Evidence Location

     

       Dalam forensika digital, mencari dan menemukan bukti digital jauh lebih susah daripada mencari bukti seperti forensic konvensional. Agar dapat dianalisa dan digunakan secara valid , bukti digital harus ditangani sesuai dengan sifat dan karakteristiknya karena bukti digital bersifat rentan, mudah dimanipulasi, mudah dihapus, dan dimodifikasi. Keunikan dari bukti digital adalah dapat di- interpretasikan dalam bentuk biner dan bit, yang bisa saja berada “dimana saja”.  Maka diperlukan kemampuan dari seorang investigator forensic digital , untuk menemukan bukti digital sebanyak dan se-valid mungkin, dan pengetahuan tentang “lokasi “bukti digital sangat diperlukan.

      Dalam buku nya yang berjudul Digital Forensik : Digital Evidence in Criminal Investigation , Angus M. Marshal(2008), membagi lokasi terdapatnya bukti digital dalam 4 jenis utama , yaitu  :

1. Live Data

2. Delete Data

3. Swap Space

4. Slack Space.

1. Live Data

Live data  adalah  data yang muncul  pada sistem dalam format tertentu sehinga data tersebut dapat diakses oleh pengguna atau perangkat lunak secara langsung. Biasanya, data-data tersebut merupakan hasil operasi normal dari perangkat atau perangkat lunak sebagai akibat dari tindakan yang disengaja.

Secara umum, live data memiliki nilai pembuktian yang lebih besar karena mereka dapat secara langsung menampilkan kegiatan atau aktifitas yang dilakukan oleh user ataupun sistem. Selain itu, dikarenakan  file dari live data dibuat dan dikelola langsung sistem operasi didalam sebuah software, maka  live data memiliki cap waktu/ timestamps, sejauh jam pada perangkat tersebut akurat.

Timestamps/Cap waktu

Sebagian besar sistem operasi memiliki tiga timestamps untuk setiap file pada sistemnya, yang dikenal sebagai  MAC (Modified, Accessed, Created) time:

a.      Modified:

Mencatat waktu kapan terakhir kali file tersebut dimodifikasi, yaitu ketika terakhir disimpan.

b.      Access

Mencatat waktu kapan terakhir kalinya file tersebut dibaca. Pada sebagian besar sistem operasi ini hanya mencatat tanggal, bukan waktu secara lengkap ( jam , menit, detik).

c.       Created

Mecatat  ketika file tersebut muncul untuk  pertama kalinya pada sistem sebagai file baru.

 Timestamps merupakan salah satu bagian dari file meta-data yang dapat digunakan untuk menentukan urutan kejadian dan sifat aktivitas di sistem.

2. Delete Data

Salah satu area yang berguna dalam mencari bukti digital adalah data yang dihapus didalam sistem.  Delete data merupakan data yang pernah ada pada suatu lokasi penyimpanan dahulunya, namun  telah dihapus oleh pengguna atau sistem operasi untuk beberapa alasan.

Sebagian besar sistem operasi tidak benar-benar menghapus data yang dihapus, dan hal itu sangat menguntungkan para investigator forensic.

Sistem operasi, biasanya menandai sebuah area perangkat penyimpan untuk ditempati oleh data yang telah dihapus, sehingga dapat digunakan kembali. Hal ini dilakukan karena, secara historis, menghapus data adalah tugas sulit dan  memakan waktu yang lama maka jauh lebih mudah untuk hanya menandai ruang sebagai ruang tersedia untuk digunakan kembali atau menimpa data tersebut bila diperlukan.

Kerugian daripada fungsi ini ,  informasi dari delete file ini dapat digunakan oleh oknum-oknum tertentu untuk melakukan kejahatan, karena dengan alat dan software yang tepat, data tersebut dapat dipulihkan , dan digunakan untuk tujuan tertentu, contohnya pemerasan, atau penyebaran content senonoh. Sayangnya, karena files telah ditandai sebagai “file yang dihapus”, meta-data file tersebut tidak bisa lagi dianggap sepenuhnya dapat diandalkan, sehingga informasi seperti waktu MAC  ( Modified, Access, Created) tidak bisa diandalkan seperti pada live data.

3. Swap place

Fitur lain yang umum terdapat pada sistem operasi dan aplikasi modern adalah kemampuan untuk menggunakan perangkat penyimpanan seolah-olah mereka adalah bagian dari mesin utama RAM. Perkembangan dari teknologi membuat peragkat seolah-olah  memiliki memori utama lebih besar, sebagai cara untuk menjaga biaya hardware turun. Biaya RAM original, rata-rata, sekitar 10 kali lebih besar dari disk penyimpanan.

Konsep dari swap place adalah, ketika kita menjalankan sebuah program secara multitasking , maka program yang berjalan dibawah program utama akan menyimpan secara otomatis pada suatu area yang disebut swap place, dan saat program tersebut kembali dibuka, fungsi-fungsi dari program itu akan tetap berjalan.

Proses swapping benar-benar otomatis dan di bawah kendali perangkat lunak. Pengguna biasanya hanya dapat memilih berapa banyak ruang disk yang dapat digunakan sebagai ruang swap, tetapi tidak dapat memilih program atau potongan data yang akan bertukar keluar/masuk.

Karena lebih banyak data dan program menempati memori utama, sistem memonitor penggunaan memori dan mengidentifikasikan  daerah mana yang paling digunakan dalam hal frekuensi penggunaan, berdasar penggunaan atau ukuran lainnya. Ketika memori utama menjadi terlalu "ramai" untuk mengakomodasi perangkat lunak baru atau data, sistem operasi memilih bagian mana dari memori untuk menyimpan ke disk dan kembali mengalokasikan-data atau program baru. Kemudian, ketika program yang awalnya dimiliki memori perlu akses ke sana lagi, sistem operasi memilih daerah baru untuk swap keluar, memindahkannya ke disk dan kemudian beban data asli kembali ke memori utama.

Karena pengguna tidak memiliki kontrol proses, sangat mungkin untuk menemukan data pada swap space. Swap space sering menjadi sumber informasi yang baik tentang password untuk mengenskripsi files dan data sensitif lainnya.

Karena Swap space selalu konstans digunakan, dan tidak memiliki metadata tertentu yang terkait maka sulit untuk menentukan kapan tepatnya  data tersebut disimpan didalamnya.

4. Slack Space

Slack space adalah data yang disimpan bersama live data, tapi tidak sengaja diletakkan di sana oleh pengguna. Slack space cenderung muncul karena beberapa sifat dari perangkat penyimpanan dan file  systems yang mengharuskan bahwa ada jumlah minimum data yang harus ditulis, atau membaca dari, perangkat penyimpanan. Ukuran yang tepat dari Satuan Alokasi Minimum / Minimum Allocation Unit ( MAU) bervariasi dari file sistem ke file sistem lainnya. Semakin besar MAU, semakin besar kesempatan slack space  berisi data yang berguna bagi penyelidikan.

Gambar diatas menunjukkan bagaimana MAU menyebabkan terjadinya slack space ketika data ditulis pada perangkat. MAU akan memastikan bahwa ketika data ditulis dia akan memenuhi alokasi minimum , bila tidak sistem MAU akan mengambil secara acak data dari beberapa program untuk mengisi kekurangan tersebut. Pengguna tidak memiliki kontrol atas bagaimana sistem memilih area mana dari memori untuk digunakan sebagai padding ( area pengalokasian data slack). Pada gambar diatas tiga blok benar-benar terisi, namun blok ke-empat tidak terisi penuh sehingga harus diisi oleh beberapa data yang diambil secara acak dari RAM.

Karena data pada slack space ditulis pada waktu yang sama dengan isi sebenarnya dari file, modified time dapat digunakan untuk menunjukkan bahwa data muncul dalam memori utama tepat pada saat file tersebut dibuat. Data dalam slack space tidak dibuat tersedia untuk program “read”, sehingga waktu pengaksesan  (access time) menjadi tidak signifikan.

Referensi

Marshall, A.M., 2008. Digital Forensics : Digital Evidence in Criminal Investigation. Jonh wiley & Sons, Ltd. West Sussex, UK,