Kategori Data dalam Barang Bukti Digital (Evidence Locations)

Pembahasan kali ini berdasarkan buku “Digital Forensics – Digital Evidence in Criminal Invesitgation” yang ditulis oleh Angus McKenzie Marshall (2008) pada bab 4 tentang Prinsip Pemeriksaan Barang Bukti.

Jadi awal ceritanya, ketika ada barang bukti digital yang disita dan di bawa ke laboratorium forensik untuk dianalisa dan di recovery, maka ada 4 kategori utama jenis file atau data yang biasa ditemukan oleh pemeriksa, yaitu Live Data, Deleted Data, Swap Space, dan Slark Space. Selanjutnya mari kita bahas satu persatu kategori jenis file atau data ini.

Live Data

Live Data adalah bentuk format data yang langsung dapat diakses oleh tim forensik atau oleh software biasa. Biasanya pengambilan data untuk tipe live ini lebih mudah dan dapat dilakukan dengan cara normal. Secara umum, Live Data memiliki nilai barang bukti yang lebih tinggi karena datanya dapat secara langsung dianalisa dan langsung menunjukkan perubahan atau apa saja yang telah user lakukan terhadap data tersebut.

Selanjutnya, karena Live Data dibuat dan di manage oleh sistem operasi atau oleh beberapa software, maka live data cenderung memiliki “timestamps” atau semacam catatan waktu terhadap file tersebut [seperti kapan waktu file tersebut dibuat, kapan waktu terakhir file tersebut dimodifikasi, semua terecord oleh sistem]. Yang mana catatan waktu file tersebut tercatat berdasarkan jam yang ada pada perangkat tersebut oleh karena itu apakah jam pada perangkat tersebut bisa dipercaya, maka harus dianalisa lebih lanjut.

Sebelum membahas tipe file atau data yang lain, kita bahas sedikit tentang timestamps ini. Hampir semua sistem operasi menggunakan 3 jenis timestamps atau catatan waktu untuk file pada sistemnya. Yaitu MAC, bukan laptop Mac ya, tapi kepanjangan dari Modified, Accessed, Created.

Modified : catatan waktu berdasarkan waktu terakhir file tersebut di modifikasi. Contohnya seperti waktu terakhir file tersebut di save.
Accessed : akan tercatat ketika sebuah file dibaca atau diakses. Kebanyakan sistem operasi hanya mencatat berdasarkan tanggal terakhir diakses, bukan waktu pada tanggal tersebut. Jadi tidak ada jam berapa terakhir diakses, yang ada hanya tanggal berapa terakhir diakses.
Created : catatan waktu ketika sebuah pertama kali dibuat dalam sistem.

Catatan waktu ini ada didalam meta-data sebuah file yang mana dapat digunakan untuk membuat urutan sebuah kejadian atau seperti membuat kronologis sebuah kejadian berdasarkan catatan waktu yang ada di sistem tersebut.

Deleted Data

Setelah mengetahui Live Data, Jenis file berikutnya yang sering ditemukan ketika melakukan forensik yaitu data yang dihapus dari sistem atau Deleted Data. Data ini awalnya ada dalam sistem, namun si user memutuskan untuk menghapusnya dari sistem dengan alasan tertentu.

Untungnya bagi tim forensik, sistem operasi tidak menghapus file tersebut secara sempurna. Malahan sistem operasi hanya memindahkan file tersebut ke sebuah tempat atau area baru agar dapat digunakan kembali. Hal ini dilakukan sistem operasi karena menghapus data secara langsung memakan waktu sehingga akan lebih mudah jika hanya dipindahkan ke area kosong lainnya untuk digunakan kembali atau menimpanya jika diperlukan. Ya kalau kita biasa menghapus file dengan menggunakan delete biasa, file tersebut akan pindah ke Recycle Bin kan? Nah itu maksudnya memindahkan ke area yang baru.

Sayangnya, karena file telah diberi label ”delete”, meta-data nya tidak lagi sepenuhnya dapat dihandalkan, dengan begitu informasi yang berhubungan dengan pencatatan waktu MAC nya (Modified, Accessed, Created) juga tidak akan dapat dihandalkan sebagaimana file tersebut masih berstatus Live Data.

Swap Space

Fitur lain yang ada pada sistem operasi modern sekarang adalah kemampuan untuk menggunakan media penyimpanan seperti harddisk seolah-olah harddisk tersebut adalah bagian dari RAM dan ini disebut sebagai Swap. Sejak dulu dan bahkan sekarang, ini telah diterapkan sehingga dapat membuat sistem seolah-olah mempunyai memori utama yang lebih besar dari pada kenyataannya sebagai cara untuk menekan biaya hardware menjadi lebih murah. Karena harga RAM sendiri 10 kali lipat lebih mahal dari pada media penyimpanan seperti harddisk.

Biar lebih paham, perhatikan ilustrasi berikut ini. Ilustrasi berikut ini lebih kurang sama dengan metode swap yang dijelaskan diatas tadi. Misalkan seorang karyawan sedang sibuk dan sedang menyelesaikan sebuah masalah yang sulit, lalu ada telpon berdering dari bosnya, yang berarti ada tugas baru lagi. Maka cara yang paling efektif agar tidak melupakan perintah dari bos dan tetap fokus dengan masalah yang sedang dikerjakan tadi adalah dengan mencatat semua yang diperintahkan bos via telepon tadi. Begitu telepon selesai, karyawan tadi bisa melanjutkan pekerjaan yang sedang dikerjakannya dan ketika selesai, karyawan mulai melakukan perintah yang bos suruh via telepon tadi, nah karena si karyawan sudah mencatatnya di kertas tadi, maka dia tidak akan lupa dan beban yang dipikirkan jadi tidak begitu berat dengan mengingat-ingat isi pembicaraan telepon tadi. Nah begitulah analogi swap tadi.

Proses swapping berjalan secara otomatis dan ada dibawah kontrol software. User hanya bisa menentukan berapa kapasitas swap yang dapat digunakan, tapi tidak bisa memilih program atau bagian data mana yang akan dimasukkan atau dikeluarkan dari swap.

Ketika ada data dan program yang sedang diproses dalam memori, sistem akan memonitor penggunaan memori tersebut. Apabila ada software atau data baru yang harus diproses di memori, tapi memori sudah penuh, maka sistem operasi akan memilih bagian aplikasi atau data mana yang sedang tidak darurat dan belum membutuhkan proses lebih lanjut untuk disimpan atau dipindahkan ke harddisk sehingga memori jadi tidak penuh, sehingga program atau data yang baru tadi dapat diproses dalam memori.

Kemudian, ketika program yang disimpan dalam memori tadi ingin diakses atau digunakan kembali, maka sistem operasi akan memasukkan dan mengalokasikan tempat di memori untuk si program tadi dan memindahkannya dari harddisk ke memori kembali.

Oleh karena user tidak mempunyai kontrol atas proses ini, maka sangat dimungkinkan untuk menemukan data dalam swap space tersebut. Swap Space sering menjadi sumber informasi yang baik karena biasanya ada tersimpan informasi seperti password untuk enkripsi file dan data sensitif lainnya.

Karena swap space digunakan secara konstan atau terus menerus, dan juga tidak mempunyai meta-data untuk data-data didalamnya, maka sulit menentukan “timestamps” untuk data-data dalam swap space tersebut.

Slark Space

Dan kategori terakhir yang akan dibahas yaitu Slark Space. Jadi Slark Space itu adalah ruang kosong dalam sebuah harddisk yang sudah terpakai oleh file. Lho gimana maksudnya ruang kosong tapi sudah digunakan? Jadi begini, dalam sebuah media penyimpanan, biasa dibagi-bagi menjadi blok-blok area tertentu, nah ada Minimum Allocation Unit atau MAU, yang berguna sebagai berapa ukuran blok-blok area tersebut yang nantinya tiap blok itu akan menentukan berapa minimum kapasitas sebuah data akan disimpan dalam media penyimpanan seperti harddisk. Coba perhatikan gambar dibawah ini.

Perhatikan area yang distabilo kuning. Ada tulisan Allocation Unit Size yang dipilih 4096 bytes. Nah ini artinya, media penyimpanan diatas akan dibagi-bagi menjadi blok-blok yang tiap blok nya berukuran 4096 bytes. Nah kemudian nantinya, misalkan ada sebuah file dengan ukuran file 1 bytes, akan menempati 1 blok full sebesar 4096 bytes tadi. Nah sisa 4095 bytes itulah yang dinamakan Slark Space. Perhatikan lagi gambar dibawah ini.

Perhatikan size file tersebut hanya 13 bytes, namun perhatikan Size on disk nya tertulis 4096 bytes. Ini berarti walaupun file tersebut hanya 13 bytes, tapi menempati 1 blok full sebesar 4096 bytes seperti yang dijelaskan tadi, nah sisa (4.096 – 13) bytes itulah slark space. Nah kemudian, tadi 1 blok kita buat 4.096 bytes. Lalu bagaimana jika ukuran file tersebut 15.000 bytes? Maka file ini akan menempati 4 buah blok yang mana pada blok ke empat akan ada slack space nya (4.096*4=16.384). jadi ada slack space sebesar 1.384 bytes. Seperti gambar dibawah ini lebih kurang penempatan 4 blok tadi.

Lalu apa kegunaan slack space untuk forensik? Kegunaannya cukup penting, karena terkadang slack space ada meninggalkan jejak sisa file yang bisa digunakan. Sebagai contoh, user menghapus sebuah file dalam harddisknya yang mana besarnya ukuran filenya tersebut menghabiskan 10 blok area. Setelah itu, user membuat file baru dengan kapasitas hanya 5 blok area. Maka sisa blok area tersebut masih meninggalkan jejak informasi file yang telah dihapus sebelumnya. Dan informasi ini ini bisa di peroleh dengan menggunakan software forensik.

Bagaimana? Sudah paham tentang pembagian kategori jenis data yang digunakan dalam barang bukti digital? Semoga pembahasan kali ini menambah wawasan kita semua.

Yogyakarta, 7 Oktober 2015

Referensi