SWGDE: Best Practices for Computer Forensics

SWGDE (Scientific Working Group on Digital Evidence) adalah sebuah organisasi yang bertujuan untuk menciptakan standar untuk penanganan barang bukti digital dan multimedia. Dibentuk pada tahun 1998 sebagai wadah bagi organisasi-organisasi yang secara aktif terlibat dalam bidang bukti digital dan multimedia untuk mendorong komunikasi dan kerja sama, serta memastikan kualitas dan konsistensi di dalam komunitas forensik.

Postingan kali ini akan membahas mengenai dokumen yang dikeluarkan oleh SWGDE pada 5 September 2014, yaitu “Best Practices for Computer Forensics” yang pada saat itu telah mencapai versi 3.1.

SWGDE: BEST PRACTICES FOR COMPUTER FORENSICS

A. TUJUAN

Untuk mendeskripsikan langkah terbaik dalam pengumpulan, analisis, dan pendokumentasian data yang ditemukan pada uji forensik komputer.

B. RUANG LINGKUP

Menyediakan informasi dasar dalam melakukan akuisisi komputer dan media penyimpanan terkait baik secara fisik maupun logik . Dokumen ini ditujukan untuk pemeriksa laboratorium forensik dan personil yang mengumpulkan bukti digital di lapangan.

C. BATASAN

Dokumen ini tidak mencakup semua alat digital yang mungkin memiliki informasi elektronik di dalamnya, seperti mobile phone, game system, dan GPS device.
Dokumen ini hanya membahas mengenai device yang tersedia pada saat dokumen ini ditulis.
Teknologi yang berkembang ke depannya akan dituliskan dalam dokumen revisi.
Banyak organisasi yang tidak memiliki pemeriksa yang ahli untuk pengumpulan semua bukti digital. Teknik-teknik dalam dokumen ini harus dilakukan oleh personil yang terlatih.
Akuisisi dan batasan terkait untuk komputasi awan (cloud computing) tidak termasuk dalam ruang lingkup dokumen ini.

D. PENGUMPULAN BARANG BUKTI

Pedoman umum berkaitan dengan pengumpulan bukti digital adalah sebagai berikut:

Melakukan konsultasi dengan investigator untuk menentukan detail kasus dan bukti-bukti potensial untuk dikumpulkan.
Menentukan peralatan yang dibutuhkan untuk dibawa ke tempat kejadian.
Meninjau kembali otoritas hukum untuk mengumpulkan bukti dan memastikan semua larangan dituliskan. Jika dibutuhkan, dapat menghubungi otoritas hukum tambahan untuk bukti di lokasi lain.
Dimungkinkan untuk melakukan proses forensik tradisional terhadap media (seperti DNA dan jejak lainnya). Hal tersebut tergantung pada kasus yang ditangani dan harus didiskusikan dengan investigator untuk menentukan kebutuhan proses forensik tradisional dan tata urutan forensik yang harus dilakukan.
Ketika bukti di tempat kejadian tidak dapat dipindahkan, bukti tersebut harus disalin dan dibuat image-nya saat di tempat tersebut.
Semua individu yang tidak terlibat dalam proses pengumpulan barang bukti, tidak diperkenankan berada dekat dengan barang bukti digital.
Individu yang mungkin memiliki informasi relevan, seperti username, password, sistem operasi, dan akses jaringan, harus diidentifikasi dan dimintai keterangan.
Pencarian di tempat kejadian harus dilakukan dengan cara sistematis dan seksama. Dalam proses pencarian ini, seharusnya dapat mengenali berbagai tipe barang bukti yang mungkin mengandung bukti digital, seperti USB drive, server, dan media penyimpanan nirkabel.
Kemungkinan adanya teknik anti-forensik, seperti destructing device dan wiping software, harus dipertimbangkan.

E. PENANGANAN BARANG BUKTI

Mendokumentasikan kondisi barang bukti:

Foto (layar, bagian depan dan belakang komputer, area sekitar tempat komputer diamankan) dan/atau membuat sketsa dari koneksi komputer dan area sekitarnya.

Menentukan apakah komputer dalam mode stand-by dan mengikuti prosedur seperti melakukan forensik pada komputer yang menyala.

Mendokumentasikan koneksi komponen eksternal.

F. PENGECEKAN BARANG BUKTI

Kemungkinan tidak perlu dilakukan pada setiap kondisi.
Kemungkinan dapat menghilangkan nilai pembuktian.
Timestamp dan datestamp dapat terpengaruh oleh proses pengecekan pada sistem yang sedang berjalan.
Bukan pemeriksaan barang bukti secara lengkap dan menyeluruh.

1. PENGECEKAN BARANG BUKTI PADA SISTEM YANG POWERED-ON

Pemeriksa harus:

Memeriksa komputer pada bagian proses yang sedang berjalan (running process). Jika ditemukan ada proses yang bersifat destruktif, pemeriksa harus menghentikan proses tersebut dan mendokumentasikan aktivitas yang dilakukan.
Melakukan proses capture pada RAM dan data volatile lainnya dari sistem operasi, seperti koneksi jaringan, password, status file system, user yang terkoneksi, dll. Untuk lebih lengkapnya mengenai data volatile ini, silakan merujuk pada Dokumen “SWGDE: Capture of Live Systems“.
Menentukan jika ada running process yang berkaitan dengan cloud atau media penyimpanan yang ada di lokasi lain. Jika ditemukan indikasi ini, pemeriksa harus berkoordinasi dengan otoritas hukum yang berkaitan untuk memastikan ruang lingkup kejadian mencakup akuisisi dari media penyimpanan yang ada di lokasi lain tersebut.
Mendokumentasikan dan menghibernasi mesin virtual (virtual machine) yang sedang berjalan.
Mempertimbangkan adanya perangkat lunak enkripsi yang terpasang di komputer sebagai bagian dari sistem operasi. Jika ada, maka metode forensik yang tepat harus digunakan untuk mendapatkan data yang tidak terenkripsi sebelum komputer dimatikan.
Menyimpan file apapun yang sedang terbuka ke dalam media trusted.
Mengevaluasi akibat dari mencabut kabel power vs mematikan komputer. Hal ini biasanya berdasarkan sistem operasi dan sistem file yang digunakan.
Mengisolasi komputer dari konektivitas jaringan apapun.
Menggunakan alat forensik triage untuk memeriksa data.

2. PENGECEKAN BARANG BUKTI PADA SISTEM YANG POWERED-OFF

Jika komputer yang ditemukan dalam keadaan mati, jangan nyalakan komputer tersebut.

Hanya personil terlatih yang diperbolehkan untuk menyalakan komputer tersebut.
Memutuskan semua konektivitas jaringan fisik.
Mempertimbangkan kemungkinan penggunaan Wake on Wireless LAN (WoWLAN) dan BIOS timed booting sequences.
Memverifikasi sistem komputer untuk kompatibilitas dengan alat dan perangkat lunak forensik triage.
Mengidentifikasi dan mendokumentasikan barang bukti, jika dapat dilakukan.
Menyimpan barang bukti ke media trusted.

3. PENGECEKAN BARANG BUKTI PADA LOOSE MEDIA

Jika dimungkinkan, gunakan peralatan yang memiliki fitur “Write Blocker” untuk mengumpulkan dan mendokumentasikan barang bukti.

4. PENGECEKAN BARANG BUKTI PADA KOMPUTER

Memutuskan semua sumber daya listrik dengan cara mencabut kabel power dari bagian belakang komputer.
Baterai pada laptop harus dilepas.

5. PENGECEKAN BARANG BUKTI PADA SERVER

Menentukan pengambilan bukti dari server, apakah itu file logik, image logik (partisi), ataupun image fisik (keseluruhan disk).
Jika dimungkinkan, berikan pertimbangan untuk mengumpulkan bukti dari tape dan drive cadangan (backup), karena bisa jadi terdapat bukti tambahan di dalamnya.
Proses capture pada data volatile server perlu dilakukan, kecuali situasinya menjamin untuk tidak perlu dilakukannya capture.

PERINGATAN!!!
Mencabut kabel power dari server sangat dapat merusak sistem, mengganggu proses bisnis, dan/atau menciptakan kendala organisasi.

G. PENGAMANAN DAN PEMINDAHAN BARANG BUKTI

Setiap barang bukti harus dilindungi dari kerusakan atau modifikasi, diberi label dan dokumen kepemilikan barang bukti (Chain of Custody) yang ditentukan oleh peraturan organisasi.
Penanganan khusus harus dilakukan terhadap pemindahan barang bukti digital untuk menghindari kerusakan fisik, getaran dan efek dari medan magnet, listrik statis, dan variasi suhu dan/atau kelembaban.

H. PERSIAPAN PERALATAN

Perlengkapan yang dimaksud adalah hardware dan software yang bukan bagian dari barang bukti yang digunakan oleh pemeriksa untuk melakukan forensik dan analisis barang bukti.
Pemeriksa harus memastikan bahwa peralatan yang dibawanya telah memenuhi kebutuhan kasus dan dapat berjalan dengan kondisi baik. Kondisi perlengkapan harus didokumentasikan.
Hardware dan software harus dikonfigurasi untuk mencegah kontaminasi barang bukti.
Petunjuk operasional penggunaan dan dokumetasi lainnya dari setiap perlengkapan harus tersedia jika dibutuhkan.
Software analisis atau software imaging harus divalidasi sebelum digunakan. Untuk lebih jelasnya, silakan merujuk pada Dokumen “SWGDE: Recommended Guidelines for Validating Testing“.

I. PROSES AKUISISI

Personil yang memeriksa barang bukti harus terlatih, seperti merujuk pada Dokumen “SWGDE/SWGIT: Guidelines & Recommendations for Training in Digital & Multimedia Evidence“.
Tindakan pencegahan harus dilakukan untuk mencegah barang bukti terkontaminasi substansi atau material berbahaya.
Semua barang bukti yang diserahkan untuk uji forensik harus diperiksa integritas fisiknya.
Metode untuk mendapatkan barang bukti harus berbasis forensik dan terverifikasi. Penyimpangan dalam penerapan metode harus didokumentasikan.
Bukti digital yang diserahkan untuk uji forensik harus dipelihara agar integritas datanya terjaga. Informasi tambahan mengenai integritas data dapat merujuk pada Dokumen “SWGDE: Data Integrity within Computer Forensics“.
Image forensik dapat disimpan pada media trusted dan dipelihara sesuai dengan peraturan organisasi serta hukum yang berlaku.
Kesalahan yang terjadi selama proses akuisisi harus didokumentasikan.
Langkah-langkah yang harus dilakukan untuk memastikan integritas data yang didapatkan, di antaranya adalah:

Menggunakan nilai hash, seperti MD5, SHA-1, dan SHA-256.

Disimpan dalam media yang read-only, seperti CD-R dan DVD-R.

Disimpan dalam wadah/kantong anti-modifikasi barang bukti.

TIPE AKUISISI

1. Physical

Hardware atau software dengan fitur “Write Blocker” harus digunakan jika memungkinkan untuk mencegah penulisan data pada barang bukti asli.
Image forensik harus diambil dengan menggunakan hardware atau software yang memiliki kemampuan untuk melakukan proses capture bit per bit (bit stream image) dari media aslinya.

2. Logical

Hardware atau software dengan fitur “Write Blocker” harus digunakan jika memungkinkan untuk mencegah penulisan data pada barang bukti asli.
Image forensik harus diambil dengan menggunakan hardware atau software yang memiliki kemampuan untuk melakukan proses capture sebagian atau image logik dari media aslinya.

3. Live

Data live harus diambil dengan menggunakan hardware atau software yang memiliki kemampuan untuk melakukan proses capture sebagian atau image logik dari media aslinya.
Software akuisisi untuk data live harus dijalankan dari media trusted untuk mencegah perubahan yang tidak perlu pada sistem yang sedang berjalan.
Software akuisisi untuk data live harus dijalankan menggunakan user dengan level privilege tertinggi untuk memastikan bahwa semua data tersedia untuk diakuisisi.
Informasi tambahan mengenai akuisisi pada live system dapat merujuk pada Dokumen “SWGDE: Capture of Live Systems“.

4. Targeted File

Targeted file harus diambil dengan menggunakan hardware atau software yang memiliki kemampuan untuk melakukan proses capture sebagian atau image logik dari media aslinya.
Pemeriksa harus meminta informasi mengenai apakah barang bukti yang terkait dengan targeted file harus diambil juga, seperti file LNK, jump list, dan associated registry keys.

J. ANALISIS/UJI FORENSIK

Personil yang memeriksa barang bukti harus terlatih, seperti merujuk pada Dokumen “SWGDE/SWGIT: Guidelines & Recommendations for Training in Digital & Multimedia Evidence“.
Personil yang memeriksa barang bukti harus meninjau kembali dokumentasi yang disediakan oleh pemohon untuk menentukan proses yang dibutuhkan dalam menyelesaikan analisis.
Personil yang memeriksa barang bukti harus meninjau kembali mengenai otoritas hukum, seperti persetujuan pencarian barang bukti oleh pemilik, surat izin penggeledahan, atau otoritas hukum lainnya.
Melakukan analisis dengan menggunakan barang bukti asli tidak diperbolehkan. Analisis hanya boleh dilakukan dengan menggunakan salinan atau image forensik.
Kendali dan standar yang tepat harus digunakan dalam prosedur analisis.
Analisis yang dilakukan harus diselesaikan secara lengkap dan sesuai dengan peraturan organisasi.

K. PROSES DOKUMENTASI

Proses dokumentasi harus memenuhi semua informasi yang dibutuhkan dan dipelihara dengan merujuk pada peraturan organisasi di mana personil yang memeriksa barang bukti bernaung.

1. DOKUMENTASI PROSES AKUISISI

Dokumentasi proses akuisisi harus mencakup:

Nama pemeriksa.
Tanggal dilakukannya proses akuisisi.
Detail proses akuisisi, seperti tipe, alat imaging, nomor versi.
Kondisi fisik barang bukti dan tanda pengenal khusus, seperti nomor seri, deskripsi, merk, dan model.
Nilai hash asli dan yang terverifikasi.
Foto dan/atau sketsa.
Dokumentasi tambahan lain yang dibutuhkan oleh organisasi di mana pemeriksa bernaung.

2. DOKUMENTASI PROSES ANALISIS/UJI FORENSIK

Dokumentasi proses analisis/uji forensik harus spesifik pada kasus dan mengandung detail yang cukup agar penguji forensik yang lain, yang kompeten dalam bidang yang sama, dapat mengidentifikasi apa yang telah dilakukan dan mereplika temuan-temuan secara independen.

3. DOKUMENTASI PROSES PENANGANAN BARANG BUKTI

Dokumentasi proses penanganan barang bukti harus mengandung:

Salinan dari otoritas hukum, seperti surat izin penggeledahan, persetujuan pencarian, dan dokumen administratif lainnya.
Informasi mengenai wadah/kantong beserta kondisi barang bukti saat diterima oleh penguji.
Deskripsi barang bukti.
Komunikasi yang berkaitan dengan kasus.

L. LAPORAN PENEMUAN

Informasi mengenai temuan-temuan harus dipresentasikan dalam sebuah format yang dapat dibaca dan dipahami oleh individu non-teknis.
Penguji harus dapat menjelaskan semua informasi yang ada dalam laporan.
Laporan harus berisi informasi yang relevan mengenai proses akuisisi dan/atau dokumentasi proses penanganan barang bukti.
Laporan yang dibuat oleh penguji harus mengacu pada kebutuhan pemohon dan:

Mendokumentasikan ruang lingkup dan/atau tujuan pengujian.

Memberikan deskripsi detail dari media yang diperiksa, seperti hard disk, media optik, atau flash drive.

Menyertakan laporan tambahan yang berkaitan dengan proses analisis.

Mencantumkan nama penguji dan tanggal proses analisis dilakukan.

Ditinjau kembali sesuai peraturan organisasi.

M. PENINJAUAN KEMBALI

Organisasi tempat penguji bernaung harus memiliki peraturan yang jelas untuk meninjau kembali tata cara teknikal dan administratif.

N. REFERENSI

Dokumen SWGDE yang direferensikan dalam dokumen ini:

SUMBER