Pada bulan Maret 2015 Direktur CIA John Brennan mengumumkan pembentukan Direktorat Inovasi Digital CIA yang baru, direktorat CIA baru yang baru dalam lima dekade. Divisi baru diciptakan untuk memajukan teknik forensik digital, pilar ilmu forensik yang terkait dengan kegiatan penyelidikan dan pemulihan data dan metadata (data tentang data) yang ditemukan dalam perangkat digital, dan untuk meningkatkan kemampuan CIA untuk melacak "Debu digital" tertinggal selama aktivitas cyber rutin. Seperti yang dijelaskan oleh Brennan pada tanggal 28 April dalam sebuah pidato di jamuan makan malam Aliansi Intelijen dan Keamanan Nasional, “Ke mana pun kita pergi, semua yang kita lakukan, kita meninggalkan debu digital, dan sungguh sulit untuk beroperasi secara sembunyi-sembunyi, apalagi secara terselubung, ketika Anda kembali meninggalkan debu digital di belakangmu. ”
Tujuan utama forensik digital adalah evaluasi keadaan artefak digital yang berpotensi dapat digunakan dalam penyelidikan pada sistem komputer. Dengan menggunakan teknik forensik digital, seorang penyelidik dapat memperoleh bukti digital, menganalisisnya, dan melaporkan temuan analisis itu. Pengembangan alat forensik digital dan teknik lain yang bahkan lebih canggih harus memungkinkan pemerintah dan perusahaan swasta untuk berhasil mempelajari debu digital yang ditinggalkan oleh mereka — tersangka atau orang lain yang berkepentingan — terkait dengan dugaan aktivitas dunia maya yang melanggar hukum.
Metodologi
Metodologi forensik digital diterapkan dalam berbagai situasi, terutama oleh anggota penegak hukum atau oleh otoritas resmi lainnya untuk mengumpulkan bukti dalam kasus pidana atau pengadilan sipil atau oleh perusahaan swasta untuk membantu dalam mengejar penyelidikan internal. Istilah forensik digital sangat umum dan dapat digunakan untuk mengkarakterisasi banyak spesialisasi, tergantung pada bidang investigasi tertentu. Misalnya, forensik jaringan terkait dengan analisis lalu lintas jaringan komputer, sementara forensik perangkat seluler terutama berkaitan dengan memulihkan bukti digital dari ponsel cerdas dan komputer tablet. Ada beberapa metodologi yang berpotensi tidak terbatas untuk forensik digital, tetapi teknik yang paling umum digunakan termasuk melakukan pencarian kata kunci di media digital, memulihkan file yang dihapus, menganalisis ruang yang tidak terisi, dan mengekstraksi informasi registri (misalnya, dengan menggunakan perangkat USB yang terpasang).
Ketika berhadapan dengan bukti digital, penting untuk memastikan bahwa integritas dan keaslian data dan metadata tidak terpengaruh selama fase investigasi. Karena itu, sangat penting untuk menghindari setiap perubahan bukti yang disebabkan oleh pekerjaan para penyelidik dan untuk memastikan bahwa data yang dikumpulkan adalah “asli” —yaitu, identik dengan segala cara dengan informasi asli. Meskipun para pejuang cybercrime dalam film dan di televisi dapat secara cerdik mengidentifikasi seseorang yang berkepentingan dengan kata sandi dan kemudian login langsung ke komputer target atau perangkat pintar lainnya, di dunia nyata tindakan langsung seperti itu dapat mengubah yang asli sedemikian rupa sehingga membuat apa pun ditemukan di perangkat tidak dapat digunakan atau setidaknya tidak dapat diterima di pengadilan.
Fase akuisisi, juga disebut "pencitraan pameran," terdiri dari memperoleh gambar dari isi komputer atau perangkat lain. Masalah utama dengan media digital adalah bahwa mereka mudah dimodifikasi; bahkan upaya untuk mendapatkan akses ke file atau ke isi memori komputer dapat mengubah statusnya. Oleh karena itu perlu untuk menghindari akses langsung dengan membuat gambar yang tepat dari memori volatile dan disk sistem yang sedang dianalisis. Itu dapat dicapai dengan memperoleh "salinan bit" (reproduksi bit-demi-bit yang tepat) dari media dengan menggunakan alat pemblokiran tulis khusus yang "mencerminkan" data sambil mencegah segala modifikasi pada konten asli media.
Pertumbuhan dalam ukuran media penyimpanan dan difusi paradigma seperti komputasi awan menuntut adopsi teknik akuisisi baru yang memungkinkan peneliti mengambil salinan data yang “logis” daripada gambar lengkap dari perangkat penyimpanan fisik. Dalam upaya terkonsentrasi untuk memastikan integritas data, penyelidik menggunakan mekanisme "hashing" yang menghasilkan nilai yang lebih pendek, panjang tetap yang mewakili sumber asli yang lebih panjang atau lebih kompleks. Nilai hash memungkinkan pencarian yang lebih cepat dan memungkinkan peneliti mengevaluasi setiap saat untuk konsistensi dalam konten digital yang sedang diselidiki. Setiap modifikasi pada konten akan menyebabkan perubahan hash artefak digital, yang dapat dengan mudah terlihat tanpa perlu mencari seluruh database.
