Mengakuisisi data merupakan langkah proaktif pertama dalam proses investigasi forensik. Secara sederhana data acquisition merupakan penggunaan metode yang sudah ada untuk mengekstraksi informasi secara elektronik dari komputer yang dicurigai adanya hubungan dengan insiden atau kejahatan siber. Data acquisition dibedakan menjadi 2, yaitu live acquisition dan dead acquisition. Maksud dari live acquisition adalah melakukan akuisisi pada perangkat yang masih hidup sedangkan dead acquisition merupakan akuisis pada perangkat yang telah mati. Perlu diingat dalam investigasi, apabila ditemukan perangkat dalam kondisi hidup maka tidak boleh dimatikan, dan juga apabila ditemukan perangkat dalam kondisi mati maka tidak boleh dihidupkan. Tentu saja pada akusisi terhadap perangkat yang masih hidup, hal prioritas yang dilakukan adalah akuisisi pada data yang bersifat volatile seperti system data (current configuration, running proccess, running state) dan network data (routing table, ARP cache). Perhatikan urutan data akuisis yang bersifat volatile:
- Registers and cache
- Routing table, process table, kernel statistics, and memory
- Temporary system files
- Disk or other storage media
- Remote logging and monitoring data that is relevant to the system in question
- Physical configuration, and network topology
- Archival media
 |
| sumber: https://pixabay.com/photos/laptop-desk-data-acquisition-system-7332519/ |
Pada dead acquisition, pastikan perangkat yang dicurigai telah powered off. Perangkat-perangkat yang umum dilakukan akuisisi seperti hard drives, DVD ROMs, USB drives, flash cards, dan smart phones. Beberapa aturan penting dalam melakukan akuisisi pada kondisi perangkat powered off:
- Jangan bekerja pada evidence secara langsung
- Gunakan media penyimpan yang bersih
- Buat master copy, library copy, dan working copy
 |
| sumber: ec-council |
Untuk mendapatkan capture dari data yang bersifat volatile contohnya RAM dapat digunakan Belkasoft Live RAM Capturer yang bisa didapatkan di https://belkasoft.com. Sedangkan data yang bersifat non-volatile pada awalnya dilakukan write protection agar data tersebut tidak ter-rewrite. Kemudian untuk membuat image dapat digunakan AccessData FTK Imager yang bisa diakses melalui https://accessdata.com. Imager yang dibuat perlu diduplikasi menjadi master, library, dan working. Nantinya yang digunakan untuk melakukan examine atau pemeriksaan yaitu working copy. Apabila terjadi kerusakan saat melakukan pemeriksaan pada working copy maka dapat dilakukan pemeriksaan pada library copy. Hal ini juga dilakukan untuk menghindari kontaminasi pada evidence. Lebih lanjut untuk memastikan konten tidak berubah harus dibuat hash pada setiap copy. Hash merupakan digital fingerprint. Di windows untuk membuat hash sebuah file cukup dengan membuka command prompt atau powershell dan melakukan sedikit command misalnya: certutil -hashfile contoh.txt MD5.
- Determaining the data acquisition method
- Metode akuisisi harus diadipsi bergantung dengan situasi dari investigator saat di lokasi. Hal-hal yang perlu dipertimbangkan dalam menentukan metode seperti ukuran drive yang dicurigai (lakukan kompresi dan pengujian dengan hash sebelum serta setelah kompresi), waktu yang dibutuhkan untuk mengakuisisi image (misalnya untuk mengakuisisi data 1TB biasanya butuh waktu 11 jam), dan apakah drive yang dicurigai bisa dipertahankan.
- Determaining the data acquisition tool
- Alat yang digunakan untuk membuat image harus valid dan teruji untuk memastikan prosedur dapat berjalan secara akurat dan bisa berulang. Syarat validitas seperti alat tersebut harus tidak mengubah konten original, membuat log I/O errors saat diakses atau dibaca, harus bisa membandingkan sumber dan destinasi, kemampuan melewati tinjauan saintifik, harus bisa mengakuisisi seluruh data baik visible maupun hidden, dan harus bisa membuat bit-stream sehingga tidak error saat mengakses media.
- Sanitizing the target media
- Sanitasi atau pembersihan dari media yang akan digunakan untuk menyimpan data akuisis penting dilakukan agar tidak terjadi perbedaan saat retrieving atau pengambilan data untuk diperiksa di laboratorium. Lebih baik jika menggunakan media penyimpanan yang baru, sebab media yang kontennya dihapus atau diformat tetap saja masih ada di dalam media tersebut. Misalnya menggunakan DiskCryptor untuk melakukan format pada media agar lebih aman.
- Acquiring volatile data
- Akuisisi volatile data harus dilakukan hati-hati karena akan bisa mengubah data yang bersifat dinamik. Alat yang mungkin digunakan untuk mengakuisisi data volatile seperti Belkasoft Live RAM Capturer (https://belkasoft.com).
- Enabling write protection on the evidence media
- Perlindungan write dilakukan agar evidence terhindar dari modifikasi. Ada 2 cara untuk write protection, yaitu dengan hardware write blocker (contohnya CRU WiebeTech USB WriteBlocker dan Tableau Forensic USB Bridge) dan software write blocker (contohnya SAFE Block dan MacForensicsLab Write Controller).
- Acquiring non-volatile data
- Berbeda dengan volatile data yang harus diakuisisi saat perangkat masih hidup, untuk non-volatile data dapat dilakukan akuisisi baik perangkat dalam keadaan hidup maupun dalam keadaan mati. Alat yang dapat digunakan seperti AccessData FTK Imager.
- Planning for contingency
- Perencanaan untuk contingency merujuk pada membuat backup untuk mengantisipasi kegagalan saat akuisisi atau bahkan saat software tidak dapat berjalan dengan baik.
- Validating data acquisition
- Maksud dari validasi data adalah menyimpan nilai hash dari Evidence untuk menjaga integrity dari evidence. Algoritma hash yang cukup tangguh misalnya SHA-512.
ref:
Komentar