Feeds:
Posts
Comments

Archive for December, 2011

Hai hai hai … ketikan di awal dan di akhirtahun, cuman satu yang bisa saya ketik di blog ini … sharing sharing dah :mrgreen:

Sharing seorang Forensic Investigator 😀

Apa sih yang dimaksud subject tersebut ?

Digital Evidence (DE) di definisikan sebagai informasi apapun yang disimpan atau ditransimisikan dalam bentuk digital.

*** Info dari Digital Evidence ini bisa diambil dan dipelajari dari :
o Digital Storage Media
o Monitoring Network Traffic
o Diduplikasi dari data yang ditemukan selama forensik berlangsung

*** Digital Evidence dapat ditemukan di file – file sebagai berikut :
o Gambar
o Audio atau video yang direkam
o Internet browser history
o Logs
o Email
o dan banyak lagi .. pokoke yang berbentuk Digital deh

*** Tingkat kesadaran dari Digital Evidence
1. Banyak dari organisasi/perusahaan dapat membawa file digital tersebut ke pengadilan sebagai bukti
2. Kalau dari pemerintahan digital evidence dapat dijadikan sebagai landasan dasar dari aktivitas teroris dan cara menanggulanginya

Jadi hasil dari tingkat kesadaran Digital evidence ini sangat penting bagi seorang forensic investigator untuk menambahkan wawasan terhadap penanganan digital evidence ini.

*** Aspek tantangan untuk Digital Evidence
Banyak dari forensic investigator mendapatkan banyak tantangan untuk menangani digital evidence ini
Selama investigasi berlangsung, digital evidence dapat berubah atau hilang tanpa jejak
Jadi kalau sudah seperti itu, maka seorang investigator bakal kesulitan untuk mendapatkan bukti digital atau paling tidak dari sisa sisa yang didapat selama investigasi berlangsung

*** Karakteristik dari Digital Evidence
Kalau sebuah bukti digital akan dibawa ke pengadilan sebagai bukti yang kuat, ada beberapa hal yang perlu diperhatikan yaitu :
1. Diterima: Bukti tersebut harus terkait dengan fakta aslinya
2. Otentik: Bukti tersebut harus nyata dan terkait dengan kejadian berlangsung
3. Lengkap: Bukti tersebut harus dijadikan landasan kuat dan dibuktikan bahwa itu adalah aksi dari attacker
4. Dapat diandalkan: Bukti tersebut tidak diragukan keasliannya alias not tampering
5. Dipercaya: Bukti tersebut harus jelas dan dimengerti oleh pengadilan

Mengapa semua harus dimiliki oleh sebuah bukti Digital ? karena secara naturalnya Digital Evidence itu seperti gelas yang mudah pecah, dapat diubah keasliannya dan mempersulit pada saat investigasi forensic

*** Tipe dari Data Digital
1. Volatile Data
Volatile data dapat diubah, biasanya berisikan jam sistem, user logged, network info, process info, process mapping, memory de es be

2. Non-Volatile Data
Non-Volatile data diperlukan untuk secondary storage dan jangka pemakaian sangat lama waktunya, seperti: hidden files, slack space, swap file,
index.dat files, unallocated clusters, unused partition, hidden partition, registry, event logs de es be juga

3. Transient Data
Biasanya berisikan open network connection, user login-logout, program yang berada dimemory (bisa dilihat process dari task manager ) dan cache data.
Transient data dapat hilang begitu saja kalau komputernya di mati’in

4. Fragile Data
Jenis data ini tersimpan di harddisk seperti last access time stamps, access date on files de es be

5. Temporary accessible Data
Biasanya sih Temp file, internet temporary files de es be yang temp temp an lah… kayak tempe gitu

6. Active Data
Wah ini mah data nya yang sering berubah-ubah

7. Archival Data
Data yang diarsipkan untuk penyimpanan dalam jangka lama biasanya sih records

8. Backup Data
Nah, kalo ini biasanya data yang diduplikasikan dan ditujukan untuk Disaster Recovery ( Materi Disaster Recovery dibahas di thread lain / dan seperti biasa … kalau sempat )

9. Residual Data
Ini adalah data yang disimpan di computer tetapi dengan status deleted, coba pake FileScavenger biasanya ada tuh muncul deleted filesnya

10. Metadata
Udah pada ngerti semua apa metadata ( gak di jelas in disini )

*** Aturan dari Digital Evidence
Data Digital Evidence yang akan di tayang kan di pengadilan haruslah mempunyai aturan main nya.
Jadi aturan tersebut seperti, kapan, bagaimana dan untuk apa bukti tersebut ditampilkan

Aturan yang baik adalah bukti dari digital tersebut tidaklah mengalami perubahan sedikitpun, bagaimana caranya ?
Nah inilah kerjaan dari forensic investigator.

Ada beberapa aturan yang dapat diikuti oleh seorang forensic investigator seperti:
1. Federal Rule of Evidence ( biasanya sih amrik )
2. International Organization on Computer Evidence ( IOCE )
3. Scientific Working Group on Digital Evidence ( SWGDE )

*** Beberapa Device yang dapat dipergunakan untuk Digital Evidence
1. Computer Systems: Harddisk, CDROM, DVDROM, USB Flash Disk, Flash Memory de es be
2. Access Control Devices: Smartcard, Dongle, Biometric Scanner
3. Answering Machine ( Mesin penjawab ) biasanya: telepon
4. CamDig ( Digital Camera )
5. Handheld Devices seperti PDA
6. Modem
7. Network Components: LAN, Routers, Hubs, Switchs, Server, Network cable and Connector
8. Pager ( jadul banget ya )
9. Printer
10. Removable Storage Device and Media: CDROM, DVDROM, Memory Card
11. Scanner
12. Telephone
13. Copier
14. Skimmers
15. Digital Watch
16. Faximile
17. GPS

Wadoh, banyak juga ya yang dapat dijadikan Digital Evidence ..

Pokoke: semua yang berkaitan dengan perangkat digital dapat dijadikan Digital Evidence

*** Mempelajari Digital Evidence
1. Penilaian Digital Evidence
Apa saja yang akan dijadikan digital evidence harus dinilai terlebih dahulu keakuratannya dan keasliannya
Dan disiapkan untuk proses akuisisi.

2. Akuisisi Digital Evidence
Sebelum dijadikan Digital Evidence, harus diperhatikan adalah pengambilan semua bukti digital atau sebagian.
Kalau dunia IT seperti perangkat komputer nya. Setelah itu dilakukan Imaging process atau duplikasi tanpa perubahan alias di copy plek plek plek plek gak boleh berubah
Dilakukan dengan cara Bit-Stream Copy alias bit per bit copying process. Kemudian dicheck untuk CRC nya dan MD5 hashing value.
Setelah itu di protect, supaya tidak berubah

3. Preservasi Digital Evidence
Ini mah status dari Digital Evidence nya bagaimana, apakah komputer itu dalam keadaan mati, hidup, atau hibernate, bahkan sleep

4. Pelajari dan Analisa Digital Evidence
Dilarang melakukan analisa dalam original digital evidence. Kenapa ? karena dapat berubah nilai dari bukti aslinya, dan lakukan lah pada copy machines/evidence

5. Dokumentasi dan Laporan Digital Evidence
Nah, setelah semuanya terkumpul, barulah dibuatkan dokumentasi dan laporan atas hasil dari Digital Evidence Forensics Analysis

Sudah ah … cape ngetiknya gan :mrgreen:

Advertisements

Read Full Post »