Cyber Forensics
Disiplin ilmu yang mengkombinasikan elemen hukum dan ilmu komputer untuk mengumpulkan dan menganalisis data dari sistem komputer jaringan, komunikasi nirkabel, dan media penyimpanan dengan prosedur yang sesuai agar dapat diterima sebagai barang bukti di persidangan.
Prosedur yang diterapkan cyber forensics terdiri dari tiga hal penting :
- Menyita barang bukti tanpa mengubah atau merusak barang bukti asli
- Membuktikan keaslian dari barang bukti yang di-recover agar ukuran datanya sama seperti aslinya
- Menganalisis data atau barang bukti tanpa mengubah keasliannya.
Forensic Acquisition Process
- Mengakses perangkat yang diperoleh
Terdapat tiga metode, yaitu
- Tarik kabel power yang berada di belakang komputer (dead forensic acquisition)
- Matikan secara normal dan lakukan sesuai prosedur (dead forensic acquisition)
- Menjaga sistem apabila sedang hidup (live forensic acquisition)
Menginisiasikan Penyitaan Dengan Write Blocker
Terdapat kemungkinan untuk mengubah drive barang bukti secara tiba-tiba selama analisa dan penyitaan barang bukti. Cara termudah agar menghindari hal tersebut adalah menggunakan write blocker. Write blocker mengijinkan sistem untuk membaca data dari drive eksternal dengan kecepatan maksimum. Pada waktu yang sama, write blocker juga akan memblok semua perintah write ke drive eksternal untuk menghindari modifikasi atau format drive dari seorang yang tidak berhak selama proses penyidikan. Terdapat dua tipe write blocker : software write blocker dan hardware write blocker. Software write blocker akan mengganti akses interface hard drive pada komputer dengan hard drive eksternal. write blocker akan memblok perintah apapun yang dapat memodifikasi hard drive. Hardware write blocker merupakan device hardware yang secara fisik melampirkan ke sistem komputer. Tujuan utamanya untuk menahan dan memblok perintah modifikasi perangkat penyimpanan.
Chain Of Custody
Pengumpulan dan pemeliharaan identitas dan keaslian barang bukti yang diperlukan untuk mengadili tersangka di pengadilan. Kemampuan untuk mengadili setiap kasus bertumpu pada validitas bukti yang digunakan di pengadilan. Pengadilan menganggap bukti yang sah jika penyidik forensik dapat membuktikan bahwa barang bukti dalam kondisi yang sama seperti ketika melakukan penyitaan. Untuk melakukan hal tersebut, seseorang yang menangani barang bukti wajib memberikan kesaksian terhadap kondisi barang bukti sebelum dan sesudah penyitaan.
Traditional Forensic Acquisition
- Collection
- Examination
- Analysis
- Reporting
Gambar ilustrasi traditional forensic acquisition :
Disiplin ilmu yang mengkombinasikan elemen hukum dan ilmu komputer untuk mengumpulkan dan menganalisis data dari sistem komputer jaringan, komunikasi nirkabel, dan media penyimpanan dengan prosedur yang sesuai agar dapat diterima sebagai barang bukti di persidangan.
Prosedur yang diterapkan cyber forensics terdiri dari tiga hal penting :
- Menyita barang bukti tanpa mengubah atau merusak barang bukti asli
- Membuktikan keaslian dari barang bukti yang di-recover agar ukuran datanya sama seperti aslinya
- Menganalisis data atau barang bukti tanpa mengubah keasliannya.
Forensic Acquisition Process
- Mengakses perangkat yang diperoleh
Terdapat tiga metode, yaitu
- Tarik kabel power yang berada di belakang komputer (dead forensic acquisition)
- Matikan secara normal dan lakukan sesuai prosedur (dead forensic acquisition)
- Menjaga sistem apabila sedang hidup (live forensic acquisition)
Menginisiasikan Penyitaan Dengan Write Blocker
Terdapat kemungkinan untuk mengubah drive barang bukti secara tiba-tiba selama analisa dan penyitaan barang bukti. Cara termudah agar menghindari hal tersebut adalah menggunakan write blocker. Write blocker mengijinkan sistem untuk membaca data dari drive eksternal dengan kecepatan maksimum. Pada waktu yang sama, write blocker juga akan memblok semua perintah write ke drive eksternal untuk menghindari modifikasi atau format drive dari seorang yang tidak berhak selama proses penyidikan. Terdapat dua tipe write blocker : software write blocker dan hardware write blocker. Software write blocker akan mengganti akses interface hard drive pada komputer dengan hard drive eksternal. write blocker akan memblok perintah apapun yang dapat memodifikasi hard drive. Hardware write blocker merupakan device hardware yang secara fisik melampirkan ke sistem komputer. Tujuan utamanya untuk menahan dan memblok perintah modifikasi perangkat penyimpanan.
Chain Of Custody
Pengumpulan dan pemeliharaan identitas dan keaslian barang bukti yang diperlukan untuk mengadili tersangka di pengadilan. Kemampuan untuk mengadili setiap kasus bertumpu pada validitas bukti yang digunakan di pengadilan. Pengadilan menganggap bukti yang sah jika penyidik forensik dapat membuktikan bahwa barang bukti dalam kondisi yang sama seperti ketika melakukan penyitaan. Untuk melakukan hal tersebut, seseorang yang menangani barang bukti wajib memberikan kesaksian terhadap kondisi barang bukti sebelum dan sesudah penyitaan.
Traditional Forensic Acquisition
- Collection
- Examination
- Analysis
- Reporting
Gambar ilustrasi traditional forensic acquisition :
Gambar diatas mengilustrasikan traditional forensics proses. Pertama kali, penyidik memeriksa komputer dan memutuskan status komputer. Jika komputer dalam keadaan hidup, maka ia harus mematikan dengan cara mencabut kabel power yang bersumber ke listrik, atau mengikuti prosedur shut down. Setelah daya dimatikan, penyidik melepas hard drive dari sistem, dan menyisipkan sebagai external drive untuk sistem forensik dan menyalin isi hard drive. Penyidik mengambil tindakan yang diperlukan untuk memastikan bahwa tidak ada perubahan atau modifikasi data.
Live Forensic Acquisition
Perbedaan karakteristik antara dead dan live forensics adalah dead forensics tidak dapat memperoleh data secara live, volatile data. Setiap komputer yang dicabut dari power, maka mesin akan kehilangan data volatile memory pada RAM. Akan tetapi, fakta bahwa RAM modern menyimpan konten selama beberapa detik setelah daya hilang (loss power). Sistem tidak menghapus volatile memory secara tiba-tiba, tetapi konten menjadi kurang dipercaya ketika tidak dibangkitkan secara teratur.
Gambar ilustrasi live forensics
Apabila komputer hidup, penyidik harus memilih data yang akan disalin secara local melalui jaringan. Selain itu, penyidik juga menentukan apakah akan dilakukan secara terbuka atau dengan diam-diam. Penyidik menyisipkan sistem write blocker (berbasis hardware atau software) agar tidak mengubah konten.
Referensi :
Live Forensic Acquisition
Perbedaan karakteristik antara dead dan live forensics adalah dead forensics tidak dapat memperoleh data secara live, volatile data. Setiap komputer yang dicabut dari power, maka mesin akan kehilangan data volatile memory pada RAM. Akan tetapi, fakta bahwa RAM modern menyimpan konten selama beberapa detik setelah daya hilang (loss power). Sistem tidak menghapus volatile memory secara tiba-tiba, tetapi konten menjadi kurang dipercaya ketika tidak dibangkitkan secara teratur.
Gambar ilustrasi live forensics
Apabila komputer hidup, penyidik harus memilih data yang akan disalin secara local melalui jaringan. Selain itu, penyidik juga menentukan apakah akan dilakukan secara terbuka atau dengan diam-diam. Penyidik menyisipkan sistem write blocker (berbasis hardware atau software) agar tidak mengubah konten.
Referensi :
Marthie Lessing, Basie von Solms, Live Forensic Acquisition As Alternative To Traditional Forensic http://researchspace.csir.co.za/dspace/bitstream/10204/3141/1/Lessing5_2008.pdf diakses tgl 19 Februari 2013
Frank Adelstein, Live forensics: Diagnosing Your System Without Killing It First. http://www.atc-nycorp.com/images/Publications/CACM_LiveForensics.pdf diakses tgl 19 Februari 2013
Diposting juga di blog utama saya : http://blog.wongkebumen.com/live-forensics-issue/
Ditulis
Aluna
—
Monday, February 18, 2013
—
Add Comment
—
2013,
Digital Evidence,
Digital Forensic,
Live Forensics,
Traditional Forensics
Belum ada tanggapan untuk "Live Forensics Issue"
Post a Comment