untuk contoh ini. Namun, mungkin ingin menggeneralisasi LEP ke dalam "Cyber ​​Efek Prinsip" dengan peringatan berikut:

Artefak aktivitas elektronik di komputer digital konvensional terdeteksi melalui pemeriksaan forensik, meskipun pemeriksaan tersebut mungkin memerlukan akses ke komputer dan sumber daya jaringan di luar batas-batas "TKP" itu sendiri. Kontak elektronik tidak meninggalkan jejak fisik karena manusia atau hal tidak datang dalam kontak dengan adegan. Mungkin hanya meninggalkan bukti digital dan pemeriksaan karena luas bukti di luar TKP fisik primer (lokasi di mana hukum yang telah dilanggar) harus terjadi. Pemeriksaan ini biasanya melibatkan bit dan byte informasi.

Sebagai contoh, jika seorang tidak sah mendapatkan akses pengguna ke sistem tanpa jaminan untuk exfiltrate informasi ke situs remote, dia akan, di permukaan, tidak meninggalkan bukti langsung karena tidak ada file yang diubah. Namun, jika log akses file yang dipertahankan, rekor akan dibuat dari akses file dan jaringan transmisi berikutnya. Bahkan jika tidak ada file log disimpan, analisis sisi-channel aktivitas disk, panggilan sistem, dan operasi jaringan mungkin tersedia sebagai bukti. Kegagalan itu, log jaringan di tingkat ISP mungkin memberikan bukti terkait dengan akses yang tidak sah, bahkan jika exfiltrated data itu sendiri tidak dapat diidentifikasi.

Diusulkan Cyber ​​Efek Prinsip addendum ini membawa dimensi baru dan menarik untuk Locard Efek Prinsip yang terkenal. Seperti yang dinyatakan sebelumnya, kami percaya Locard Exchange Prinsip dapat digunakan sebagai dasar untuk forensik digital sebanyak itu digunakan untuk forensik tradisional. Namun, kali ini menantang pembaca untuk membuktikan ini salah. Apakah contoh ada di kejahatan cyber di mana Locard Exchange Prinsip tidak berlaku? Jika contoh-contoh seperti yang ada maka hal ini perlu dianalisis, dijelaskan sepenuhnya, dan diperhitungkan dalam pengembangan sistem cyber. Sebagai contoh, jika kejahatan dijelaskan di mana Locard Exchange Prinsip tidak berlaku, hal ini dapat menyebabkan sensor baru atau metode untuk melengkapi sistem keamanan cyber saat ini. Di sisi lain, jika tidak ada contoh diberikan yang menyangkal Locard Exchange Prinsip dalam kejahatan digital maka kita dapat menggunakan prinsip sebagai pedoman dasar dalam kejahatan digital, seperti pemeriksa forensik telah dilakukan selama bertahun-tahun di dunia fisik.

Locard Exchange Prinsip adalah nama untuk Dr Edmond Locard (1877-1966) yang merupakan pelopor dalam ilmu forensik. Dia dikenal sebagai Sherlock Holmes Perancis. Ia merumuskan prinsip dasar ilmu forensik: "Setiap kontak meninggalkan jejak." Memang Locard mungkin tidak pernah membayangkan komputer dimana laser datang dalam kontak dengan media magnetik untuk flip bit.

Fragmentaris atau jejak bukti jenis bahan yang tersisa pada atau diambil dari TKP, atau hasil dari kontak antara dua permukaan, seperti sepatu dan penutup lantai, atau serat dari mana seseorang duduk di kursi berlapis kain.

Ketika kejahatan berkomitmen, fragmentaris (atau jejak) bukti harus dikumpulkan dari tempat kejadian. Sebuah tim teknisi polisi khusus pergi ke TKP dan menutup off. Mereka berdua merekam video dan mengambil foto-foto TKP, korban (jika ada), dan bukti fisik. Jika perlu, mereka melakukan pemeriksaan senjata api dan balistik. Mereka memeriksa sepatu dan ban tanda tayangan, memeriksa setiap kendaraan, dan memeriksa sidik jari.

Untuk kejahatan digital saat ini, spesialis perlu memeriksa lingkungan yang jauh lebih kompleks. Penyidik ​​perlu citra media digital dari banyak jenis: magnetik, solid-state, atau optik, misalnya. Bukti mungkin terus-menerus, seperti yang disimpan dalam memori non-volatile, atau sekilas, seperti melalui media transmisi yang tidak memiliki penyimpanan. Bukti mungkin juga ada di media yang mudah menguap tetapi hanya sementara dapat diakses, seperti DRAM pada sistem hidup atau data disk "lemah" terhapus. Selanjutnya, penyelidikan mungkin melibatkan lebih dari subjek dan tuan rumah mesin. Hal ini juga dapat melibatkan router, server, perangkat penyimpanan cadangan, dan bahkan printer, hanya untuk beberapa nama.

Untuk itu di gambarkan hipotesis dengan dua contoh. Contoh pertama memiliki mitra langsung di dunia fisik-perampokan bank elektronik dimana uang yang dicuri dari satu account dan curang dikirim secara elektronik ke yang lain. Dalam contoh ini transaksi elektronik ilegal terjadi. Tidak ada jejak manusia di lokasi kejadian (yaitu tidak ada sepatu cetakan di lantai). Sebaliknya, hanya bit di jaringan diproses oleh komputer. Mungkin ada file transaksi, password yang berubah, uang ditransfer antar rekening log, dan sebagainya. Ini adalah bukti tidak langsung yang harus dianalisis. Bukti ini bisa bersifat sementara, volatile, semi permanen, atau permanen. Ketepatan waktu bukti kejang mungkin penting. Karena tidak mungkin ada kontak dengan pelaku di bank, tidak ada bukti jejak dari pelaku manusia di tempat fisik kejahatan. Ini adalah persis mengapa tempat menjadi poin keputusan penting dengan jaksa penanganan kejahatan komputer. Memang benar ada jejak bukti oleh pelaku di komputer berasal. Hal ini juga benar bahwa melalui penggunaan proxy pada titik-titik hop interim pelaku tidak pernah bersentuhan dengan TKP. Sebuah TKP adalah lokasi di mana tindakan ilegal berlangsung. Dalam kasus yang melibatkan media digital, geo-lokasi adegan ini bisa ribuan mil jauhnya karena perangkat jaringan seperti router, switch, server, poin pertukaran internet, dan kebijakan yang terkait dengan manajemen lalu lintas oleh penyedia layanan internet.

Contoh kedua melibatkan penyelidikan botnet. Dalam contoh ini pelaku mungkin atau tidak mungkin mengambil sesuatu dari tempat kejadian, pada kenyataannya, motif mungkin untuk menolak layanan dari sistem atau sistem untuk pengguna yang sah. Pelaku dalam contoh ini dikenal sebagai master bot dan diam-diam menginfeksi ribuan komputer dengan salinan dari program komputer yang dikenal sebagai "bot" (singkatan robot). Sebuah bot dapat memiliki fungsi yang sah, tetapi juga dapat digunakan untuk mendapatkan akses tidak sah ke dan kontrol atas komputer yang mereka menginfeksi dan dengan demikian dapat menyebabkan komputer yang terinfeksi untuk menyerang komputer lain. Bot digunakan untuk tujuan terlarang tersebut sering menyamar sebagai file musik MP3 atau foto yang men-download pengguna komputer tidak curiga dari situs Internet publik. Setelah download file yang terinfeksi, pengguna komputer biasanya tidak menyadari kehadiran bot di komputer nya. Fokus hanya pada kode perangkat lunak berbahaya yang disuntikkan tidak dapat menyebabkan atribusi karena bisa saja dipinjam atau dicuri dan tidak ditulis oleh pelaku (s). Ini mungkin hanya menjadi alat kejahatan. Jika kode itu berubah bervariasi, mungkin tidak sesuai dengan apa yang saat ini di komputer pelaku. Hal ini membuat analisis waktu bahkan lebih penting.

Namun, saya ber pendapat bahwa bukti digital ada dalam hal ini. Sebagai contoh, jika bot digunakan untuk spam situs yang sah menyebabkan situs untuk memperlambat atau menjadi non-fungsional, akan ada transaksi antara bots dan situs yang sah. Bahkan, bot sendiri bukti digital. Sementara menangkap dan menganalisa bukti digital mungkin tidak mudah atau bahkan mungkin hari ini, fakta bahwa ada bukti mendukung hipotesis kami bahwa Locard Exchange Prinsip yang berlaku.

Penelitian lebih lanjut diperlukan dalam domain cyber, terutama dalam komputasi awam, untuk mengidentifikasi dan mengkategorikan aspek unik di mana dan bagaimana bukti digital dapat ditemukan. Poin end seperti perangkat mobile menambah kompleksitas ke domain ini. Melacak bukti dapat ditemukan di server, switch, router, ponsel, dll Setidaknya dalam dua contoh di atas, bukti digital dapat ditemukan di adegan luas dari kejahatan yang mencakup berbagai komputer serta perangkat periferal. Sebuah TKP adalah lokasi di mana tindakan ilegal berlangsung dan terdiri dari daerah yang sebagian besar bukti fisik diambil oleh personil terlatih penegak hukum, penyidik ​​TKP, atau ilmuwan forensik. Oleh karena itu, ini addendum Cyber ​​Efek Prinsip berlaku. Sekarang saatnya untuk melihat melampaui TKP utama untuk bukti digital. Penyidik ​​harus memperluas pencarian mereka dari seluruh jaringan. Banyak kali, penyidik ​​kejahatan komputer harus menjelajahi beberapa adegan untuk menemukan bukti. Untuk membantu dalam pencarian ini, forensik digital standar dan kerangka kerja untuk teknologi forensik digital diperlukan sekarang lebih dari sebelumnya di lingkungan jaringan kami.

Sumber

Referensi

Dr John Bay adalah Senior Vice President dan Chief Scientist di Assured Keamanan Informasi (AIS) di Roma, New York. Sebelum bergabung dengan AIS, dia Kepala Ilmuwan di Angkatan Udara Informasi Laboratorium Penelitian Direktorat. Dia bisa dihubungi di bayj@ainfosec.com; 315-336-3306

Galiardi, P. dan Leary R. (2011), Membuat Rasa Bukti, Majalah Forensik.

Ken Zatyko sebelumnya Direktur Departemen Pertahanan Komputer Laboratorium Forensik di mana dia memimpin terbesar terakreditasi, diakui secara internasional, terdepan forensik komputer laboratorium. Mr Zatyko saat ini Wakil Presiden Maryland Operasi dengan Tertanggung Keamanan Informasi. Mr Zatyko dapat dihubungi di zatykok@ainfosec.com; 410-570-0980; www.ainfosec.com.

Kirk, P. L. (1953). Penyelidikan Kejahatan: Bukti Fisik dan Laboratorium Polisi. New York: Interscience Penerbit.

Lerner, K. Lee dan Lerner, Brenda W. (2005) Dunia Ilmu Forensik, Volume 2.

Lew, Jacob, Memorandum kepada Ketua DPR, 12 Mei 2011 www.whitehouse.gov, terakhir dilihat 16 Juni 2011.

National Institute of Justice (2004), Pemeriksaan Forensik Digital Bukti: Sebuah Panduan untuk Penegakan Hukum, Washington, DC.

Zatyko, K. (2007). Mendefinisikan Digital Forensik, Majalah Forensik.