Mata Kuliah: Digital Forensic for Military Purposes
SKS: 3 SKS
Pertemuan: 02
Topik: Proses Investigasi Forensik Digital
Pengampu: Anindito, S.Kom., S.S., S.H., M.TI., CHFI
Berapa fase utama yang didefinisikan oleh NIST SP 800-86 untuk investigasi forensik digital?
A. 3 fase
B. 4 fase
C. 5 fase
D. 6 fase
E. 7 fase
Urutan fase yang BENAR menurut NIST SP 800-86 adalah:
A. Analysis → Collection → Examination → Reporting
B. Collection → Analysis → Examination → Reporting
C. Collection → Examination → Analysis → Reporting
D. Examination → Collection → Analysis → Reporting
E. Collection → Examination → Reporting → Analysis
Saat tiba di TKP digital dan menemukan komputer dalam keadaan MATI, tindakan yang BENAR adalah:
A. Menyalakan komputer untuk memeriksa isinya
B. Menghubungkan komputer ke jaringan forensik
C. Tidak menyalakan, dokumentasi kondisi, dan kemas sebagai bukti
D. Menginstal tools forensik terlebih dahulu
E. Login ke sistem menggunakan akun administrator
Pada sistem yang masih MENYALA, tindakan pertama yang harus dilakukan investigator adalah:
A. Langsung mencabut kabel power
B. Melakukan shutdown melalui sistem operasi
C. Mendokumentasikan dan capture volatile data (RAM)
D. Menghubungkan write blocker
E. Menjalankan antivirus scan
Chain of Custody dalam investigasi forensik digital bertujuan untuk:
A. Mempercepat proses investigasi
B. Mendokumentasikan setiap perpindahan dan penanganan bukti
C. Mengenkripsi semua bukti digital
D. Mengurangi biaya investigasi
E. Mengotomatisasi proses analisis bukti
Manakah yang BUKAN merupakan prinsip Chain of Custody?
A. Continuity
B. Integrity
C. Accountability
D. Efficiency
E. Security
Dalam fotografi forensik, foto yang menangkap keseluruhan ruangan TKP termasuk dalam level:
A. Close-up
B. Mid-range
C. Overview/Panoramic
D. Microscopic
E. Detail
Forensic image yang mencakup seluruh disk termasuk unallocated space dan deleted files disebut:
A. Logical image
B. Physical image
C. Targeted image
D. Partial image
E. Selective image
Perangkat yang berfungsi mencegah penulisan data ke media bukti asli disebut:
A. Hash calculator
B. Forensic imager
C. Write blocker
D. Network sniffer
E. Data carver
Algoritma hash yang statusnya sudah deprecated dan TIDAK direkomendasikan untuk forensik digital adalah:
A. SHA-256
B. SHA-512
C. MD5
D. SHA-3
E. BLAKE2
Framework investigasi forensik digital yang dikembangkan oleh komunitas riset dan memiliki 6 fase adalah:
A. NIST SP 800-86
B. ISO/IEC 27037
C. DFRWS (Digital Forensic Research Workshop)
D. ACPO Guidelines
E. RFC 3227
Perbedaan utama antara incident handling dan digital forensics terletak pada:
A. Incident handling menggunakan tools yang lebih canggih
B. Digital forensics hanya untuk kasus kriminal
C. Incident handling memprioritaskan pemulihan, digital forensics memprioritaskan bukti
D. Digital forensics tidak memerlukan dokumentasi
E. Incident handling tidak berkaitan dengan keamanan siber
Dalam NIST SP 800-61, fase incident response yang mencakup isolasi sistem dan penghapusan ancaman adalah:
A. Preparation
B. Detection & Analysis
C. Containment, Eradication & Recovery
D. Post-Incident Activity
E. Monitoring & Evaluation
Organisasi yang bertindak sebagai koordinator keamanan siber nasional di Indonesia adalah:
A. Satsiber TNI
B. BSSN (Badan Siber dan Sandi Negara)
C. Kominfo
D. BIN
E. Polri
Undang-undang yang mengatur prosedur pembuktian dalam sistem peradilan militer Indonesia adalah:
A. UU No. 1 Tahun 2024 tentang ITE
B. UU No. 3 Tahun 2002 tentang Pertahanan Negara
C. UU No. 31 Tahun 1997 tentang Peradilan Militer
D. UU No. 14 Tahun 2008 tentang KIP
E. UU No. 34 Tahun 2004 tentang TNI
Mengapa menyalakan komputer yang ditemukan dalam keadaan mati di TKP dapat merusak bukti?
A. Karena komputer akan terinfeksi virus
B. Karena komputer memerlukan password
C. Karena OS mengubah timestamp, menulis ke disk, dan menjalankan autorun
D. Karena komputer akan terhubung ke internet
E. Karena monitor akan menampilkan informasi sensitif
Dalam konteks militer, apa yang membedakan otorisasi investigasi forensik digital dengan konteks sipil?
A. Tidak ada perbedaan
B. Militer tidak memerlukan otorisasi
C. Militer memerlukan perintah komandan ditambah pertimbangan legal
D. Militer hanya menggunakan otorisasi verbal
E. Militer menggunakan standar internasional saja
Elemen case notes yang WAJIB dicatat oleh investigator forensik meliputi hal berikut, KECUALI:
A. Tanggal dan waktu setiap aktivitas
B. Identitas investigator
C. Opini pribadi investigator tentang tersangka
D. Hash value dari bukti yang diakuisisi
E. Deskripsi detail aktivitas yang dilakukan
Dalam quality assurance investigasi forensik, verifikasi tools menggunakan dataset standar dari:
A. INTERPOL Database
B. FBI CODIS
C. NIST CFTT (Computer Forensics Tool Testing)
D. ISO/IEC 17025
E. SANS GIAC
Apa yang dimaksud dengan avalanche effect dalam konteks hash verification?
A. Proses hashing yang sangat lambat
B. Perubahan 1 bit pada input menghasilkan perubahan drastis pada output hash
C. Hash yang menghasilkan collision
D. Proses menghapus hash dari database
E. Algoritma yang menggunakan multiple rounds
Sebutkan dan jelaskan empat fase investigasi forensik digital menurut NIST SP 800-86!
Jelaskan perbedaan antara penanganan komputer yang ditemukan dalam keadaan menyala dan komputer yang ditemukan dalam keadaan mati di TKP!
Sebutkan lima langkah utama dalam prosedur first response di TKP digital!
Jelaskan tiga level fotografi forensik dan berikan contoh penerapannya di TKP digital!
Jelaskan lima prinsip Chain of Custody dan mengapa masing-masing prinsip penting dalam menjaga admissibility bukti di pengadilan!
Bandingkan tiga jenis forensic image (physical, logical, targeted)! Dalam situasi apa masing-masing jenis paling tepat digunakan?
Jelaskan perbedaan antara hardware write blocker dan software write blocker! Mengapa hardware write blocker dianggap lebih reliabel?
Jelaskan perbedaan dan hubungan antara incident handling dan digital forensics! Pada fase incident response mana volatile data harus di-capture dan mengapa?
Sebutkan dan jelaskan empat kriteria admissibility bukti digital di pengadilan! Untuk setiap kriteria, jelaskan bagaimana investigator dapat memenuhinya!
Jelaskan peran dan cakupan empat organisasi CERT/CSIRT dalam konteks pertahanan siber militer Indonesia (BSSN, Satsiber TNI, Pusdiksus TNI, CERT Kodam)!
Seorang investigator forensik menemukan bahwa hash value bukti digital berubah antara saat akuisisi dan saat akan dianalisis. Jelaskan kemungkinan penyebab, dampak terhadap kasus, dan langkah-langkah penanganan yang harus dilakukan!
Rancang SOP investigasi forensik digital untuk unit Satsiber TNI dengan minimal 6 tahapan! Untuk setiap tahapan, jelaskan penanggung jawab, aktivitas utama, dan output yang dihasilkan!
Jelaskan lima kesalahan umum dalam investigasi forensik digital dan bagaimana masing-masing dapat dicegah! Berikan contoh dampak dari setiap kesalahan dalam konteks peradilan militer!
Seorang investigator Satsiber TNI sedang menangani insiden siber pada server Kodam saat jam sibuk operasi. Terjadi dilema antara kebutuhan incident response yang menuntut pemulihan cepat dan kebutuhan forensik digital yang memerlukan preservasi bukti. Analisis bagaimana kedua kepentingan ini dapat diseimbangkan!
Jelaskan bagaimana framework NIST SP 800-86 dan NIST SP 800-61 saling melengkapi dalam penanganan insiden siber militer! Gambarkan integrasi kedua framework tersebut dalam bentuk tabel atau diagram alur!
Latar Belakang:
Kodam XIII/Merdeka mendeteksi adanya transfer data mencurigakan dari server pusat data mereka pada tanggal 3 Februari 2026. Monitoring jaringan menunjukkan pengiriman data sebesar 2.3 GB ke alamat IP eksternal yang tidak teridentifikasi antara pukul 01:00-03:00 WITA.
Informasi Awal:
Tim Investigasi:
Pertanyaan:
1a. Jelaskan prosedur first response yang harus dilakukan tim saat tiba di lokasi! Perhatikan bahwa server masih menyala dan terdapat pertimbangan keamanan informasi militer! (15 poin)
1b. Prioritaskan bukti digital yang harus dikumpulkan berdasarkan Order of Volatility! Buat tabel lengkap yang mencakup sumber bukti, tingkat volatilitas, tools yang digunakan, dan pertimbangan khusus militer! (15 poin)
1c. Buat formulir Chain of Custody untuk USB external hard disk yang ditemukan! Sertakan semua elemen yang diperlukan termasuk hash value dan log perpindahan! (15 poin)
1d. Server terhubung melalui VPN ke 4 Kodam lain. Jelaskan pertimbangan dan langkah-langkah yang harus diambil terkait cakupan investigasi lintas wilayah Kodam! Siapa yang memiliki otoritas koordinasi? (10 poin)
1e. Tim menemukan bahwa CCTV ruang server sengaja dinonaktifkan. Bagaimana temuan ini mempengaruhi investigasi dan langkah tambahan apa yang harus dilakukan? (10 poin)
Latar Belakang:
Lantamal V Surabaya melaporkan terjadinya gangguan pada sistem komunikasi internal pada tanggal 5 Februari 2026. Beberapa komputer menunjukkan gejala infeksi malware: kinerja lambat, munculnya proses tidak dikenal, dan kegagalan koneksi ke server internal.
Temuan Awal Tim SOC:
Infrastruktur:
Pertanyaan:
2a. Berdasarkan temuan awal, tentukan apakah insiden ini termasuk kategori low, medium, atau high severity menurut NIST SP 800-61! Jelaskan alasan klasifikasi Anda berdasarkan dampak terhadap operasional militer! (10 poin)
2b. Satu workstation sudah di-restart sebelum tim tiba. Jelaskan dampak restart terhadap bukti forensik dan apa yang masih dapat di-recover! Bagaimana penanganan workstation ini berbeda dari 6 workstation lain yang masih menyala? (15 poin)
2c. Rancang rencana containment yang menyeimbangkan kebutuhan operasional Lantamal (sistem komunikasi harus tetap berjalan) dengan kebutuhan preservasi bukti forensik! (15 poin)
2d. Buat timeline investigasi lengkap mulai dari penerimaan laporan hingga pelaporan! Untuk setiap tahap, sertakan aktivitas, tools, penanggung jawab, dan estimasi waktu! (15 poin)
2e. Email phishing dikirim ke 15 personel tetapi hanya 7 workstation terinfeksi. Jelaskan langkah-langkah forensik untuk menentukan siapa saja yang membuka lampiran berbahaya dan mengapa beberapa workstation tidak terinfeksi! (10 poin)
| No | Jawaban | Penjelasan |
|---|---|---|
| 1 | B | NIST SP 800-86 mendefinisikan 4 fase: Collection, Examination, Analysis, Reporting |
| 2 | C | Urutan yang benar: Collection → Examination → Analysis → Reporting |
| 3 | C | Komputer mati TIDAK boleh dinyalakan karena dapat mengubah data. Dokumentasi dan kemas sebagai bukti |
| 4 | C | Pada sistem menyala, prioritas pertama adalah dokumentasi dan capture volatile data (RAM) sebelum sistem dimatikan |
| 5 | B | Chain of Custody mendokumentasikan setiap perpindahan dan penanganan bukti untuk menjamin integritas |
| 6 | D | Prinsip CoC: Continuity, Integrity, Accountability, Security, Documentation. Efficiency bukan prinsip CoC |
| 7 | C | Overview/Panoramic menangkap keseluruhan ruangan, Level 1 dalam fotografi forensik |
| 8 | B | Physical image adalah salinan bit-by-bit seluruh disk termasuk unallocated space dan deleted files |
| 9 | C | Write blocker mencegah penulisan data ke media bukti asli, menjaga integritas |
| 10 | C | MD5 (128-bit) sudah deprecated karena collision vulnerability. SHA-256 direkomendasikan |
| 11 | C | DFRWS memiliki 6 fase: Identification, Preservation, Collection, Examination, Analysis, Presentation |
| 12 | C | Incident handling prioritas pemulihan operasional; digital forensics prioritas integritas bukti |
| 13 | C | Fase Containment, Eradication & Recovery mencakup isolasi sistem dan penghapusan ancaman |
| 14 | B | BSSN adalah koordinator keamanan siber nasional Indonesia |
| 15 | C | UU No. 31 Tahun 1997 tentang Peradilan Militer mengatur prosedur pembuktian di peradilan militer |
| 16 | C | Menyalakan komputer mati menyebabkan OS mengubah timestamp, menulis ke disk, dan menjalankan autorun yang dapat menimpa bukti |
| 17 | C | Di militer, investigasi memerlukan perintah komandan (Surat Perintah) ditambah pertimbangan legal dari Oditur Militer |
| 18 | C | Case notes harus objektif dan faktual. Opini pribadi tentang tersangka TIDAK boleh dicatat |
| 19 | C | NIST CFTT (Computer Forensics Tool Testing) menyediakan dataset standar untuk validasi tools forensik |
| 20 | B | Avalanche effect: perubahan 1 bit pada input menghasilkan perubahan drastis (~50%) pada output hash |
Empat Fase Investigasi Forensik Digital (NIST SP 800-86):
Collection (Pengumpulan): Identifikasi perangkat dan media relevan, prioritisasi berdasarkan volatilitas, akuisisi data melalui forensic imaging, dan preservasi bukti. Fase ini merupakan fondasi seluruh investigasi.
Examination (Pemeriksaan): Pemrosesan dan ekstraksi data dari forensic image. Meliputi filtering data tidak relevan, dekompresi, dekripsi, dan kategorisasi artefak digital.
Analysis (Analisis): Interpretasi dan korelasi temuan. Meliputi timeline reconstruction, pattern analysis, correlation analysis, dan attribution. Menjawab pertanyaan investigasi (siapa, kapan, bagaimana, mengapa).
Reporting (Pelaporan): Dokumentasi dan presentasi hasil investigasi. Mencakup executive summary untuk non-teknis, metodologi yang digunakan, temuan detail, timeline, dan kesimpulan.
Proses bersifat iteratif — temuan di fase analisis dapat memerlukan kembali ke fase pengumpulan untuk bukti tambahan.
Penanganan Live vs Dead System:
| Aspek | Sistem Menyala | Sistem Mati |
|---|---|---|
| Tindakan awal | JANGAN matikan langsung | JANGAN nyalakan |
| Prioritas | Capture volatile data (RAM) | Dokumentasi fisik perangkat |
| Dokumentasi | Screenshot layar, catat waktu sistem, foto | Foto semua sisi, catat serial number |
| Penanganan | Gunakan DumpIt/FTK Imager untuk RAM capture, pertimbangkan live acquisition | Cabut power dari belakang PC (bukan shutdown), label semua kabel |
| Pengemasan | Setelah volatile data captured, cabut power | Langsung kemas dengan anti-static bag |
| Risiko utama | Data volatile hilang jika terlalu lambat | Bukti berubah jika dinyalakan (timestamp, registry, autorun) |
Lima Langkah Utama First Response:
Perimeter Control: Batasi akses fisik ke area TKP. Pasang batas (police line) dan tentukan siapa yang boleh masuk. Catat setiap orang yang sudah ada di lokasi.
Personnel Log: Dokumentasikan setiap orang yang masuk dan keluar TKP beserta waktu dan alasannya. Ini penting untuk membuktikan bahwa bukti tidak terkontaminasi.
Threat Assessment: Evaluasi risiko keamanan fisik (bahan berbahaya, perangkat jebakan) dan digital (data volatile yang mungkin hilang, proses destruktif yang berjalan).
Documentation: Dokumentasi lengkap kondisi awal TKP sebelum menyentuh apapun. Foto panoramic, mid-range, close-up. Catat status setiap perangkat (hidup/mati), LED indikator, dan koneksi.
Evidence Handling: Penanganan bukti sesuai status perangkat. Sistem menyala: capture volatile data dulu. Sistem mati: jangan nyalakan. Gunakan write blocker dan buat forensic image.
Tiga Level Fotografi Forensik:
| Level | Nama | Contoh di TKP Digital |
|---|---|---|
| Level 1 | Overview/Panoramic | Foto seluruh ruangan dari beberapa sudut — menunjukkan tata letak, posisi meja, komputer, dan hubungan antar perangkat |
| Level 2 | Mid-range | Foto area kerja tersangka — workstation, monitor, keyboard, kabel yang terhubung, perangkat di sekitar |
| Level 3 | Close-up/Detail | Foto serial number perangkat, layar yang menampilkan informasi aktif, port USB yang terpakai, label kabel, LED status |
Aturan tambahan: Gunakan skala (ruler) pada foto close-up, catat timestamp setiap foto, dan pastikan foto diambil SEBELUM menyentuh perangkat apapun.
Lima Prinsip Chain of Custody dan Pentingnya:
Continuity: Tidak ada celah waktu (gap) dalam pencatatan penanganan bukti. Setiap momen harus tercatat dari saat pengumpulan hingga presentasi di pengadilan. Gap dalam CoC memberi celah bagi pihak lawan untuk mempertanyakan apakah bukti telah dimanipulasi.
Integrity: Bukti tidak diubah, ditambah, atau dikurangi selama proses penanganan. Dibuktikan melalui hash verification yang konsisten. Jika integritas tidak terjamin, bukti kehilangan nilai pembuktiannya.
Accountability: Setiap individu yang menangani bukti tercatat identitasnya dan bertanggung jawab atas kondisi bukti. Mencegah penanganan oleh pihak tidak berwenang dan memastikan setiap perubahan dapat dilacak.
Security: Bukti disimpan di lokasi aman dengan akses terkontrol (evidence locker). Mencegah kontaminasi, kerusakan, atau pencurian bukti. Khususnya penting untuk bukti berklasifikasi militer.
Documentation: Setiap perpindahan bukti didokumentasikan secara tertulis dengan tanda tangan kedua belah pihak (penyerah dan penerima). Dokumentasi yang tidak lengkap dapat menyebabkan bukti ditolak pengadilan.
Perbandingan Tiga Jenis Forensic Image:
| Aspek | Physical Image | Logical Image | Targeted Image |
|---|---|---|---|
| Cakupan | Seluruh disk bit-by-bit, termasuk unallocated space dan deleted files | Hanya file/folder yang aktif pada file system | File atau folder tertentu saja |
| Ukuran | Sama dengan ukuran disk asli | Lebih kecil dari disk asli | Paling kecil |
| Waktu | Paling lama | Moderat | Paling cepat |
| Data recovery | Dapat recover deleted files, file fragments | Tidak dapat recover deleted files | Sangat terbatas |
| Format | E01, dd, AFF4 | L01, ZIP | Individual files |
Situasi penggunaan:
Perbandingan Hardware vs Software Write Blocker:
| Aspek | Hardware Write Blocker | Software Write Blocker |
|---|---|---|
| Mekanisme | Memblokir sinyal write secara fisik pada level hardware interface | Memodifikasi driver storage pada level OS untuk menolak perintah write |
| Reliabilitas | Tinggi — tidak bergantung pada OS atau software | Lebih rendah — bergantung pada OS, bisa bypass jika OS crash |
| Contoh | Tableau T35u, WiebeTech ComboDock | Windows Registry write protection, SAFE Block |
| Biaya | Mahal (USD 200-1000+) | Murah atau gratis |
| Portabilitas | Perlu dibawa secara fisik | Hanya perlu instalasi software |
| Kompatibilitas | Spesifik interface (SATA, USB, IDE) | Bergantung OS (Windows, Linux) |
Mengapa hardware lebih reliabel:
Perbedaan dan Hubungan Incident Handling vs Digital Forensics:
| Aspek | Incident Handling | Digital Forensics |
|---|---|---|
| Tujuan | Pemulihan operasional secepat mungkin | Pengumpulan dan preservasi bukti untuk keperluan hukum |
| Prioritas | Menghentikan serangan, meminimalkan dampak | Menjaga integritas bukti, dokumentasi menyeluruh |
| Kecepatan | Time-critical, harus cepat | Teliti, menyeluruh, methodical |
| Output | Sistem pulih, lessons learned | Laporan forensik, bukti admissible |
Titik kritis — Volatile data harus di-capture pada fase Containment:
Sebelum melakukan isolasi sistem (containment), forensik HARUS capture volatile data (RAM, network connections, running processes) terlebih dahulu. Alasan:
Solusi: Tim forensik dan incident response harus bekerja bersama. Forensik capture volatile data terlebih dahulu, baru incident response melakukan containment.
Empat Kriteria Admissibility Bukti Digital:
Empat Organisasi CERT/CSIRT Pertahanan Siber Militer Indonesia:
| Organisasi | Peran | Cakupan | Hubungan dengan Forensik |
|---|---|---|---|
| BSSN | Koordinator keamanan siber nasional, menetapkan kebijakan, dan standar keamanan siber | Seluruh infrastruktur kritis nasional (pemerintahan, militer, sipil) | Menetapkan standar dan protokol forensik nasional, koordinasi antar CERT/CSIRT |
| Satsiber TNI | Unit operasi siber militer, bertanggung jawab atas operasi pertahanan dan serangan siber | Seluruh sistem pertahanan militer TNI (AD, AL, AU) | Memiliki kapabilitas forensik digital untuk investigasi insiden siber militer |
| Pusdiksus TNI | Pusat pendidikan dan pelatihan kemampuan khusus TNI termasuk siber | Pelatihan personel seluruh matra TNI | Melatih investigator forensik digital militer, sertifikasi personel |
| CERT Kodam | Tim respons insiden di tingkat regional/wilayah Kodam | Wilayah pertahanan spesifik di bawah Kodam | First responder untuk insiden siber di wilayah Kodam, eskalasi ke Satsiber TNI |
Hierarki koordinasi: BSSN (nasional) → Satsiber TNI (militer) → CERT Kodam (regional). Pusdiksus TNI mendukung dari sisi kapabilitas personel.
Analisis Hash Value yang Berubah:
Kemungkinan Penyebab:
Dampak terhadap Kasus:
Langkah Penanganan:
SOP Investigasi Forensik Digital untuk Satsiber TNI:
| Tahap | Penanggung Jawab | Aktivitas Utama | Output |
|---|---|---|---|
| 1. Penerimaan & Registrasi Kasus | Bagian Administrasi Satsiber | Menerima laporan insiden, registrasi kasus, assign nomor kasus, notifikasi ke pimpinan | Formulir registrasi kasus, nomor kasus unik |
| 2. Otorisasi & Pembentukan Tim | Dansatsiber / Komandan satuan | Menerbitkan Surat Perintah investigasi, menentukan scope, membentuk tim investigasi, koordinasi dengan Oditur Militer | Surat Perintah, SK Tim Investigasi, scope document |
| 3. Persiapan Teknis | Ketua Tim Forensik | Menyiapkan toolkit forensik, verifikasi kesiapan tools, briefing tim, koordinasi logistik | Checklist kesiapan, toolkit terverifikasi, assignment matrix |
| 4. Penanganan TKP & Akuisisi | First Responder & Forensic Examiner | Mengamankan lokasi, dokumentasi TKP, capture volatile data, forensic imaging, chain of custody | Case notes, foto TKP, forensic images, formulir CoC |
| 5. Examination & Analisis | Forensic Examiner & Analyst | Ekstraksi data, filtering, timeline analysis, korelasi temuan, identifikasi IOC | Laporan temuan, timeline, IOC list |
| 6. Pelaporan | Ketua Tim Forensik | Menyusun laporan teknis dan executive summary, peer review, finalisasi | Laporan forensik final (teknis + executive summary) |
| 7. Presentasi & Serah Terima | Ketua Tim + Oditur Militer | Presentasi hasil ke komandan, serah terima bukti ke Oditur Militer jika berlanjut ke pidana | Berita acara serah terima, presentasi ringkas |
| 8. Post-Investigation | Seluruh Tim | Lessons learned, evaluasi prosedur, penyimpanan bukti jangka panjang, update database kasus | Dokumen lessons learned, rekomendasi perbaikan |
Lima Kesalahan Umum dan Pencegahannya:
Analisis Dilema Incident Response vs Digital Forensics:
Identifikasi Konflik:
Strategi Penyeimbangan:
Integrasi NIST SP 800-86 dan NIST SP 800-61:
| Fase IR (NIST 800-61) | Aktivitas IR | Fase Forensik (NIST 800-86) | Aktivitas Forensik |
|---|---|---|---|
| 1. Preparation | Bangun kapabilitas, siapkan tools IR, latih tim CERT | (Pre-investigation) | Siapkan toolkit forensik, bangun lab, latih investigator, tetapkan SOP |
| 2. Detection & Analysis | Deteksi insiden via IDS/SIEM, tentukan severity | Collection | Capture volatile data, identifikasi sumber bukti, dokumentasi awal |
| 3. Containment | Isolasi sistem, cegah penyebaran | Collection | ⚠️ Capture volatile data SEBELUM isolasi, mulai forensic imaging |
| 3. Eradication | Hapus malware, patch vulnerability | Examination | Analisis IOC, identifikasi root cause, ekstraksi artefak |
| 3. Recovery | Restore sistem, verify clean | Analysis | Timeline reconstruction, correlation, attribution |
| 4. Post-Incident | Lessons learned, update policy | Reporting | Laporan forensik final, rekomendasi |
Poin Kritis Integrasi dalam Konteks Militer:
1a. Prosedur First Response (15 poin)
Langkah-langkah:
1b. Prioritas Bukti Digital (Order of Volatility) (15 poin)
| Prioritas | Sumber Bukti | Volatilitas | Tools | Pertimbangan Militer |
|---|---|---|---|---|
| 1 | RAM Server KODAM13-SRV01 | Sangat Tinggi | FTK Imager, DumpIt | Server masih menyala, capture segera |
| 2 | Network connections aktif server | Sangat Tinggi | netstat, TCPView | Catat koneksi ke IP eksternal |
| 3 | Running processes server | Tinggi | Process Explorer, tasklist | Identifikasi proses mencurigakan |
| 4 | RAM Workstation WS-03 | Tinggi | FTK Imager | Jika masih menyala |
| 5 | Network state WS-03 | Tinggi | netstat, arp -a | Koneksi aktif saat insiden |
| 6 | Hard disk server (image) | Rendah | FTK Imager (E01) | Physical image, gunakan write blocker |
| 7 | Hard disk WS-03 (image) | Rendah | FTK Imager (E01) | Physical image |
| 8 | USB External HD Seagate 1TB | Rendah | FTK Imager (E01) | Prioritas tinggi secara investigasi |
| 9 | Active Directory logs | Rendah | Event Viewer export | Log akses folder RAHASIA |
| 10 | VPN logs | Rendah | Export dari VPN gateway | Koordinasi dengan admin jaringan |
| 11 | Firewall logs | Rendah | Export dari appliance | Data transfer ke IP eksternal |
| 12 | CCTV recordings (jika ada backup) | Sangat Rendah | Copy file | CCTV nonaktif — cari backup |
| 13 | Hard disk WS-01 & WS-02 | Rendah | FTK Imager | Baseline comparison |
1c. Formulir Chain of Custody USB External HD (15 poin)
CHAIN OF CUSTODY FORM
=====================
Klasifikasi: RAHASIA
Case Number : KODAM-XIII/DFIR/2026/003
Case Name : Kebocoran Data Server Kodam XIII/Merdeka
Lead Investigator: [Nama], NRP [NRP], Pusdiksus TNI
EVIDENCE DESCRIPTION
--------------------
Item Number : EV-003
Description : USB External Hard Disk
Make/Model : Seagate Expansion 1TB
Serial Number : NA8XXXXXX
Color/Condition: Hitam, kondisi baik, tidak ada kerusakan fisik
Collection Location: Laci meja Workstation WS-03, Ruang Data Kodam XIII
Collection Date/Time: 03 Februari 2026, 08:45 WITA
Collected By : [Nama Investigator 1], NRP [NRP]
Witnessed By : [Nama Denpom], NRP [NRP]
HASH VALUES (computed after imaging)
------------------------------------
SHA-256: [akan dihitung setelah forensic imaging]
MD5 : [akan dihitung sebagai secondary hash]
CUSTODY LOG
-----------
| No | Date/Time | From | To | Purpose | Condition | Signature |
|----|------------------|---------------|-----------------|--------------|-----------|-----------|
| 1 | 03/02/26 08:45 | Lokasi (laci) | Investigator 1 | Collection | Baik | [TTD] |
| 2 | 03/02/26 09:00 | Investigator 1| Lab Forensik | Imaging | Baik | [TTD] |
| 3 | 03/02/26 15:00 | Lab Forensik | Evidence Room | Storage | Baik | [TTD] |
| 4 | [TBD] | Evidence Room | Oditur Militer | Prosecution | [TBD] | [TTD] |
NOTES
-----
- USB ditemukan di laci meja WS-03 (tidak terkunci)
- Tidak terdaftar dalam inventory aset IT resmi Kodam XIII
- Berisi data [akan diidentifikasi setelah examination]
- Ditangani dengan sarung tangan forensik
- Dikemas dalam anti-static bag, disegel dengan evidence tape
1d. Investigasi Lintas Kodam (10 poin)
Pertimbangan:
Langkah-langkah:
1e. Dampak CCTV Dinonaktifkan (10 poin)
Dampak terhadap Investigasi:
Langkah Tambahan:
2a. Klasifikasi Severity (10 poin)
Klasifikasi: HIGH Severity
Alasan berdasarkan NIST SP 800-61:
| Faktor | Penilaian | Justifikasi |
|---|---|---|
| Functional Impact | HIGH | Sistem komunikasi internal terganggu, 7 dari 25 workstation terinfeksi (28%) |
| Information Impact | HIGH | Beacon ke IP eksternal setiap 15 menit — kemungkinan data exfiltration dari instalasi militer |
| Recoverability | EXTENDED | Log sudah dihapus, backup terakhir 1 bulan lalu, tidak ada SIEM terpusat |
| Mission Impact | HIGH | Lantamal V mendukung operasi AL — gangguan komunikasi berdampak pada kesiapan operasional |
Faktor tambahan konteks militer:
2b. Dampak Restart Workstation (15 poin)
Bukti yang Hilang akibat Restart:
Bukti yang Masih Dapat Di-recover:
Perbedaan Penanganan:
| Aspek | WS Peltu Deni (sudah restart) | 6 WS lain (masih menyala) |
|---|---|---|
| RAM | Tidak tersedia, periksa pagefile | Capture RAM segera dengan DumpIt |
| Network | Periksa log firewall untuk WS ini | Capture active connections |
| Malware | Cari di disk (prefetch, registry) | Capture in-memory + disk |
| Prioritas | Lebih rendah, fokus disk forensics | Lebih tinggi, capture volatile dulu |
| Recovery | Pagefile analysis, $MFT timeline | Full volatile + non-volatile |
2c. Rencana Containment (15 poin)
Strategi: Staged Containment dengan Failover
| Tahap | Waktu | Aktivitas | Dampak Operasional |
|---|---|---|---|
| 1. Isolasi Jaringan Parsial | T+0 | Blokir IP C2 (185.xxx.xxx.42) dan port 8443 di firewall Fortinet | Minimal — hanya blokir traffic berbahaya |
| 2. Capture Volatile Data | T+0 s/d T+2 jam | Tim forensik capture RAM dan network state dari 6 WS yang menyala secara berurutan | Workstation sementara tidak tersedia (15-30 menit per WS) |
| 3. Network Segmentation | T+2 jam | Pisahkan 7 WS terinfeksi ke VLAN karantina, sisakan 18 WS bersih untuk operasi | Komunikasi tetap jalan via 18 WS bersih |
| 4. Forensic Imaging | T+2 s/d T+8 jam | Full disk imaging 7 WS terinfeksi + 2 server (paralel) | WS terinfeksi offline, gunakan WS cadangan |
| 5. Clean & Verify | T+8 s/d T+24 jam | Scan 18 WS “bersih” untuk memastikan tidak terinfeksi, deploy IOC-based detection | Monitoring ketat, operasi berjalan normal |
| 6. Eradikasi | T+24 s/d T+48 jam | Rebuild 7 WS dari image bersih, patch vulnerability, remove malware dari server | Bertahap, satu per satu |
Kunci keberhasilan: Komunikasi Lantamal tidak pernah 100% offline — selalu ada workstation bersih yang beroperasi.
2d. Timeline Investigasi (15 poin)
| Hari | Jam | Aktivitas | Tools | PJ | Output |
|---|---|---|---|---|---|
| D+0 | 08:00-08:30 | Penerimaan laporan, briefing tim | - | Ketua Tim | Registrasi kasus |
| D+0 | 08:30-09:00 | Persiapan toolkit, verifikasi | Checklist | Forensic Examiner | Toolkit siap |
| D+0 | 09:00-10:00 | Tiba di lokasi, perimeter control, dokumentasi awal | Kamera, formulir | First Responder | Foto TKP, case notes |
| D+0 | 10:00-12:00 | Capture RAM 6 WS menyala + network state | DumpIt, FTK Imager | Forensic Examiner | 6 RAM dumps, network logs |
| D+0 | 12:00-14:00 | Containment: blokir C2, segmentasi jaringan | FortiGate console | Network Specialist | Firewall rules updated |
| D+0 | 14:00-22:00 | Forensic imaging 7 WS + 2 server | FTK Imager (E01) | Forensic Examiner | 9 forensic images |
| D+1 | 08:00-17:00 | Examination: ekstraksi malware, log analysis | Autopsy, Event Viewer | Forensic Examiner | Malware samples, IOC list |
| D+2 | 08:00-17:00 | Analysis: timeline, email tracing, attribution | Autopsy, log2timeline | Analyst | Timeline, infection path |
| D+3 | 08:00-12:00 | Eradikasi dan recovery workstation | Clean images | IR Team + IT | Sistem pulih |
| D+3 | 13:00-17:00 | Peer review temuan | - | Senior Examiner | Verified findings |
| D+4 | 08:00-17:00 | Penyusunan laporan forensik | Template | Ketua Tim | Draft laporan |
| D+5 | 08:00-12:00 | Finalisasi & presentasi ke komandan | - | Ketua Tim + Oditur | Laporan final |
2e. Analisis Email Phishing (10 poin)
Langkah Forensik untuk Menentukan Siapa yang Membuka Lampiran:
This repository is licensed under the Creative Commons Attribution 4.0 International (CC BY 4.0).
Commercial use is permitted, provided attribution is given to the author.
© 2026 Anindito