First Responder Procedures
Istilah First Responder mengacu pada orang yang pertama kali tiba di TKP dan mengakses komputer korban sistem setelah insiden tersebut telah dilaporkan . Para responden pertama mungkin administrator jaringan , penegakan hukum petugas , atau penyidik ​. Secara umum, responden pertama adalah orang yang berasal dari forensik laboratorium atau dari instansi tertentu untuk penyelidikan awal.
Bukti elektronik adalah data yang relevan dengan investigasi yang ditransfer oleh atau disimpan pada perangkat elektronik . Jenis bukti yang ditemukan ketika data pada perangkat fisik dikumpulkan untuk pemeriksaan . bukti elektronik memiliki sifat sebagai berikut : ď‚— Ini mungkin tersembunyi, mirip dengan bukti sidik jari atau bukti DNA . ď‚— Hal ini dapat rusak, berubah , rusak, atau retak oleh penanganan yang tidak tepat , karena itu, tindakan pencegahan tertentu harus diambil untuk mendokumentasikan , mengumpulkan, menjaga , dan memeriksa jenis bukti . ď‚— Hal ini dapat berakhir setelah jangka waktu tertentu .
perangkat penyimpanan magnetik atau optik Disket Flashdrive kartu memori backup tape CD – ROM
DVD - ROM Hard drive drive removable Laptop drive
Mengidentifikasi TKP Melindungi TKP Melestarikan bukti sementara Mengumpulkan semua informasi tentang kejadian Mendokumentasikan semua temuan Mengemas dan mengangkut bukti elektronik
Sistem Komputer Hard drive Drive Thumb Kartu memori Smart card,dongle, dan scanner biometric Mesin penjawab Kamera digital Mp3 player Pager Printer Perangkat penyimpanan removable Telepon Modem Scanner Mesin fotokopi Skimmer kartu kredit Mesin fax
First Responder Toolkit adalah seperangkat alat yang diujicobakan dirancang untuk membantu dalam mengumpulkan bukti rapi asli .Ini membantu responden pertama memahami keterbatasan dan kemampuan bukti elektronik pada saat pengumpulan .
Menciptakan sebuah komputer atau tes forensik tidur
terpercaya Dokumentasikan rincian dari komputer forensik Dokumen ringkasan alat dikumpulkan Menguji alat
Berikut ini adalah beberapa dasar tanggapan pertama : ď‚— Dalam situasi harus siapapun kecuali analis forensik yang berkualitas membuat upaya untuk mengumpulkan atau memulihkan data dari setiap sistem komputer atau perangkat yang menyimpan informasi elektronik . ď‚— Setiap informasi hadir di dalam perangkat elektronik dikumpulkan bukti potensial dan harus diperlakukan sesuai. ď‚— Setiap upaya untuk memulihkan data oleh orang yang tidak terlatih baik dapat membahayakan integritas dari file atau menghasilkan file yang diterima dalam tindakan administratif atau hukum ď‚— Tempat kerja atau kantor harus diamankan dan dilindungi untuk menjaga integritas dari TKP dan media penyimpanan elektronik .
Respon pertama insiden mungkin melibatkan salah satu dari tiga kelompok orang yang berbeda , yang masingmasing akan memiliki tugas yang berbeda berdasarkan keadaan kejadian. Ketiga kelompok tersebut adalah sebagai berikut : ď‚— Sistem Administrator ď‚— Manajer Lokal atau staf nonforensik lainnya ď‚— Staf laboratorium Forensik
ď‚— Administrator Sistem
Administrator sistem memainkan peran penting dalam memastikan perlindungan dan pemeliharaan jaringan , serta memainkan peran penting dalam penyelidikan . menemukan
harus
Lapor sesuai Administrator sistem tidak prosedur insiden Administrator harus menyentuh sistem Sistem organisasi kecuali diarahkan untuk melakukannya dengan baik
insiden / tugas manajer atau salah satu analis forensik ditugaskan untuk kasus ini .
ď‚— Staf Nonforensik
Anggota staf nonforensik bertanggung jawab untuk mengamankan TKP dan memastikan bahwa itu disimpan dalam mengamankan negara sampai tim forensik menyarankan sebaliknya. Mereka juga harus membuat catatan tentang adegan dan mereka hadir untuk menyerahkan kepada tim forensik menghadiri . Daerah sekitarnya dari komputer tersangka harus dijamin , bukan hanya komputer itu sendiri .
ď‚— Staf Laboratorium Forensik
Respon pertama oleh staf laboratorium forensik melibatkan enam tahap berikut : 1. Mengamankan dan mengevaluasi TKP elektronik : Hal ini memastikan bahwa semua personil yang dihapus dari kejahatan area scen 2. Melakukan wawancara awal : Semua personil, subyek , atau yang lainnya di TKP diidentifikasi . 3. Mendokumentasikan TKP elektronik : Dokumentasi TKP elektronik adalah kontinyu proses selama penyelidikan , menciptakan catatan permanen dari TKP 4. Mengumpulkan dan melestarikan bukti elektronik : Bukti Elektronik volatile di alam dan mudah patah , tindakan pencegahan sehingga khusus harus dilakukan untuk mencegah kerusakan 5. Kemasan bukti elektronik : Semua bukti harus didokumentasikan dengan baik , dan semua kontainer harus berlabel dan nomor . 6. Mengangkut bukti elektronik : Tindakan pencegahan khusus harus diambil saat mengangkut bukti elektronik .
Para penyidik ​atau responden pertama harus melakukan proses penyidikan dengan cara yang sah , yang berarti surat perintah penggeledahan diperlukan untuk pencarian dan penyitaan . Berikut ini adalah dua jenis surat perintah pecarian yang relevan :  Surat perintah penggeledahan perangkat penyimpanan eletronik : ini memungkinkan untuk pencarian dan penyitaan komponen komputer (ex:hardware,software,dokumentasi)  Surat Perintah penggeledahan penyedia layanan : u/ mendapatkan informasi dari kejahatn yang dilakukan melalui internet.
Deskripsi kejadian Manajer Insiden Nama Kasus atau judul untuk insiden Lokasi kejadian yurisdiksi Berlaku dan peraturan yang relevan Lokasi dari peralatan yang akan disita : Jenis • Struktur dan ukuran Dimana komputer berada Siapa saja yang hadir pada insiden Apakah lokasi berpotensi berbahaya Rincian apa yang akan disita ( membuat, model , lokasi , ID , dll ) : Jenis Nomor serial Jika komputer disita berjalan atau dimatikan Apakah komputer yang jaringan , dan jika demikian , apa jenis jaringan, di mana data disimpan padajaringan, dimana backup diadakan , jika administrator sistem koperasi , jika perlu mengambil server down , dan dampak bisnis tindakan ini Pekerjaan lain yang akan dilakukan di tempat kejadian ( misalnya , pencarian penuh dan bukti yang diperlukan ) Pencarian dan penyitaan jenis ( terbuka / tertutup ) keterlibatan manajemen local
Pertanyaan untuk Tanya Ketika Klien Panggilan Penyidik Forensik Ketika klien pertama panggilan penyidik , peneliti harus mengajukan pertanyaan-pertanyaan berikut : Apa yang terjadi ? Siapa manajer insiden ? Apa nama kasus atau judul untuk kejadian tersebut ? Apakah lokasi kejadian ? Di bawah yurisdiksi apa yang terjadi dan penyitaan yang akan dilakukan ? Apa yang harus disita ( membuat, model , lokasi , dan ID ) ? Apa pekerjaan lain perlu dilakukan di tempat kejadian ( misalnya , pencarian penuh dan bukti yang diperlukan ) ? Apakah pencarian dan penyitaan menjadi terbuka atau terselubung , dan akan manajemen lokal akan diberitahu?
Biasanya satu tanda tangan saksi diperlukan jika itu adalah analis forensik atau penegakan hukum. Tanda tangan saksi memverifikasi bahwa informasi dalam bentuk persetujuan dan dokumen tertulis lainnya adalah benar menjelaskan kepada , dan seharusnya dipahami oleh , penanda tangan atau perwakilan resmi secara hukum penanda tangan , dan bahwa informed consent diberikan secara bebas . Siapa pun menandatangani sebagai saksi harus memiliki pemahaman yang jelas tentang peran dan dapat dipanggil untuk memberikan pernyataan saksi atau menghadiri proses pengadilan .
Dokumentasi TKP elektronik adalah proses yang berkesinambungan selama penyelidikan yang membuat catatan permanen dari TKP . Ketika mendokumentasikan , penyidik harus menjaga hal berikut dalam pikiran : Sangat penting untuk benar mencatat lokasi fisik dan negara komputer , penyimpanan digital media, dan perangkat elektronik lainnya . Dokumentasikan TKP fisik , mencatat posisi mouse dan lokasi elemen ditemukan dekat sistem. Rincian Dokumen komponen elektronik terkait atau sulit – untuk menemukan . Catat keadaan sistem komputer , media penyimpanan digital , dan perangkat elektronik , termasuk daya status komputer . Ambil foto layar monitor komputer dan perhatikan apa yang ada di layar . TKP harus didokumentasikan secara rinci dan komprehensif pada saat penyelidikan .
ďƒź Memotret Scene
Pada saat kedatangan, langkah pertama yang dilakukan oleh tim forensik harus untuk memotret lokasi kejadian . Hal ini sangat penting bahwa ini dapat dilakukan dengan cara yang tidak akan mengubah atau merusak TKP , dan semuanya harus terlihat jelas . ďƒź Sketsa Tempat Setelah mengamankan TKP , CFP harus menyiapkan sketsa TKP . Sketsa ini harus mencakup semua rincian tentang obyek hadir dan lokasi mereka dalam area kantor . Seperti foto-foto , profesional forensik mempersiapkan banyak sketsa adegan lengkap , semua jalan ke bagian terkecil bukti .
Volatilitas adalah ukuran seberapa tahan lama data secara elektronik yang tersimpan . Saat mengumpulkan bukti , urutanKoleksi harus melanjutkan dari yang paling mudah menguap untuk yang paling volatile. Daftar berikut adalah urutan volatilitas untuk sistem yang khas , dimulai dengan yang paling mudah menguap : 1. Register dan cache 2. Tabel routing, tabel proses , statistik kernel , dan memori 3. Sistem file sementara 4. Disk atau media penyimpanan lainnya 5. Remote logging dan monitoring data yang terkait atau signifikan terhadap sistem yang bersangkutan 6. Konfigurasi fisik dan topologi jaringan 7. Media arsip
Berurusan dengan komputer Power- Off
Pada titik ini dalam penyelidikan , penyidik seharusnya tidak mengubah keadaan setiap perangkat elektronik atau peralatan . Jika dimatikan , penyidik harus meninggalkan itu dan membawanya sebagai bukti. Berurusan dengan komputer Power-ON Ketika berhadapan dengan komputer bertenaga -on , peneliti harus berhenti dan berpikir sebelum mengambil tindakan apapun . Jika komputer diaktifkan dan layar dapat dilihat , peneliti harus memotret layar dan mendokumentasikan program yang berjalan . Jika komputer menyala dan monitor menunjukkan screensaver , penyidik harus gerakkan mouse perlahan tanpa menekan tombol mouse , dan kemudian foto dan mendokumentasikan program .
Berurusan dengan komputer Jaringan
Jika komputer korban terhubung ke Internet, responden pertama harus mengikuti prosedur ini untuk melindungi bukti : Cabut kabel jaringan dari router dan modem untuk mencegah serangan lebih lanjut . Jangan menggunakan komputer untuk pencarian bukti karena dapat mengubah atau mengganti integritas bukti yang ada . Photograph semua perangkat yang terhubung ke komputer korban , khususnya router dan modem , dari beberapa sudut . Jika perangkat , seperti printer atau scanner , hadir di dekat komputer , mengambil foto satu perangkat juga. DLL
Berurusan dengan Open File dan Startup File
Ketika malware menyerang sistem komputer , beberapa file yang dibuat dalam folder startup untuk menjalankan program malware . Para responden pertama bisa mendapatkan informasi penting dari file-file dengan mengikuti prosedur ini : Buka dokumen baru dibuat dari folder startup atau system32 pada Windows dan rc.local file dalam Linux . Dokumentasikan tanggal dan waktu file . Periksa file yang terbuka untuk data sensitif seperti password atau gambar . Cari biasa MAC ( dimodifikasi , diakses , atau diubah ) kali pada folder penting dan file startup . Gunakan perintah dir untuk Windows atau perintah ls untuk Linux untuk menemukan waktu akses yang sebenarnya pada file dan folder .
Mengangkut Bukti Elektronik
Ketika mengangkut bukti elektronik , penyidik harus melakukan berikut ini : Hindari komputer terbalik atau menaruhnya di sisinya selama transportasi. Jauhkan bukti elektronik dikumpulkan dari TKP jauh dari sumber magnetik seperti radio pemancar , pembicara magnet , dan kursi dipanaskan . Simpan bukti di daerah aman dari suhu tinggi dan kelembaban . Hindari menyimpan bukti elektronik dalam kendaraan untuk jangka waktu yang panjang . Hindari kondisi panas yang ekstrim , dingin , atau lembab karena mereka dapat mengubah , mengganti , atau kerusakan bukti elektronik . Menjaga rantai yang tepat dari tahanan pada bukti yang akan diangkut .
Dokumentasi Rantai Studi Sebuah rantai dokumen tahanan berisi informasi berikut tentang bukti yang diperoleh : Nomor Kasus Nama, jabatan , alamat , dan nomor telepon dari orang yang memiliki bukti tersebut diterima Lokasi di mana diperoleh Alasan untuk bukti yang diperoleh Tanggal / Waktu bukti diperoleh Item nomor / kuantitas / deskripsi Nama bukti Warna Nama perusahaan Manufaktur Menandai informasi Informasi Kemasan
Seringkali, ketika sebuah insiden terjadi kejahatan komputer, administrator sistem atau jaringan mengasumsikan peran responden pertama di TKP. Sistem atau administrator jaringan mungkin tidak tahu standar responden pertama prosedur atau memiliki pengetahuan lengkap tentang penyelidikan forensik, sehingga ia mungkin membuat kesalahan umum berikut: ď‚— Mematikan atau reboot komputer korban. Dalam hal ini, semua data yang mudah menguap hilang. Proses yang berjalan pada komputer korban juga hilang. ď‚— Dengan asumsi bahwa beberapa komponen komputer korban mungkin dapat diandalkan dan bermanfaat. Dalam kasus ini, dengan menggunakan, beberapa perintah pada komputer korban dapat mengaktifkan Trojan, malware, dan bom waktu yang menghapus data penting. ď‚— Tidak memiliki akses ke dokumentasi dasar tentang komputer korban. ď‚— Tidak mendokumentasikan proses pengumpulan data.
bukti elektronik adalah bahan nilai investigasi yang
ditransfer oleh atau disimpan pada perangkat elektronik. Kesehatan dan isu-isu keselamatan yang penting dalam semua pekerjaan yang dilakukan dalam semua tahap prosedur forensik. Terkadang pengguna hadir, dan persetujuan dari pengguna diperlukan. Dokumentasi dari TKP elektronik adalah proses yang berkesinambungan selama investigasi. Rantai tahanan adalah deskripsi tertulis yang dibuat oleh orang-orang yang bertanggung jawab untuk bukti dari awal sampai akhir kasus ini.