First responder procedures by tri puji widiastuti

First Responder Procedures TRI PUJI WIDIASTUTI

Pengantar Prosedur Responder Pertama ď śIstilah responden pertama mengacu pada orang yang pertama kali tiba di TKP dan mengakses komputer korban. ď śPara responden pertama mungkin administrator jaringan , penegakan hukum petugas , atau penyidik â&#x20AC;&#x2039;. ď śPara responden pertama bertanggung jawab untuk melindungi , mengintegrasikan , dan melestarikan bukti yang diperoleh dari TKP .

Sifat Bukti Elektronik â&#x20AC;˘ Ini mungkin tersembunyi, mirip dengan bukti sidik jari atau bukti DNA . â&#x20AC;˘ Hal ini dapat rusak, berubah , atau retak oleh penanganan yang tidak tepat , karena itu, tindakan pencegahan tertentu harus diambil untuk mendokumentasikan , mengumpulkan, menjaga , dan memeriksa jenis bukti . â&#x20AC;˘ Hal ini dapat berakhir setelah jangka waktu tertentu .

Sumber Bukti Elektronik â&#x20AC;˘ Informasi elektronik biasanya disimpan pada perangkat penyimpanan magnetik atau optik, seperti disket , flash drive , kartu memori , backup tape , CD - ROM , dan DVD - ROM . Hard drive , termasuk drive removable dan laptop drive , sering mengandung informasi penting dalam file tersembunyi . â&#x20AC;˘ File yang berhubungan dengan internet harus diperoleh dari penyedia layanan Internet atau server jaringan tertentu .

Tanggung jawab utama responden pertama • • • •

Mengidentifikasi TKP Melindungi TKP Melestarikan bukti sementara dan rapuh Mengumpulkan semua informasi tentang kejadian • Mendokumentasikan semua temuan • Kemasan dan mengangkut bukti elektronik

Jenis perangkat elektronik yang relevan dengan TKP

Toolkit Responder Pertama Prosedur Pembuatan Toolkit Responder Pertama 1. Menciptakan sebuah komputer atau tes forensik tidur terpercaya, dengan langkahny: - Pilih jenis sistem operasi - Membersihkan komputer forensik Sepenuhnya - Instal sistem operasi dan perangkat lunak yang diperlukan dari sumber terpercaya - Perbarui dan patch komputer forensik - Pasang monitor integritas berkas untuk menguji integritas sistem file .

2. Dokumentasikan rincian dari komputer forensik, meliputi : - Nama Versi dan jenis sistem operasi - Nama dan jenis perangkat lunak yang berbeda - Nama dan jenis perangkat keras yang terpasang 3. alat pengumpulan Dokumen ringkasan, dimasukkan informasi seperti : - Akuisisi alat - Gambaran rinci dari alat - Bekerja dari alat - Alat ketergantungan dan efek sistem â&#x20AC;˘ Menguji alat

Dasar Respon Pertama â&#x20AC;˘ Dalam situasi harus siapapun kecuali analis forensik yang berkualitas membuat upaya untuk mengumpulkan atau memulihkan data dari setiap sistem komputer atau perangkat yang menyimpan informasi elektronik . â&#x20AC;˘ Setiap informasi hadir di dalam perangkat elektronik dikumpulkan bukti potensial dan harus diperlakukan sesuai. â&#x20AC;˘ Setiap upaya untuk memulihkan data oleh orang yang tidak terlatih baik dapat membahayakan integritas dari file atau menghasilkan file yang diterima dalam tindakan administratif atau hukum . â&#x20AC;˘ Tempat kerja atau kantor harus diamankan dan dilindungi untuk menjaga integritas dari TKP dan media penyimpanan elektronik .

Insiden Respon : Situasi yang berbeda-beda 3 kelompok Insiden Respon â&#x20AC;˘ Administrator sistem menemukan sebuah insiden , itu harus dilaporkan sesuai dengan organisasi saat prosedur pelaporan insiden. Administrator sistem tidak harus menyentuh sistem kecuali diarahkan untuk melakukannya. â&#x20AC;˘ Manajer lokal atau staf lainnya nonforensik bertanggung jawab untuk mengamankan TKP juga harus membuat catatan tentang adegan. â&#x20AC;˘ Laboratorium staf forensik melibatkan enam tahap yaitu mengamankan dan mengevaluasi TKP elektronik, Melakukan wawancara awal, mendokumentasikan TKP elektronik, mengumpulkan dan melestarikan bukti elektronik, kemasan bukti elektronik, mengangkut bukti elektronik.

Daftar periksa dalam pengamanan dan mengevaluasi TKP Elektronik

Surat perintah untuk Pencarian dan perampasan â&#x20AC;˘ surat perintah pencarian: - surat perintah penggeledahan perangkat penyimpanan Elektronik meliputi hardware, software, perangkat penyimpanan, dokumentasi. - surat perintah penggeledahan Penyedia layanan. Jika kejahatan dilakukan melalui Internet, informasi yang didapatkan dari penyedia layanan adalah layanan catatan, catatan penagihan, informasi pelanggan. â&#x20AC;˘ Perencanaan dan pencarian perampasan, berisi rincian sebagai berikut : - Deskripsi kejadian - Manajer Insiden - Nama Kasus atau judul untuk insiden

- Lokasi kejadian - yurisdiksi Berlaku dan peraturan yang relevan - Lokasi dari peralatan yang akan disita : Struktur Jenis dan ukuran, Dimana komputer berada, Siapa saja yang hadir pada insiden, Apakah lokasi berpotensi berbahaya - Rincian apa yang akan disita ( membuat, model , lokasi , ID , dll ) : Jenis, Nomor serial, Jika komputer disita berjalan atau dimatikan, Apakah komputer yang jaringan - Pekerjaan lain yang akan dilakukan di tempat kejadian - Cari dan perampasan jenis ( terbuka / tertutup ) - keterlibatan manajemen local

Pencarian awal adegan Pelaku A mungkin mencoba untuk menggunakan program merusak diri sendiri atau memformat media penyimpanan pada saat kedatangan tim . Jika pelaku yang diduga menggunakan sistem , seorang penyidik harus menarik kabel listrik segera. Seorang penyidik â&#x20AC;&#x2039;harus mengisolasi sistem komputer atau bentuk lain dari media sehingga bukti digital tidak akan hilang . Isu Kesehatan dan Keselamatan kerja penyidik â&#x20AC;˘ Semua unsur kesehatan badan dan rencana keselamatan harus didokumentasikan secara jelas â&#x20AC;˘ Kesehatan dan keselamatan pertimbangan harus diikuti pada semua tahap penyelidikan dengan semua orang yang terlibat . â&#x20AC;˘ Kesehatan dan program keselamatan harus sering dipantau dan didokumentasikan oleh lembaga yang ditunjuk perwakilan . â&#x20AC;˘ Semua tim forensik harus memakai sarung tangan karet pelindung untuk semua operasi pencarian dan penyitaan di tempat.

Melakukan Wawancara Awal Ketika penyidik memanggil klien pertama , peneliti harus mengajukan pertanyaan berikut: • Apa yang terjadi ? • Siapa manajer insiden ? •Apa nama kasus atau judul untuk kejadian tersebut ? •Apakah lokasi kejadian ? •Di bawah yurisdiksi apa yang terjadi dan penyitaan yang akan dilakukan ? •Apa yang harus disita ( membuat, model , lokasi , dan ID ) ? •Apa pekerjaan lain perlu dilakukan di tempat kejadian ( misalnya , pencarian penuh dan bukti yang diperlukan ) ? •Apakah pencarian dan penyitaan menjadi terbuka atau terselubung , dan akan manajemen lokal akan diberitahu?

Contoh Formulir Persetujuan -To -Search Responden pertama membutuhkan surat perintah penggeledahan untuk pencarian dan penyitaan barang bukti elektronik komputer korban , di samping formulir persetujuan - ke -search sukarela disetujui oleh pengadilan untuk mencari dan merebut elektronik perangkat dan media. Signatures saksi Biasanya satu tanda tangan saksi diperlukan jika itu adalah analis forensik atau penegakan hukum. Siapa pun menandatangani sebagai saksi harus memiliki pemahaman yang jelas tentang peran dan dapat dipanggil untuk memberikan pernyataan saksi atau menghadiri proses pengadilan .

Melakukan Wawancara Awal Sebagai bagian dari penyelidikan awal mereka, mereka berbicara dengan setiap orang yang hadir di lokasi pada saat pelanggaran. Setelah mengidentifikasi orang yang hadir pada saat kejahatan, profesional komputer forensik (CFPs) melakukan wawancara individu dan perhatikan posisi fisik semua orang dan nya alasan untuk berada di sana . CFP pertama menentukan apakah tersangka telah melakukan kejahatan atau telah melanggar setiap kebijakan departemen

Mendokumentasikan Adegan Kejahatan Elektronik • Sangat penting untuk benar mencatat lokasi fisik dan negara komputer , penyimpanan digital media, dan perangkat elektronik lainnya . • Dokumentasikan TKP fisik , mencatat posisi mouse dan lokasi elemen ditemukan dekat sistem. • Rincian Dokumen komponen elektronik terkait atau sulit - untukmenemukan . • Catat keadaan sistem komputer , media penyimpanan digital , dan perangkat elektronik , termasuk daya status komputer . • Ambil foto layar monitor komputer dan perhatikan apa yang ada di layar . • TKP harus didokumentasikan secara rinci dan komprehensif pada saat penyelidikan .

Memotret Adegan seorang peneliti harus terlebih dahulu mengambil foto bangunan dan / atau nomor kantor . Ini harus diikuti dengan sebuah foto entri ( apa yang dilihat sebagai salah satu memasuki TKP ) dan kemudian oleh serangkaian foto-foto 360 derajat . Sketsa Adegan Setelah mengamankan TKP , CFP harus menyiapkan sketsa TKP . Sketsa ini harus mencakup semua rincian tentang obyek hadir dan lokasi mereka dalam area kantor .

Mengumpulkan dan Melestarikan Bukti Elektronik Ketika insiden dilaporkan di mana computer diperkirakan telah memainkan peran , komputer yang bisa salah menjadi yang pertama dan hanya item yang disita . Urutan Volatilitas dimulai dengan yang paling mudah menguap : 1 . Register dan cache 2 . Tabel routing, tabel proses , statistik kernel , dan memori 3 . Sistem file sementara 4 . Disk atau media penyimpanan lainnya 5 . Remote logging dan monitoring data yang terkait atau signifikan terhadap sistem yang bersangkutan 6 . Konfigurasi fisik dan topologi jaringan 7 . Media arsip

Berurusan dengan Komputer Powered - Off penyidik â&#x20AC;&#x2039;seharusnya tidak mengubah keadaan setiap perangkat elektronik atau peralatan. Jika dimatikan , penyidik â&#x20AC;&#x2039;harus meninggalkan itu dan membawanya sebagai bukti. Berurusan dengan Komputer Powered -On Jika komputer diaktifkan dan layar dapat dilihat , peneliti harus memotret layar dan mendokumentasikan program yang berjalan . Jika komputer menyala dan monitor menunjukkan screensaver , penyidik â&#x20AC;&#x2039;harus gerakkan mouse perlahan tanpa menekan tombol mouse , dan kemudian foto dan mendokumentasikan program .

Berurusan dengan Komputer Jaringan • Cabut kabel jaringan dari router dan modem untuk mencegah serangan lebih lanjut . • Jangan menggunakan komputer untuk pencarian bukti karena dapat mengubah atau mengganti integritas bukti yang ada . • Photograph semua perangkat yang terhubung ke komputer korban , khususnya router dan modem , dari beberapa sudut . Jika perangkat , seperti printer atau scanner , hadir di dekat komputer , mengambil foto satu perangkat juga. • Jika screensaver terlihat , gerakkan mouse perlahan . • Jika komputer aktif , mengambil foto layar dan mendokumentasikan setiap program yang berjalan . • Cabut semua kabel dan perangkat yang terhubung ke komputer dan label mereka untuk identifikasi nanti. • Cabut kabel listrik utama dari stopkontak . • Kemas bukti elektronik dikumpulkan dengan benar dan menempatkannya dalam kantong statis-bebas . • Jauhkan bukti yang dikumpulkan dari magnet , suhu tinggi , pemancar radio , dan elemen lainnya yang dapat merusak integritas bukti . • Dokumentasikan semua langkah yang terlibat dalam mencari dan merebut komputer korban untuk penyelidikan nanti.

Berurusan dengan Open File dan Startup File • Buka dokumen baru dibuat dari folder startup atau system32 pada Windows dan rc.local file dalam Linux . • Dokumentasikan tanggal dan waktu file . • Periksa file yang terbuka untuk data sensitif seperti password atau gambar . • Cari biasa MAC ( dimodifikasi , diakses , atau diubah ) kali pada folder penting dan file startup . • Gunakan perintah dir untuk Windows atau perintah ls untuk Linux untuk menemukan waktu akses yang sebenarnya pada file dan folder . Sistem Operasi Prosedur Shutdown • MS-DOS/Windows 3.x/Windows 9x , Windows NT , Windows XP , Windows Vista , Windows 7 : - Ambil foto layar . - Dokumentasikan semua program yang berjalan . - Cabut kabel listrik dari stop kontak .

â&#x20AC;˘ UNIX / Linux : - Klik kanan pada Menu dan klik Konsol . - Jika pengguna root login , masukkan password dan jenis sync , sync , menghentikan untuk mematikan sistem . - Jika user root tidak login dan password yang tersedia , ketik su untuk beralih ke user root , masukkan password , dan jenis sync , sync , menghentikan untuk mematikan sistem . - Jika password tidak tersedia , cabut kabel listrik dari stop kontak . â&#x20AC;˘ Mac OS : - Catat waktu dari menu bar . - Klik khusus dan kemudian Shut Down . - Cabut kabel listrik dari stop kontak .

Melestarikan Bukti Elektronik • Dokumentasikan tindakan dan perubahan yang diamati pada monitor , sistem , printer , dan lainnya perangkat elektronik . • Pastikan apakah monitor hidup, mati , atau dalam modus tidur . • Lepaskan kabel power jika perangkat dimatikan . Jangan menghidupkan perangkat . • Mengambil foto dari layar monitor jika perangkat menyala. • Periksa dial-up , kabel , ISDN , dan koneksi DSL . • Cabut kabel power dari router atau modem . • Hapus semua disket yang tersedia di tempat kejadian untuk menjaga bukti potensial . • Jauhkan pita di slot drive dan konektor power . • Fotolah hubungan antara sistem komputer dan kabel yang terkait, dan label mereka secara individual . • Beri label setiap konektor dan kabel yang terhubung ke perangkat periferal .

Untuk perangkat genggam : • asisten pribadi digital ( PDA ) , ponsel , dan menyimpan informasi kamera digital di memori internal . • Jangan menghidupkan perangkat jika tidak aktif . • Biarkan perangkat pada jika sudah pada. • Fotolah tampilan layar perangkat. • Label dan mengumpulkan semua kabel dan mengangkut mereka bersama dengan perangkat. • Pastikan bahwa perangkat dibebankan . • Kumpulkan media penyimpanan tambahan seperti memori stick dan kartu CompactFlash . Perebutan Komputer Portabel • Fotolah komputer dan peralatan yang terhubung . • Rekam yang kabel yang terhubung ke port yang . • Fotolah konektor di bagian belakang komputer dan individual label mereka . • Lepas baterai.

Berurusan dengan Switched -On Komputer Portabel â&#x20AC;˘Powered - pada komputer portabel harus ditangani dengan cara yang sama sebagai PC desktop bertenaga -on . â&#x20AC;˘Jika komputer portabel bangun, waktu dan tanggal ini terjadi harus dicatat. â&#x20AC;˘Sebelum mencabut kabel power pada komputer portabel , baterai harus dilepas . â&#x20AC;˘Jika tidak mungkin untuk menghapus baterai , menekan tombol daya selama 30 detik akan memaksa off listrik .

Pengemasan dan Pengangkutan Bukti Elektronik Daftar Isi Tas Bukti • Tanggal dan waktu perampasan • Penyidik yang merebut bukti • Nama petugas yang mengambil foto atau menyiapkan sketsa • Nomor pameran • Di mana bukti itu disita dari • Situs dimana setiap item yang ditemukan • Nama-nama orang yang diduga • Sebuah ringkasan singkat rincian perampasan • Rincian isi kantong bukti

Kemasan Bukti Elektronik • Pastikan bukti elektronik dikumpulkan dengan benar didokumentasikan , diberi label , dan terdaftar sebelum pengemasan . • Perhatian khusus untuk bukti tersembunyi atau jejak , dan mengambil tindakan yang diperlukan untuk menjaga itu. • Kemas media magnetik dalam kemasan antistatis . • Jangan gunakan bahan seperti kantong plastik untuk kemasan karena mereka dapat menghasilkan listrik statis . • Hindari melipat dan menggaruk perangkat penyimpanan seperti disket , CD - ROM , dan kaset . • Pastikan bahwa semua kontainer yang berisi bukti diberi label dengan cara yang tepat .

Bukti Penomoran bukti yang dikumpulkan menggunakan format aaa / ddmmyy / nnnn / zz - aaa adalah inisial analis forensik atau petugas penegak hukum menyita peralatan yang - ddmmyy adalah tanggal perampasan - nnnn adalah nomor urut dari pameran disita oleh analis , dimulai dengan 001 - zz adalah nomor urut untuk bagian dari pameran yang sama ( misalnya , A akan menjadi komputer , B akan menjadi monitor , C akan keyboard , dll) Mengangkut Bukti Elektronik • Hindari komputer terbalik atau menaruhnya di sisinya selama transportasi. • Jauhkan bukti elektronik dikumpulkan dari TKP jauh dari sumber magnetik seperti radio pemancar , pembicara magnet , dan kursi dipanaskan . • Simpan bukti di daerah aman dari suhu tinggi dan kelembaban . • Hindari menyimpan bukti elektronik dalam kendaraan untuk jangka waktu yang panjang . • Hindari kondisi panas yang ekstrim , dingin , atau lembab karena mereka dapat mengubah , mengganti , atau kerusakan bukti elektronik . • Menjaga rantai yang tepat dari tahanan pada bukti yang akan diangkut .

Menyimpan Bukti Elektronik â&#x20AC;˘ Pastikan bukti elektronik terdaftar sesuai dengan kebijakan departemen . â&#x20AC;˘ Simpan bukti elektronik dalam lingkungan yang aman dan cuaca yang dikendalikan . â&#x20AC;˘ Lindungi bukti elektronik dari medan magnetik , debu , getaran , dan faktor-faktor lain yang dapat merusak integritasnya .

Lacak Balak adalah keterangan tertulis dibuat oleh individu yang bertanggung jawab untuk bukti dari awal sampai akhir kasus ini . Informasi Lacak Balak Dokumentasi - Nomor Kasus - Nama, jabatan , alamat , dan nomor telepon dari orang yang memiliki bukti tersebut diterima - Lokasi di mana diperoleh - Alasan untuk bukti yang diperoleh - Tanggal / Waktu bukti diperoleh - Item nomor / kuantitas / deskripsi - Nama bukti - Warna - Nama perusahaan Manufaktur - Menandai informasi - Informasi Kemasan

Pertama Responder Kesalahan Umum â&#x20AC;˘ Mematikan atau reboot komputer korban. Dalam hal ini, semua data yang mudah menguap hilang. Proses yang berjalan pada komputer korban juga hilang. â&#x20AC;˘ Dengan asumsi bahwa beberapa komponen komputer korban mungkin dapat diandalkan dan bermanfaat. Dalam kasus ini, dengan menggunakan beberapa perintah pada komputer korban dapat mengaktifkan Trojan, malware, dan bom waktu yang menghapus data penting. â&#x20AC;˘ Tidak memiliki akses ke dokumentasi dasar tentang komputer korban. â&#x20AC;˘ Tidak mendokumentasikan proses pengumpulan data.

Bab Ringkasan • bukti elektronik adalah bahan nilai investigasi yang ditransfer oleh atau disimpan pada perangkat elektronik. • Kesehatan dan isu-isu keselamatan yang penting dalam semua pekerjaan yang dilakukan dalam semua tahap prosedur forensik. • Terkadang pengguna hadir, dan persetujuan dari pengguna diperlukan. • Dokumentasi dari TKP elektronik adalah proses yang berkesinambungan selama investigasi. • Rantai tahanan adalah deskripsi tertulis yang dibuat oleh orang-orang yang bertanggung jawab untuk bukti dari awal sampai akhir kasus ini.