Jenis data dalam proses investigasi - Evidence Location

Pada postingan ini akan membahas tentang evidence locations yang bersumber dari buku Angus McKenzie Marshall yang berjudul Digital Forensics, Digital Evidence in Criminal Investigation. Setiap barang bukti digital yang didapatkan akan dianalisa dan di recover terlebih dahulu. Ada 4 jenis data utama yang akan diperiksa diantaranya yaitu live data, deleted file, swap space dan slack space. Untuk penjelasan lebih lanjut mengenai 4 file tersebut akan dibahas satu persatu.

a. Live Data
Live data adalah format data didalam sebuah sistem yang dapat diakses secara langsung oleh pengguna. Dalam pengumpulan barang bukti live data cenderung lebih mudah karena data yang didapatkan secara langsng dapat dilihat dan dianalisa lebih lanjut lagi.

Secara umum live data mempunyai nilai yang kuat untuk dijadikan barang bukti karena data yang diperoleh terbukti secara langsung dan dilihat secara langsung serta berhubungan dengan sesuatu maupun tindakan apa yang telah dilakukan terhadap file tersebut.


Selanjutnya karena live data dibuat dan dikelola oleh sistem opaerasi dan aplikasi perangkat lunak. Live data memiliki catatan waktu yang akurat, tergantung dengan kesesuaian jam yang ada dalam perangkat tersesebut.


Proses yang terjadi dalam sebuah sistem mempunyai catatan waktu. Catatan waktu yang terjadi biasanya dikenal dengan sitilah MAC (Modified, Accessed, Created).

  • Modified adalah catatan yang menampilkan waktu kapan terakhir kali data dimodifikasi, yaitu ketika terakhir kali disimpan. Modified menampilkan waktu terakhir perubahan file.
  • Accessed adalah catatan untuk menampilkan kapan waktu terakhir kali file tersebut diakses.
  • Created adalah catatan yang menampilkan kapan data tersebut dibuat pertama kalinya.
Untuk lebih jelasnya mari kita lihat gambar berikut ini :
Gambar tersebut menunjukan kapan file tersebut dibuat pertama kali, kemudian menujukkan juga kapan file dimofikasi dan di simpan kemabli dan yang terakhir menunjukkan kapan file tersebut di access oleh pengguna.

Catatan waktu ini merupakan sebuah file metadata yang dapat menunjukan urutan kejadian  maupun kegiatan yang terjadi didalam sebuah sistem.

b. Deleted Data
Setelah membahas mengenai live data, sekarang kita akan membahas mengenai deleted data. Deleted data merupakan data yang dihapus dari sistem oleh pengguna di dalam sistem operasi karena alasan tertentu. Untungnya bagi tim forensik, sebagian besar sistem operasi tidak sepenuhnya menghapus data tersebut. Namun data tersebut akan dipindahkan ke sebuah tempat penyimpanan baru yang tidak terlihat dan dapat digunakan kembali. Hal ini dilakukan karena dengan menghapus data yang besar akan memakan waktu sehingga akan jauh lebih mudah jika dipindahkan ke sebuah tempat penyimpanan lain yang dapat digunakan kembali dan menimpanya kembali jika diperlukan. 

Dengan adanya pemindahan file tersebut, ada kemungkinan jika data tersebut diperlukan kembali maka data yang terhapus bisa dikembalikan lagi dengan merecoverinya menggunakan software forensik. 

Sayangnya karena data telah diberi label delete, metadatanya tidak lagi tidak sepenuhnya bisa diandalkan, sehingga informassi yang berkaitan dengan pencatatan modified, accessed, dan created file tidak dapat diandalkan lagi seperti pada live data. 

c. Swap Space
Fitur lain dari sistem operasi modern saat ini adanya kemampuan aplikasi untuk menggunakan media penyimpanan seolah – olah media tersebut adalah bagian dari RAM. Dari dulu hinggal sekarang swap space telah banyak diterapkan dan digunakan, hal ini membuat sistem memiliki memori utama yang lebih besar dari pada memori yang sesungguhnya. Ini merupakan cara untuk membuat biaya pembelian hardware menjadi lebuh murah. Bayangkan jika harus membeli RAM, pembelian akan menjadi sangat mahal karena harga RAM rata-rata 10 kali lebih mahal dari pada media penyimpanan data seperti hardisk. 

Sebagai contoh apabila seorang karyawan mendapatkan panggilan telepon sementara itu ia sedang sibuk mengerjakan pekerjaan. Teelepon tersebut menandakan adanya tugas baru dari atasan. Hal yang paling efektif adalah dengan menuliskan infromasi yang berkaitan dengan perkerjaan barunya. Setelah panggilan telepon ditutup maka karyawan dapat melanjutkan kembali pekerjaannya. Kemudian setelah pekerjaan yang ia buat.

Proses swapping dilakukan secara otomatis oleh software. User hanya dapat menentukan berapa banyak kapasitas disk yang dapat digunakan sebagai swap area, tetapi tidak bisa memilih program atau bagian mana yang akan dikeluarkan dimaskukan kedalam swap.

Karena lebih banyak program dan data yang menempati memori utama, sistem akan memonitor penggunaan memori tersebut dan mengidentifikasi daerah  yang paling sering digunakan tersebut. Ketka memori utama padat digunakan untuk menampung data bau maka sistem operasi akan memilih bagian mana dari memori untuk menyimpannya ke swap area dan kembali mengalokasikan nya untuk data baru maupun program.

Ketika program yang dimiliki memori dibutuhkan kembali maka akan diakses kembali. Sistem operasi memilih area baru untuk mengeluarkan swap yang dapat membuat beban data awal kembali ke memori utama lagi.

Karena user tidak dapat mengontrol proses yang terjadi, dapat menyebabkan data yang ada didalam swap tidak pernah dibuat kedalam media penyimpanan untuk  alasan tertentu. Area swap dapat dijadikan sumber informasi untuk password terhadap data yang terenskripsi.

Karena tidak adanya meta data didalam area swap maka akan sulit menentukan catatan waktu yang berkaitan data yang tersimpan didalamnya.

d. Slack Space
Data yang akan dipertimbangkan terakhir dalam rekontruksi awal barang bukti adalah slack space. Slack space merupakan data yang tersimpan disamping live data, namun penyimpananya tidak disengaja oleh user. Slack Space adalah ruang kosong yang telah terpakai oleh file, tetapi area yang dipakai tidak dihabiskan seluruhnya untuk penyimpanan data sehingga terjadilah slack space. Ruang Slack Space berisikan file sebelumnya yang sudah terhapus.

Setiap media penyimpanan  akan akan berisi blok blok are yang akan menentukan jumlah Mininum Allocation Unit (MAU) sebuah data yang tersimpan dalam hardsik. Hardisk maupun flash disk akan dilakukan format terlebuh dahulu sebelum digunakan. Pada saat memformatnya kita jarang yang memperhatikan setting allocation unit size. Sebenernya apa sih allocation unit size tersebut. Allocation unit size merupakan tempat penyimpanan data yang berbentuk blok-blok. 

Gambar dibawah ini menunjukkan penggunaan Mininum Allocation Unit (MAU) yang menyebabkan terbentuknya slack space. Dari keempat blok ini, tiga blok benar-benar terisi data, namun ada slack space pada blok ke empat berisi data yang telah terhapus sebelumnya.

Semakin banyak blok yang digunakan akan menyebabkan pembacaan maupun penyimpaan data dalam hardisk menjadi semakin lama. Yang tentu saja akan akan memperlambat kinerja hard disk. Namun semakin besar blok yang dipakai, semakin besar juga allocation unit size yang dipilih, semakin besar juga kemungkinan terjadinya slack space di dalam hardisk.

Dalam dunia forensik, slack space sangat penting karena dalam slack space tersebut dapat dijadikan barang bukti dalam penyelidikan karena biasanya file yang terlah terhapus akan tesimpan didalam slack space. Nah data dalam slack space tersebutlah yang dapat di munculkan kembali dengan menggunakan software forensik untuk dianalisa oleh ahli forensik untuk pengungkapan sebuah kasus.

Referensi
  • Marshall, A. M. (2008). Digital Forensics - Digital Evidence in Criminal Investigation. A John Wiley & Sons, Ltd.



Related Posts:

0 Response to "Jenis data dalam proses investigasi - Evidence Location"

Posting Komentar