Apa perbedaan antara pemulihan data, forensik komputer, dan penemuan elektronik?
Ketiga bidang tersebut berhubungan dengan data, dan khususnya data digital. Ini semua tentang elektron dalam bentuk nol dan satu. Dan ini semua tentang mengambil informasi yang mungkin sulit ditemukan dan menyajikannya dengan cara yang mudah dibaca. Tetapi meskipun ada tumpang tindih, rangkaian keterampilan membutuhkan alat yang berbeda, spesialisasi yang berbeda, lingkungan kerja yang berbeda, dan cara pandang yang berbeda.
Pemulihan data umumnya melibatkan hal-hal yang rusak – baik perangkat keras maupun perangkat lunak. Ketika komputer mogok dan tidak dapat memulai kembali, ketika hard disk eksternal, thumb drive, atau kartu memori menjadi tidak terbaca, maka pemulihan data mungkin diperlukan. Seringkali, perangkat digital yang membutuhkan pemulihan datanya akan mengalami kerusakan elektronik, kerusakan fisik, atau kombinasi keduanya. Jika demikian, perbaikan perangkat keras akan menjadi bagian besar dari proses pemulihan data. Ini mungkin melibatkan perbaikan elektronik drive, atau bahkan mengganti tumpukan kepala baca / tulis di dalam bagian tertutup dari drive disk.
Jika perangkat keras utuh, file atau struktur partisi kemungkinan besar akan rusak. Beberapa alat pemulihan data akan mencoba memperbaiki partisi atau struktur file, sementara yang lain memeriksa struktur file yang rusak dan mencoba menarik file keluar. Partisi dan direktori juga dapat dibuat ulang secara manual dengan hex editor, tetapi mengingat ukuran disk drive modern dan jumlah data di dalamnya, hal ini cenderung tidak praktis.
Pada umumnya, pemulihan data adalah semacam proses “makro”. Hasil akhirnya cenderung menjadi populasi besar data yang disimpan tanpa banyak perhatian pada file individual. Pekerjaan pemulihan data seringkali berupa disk drive individual atau media digital lainnya yang memiliki perangkat keras atau perangkat lunak yang rusak. Tidak ada standar khusus yang diterima di seluruh industri dalam pemulihan data.
Penemuan elektronik biasanya berkaitan dengan perangkat keras dan perangkat lunak yang utuh. Tantangan dalam penemuan elektronik termasuk “de-duping.” Pencarian dapat dilakukan melalui sejumlah besar email dan dokumen yang ada atau yang dicadangkan.
Karena sifat komputer dan email, ada kemungkinan sangat banyak duplikat yang identik (“penipuan”) dari berbagai dokumen dan email. Alat e-discovery dirancang untuk menyaring aliran data yang mungkin tidak dapat dikelola menjadi ukuran yang dapat dikelola dengan mengindeks dan menghapus duplikat, juga dikenal sebagai de-duping.
E-discovery sering berurusan dengan data dalam jumlah besar dari perangkat keras yang tidak rusak, dan prosedurnya termasuk dalam Peraturan Federal tentang Prosedur Perdata (“FRCP”).
Forensik komputer memiliki aspek e-discovery dan pemulihan data.
Dalam forensik komputer, pemeriksa forensik (CFE) mencari dan melalui data yang ada dan yang sudah ada sebelumnya, atau data yang dihapus. Melakukan e-discovery semacam ini, ahli forensik terkadang menangani perangkat keras yang rusak, meskipun hal ini relatif jarang terjadi. Prosedur pemulihan data dapat digunakan untuk memulihkan file yang terhapus secara utuh. Namun seringkali CFE harus berurusan dengan upaya sengaja untuk menyembunyikan atau menghancurkan data yang memerlukan keterampilan di luar yang ditemukan di industri pemulihan data.
Saat berurusan dengan email, CFE sering mencari ruang yang tidak terisi untuk data sekitar – data yang sudah tidak ada lagi sebagai file yang dapat dibaca oleh pengguna. Ini dapat mencakup pencarian kata atau frasa tertentu (“pencarian kata kunci”) atau alamat email di ruang yang tidak terisi. Ini bisa termasuk meretas file Outlook untuk menemukan email yang dihapus. Ini dapat mencakup melihat ke dalam cache atau file log, atau bahkan ke dalam file sejarah Internet untuk sisa-sisa data. Dan tentu saja, sering kali menyertakan pencarian melalui file aktif untuk data yang sama.
Praktiknya serupa ketika mencari dokumen tertentu yang mendukung kasus atau dakwaan. Pencarian kata kunci dilakukan pada dokumen yang aktif atau terlihat, dan pada data ambien. Pencarian kata kunci harus dirancang dengan hati-hati. Dalam satu kasus seperti itu, Schlinger Foundation v Blair Smith penulis menemukan lebih dari satu juta kata kunci “hits” pada dua disk drive.
Terakhir, ahli forensik komputer juga sering dipanggil untuk bersaksi sebagai saksi ahli dalam deposisi atau di pengadilan. Akibatnya, metode dan prosedur CFE dapat diletakkan di bawah mikroskop dan ahli dapat dipanggil untuk menjelaskan dan mempertahankan hasil dan tindakannya. Seorang CFE yang juga seorang saksi ahli mungkin harus membela hal-hal yang dikatakan di pengadilan atau dalam tulisan-tulisan yang diterbitkan di tempat lain.
Paling sering, pemulihan data berkaitan dengan satu disk drive, atau data dari satu sistem. Rumah pemulihan data akan memiliki standar dan prosedurnya sendiri dan bekerja berdasarkan reputasi, bukan sertifikasi. Penemuan elektronik sering berurusan dengan data dari sejumlah besar sistem, atau dari server yang mungkin berisi banyak akun pengguna. Metode e-discovery didasarkan pada kombinasi perangkat lunak dan perangkat keras yang telah terbukti dan paling baik direncanakan jauh sebelumnya (walaupun kurangnya pra-perencanaan sangat umum terjadi). Forensik komputer dapat berurusan dengan satu atau banyak sistem atau perangkat, mungkin cukup cair dalam lingkup tuntutan dan permintaan yang dibuat, sering berurusan dengan data yang hilang, dan harus dapat dipertahankan – dan dipertahankan – di pengadilan.
EZ