Freezing The Scene (Bagian 2)
Mengumpulkan
Bukti
Dalam
mengumpulkan barang bukti yang harus diperhatikan, yaitu :
1.
Mencari
bukti-bukti yang cukup agar dapat ditangani oleh pihak berwenang untuk memulai
proses penyelidikan dan penyidikan, misalnya polisi di unit cyber crime.
2.
Memastikan
bahwa bukti-bukti tersebut benar-benar berkualitas untuk dapat dijadikan alat
bukti di pengadilan yang sah sesuai dengan hukum dan perundang-undangan yang
berlaku; dan
3.
Mempresentasikan
dan/atau memperlihatkan keabsahan alat bukti terkait dengan terjadinya kasus di
atas di muka hakim, pengacara, dan tim pembela tersangka.
Menurut Judd Robbins dari “An Explanation of Computer Forensics”
mensyaratkan hal berikut:
·
Barang bukti
tidak rusak atau terpengaruh oleh prosedur yang dipergunakan untuk
penyelidikan.
·
Tidak
terinfeksi virus komputer selama proses analisis.
·
Bukti-bukti
yang relevan dan ekstraksinya, ditangani dan dilindungi dari kerusakan mekanis
atau elektromekanis lebih jauh.
·
Penerapan
pemeliharaan
·
Membatasi
dampak pada operasi bisnis
·
Semua informasi
client yang diperoleh selama eksplorasi forensik dihargai secara etis dan tidak
diumumkan.
Beberapa faktor
yang tidak berkaitan secara fisik dengan barang bukti :
1.
Rangkaian
pemeliharaan, merupakan rekaman penanganan barang bukti dari penyitaan sampai
di bawa ke pengadilan. Dokumentasinya harus menyatakan siapa, apa, di mana,
kapan, mengapa dan bagaimana. Lebih rinci hal itu akan lebih baik.
2.
Batasan waktu
bisa sangat krusial pada beberapa penyelidikan. Khususnya kasus yang melibatkan
kehidupan manusia. Misalkan saja bila bukti yang ada berkaitan dengan rencana serangan
teroris.
3.
Informasi yang
tidak diumumkan, informasi yang berkaitan dengan client.
Prioritas
pengumpulan data harus dilakukan berdasarkan volatilitas :
1.
Register, peripheral memori,
dan cache
2.
Memori (kernel dan fisik)
3.
Keadaan jaringan
4.
Proses yang sedang berjalan
5.
Disk
6.
Floppy, media backup
7.
CD ROM, printout
Dengan
menganalogikan prinsip ketidakpastian Heisenberg yaitu “Melakukan pengujian
sekumpulan atau suatu bagian dari sistem akan menimbulkan gangguan pada
komponen lainnya. Sehingga akan mustahil untuk melakukan capture keseluruhan
sistem pada satu saat saja.” Mengumpulkan barang bukti sangat memakan waktu.
Banyak barang bukti dalam bentuk terenkripsi atau hidden. Terdapat
program yang dipergunakan untukrecovery password dari perusahaan
software yang dipercaya. Program untuk mengeksploitasi kelemahan pada beberapa
sistem bisa didownload dari internet atau diperoleh dari penegak hukum. File
bisa disimpan dengan ekstension yang menipu atau gambar yang disimpan seperti
dokumen teks, misal kasus gambar porno anak-anak yang disimpan dalam nama
README.TXT di folder setup.
Pemrosesan
Barang Bukti
Terdapat perdebatan dalam komunitas
forensik untuk melakukan plug suatu sistem, misalnya apakah diperlukan untuk
mematikan mesin. Sistem operasi bersangkutan akan merupakan kuncinya. Jika ada
suatu usaha compromise atau penyusupan, penyelidikan diarahkan pada proses yang
ada di memori, sistem file yang dipetakan melalui jaringan, koneksi
mencurigakan lainnya pada host tersebut dan port apa yang sedang dipergunakan.
Panduan
umum pemrosesan barang bukti berikut diambil dari :
·
Shut down
computer perlu dipertimbangkan kerusakan proses yang berjalan di background.
·
Dokumentasikan
konfigurasi hardware dari sistem: perhatikan bagaimana komputer di set up
karena mungkin akan diperlukan restore kondisi semula pada tempat yang aman.
·
Pindahkan
sistem komputer ke lokasi yang aman.
·
Buat backup bit
dari hard disk dan floppy.
·
Uji otentifitas
data pada semua perangkat penyimpanan.
·
Dokumentasikan
tanggal dan waktu yang berhubungan dengan file computer.
·
Buat daftar
keyword pencarian karena terdapat tool forensik yang bisa dipergunakan untuk
pencarian informasi yang relevan.
·
Evaluasi swap
file.
·
Evaluasi file
slack, terdiri dari dump memori yang terjadi selama file ditutup.
·
Evaluasi unallocated
space (erased file). Fungsi undelete di DOS bisa dipergunakan untuk melakukan
restore
·
Pencarian
keyword pada file, file slack, dan unallocated space
·
Dokumentasikan
nama file, serta atribut tanggal dan waktu
·
Identifikasikan
anomali file, program dan storage
·
Evaluasi
fungsionalitas program untuk mengetahui kegunaannya
·
Dokumentasikan
temuan dan software yang dipergunakan
·
Buat copy dari
software yang dipergunakan
Merupakan keputusan sulit berespon
pada insiden sedemikian agar tidak mengakibatkan korupsi data.Hal ini sangat
bergantung pada sistem operasinya. Karena barang bukti bisa berada pada file
tapi bisa juga pada file slack, erased atau swap. Misal pada Windows saat start
akan membuka file baru yang menyebabkan overwrite data sebelumnya.
Berikut adalah lima tahapan
pemrosesan barang bukti. Asumsinya di sini adalah semua ijin untuk
mempergunakan mesin (PC, Server, Tape, dan lainnya) sudah dimiliki secara
hukum:
1.
Persiapan
Sebelum
penyelidikan, pastikan persiapan yang diperlukan. Beberapa panduan:
·
Sterilkan semua media dari virus.
·
Pastikan semua tool forensik bisa dipergunakan
secara resmi.
·
Periksa kerja semua peralatan lab
·
Pilih ahli forensik yang tepat yang mampu
memberikan kesaksian dan penjelasan yang baik pada persidangan. Misal untuk menerangkan
hal-hal teknis yang asing bagi orang lain.
2.
Snapshot
Beberapa
panduan:
·
Foto lingkungan
·
Catat rinciannya.
·
Foto barang bukti, misal monitor dan PC.
·
Dokumentasikan konfigurasi hardware
·
Labeli barang bukti sesuai metodologi anda
·
Foto barang bukti lagi setelah dilabeli
·
Dokumentasikan apa yang terjadi
3.
Transport
Dengan asumsi ijin resmi sudah diperoleh,
tindakan untuk transportasi adalah:
·
Lakukan pengemasan dengan aman.
·
Foto dan dokumentasikan penanganan barang bukti
meninggalkan tempat transport sampai ke lab pengujian .
4.
Persiapan
Berikut adalah persiapan untuk uji lab:
·
Lakukan unpack sesuai metodologi.
·
Lakukan uji visual dan catat setiap konfigurasi
yang tidak semestinya.
·
Buat image dari hard disk. Hal yang penting
untuk diingat:
ð Matikan
software virus scanning
ð Catat waktu
CMOS (Complementary Metal Oxide Semiconductor). Hal ini perlu dilakukan
khususnya saat zona waktu dibutuhkan.
ð Anda bisa
membuat image dengan banyak cara
ð Catat bagaimana
image dibuat
ð Pastikan tool
untuk image tidak mengakses sistem file dari media bukti.
·
Setelah membuat image simpan barang bukti di
tempat aman dan catatlah.
·
Merupakan hal yang baik untuk membuat image
kedua.
5.
Pengujian
Merupakan
tahapan analisis barang bukti dari berbagai media (Floppy, hard drive, tape), dan
sistem operasi (Linux, Windows). Mesin yang digunakan untuk melakukan analisa
seharusnya adalah stand alone dan tidak terhubung dalam jaringan, sehingga
memastikan tidak ada orang lain yang mengaksesnya.
Analisis
forensik dilakukan pada dua level :
1.
Level fisik, di mana ingin dilihat cluster dan
sektor tertentu untuk mencari informasi. Tabel master atau file allocation
table biasanya disebut system area.
2.
Level lojik, misalkan gambar yang nampak
sebagai rangkaian heksadesimal.
Karena tidak
bisa sepenuhnya mempercayai bukti apapun, maka harus diperhitungkan rangkaian
kepercayaan (chain of evidence) berikut :
1.
Shell (termasuk variabel environment)
2.
Command
3.
Dynamic libraries
4.
Device driver
5.
Kernel
6.
Controller
7.
Hardware
Freezing The Scene (Bagian 4)
Daftar Pustaka
Tidak ada komentar:
Posting Komentar