Tinjauan Umum JTAG & Chip-Off Forensics

Disamping teknik ekstraksi berupa teknik fisikal, file system, lojikal dan manual,   terdapat dua teknik ekstraksi lainnya yaitu JTAG dan Chip-Off.  Umumnya kedua teknik tersebut merupakan upaya alternatif jika pada teknik-teknik ekstraksi lainnya ditemukan kendala atau hambatan. Dua hal yang mendasar dalam penggunaan kedua teknik adalah kondisi handset pada saat dilakukan ekstraksi:(1) handset harus dalam keadaan mati (off) (2) perolehan full raw image.  Hal ini berbeda dengan teknik-teknik sebelumnya yang akan mengekstrak data dari handset yang dalam keadaan hidup (on), serta memiliki opsi untuk mengekstrak lojikal dan filesystem.

Selain itu terdapat beberapa kondisi yang harus diperhatikan oleh examiner ketika ingin menggunakan teknik JTAG atau Chip-Off yaitu:

  • Kedua teknik tersebut bersifat invasive (merusak). Teknik JTAG terbilang tidak merusak, walaupun examiner tetap harus melepas beberapa bagian dari handset. Akan tetapi handset setelah proses ekstraksi masih tetap dapat digunakan.  Sedangkan pada Chip-Off, examiner harus melepas internal flash memory sehingga handset tidak diharapkan untuk dapat digunakan kembali;
  • Waktu yang dibutuhkan untuk pengerjaan kedua teknik tersebut terbilang panjang. Terutama untuk menganalisis raw dump yang dihasilkan dari proses ekstraksi;
  • Examiner membutuhkan pelatihan yang khusus dan pengalaman yang memadai sebelum dapat menggunakan kedua teknik tersebut. Risiko dalam penerapan kedua teknik ini sangat tinggi.  Satu kesalahan dalam pelaksanaan kerja dapat menyebabkan handset tidak dapat diakses secara total.

Joint Test Action Group (JTAG) Forensics

JTAG adalah nama yang umum digunakan untuk menyebut standar IEEE 1149.1 Standar Test Access Port and Boundary-Scan Architecture.  Awalnya standar ini digunakan untuk menguji printed circuit board (PCB) dengan menggunakan boundary scan.  Sekarang ini JTAG juga digunakan untuk IC debug ports.  Pada pasar embedded processor, seluruh modern processor telah mendukung penggunaan JTAG ketika memiliki jumlah pins yang cukup.

JTAG forensics  sebelumnya dikenal dengan nama teknik Flasher Boxes dan sudah cukup lama digunakan untuk proses ekstraksi data dari dalam telepon seluler. JTAG merupakan prosedur ekstraksi data dengan menghubungkan Standar Test Access Ports (TAPs) yang ada dalam handset dan mengirimkan instruksi pada processor untuk mentransfer seluruh raw data dalam memory chips yang terhubung dengan processor.  Ekstraksi atas full physical image akan sangat efektif, atas handset yang mendukung penggunaan JTAG.  Terdapat beberapa tantangan yang harus diperhatikan terkait penggunaan Flasher Boxes:

  • Handset akan reboot untuk memulai proses ekstraksi, hal ini akan mengaktifkan proses otentifikasi yang dapat mengunci handset yang dapat menghambat proses berikutnya;
  • Jika data dalam handset di-enkripsi, maka ketika dilakukan ekstraksi data tersebut tetap tidak dapat di-parsing, sehingga tetap membutuhkan tools untuk mendekripsi data agar dapat dianalisis;
  • Banyak handset membatasi akses ke memory address tertentu, sehingga proses ekstraksi tidak dapat memperoleh seluruh memory range address. Hanya pada range address tertentu yang dapat diekstraksi.
  • Perangkat flasher boxes terkadang memiliki banyak tombol yang memiliki label dengan nama yang hampir sama, sehingga dapat membingungkan examiner yang kurang pengalaman. Bukan tidak mungkin, seorang examiner salah menekan tombol, sehingga melakukan penghapusan data ketika bertujuan untuk mengekstrak data.
  • Dokumentasi untuk menjelaskan penggunaan flasher boxes seringkali sangat terbatas. Referensi untuk merujuk penggunaan flasher boxes seringkali hanya tersedia di forum-forum yang didukung oleh vendor.  Examiner harus berhati-hati atas petunjuk yang diberikan dalam forum tersebut, karena tidak seluruhnya tepat.
  • Pada dasarnya flasher boxes bukan ditujukan sebagai forensic tools, sehingga examiner harus memiliki pengetahuan dan pengalaman yang mencukupi dalam menggunakan alat-alat tersebut. Disarankan bagi examiner untuk menggunakan flashboxes pada perangkat yang identik sebelum diterapkan pada alat bukti berupa handset (Ayers et al., 2014).