Issue Seputar Digital Forensics

Postingan kali ini akan membahas mengenai issue-issue yang terjadi dalam dunia digital forensics. Issue-issue ini dipaparkan di dalam paper berikut:

1. Paper “Calm Before the Storm: The Challenges of Cloud Computing in Digital Forensics

Pada masa sekarang ini, cloud computing banyak dijadikan pilihan oleh organisasi/perusahaan, karena sifatnya yang remote, dalam lingkungan virtual (virtualized environment), dan banyak dikelola oleh pihak ketiga (3rd parties), sehingga dapat meningkatkan fleksibiltas dan efisiensi organisasi/perusahaan.

Bagaimanapun, dengan adanya teknologi cloud cmputing ini, bukan berarti bebas dari ancaman cybercrime. Keamanan dari data pribadi dan perusahaan menjadi faktor utama yang perlu dipertimbangkan sebelum memilih menggunakan teknologi cloud computing ini. Jika terjadi pelanggaran keamanan, serangan, atau pelanggaran peraturan muncul, maka diperlukan investigasi digital forensics. Namun, prinsip-prinsip, framework, praktek, dan peralatan yang digunakan dalam digital forensics saat ini adalah untuk melakukan investigasi secara offline. Dengan kata lain, pendekatan ini mengasumsikan bahwa media penyimpanan yang sedang dalam proses investigasi adalah dalam kuasa penuh dari investigator.

Melakukan investigasi di lingkungan cloud computing merupakan tantangan tersendiri karena barang bukti yang diperlukan sifatnya cepat hilang dan berada di luar kuasa penuh investigator.

  • Solusi

>> Harus ada panduan mengenai metode dan software tools yang dapat dijadikan acuan untuk mendapatkan barang bukti digital dalam lingkungan cloud computing.

>> Harus ada payung hukum yang mencakup teknologi cloud computing, penyimpanan data, dan perlindungan terhadap privasi yang perlu ditinjau ulang.

>> Harus ada komunitas digital forensics yang dapat membuat standar mekanisme untuk evaluasi framework, prosedur, dan software tools yang akan digunakan untuk investigasi dalam lingkungan cloud computing.

2. Paper “A Survey on Privacy Issues in Digital Forensics

Isu privasi selalu menjadi faktor utama yang perlu diperhatikan dalam dunia komputer forensik dan keamanan. Dalam dunia digital yang mengalami perkembangan sangat pesat dari segi teknologi dan peralatan akan sangat sulit untuk melakukan perlindungan sepenuhnya terhadap data, baik dalam proses transfer, penyimpanan, maupun koleksi data. Perlu adanya titik temu antara pencarian barang bukti dan perlindungan privasi pengguna dalam proses investigasi digital forensics.

Baca Selengkapnya

Anti Forensik

Apa itu “Anti Forensik“? Setelah pernah membahas Definisi Digital Forensics, maka postingan kali ini akan membahas mengenai issue anti forensik. Jika dilihat dari kata anti, maka artinya adalah lawan atau kontra. Jadi anti forensik adalah kontra dari forensik.

Oleh karena pembahasan pada postingan ini berkaitan dengan digital forensics, maka anti forensik yang akan dibahas nantinya adalah mengenai topik anti-digital forensics atau anti-computer forensics.

DEFINISI ANTI FORENSIK

Ilmu anti forensik belum lama diakui sebagai bidang ilmu yang legal. Di dalam bidang ilmu ini, banyak berkembang definisi dari anti forensik itu sendiri, salah satu yang paling dikenal dan diterima adalah definisi dari Dr. Marc Rogers (Purdue University, Amerika Serikat).

Attempts to negatively affect the existence, amount and/or quality of evidence from a crime scene, or make the analysis and examination of evidence difficult or impossible to conduct.

yang berarti:

“Usaha-usaha untuk memberi efek buruk pada keberadaan, jumlah, dan kualitas barang bukti dari sebuah TKP, atau membuat proses analisis dan pemeriksaan barang bukti menjadi sulit atau mustahil untuk dilakukan.”

Definisi lain mengenai anti forensik adalah dari Scott Berinato dalam artikelnya yang berjudul “The Rise of Anti-Forensics“, yaitu:

Anti-forensics is more than technology. It is an approach to criminal hacking that can be summed up like this: Make it hard for them to find you and impossible for them to prove they found you.

yang berarti:

“Anti forensik lebih dari sekadar teknologi, ia adalah sebuah pendekatan pada peretasan kriminal yang dapat disimpulkan seperti ini: Buatlah mereka kesulitan untuk menemukanmu dan mustahil untuk membuktikan bahwa mereka menemukanmu.”

PRO & KONTRA TERHADAP ANTI FORENSIK

Tujuan adanya ilmu anti forensik ini sebenarnya masih dilema. Di satu sisi, terdapat kelompok yang mengatakan bahwa anti forensik beserta tools di dalamnya berbahaya dari segi maksud dan rancangannya. Di lain sisi, terdapat kelompok yang mendukung adanya ilmu anti forensik, karena dapat menggambarkan kekurangan-kekurangan yang ada pada prosedur forensik, tools, dan pendidikan investigator forensik.

Baca Selengkapnya

Contoh Laporan Investigasi Forensika Digital

Merujuk kepada postingan “Praktikum: Analisis File .PCAP“, akan dibuatkan sebuah laporan investigasi terhadap kasus tersebut.

Template laporan investigasi mengacu kepada contoh laporan dari National Institute of Justice dan laporan Pusfid (Pusat Studi Forensika Digital) UII.

Berikut adalah hasil laporan investigasi terhadap kasus Ann Dercover pada “Praktikum: Analisis File .PCAP“.

PDF download
Laporan Investigasi Kasus Ann Dercover.pdf

 

Rancangan Form Chain of Custody

CHAIN OF CUSTODY

Chain of Custody adalah merupakan proses untuk merekam kronologi pengamanan, penahanan, pengendalian, dan pemindahan barang bukti fisik atau elektronik. Chain of Custody dituliskan dalam sebuah dokumen yang berfungsi untuk menjelaskan kronologi penanganan barang bukti tersebut, sehingga diharapkan tidak menimbulkan keraguan pada saat proses pengadilan.

Ketika barang bukti akan digunakan dalam proses pengadilan, maka diperlukan penanganan yang sangat hati-hati untuk mencegah terjadinya kontaminasi atau perubahan dari barang bukti tersebut. Ide di balik Chain of Custody ini adalah untuk menegaskan bahwa barang bukti tersebut memang benar-benar terkait dengan tindak kejahatan, bukan semata barang bukti yang ditanamkan di tempat kejahatan, hanya untuk membuat seseorang tampak bersalah.

Pihak yang berwenang harus selalu memiliki akses terhadap barang bukti, mendokumentasikannya, dan menyerahkannya kepada pihak yang bertanggung jawab terhadap evidence room (tempat pengamanan di mana barang bukti disimpan). Dokumen Chain of Custody tidak memiliki format yang standar atau baku, namun harus berisi informasi mengenai:

  • Barang bukti yang dikumpulkan.
  • Identitas semua penanggungjawab barang bukti.
  • Durasi penyimpanan barang bukti.
  • Pemindahan barang bukti (termasuk di dalamnya adalah tanda tangan pihak yang terlibat dalam proses pemindahan barang bukti).

CONTOH-CONTOH FORM CHAIN OF CUSTODY

Di bawah ini adalah beberapa contoh form Chain of Custody yang dapat dijadikan referensi dalam
merancang form Chain of Custody yang baru. Diharapkan form yang baru ini dapat mengakomodir penulisan dokumentasi Chain of Custody dengan lebih lengkap dan jelas, serta dapat digunakan untuk penanganan barang bukti dalam kasus-kasus mendatang.

Berikut adalah contoh form Chain of Custody yang dimaksud:

1. Sample-Chain-of-Custody-Form.docx

Sumber: National Institute of Standards and Technology (NIST)

Berisi:

  • Case Number, Submitting Officer, Date/Time Seized, Location of Seizure.
  • Tabel Description of Evidence (Item Number, Quantity, Description of Item –> Model, Serial Number, Condition, Marks, Scratches).
  • Tabel Chain of Custody (Item Number, Date/Time, Released by –> Signature & ID Number, Received by –> Signature & ID Number, Comments/Location).
  • Form evidence disposal untuk barang bukti yang sudah tidak diperlukan lagi.

2. COC_Form.pdf

Sumber: United Nations

Berisi:

  • Evidence/Property Custody, Tracking Number, Investigation ID Number, Name of Recipient Facility, Location, Address, Name, Title and Contact Number of Person from Whom Received, Location from Where Obtained, Reason Obtained, Date/Time Obatined, Item Number, Quantity, Description of Articles (Model, Serial Number, Condition and Unusual Marks or Scratches).
  • Tabel Chain of Custody (Item Number, Date, Releases By –> Signature, Printed Name & Contact Information, Received By –> Signature, Printed Name & Contact Information, Purpose of Change of Custody).
  • Form evidence disposal untuk barang bukti yang sudah tidak diperlukan lagi.

Baca Selengkapnya

Rekonstruksi Data dan Penerapan Occam’s Razor & Alexiou Principle dalam Sebuah Kasus

Setelah pada postingan sebelumnya membahas mengenai Analisis File .PCAP, maka pada postingan kali ini akan membahas mengenai rekonstruksi data pada analisis file .pcap tersebut dengan pendekatan 5W1H berikut juga penerapan Occam’s Razor dan Alexiou Principle dalam analisis kasus tersebut.

Pada postingan sebelumnya telah dijelaskan bahwa terdapat sebuah kasus di mana seseorang bernama Ann Dercover adalah corporate spy yang mencuri data penting perusahaan dan menyelundupkannya kepada rekannya di luar perusahaan. Kemudian Ann pun tertangkap dan ditahan namun bebas kembali dengan jaminan. Setelah bebas, Ann menghilang. Namun untungnya, investigator kasus tersebut memonitor aktivitas network Ann dan meng-capture-nya. Dari packet capture aktivitas network Ann tersebut, akhirnya dapat terungkap ke mana Ann pergi. Analisis file hasil capture juga telah dibahas dalam postingan sebelumnya.

Pada postingan kali ini, akan dibahas mengenai rekonstruksi data dengan pendekatan pertanyaan 5W1H, yaitu:

  1. What (Apa)
  2. When (Kapan)
  3. Where (Di mana)
  4. Who (Siapa)
  5. Why (Mengapa)
  6. How (Bagaimana)

WHAT?

Kasus apa yang terjadi? Kasus yang terjadi adalah mengenai perginya Ann Dercover, seorang corporate spy yang telah tertangkap namun bebas kembali setelah ada jaminan. Keberadaan Ann tidak diketahui. Namun, investigator kasus telah melakukan monitoring terhadap aktivitas network Ann dan dicurigai adanya komunikasi antara Ann dengan kekasihnya sebelum Ann pergi menghilang.

WHEN?

Kapan terjadinya kasus ini? Dari hasil pemeriksaan terhadap file packet capture, diketahui bahwa kasus ini terjadi sekitar tanggal 10 Oktober 2009. Packet capture dilakukan antara pukul 20:34:08 sampai dengan pukul 20:38:22 dengan durasi 4 menit 14 detik.

blog - time

Baca Selengkapnya

Praktikum: Analisis File .PCAP

Postingan kali ini akan membahas mengenai sebuah kasus yang pernah digunakan dalam kompetisi Digital Forensics di http://forensicscontest.com/2009/10/10/puzzle-2-ann-skips-bail.

Dalam kasus tersebut diceritakan bahwa ada seorang bernama Ann Dercover yang merupakan corporate spy, mencuri data penting perusahaan dan menyelundupkannya kepada rekannya di luar perusahaan. Ann sudah tertangkap dan ditahan, namun dibebaskan dengan jaminan. Setelah bebas, Ann pun menghilang.

Untungnya, investigator melakukan monitoring terhadap aktivitas network Ann sebelum dia menghilang. Ann dipercaya telah berkomunikasi dengan kekasihnya yaitu Mr. X sebelum pergi. Packet capture dari aktivitas network Ann bernama “evidence02.pcap” kemungkinan berisi petunjuk mengenai keberadaan Ann.

Peserta kompetisi diminta untuk menjawab challenge yang ada pada kasus tersebut. Berikut adalah pertanyaannya:

  1. Apa alamat email milik Ann?
  2. Apa password email milik Ann?
  3. Apa alamat email milik kekasih Ann (Mr. X)?
  4. Barang apa sajakah (2 item) yang Ann minta kepada kekasihnya untuk dibawa?
  5. Apa nama file attachment yang dikirimkan Ann kepada kekasihnya?
  6. Berapa MD5sum dari file attachment pada no.5?
  7. Di kota dan negara manakah Ann dan kekasihnya akan bertemu?
  8. Berapa MD5sum dari image yang ada di dalam file attachment tersebut?

Challenge tersebut dapat diselesaikan menggunakan tool & command yang ada pada OS Kali Linux.

Baca Selengkapnya

Model Investigasi pada Paper: “Membangun Integrated Digital Forensics Investigation Framework (IDFIF) Menggunakan Metode Sequential Logic”

Digital Forensics Investigation Framework” (DFIF) atau model investigasi forensik digital telah banyak berkembang sejak tahun 1995. Namun belum ada model investigasi forensik digital standar yang digunakan oleh para investigator untuk penanganan sebuah kasus.

PROBLEMATIKA

Belum adanya model investigasi standar dari sekian banyak model investigasi yang bermunculan, nyatanya juga menimbulkan masalah baru. Penggunaan model investigasi yang berbeda-beda akan menyebabkan pembuktian yang dihasilkan sulit diukur dan dibandingkan. Sedangkan dalam kenyataannya, persidangan selalu melibatkan lebih dari satu pihak untuk pembuktikan sebuah fakta persidangan. Pengukuran dan pembandingan akan muncul ketika salah satu pihak tidak puas atas hasil pembuktian pihak yang lain.

SOLUSI

Perlu adanya model investigasi standar yang dapat mengakomodir model-model investigasi yang telah hadir sebelumnya. Metode Sequential Logic merupakan metode yang memiliki keterikatan atas latar
belakang masukan terhadap keluarannya. Metode ini memiliki karakteristik yang dapat merekam histori dari masukan, sehingga dapat diasumsikan metode tersebut dapat melihat urutan model investigasi sebelumnya untuk membentuk model investigasi yang baru.

Penelitian ini menghasilkan model investigasi baru yang diharapkan dapat menjadi standar metode penyelidikan para investigator. Model investigasi yang dihasilkan dalam penelitian ini disebut sebagai “Integrated Digital Forensics Investigation Framework” (IDFIF) dikarenakan telah memperhitungkan model-model investigasi sebelumnya. Model-model investigasi yang telah ada sebelumnya dapat diakomodir IDFIF dengan menggunakan metode Sequential Logic.

MODEL-MODEL INVESTIGASI FORENSIK DIGITAL YANG SUDAH ADA

[table id=6 /]

Baca Selengkapnya

Model Investigasi pada Paper: “Common Phases of Computer Forensics Investigation Models”

Meningkatnya jumlah aktivitas kriminal yang menggunakan informasi digital sebagai alat atau target, memerlukan tata cara terstruktur dalam penanganannya. Proses atau prosedur penanganan yang digunakan dalam investigasi forensik komputer akan memiliki pengaruh langsung terhadap hasil investigasinya. Melewatkan satu langkah atau mengganti prosedur penanganan barang bukti dapat mengakibatkan kesimpulan yang tidak valid. Dan parahnya lagi, barang bukti tersebut tidak dapat dijadikan rujukan di pengadilan.

Pada awal tahun 1984, Laboratorium FBI dan badan penegak hukum lainnya mulai mengembangkan program untuk memeriksa barang bukti komputer. Dan dengan semakin berkembangnya zaman, model-model investigasi forensik komputer pun bermunculan.

Melalui pengamatan terhadap model-model investigasi tersebut, dapat ditarik kesimpulan, yaitu:

  • Beberapa model investigasi hanya dapat diaplikasikan pada skenario tertentu, sementara model yang lain dapat diaplikasikan pada skenario yang lebih luas.
  • Beberapa model ada yang sangat mendetail, sementara model yang lain general.

PROBLEMATIKA

Dari dua poin di atas, muncul sebuah problematika, yaitu sulit dan betapa membingungkannya bagi seorang investigator terutama yang masih junior untuk mengadopsi model investigasi yang tepat dalam penanganan sebuah kasus.

SOLUSI

Untuk itu diperlukan sebuah analisis terhadap berbagai macam model investigasi, mengekstrak fase-fase yang sama di antara model-model investigasi tersebut, dan mengusulkan model investigasi yang baru yang dapat dijadikan starting point dalam penanganan sebuah kasus dan dapat diaplikasikan pada setiap skenario.

PERKEMBANGAN MODEL INVESTIGASI FORENSIK KOMPUTER

Sebelum tiba pada usulan model investigasi, ada baiknya menyimak perkembangan model investigasi forensik komputer dari masa ke masa.

[table id=3 /]

Baca Selengkapnya

Locard’s Exchange dan Kaitannya dengan Forensik Digital

blog - edmond locardPada tahun 1910, seorang ilmuwan forensik asal Prancis bernama Edmond Locard mengembangkan teori bahwa antara dua orang yang terjadi kontak secara fisik, walaupun dengan cara yang singkat, sesuatu dari seseorang di antaranya akan ditransfer ke seseorang yang lain.

Hal ini dikenal sebagai Locard’s Exchange Principle. Dalam bahasa sederhananya, “every contact leaves a trace”. Setiap kontak pasti meninggalkan jejak.

Locard’s Exchange Principle dapat diterapkan pada setiap keadaan. Sebagai contoh, jika seseorang memasuki sebuah ruangan, pasti ruangan tersebut akan mengalami perubahan. Orang tersebut bisa saja meninggalkan jejak berupa sel kulit, sehelai rambutnya yang jatuh, maupun sepotong serat kain dari pakaiannya yang tersangkut di kaki meja.

Dalam ilmu forensik, Locard’s Exchange Principle menyatakan bahwa pelaku kejahatan akan membawa sesuatu ke dalam Tempat Kejadian Perkara (TKP) dan pergi dengan sesuatu dari TKP tersebut. Kedua hal itu dapat digunakan sebagai bukti forensik.

Paul L. Kirk, penulis buku “Crime Investigation: Physical Evidence and The Police Laboratory“, mendeskripsikan Locard’s Exchagne Principle sebagai berikut:

Wherever he steps, whatever he touches, whatever he leaves, even unconsciously, will serve as a silent witness against him. Not only his fingerprints or his footprints, but his hair, the fibers from his clothes, the glass he breaks, the tool mark he leaves, the paint he scratches, the blood or semen he deposits or collects. All of these and more, bear mute witness against him. This is evidence that does not forget. It is not confused by the excitement of the moment. It is not absent because human witnesses are. It is factual evidence. Physical evidence cannot be wrong, it cannot perjure itself, it cannot be wholly absent. Only human failure to find it, study and understand it, can diminish its value.

Baca Selengkapnya