PFD-300: Perolehan Data Elektronik
PFD-300 mengatur prosedur perolehan data elektronik secara aman menggunakan metode akuisisi fisik (physical acquisition) atau akuisisi logis (logical acquisition). Tujuan utamanya adalah memperoleh salinan forensik yang identik secara bit-demi-bit (bit-by-bit forensic image) atau salinan logis yang memadai, tanpa mengubah data asli. Setiap sub-prosedur disesuaikan dengan jenis dan kondisi objek perolehan.
Prinsip Dasar Perolehan
Section titled “Prinsip Dasar Perolehan”- Integritas: Data asli tidak boleh diubah dalam proses apa pun. Gunakan write-blocker.
- Verifikasi: Setiap salinan harus diverifikasi menggunakan hash kriptografis (minimal MD5 dan SHA-1; SHA-256 direkomendasikan).
- Dokumentasi: Setiap langkah dicatat, termasuk alat yang digunakan, waktu mulai dan selesai, serta hash yang dihasilkan.
PFD-301: Komputer dalam Kondisi Hidup
Section titled “PFD-301: Komputer dalam Kondisi Hidup”Sub-prosedur ini berlaku untuk komputer (desktop, laptop, server) yang dalam keadaan menyala saat tim tiba di lokasi.
Objektif
Section titled “Objektif”- Mengamankan data volatile di RAM sebelum hilang.
- Melakukan live acquisition terhadap sistem yang berjalan, termasuk data pada hard disk.
Langkah-Langkah
Section titled “Langkah-Langkah”1. Pengamanan Data Volatile (RAM)
Section titled “1. Pengamanan Data Volatile (RAM)”Data di RAM bersifat sementara dan akan hilang begitu komputer dimatikan. Data ini sangat berharga karena dapat berisi:
- Kunci enkripsi yang sedang aktif.
- Kredensial dan sesi yang sedang berjalan.
- Proses dan koneksi jaringan aktif.
- Data yang belum tersimpan ke disk.
Alat yang digunakan:
- FTK Imager (mode live) — akuisisi memori pada sistem Windows.
- Magnet RAM Capture — alat ringan untuk capture memori.
- LiME (Linux Memory Extractor) — untuk sistem Linux.
- OSXPMem — untuk sistem macOS.
2. Akuisisi Live
Section titled “2. Akuisisi Live”Setelah RAM diamankan, lakukan akuisisi terhadap media penyimpanan (hard disk/SSD) dengan sistem tetap berjalan:
- Sambungkan write-blocker jika memungkinkan (umumnya software write-blocker untuk live acquisition).
- Gunakan FTK Imager atau alat sejenis untuk membuat forensic image (format
.E01,.dd, atau.raw). - Catat hash MD5 dan SHA-1/SHA-256 dari image yang dihasilkan.
- Jika enkripsi full-disk terdeteksi (BitLocker, FileVault, LUKS, VeraCrypt), pertimbangkan untuk memperoleh kunci enkripsi dari RAM atau meminta kredensial dari pengguna.
3. Pengumpulan Artefak Tambahan
Section titled “3. Pengumpulan Artefak Tambahan”Kumpulkan informasi dari sistem yang berjalan sebelum dimatikan:
- Daftar proses yang berjalan (
ps, Task Manager). - Koneksi jaringan aktif (
netstat,ss). - Pengguna yang sedang login.
- Clipboard content, screenshot layar.
Peringatan
Section titled “Peringatan”Jangan mematikan komputer secara paksa dengan mencabut kabel daya. Gunakan prosedur shutdown yang tepat sesuai kebutuhan — hard shutdown hanya jika tidak ada pilihan lain dan sudah tercatat alasannya.
PFD-302: Komputer dalam Kondisi Mati
Section titled “PFD-302: Komputer dalam Kondisi Mati”Sub-prosedur ini berlaku untuk komputer yang dalam keadaan tidak menyala saat tim tiba.
Objektif
Section titled “Objektif”- Melakukan dead box acquisition tanpa menyalakan sistem operasi bawaan.
- Mencegah perubahan data pada media penyimpanan.
Langkah-Langkah
Section titled “Langkah-Langkah”1. Persiapan Akuisisi
Section titled “1. Persiapan Akuisisi”- Jangan menyalakan komputer dengan sistem operasi bawaannya — ini akan mengubah data pada disk.
- Buka casing komputer (jika desktop) atau panel akses (jika laptop) untuk mengakses media penyimpanan.
- Dokumentasikan konfigurasi internal (slot, koneksi, jumlah dan jenis drive).
2. Koneksi Write-Blocker
Section titled “2. Koneksi Write-Blocker”- Lepaskan media penyimpanan dari komputer.
- Sambungkan media penyimpanan ke write-blocker perangkat keras (misalnya Tableau TX1, Tableau TD3, WiebeTech).
- Sambungkan write-blocker ke komputer forensik.
3. Akuisisi Forensik
Section titled “3. Akuisisi Forensik”- Gunakan FTK Imager, Guymager, atau dcfldd untuk membuat forensic image.
- Pilih format image:
.E01(EnCase, terkompresi) atau.dd/raw. - Hasilkan dan catat hash kriptografis (MD5, SHA-1, SHA-256).
- Verifikasi hash setelah akuisisi selesai.
4. Boot dari Media Tepercaya (Alternatif)
Section titled “4. Boot dari Media Tepercaya (Alternatif)”Jika media penyimpanan tidak dapat dilepas (misalnya laptop dengan SSD tersolder), lakukan:
- Boot komputer dari media tepercaya (USB/CD forensik seperti PALADIN, CAINE, atau DEFT Linux).
- Lakukan akuisisi dari lingkungan forensik yang bersih.
PFD-303: Media Penyimpanan Portabel
Section titled “PFD-303: Media Penyimpanan Portabel”Sub-prosedur ini mencakup akuisisi dari media penyimpanan yang dapat dilepas: USB flash drive, HDD/SSD eksternal, kartu memori (SD, microSD, CF), dan media optik (CD/DVD/Blu-ray).
Objektif
Section titled “Objektif”- Memperoleh forensic image dari seluruh media portabel yang relevan.
Langkah-Langkah
Section titled “Langkah-Langkah”- Identifikasi dan dokumentasi — Catat merek, model, kapasitas, nomor seri (jika ada), dan kondisi fisik.
- Aktifkan proteksi tulis — Untuk kartu SD, geser lock switch ke posisi terkunci. Untuk media lain, gunakan write-blocker.
- Akuisisi menggunakan FTK Imager atau alat sejenis.
- Hashing dan verifikasi — Bandingkan hash sumber dan salinan.
Catatan Khusus
Section titled “Catatan Khusus”- USB flash drive dengan tombol proteksi tulis fisik harus diaktifkan.
- HDD eksternal dengan enkripsi perangkat keras (seperti WD My Passport) mungkin memerlukan penanganan khusus.
- Kartu memori yang rusak secara fisik memerlukan peralatan khusus untuk pemulihan.
PFD-304: Telepon Seluler
Section titled “PFD-304: Telepon Seluler”Sub-prosedur ini mencakup akuisisi data dari telepon seluler, smartphone, dan tablet.
Objektif
Section titled “Objektif”- Memperoleh data dari perangkat seluler semaksimal mungkin sesuai dengan kondisi perangkat.
Metode Akuisisi
Section titled “Metode Akuisisi”| Metode | Deskripsi | Alat |
|---|---|---|
| Fisik | Akuisisi bit-demi-bit dari seluruh chip memori; dapat memulihkan data terhapus | Cellebrite UFED, Oxygen Forensic Detective |
| Logis | Akuisisi melalui API sistem operasi; data yang dapat diakses oleh pengguna | ADB (Android), iTunes backup (iOS) |
| Sistem Berkas | Akuisisi struktur direktori dan isinya | ADB + root (Android), jailbreak (iOS) |
| Manual | Perekaman layar dan pengambilan foto | Kamera, screen recorder |
Langkah-Langkah Persiapan
Section titled “Langkah-Langkah Persiapan”- Isolasi jaringan — Tempatkan perangkat dalam Faraday bag atau aktifkan airplane mode untuk mencegah:
- Penghapusan jarak jauh (remote wipe).
- Perubahan data melalui sinkronisasi otomatis.
- Gangguan sinyal yang dapat mengunci perangkat.
- Jaga daya — Sambungkan ke catu daya jika baterai rendah; perangkat mati mendadak dapat mengaktifkan enkripsi.
- Dokumentasikan status — Catat apakah perangkat terkunci, jenis kunci (PIN, pola, biometrik), versi OS, dan status root/jailbreak.
Alat Utama
Section titled “Alat Utama”- Oxygen Forensic Detective — Akuisisi dan analisis komprehensif.
- Cellebrite UFED — Akuisisi fisik dan logis berbagai perangkat.
- ADB (Android Debug Bridge) — Akuisisi logis perangkat Android.
- iTunes/Finder backup — Akuisisi logis perangkat iOS.
- Magnet Axiom — Akuisisi dan analisis terintegrasi.
Tantangan Umum
Section titled “Tantangan Umum”- Perangkat terkunci — perlu bypass atau eksploitasi kerentanan.
- Enkripsi penuh — memerlukan kunci dari pengguna atau diekstrak dari RAM.
- Kerusakan fisik — memerlukan chip-off atau JTAG di lab khusus.
PFD-305: Akun Internet
Section titled “PFD-305: Akun Internet”Sub-prosedur ini mencakup akuisisi data dari akun internet: email berbasis cloud, penyimpanan cloud, media sosial, dan layanan online lainnya.
Objektif
Section titled “Objektif”- Memperoleh salinan data dari akun internet yang relevan, dalam batas kewenangan hukum yang diberikan.
Metode Akuisisi
Section titled “Metode Akuisisi”1. Akses Langsung (Direct Access)
Section titled “1. Akses Langsung (Direct Access)”Jika kredensial tersedia atau diperoleh secara sah:
- Masuk ke akun menggunakan kredensial yang diberikan atau diperoleh.
- Unduh data melalui fitur ekspor yang disediakan layanan (Google Takeout untuk akun Google, Facebook Download Your Information, dsb.).
- Ambil tangkapan layar (screenshot) atau rekam sesi untuk bukti visual.
2. Akuisisi melalui Klien Email
Section titled “2. Akuisisi melalui Klien Email”- Konfigurasikan klien email (Thunderbird, Outlook) dengan kredensial akun target.
- Unduh seluruh pesan dan lampiran ke penyimpanan lokal.
- Ekspor dalam format standar (
.mbox,.pst,.eml).
3. Forensik Browser
Section titled “3. Forensik Browser”Jika akun pernah diakses melalui browser pada perangkat yang sudah diperoleh:
- Ekstrak cache, cookies, riwayat penjelajahan, dan kredensial tersimpan.
- Rekonstruksi sesi untuk mengakses konten yang pernah dilihat.
- Gunakan alat seperti Browser History Examiner, NirSoft WebBrowserPassView.
Alat Utama
Section titled “Alat Utama”- Thunderbird — Klien email untuk akuisisi via IMAP/POP3.
- Google Takeout — Ekspor resmi data Google.
- Social media download tools — Sesuai kebijakan masing-masing platform.
- FTK Imager — Akuisisi cache browser dari disk image.
Pertimbangan Hukum
Section titled “Pertimbangan Hukum”- Akses ke akun internet harus didasarkan pada Surat Perintah yang sah.
- Beberapa layanan menyediakan portal permintaan penegak hukum (law enforcement request portal).
- Data yang dienkripsi end-to-end mungkin tidak dapat diakses meskipun dengan kredensial.
Formulir Terkait
Section titled “Formulir Terkait”| Kode Formulir | Nama Formulir | Digunakan Pada |
|---|---|---|
F-PFD-021 | Lembar Persiapan Kegiatan | Seluruh PFD-30x |
F-PFD-xxx | Formulir Perolehan | Sesuai sub-prosedur |
Keterkaitan Prosedur
Section titled “Keterkaitan Prosedur”- Sebelum:
PFD-200(Identifikasi) - Sesudah:
PFD-400(Pengumpulan, Pengamanan, Transportasi) atauPFD-500(Pengolahan dan Analisis)