SWGDE (Scientific Working Group on Digital Evidence)
adalah sebuah organisasi yang bertujuan untuk menciptakan standar untuk
penanganan barang bukti digital dan multimedia. Dibentuk pada tahun
1998 sebagai wadah bagi organisasi-organisasi yang secara aktif terlibat
dalam bidang bukti digital dan multimedia untuk mendorong komunikasi
dan kerja sama, serta memastikan kualitas dan konsistensi di dalam
komunitas forensik.
Untuk lebih jelasnya, bisa dibuka
websitenya www.swgde.org. Di dalam website itu terdapat dokumen-dokumen
mengenai penanganan barang bukti untuk forensik digital. Salah satu
dokumen akan dibahas dalam blog ini, yaitu mengenai bagaimana menangkap
(capture) pada sistem komputer yang hidup.
Pada dokumen tersebut dijelaskan
mengenai tujuan, ruang lingkup, urutan volatilitas, rincian teknis,
tools dan training, serta keterbatasan.
1. Tujuan
Tujuan dari dokumen ini yaitu untuk memberikan bimbingan kepada komunitas forensik duntuk mendapatkan data dari sistem komputer hidup. Sebuah perhatian utama adalah kemampuan untuk menangkap dan menyimpan data dalam format yang dapat digunakan. Faktor-faktor seperti volatilitas atau volume data, pembatasan yang diberlakukan oleh hukum otoritas, atau penggunaan enkripsi dapat mendikte kebutuhan untuk menangkap data dari sistem tanpa mengganggu siklus power (baterai/listrik).
Tujuan dari dokumen ini yaitu untuk memberikan bimbingan kepada komunitas forensik duntuk mendapatkan data dari sistem komputer hidup. Sebuah perhatian utama adalah kemampuan untuk menangkap dan menyimpan data dalam format yang dapat digunakan. Faktor-faktor seperti volatilitas atau volume data, pembatasan yang diberlakukan oleh hukum otoritas, atau penggunaan enkripsi dapat mendikte kebutuhan untuk menangkap data dari sistem tanpa mengganggu siklus power (baterai/listrik).
2. Ruang Lingkup
Makalah ini memberikan bimbingan dan pertimbangan untuk akuisisi data dari sistem komputer yang hidup yang mungkin termasuk memori dan/atau data dari file sistem yang bersifat volatile karena disimpan dalam komputer
Makalah ini memberikan bimbingan dan pertimbangan untuk akuisisi data dari sistem komputer yang hidup yang mungkin termasuk memori dan/atau data dari file sistem yang bersifat volatile karena disimpan dalam komputer
3. Urutan Volatilitas
Ketika memperoleh bukti, pemeriksa harus hati-hati mempertimbangkan
urutan di mana data akan dikumpulkan karena volatilitas pada sistem.
Pemeriksa harus memahami kebutuhan yang diberikan, situasi dan urutan pengumpulan data volatile yang sesuai.
Contoh urutan volatilitas:
1. RAM
2. Running processes (proses yang sedang berjalan)
3. Network connections (koneksi jaringan)
4. System settings (pengaturan sistem)
5. Storage media (media penyimpanan)
1. RAM
2. Running processes (proses yang sedang berjalan)
3. Network connections (koneksi jaringan)
4. System settings (pengaturan sistem)
5. Storage media (media penyimpanan)
4. Rincian Teknis
Ada empat kategori akuisisi sistem dalam kondisi hidup:
Ada empat kategori akuisisi sistem dalam kondisi hidup:
1. Live memory (RAM, pagefile, swapfile, etc.)
2. Volatile system data/processes
3. Live file/file system acquisition
4. Live physical acquisition
2. Volatile system data/processes
3. Live file/file system acquisition
4. Live physical acquisition
5. Tools dan Training
Ada beberapa tools yang ada untuk mendapatkan (capture) memori sistem dari sistem komputer. Kebanyakan solusi yang digunakan berupa perangkat lunak, membutuhkan sedikit usaha dalam memperoleh memori sistem, dan memerlukan hak administrator untuk sebagian besar sistem operasi modern.
Ada beberapa tools yang ada untuk mendapatkan (capture) memori sistem dari sistem komputer. Kebanyakan solusi yang digunakan berupa perangkat lunak, membutuhkan sedikit usaha dalam memperoleh memori sistem, dan memerlukan hak administrator untuk sebagian besar sistem operasi modern.
6. Keterbatasan
Pemeriksa harus menyadari bahwa berinteraksi dengan sistem komputer yang hidup akan menyebabkan perubahan sistem. Pemeriksa harus tahu bahwa tindakan mereka dapat menyebabkan perubahan pada data (misalnya, RAM) dan risiko yang menyebabkan ketidakstabilan sistem. Pemeriksa harus memahami masalah ini dan bagaimana mereka mendapatkan barang bukti untuk situasi tertentu seperti live system ini. Pemeriksa harus mengambil langkah-langkah untuk menjaga akses sistem selama proses akuisisi. Mengingat bahwa pemeriksa bekerja dengan data volatile, pemeriksa harus menjaga dokumentasi rinci dari semua tindakan yang diambil.
Pemeriksa harus menyadari bahwa berinteraksi dengan sistem komputer yang hidup akan menyebabkan perubahan sistem. Pemeriksa harus tahu bahwa tindakan mereka dapat menyebabkan perubahan pada data (misalnya, RAM) dan risiko yang menyebabkan ketidakstabilan sistem. Pemeriksa harus memahami masalah ini dan bagaimana mereka mendapatkan barang bukti untuk situasi tertentu seperti live system ini. Pemeriksa harus mengambil langkah-langkah untuk menjaga akses sistem selama proses akuisisi. Mengingat bahwa pemeriksa bekerja dengan data volatile, pemeriksa harus menjaga dokumentasi rinci dari semua tindakan yang diambil.
Sumber :
No comments:
Post a Comment