Panduan Praktis Dijital Forensik -...
Transcript of Panduan Praktis Dijital Forensik -...
Panduan Praktis Dijital Forensik
patusacyber
http://patusainside.wordpress.com
Jika kita mengutip definisi mengenai digital forensic dari Wikipedia maka dapat diartikan
sebagai sebuah bidang ilmu yang mencakup proses recovery dan investigasi dari content (berupa
audio, video, image maupun dokumen) yang berkaitan dengan kejahatan komputer. Digital
forensic harus dilakukan sesuai dengan standar operasional untuk menjamin tidak ada terjadi
perubahan terhadap media digital yang akan di forensic selama proses investigasi.
Dalam melakukan analisis forensik menggunakan metode tradisional investigator harus
mengumpulkan beberapa item informasi seperti lama waktu hidup komputer sebelum komputer
dimatikan, bit stream image dari hard drive dan hardisk. Informasi yang dikumpulkan bersifat
volatil dan non volatile. Data volatil berarti data sistem live pada komputer yang hilang setelah
device dimatikan sedangkan data non volatil bisa besumber dari OS (filesystem) dan BIOS
(Basic Input/Output System). Informasi yang tersedia bisa berupa proses sistem, lamanya
running sistem, informasi mengenai kondisi sistem sebelum dilakukan proses interupt, file yang
dibuka, proses memory dan informasi megenai koneksi jaringan. Seorang investigator
diharuskan memiliki kecakapan dalam mengambil tindakan untuk menganalisa data dan
membuat keputusan apa yang akan diambil. Pada kondisi media penyimpanan lainnya, jika daya
atau listrik dicabut dari sistem, cara konvensional yang bisa dilakukan adalah dengan cara
membuat image hard drive terlebih dahulu. Penggunaan tools/aplikasi dalam proses
pengumpulan informasi akan membantu investigator mengumpulkan informasi sebanyak
banyaknya. Live respone merupakan salah satu istilah dalam hal pengumpulan informasi yang
diperlukan. Proses pengumpulan informasi live respone membutuhkan deskripsi secara detail
mengenai kategori informasi yang akan dikumpulkan dan cara/teknik yang digunakan untuk
menggunakannya.
Dalam pengumpulan data yang terdapat pada sistem, haruslah dilakukan dengan penuh kehati-
hatian. Karena setiap kesalahan yang dilakukan oleh investigator akan bisa berakibat terjadinya
perubahan data yang terdapat pada sistem. Hal ini akan menyebabkan tidak akuratnya hasil
investigasi dengan kejadian sebenarnya.
Pada proses pengumpulan informasi (information gathering) media volatile, informasi yang bisa
didapatkan antara lain:
- Waktu sistem
- History user yang login
- File yang pernah dibuka
- Informasi jaringan
- Daftar Koneksi jaringan
- Informasi proses sistem
- Informasi proses memori
- Mapping port
- Infromasi service/driver
- Mapped Drives
- Terminal History
Langkah awal yang biasa dilakukan adalah melakukan pengecekan waktu sistem. Untuk
pengecekan waktu sistem apakah sesuai dengan local time dapat mengetikkan "time /t & date /t"
atau dengan perintah "date" pada command line komputer korban. Selama melakukan analisis,
investigator juga membutuhkan informasi menegenai user yang mengakses komputer terakhir
kali baik dari lokal ataupun melalui remote. Informasi seperti diatas merupakan keluaran yang
diharapkan sebagai contoh infromation gathering media volatile. Proses investigasi digital
forensic bisa dibagi menjadi beberapa tahapan meliputi proses kloning (pemeliharaan barang
bukti digital), pengumpulan data, pemeriksaan terhadap keakuratan data, dan proses investigasi
terhadap bukti-bukti digital.
Kloning (pemeliharaan benda bukti) : Proses ini merupakan tahapan untuk memastikan bahwa
tidak adanya terjadi perubahan data terhadap barang bukti digital diakibatkan oleh aktifitas
forensic. Duplikat yang ditujukan untuk menjaga aspek integrity pada data sering juga disebut
dengan istilah forensic imaging, yaitu melakukan copy terhadap data sumber secara presisi 1
banding 1 sama persis atau bit by bit copy . Dengan proses kloning yang presisi 1 banding 1,
barang bukti duplikasi akan identik dengan barang bukti yang asli. Jika dilakukan proses logical
backup ditakutkan akan terjadi perubahan terhadap time stamps dokumen.
Pengumpulan data : Proses ini bisa berupa pencarian dan pengumpulan bukti-bukti digital yang
berkaitan dengan proses investigasi. Pengumpulan data yang tersimpan di dalam media
penyimpanan digital (hard drive) bisa berupa file/dokumen yang sudah terhapus (temporary),
network traffic computer, dan proses aplikasi-aplikasi yang berjalan pada komputer.
Pemeriksaan data : Pemeriksaan terhadap keakuratan data berkaitan dengan kejadian dan object
yang sedang di investigasi. Pemeriksaan terhadap data yang didapatkan bisa terhadap log file,
dokumen, capture network traffic, hashing file ataupun file lainnya yang dirasa perlu dan
menunjang proses investigasi
Analisis/Report : Setelah seluruh informasi yang dibutuhkan telah berhasil dikumpulkan,
selanjutnya investigator akan menarik sebuah kesimpulan berdasarkan bukti-bukti yang didapat
sebelumnya yang sudah dianalisis terlebih dahulu. Hasil akhir dari proses investigasi adalah
sebuah report yang bersifat relevant dengan tujuan investigasi.
Pembahasan yang dijabarkan pada dokumen ini akan difokuskan kepada analisa terhadap media
penyimpanan yang terdapat pada victim. Beberapa aplikasi opensource yang bisa digunakan
untuk mendukung aktifitas digital forensic seperti dcfldd, autospy, foremost, fenris, magic-
rescue, bulk-extractor dan masih ada beberapa aplikasi open source lainnya yang bisa digunakan
untuk mendukung kegiatan digital forensic
Studi Kasus :
Fulan bekerja pada sebuah perusahaan Negara yang fokus membawahi tender-tender proyek
Negara. Baru-baru ini tersiar kabar di surat kabar bahwa lembaga dimana tempat fulan bekerja
sedang dalam pengerjaan mega proyek untuk tempat tinggal Atlit. Selama pengerjaan proyek,
fulan beserta pemenang tender proyek terindikasi terlibat permainan mata. KPK (Komplotan
Pembasmi Kongkalikong) menanggapi isu yang beredar dengan cepat. Setelah surat
penggeledahan keluar, KPK dengan gagah beraninya langsung merangsek ke lembaga dimana
fulan bekerja dan berusaha mengumpulkan bukti-bukti yang terkait dengan isu di tengah
masyarakat, termasuk bukti-bukti dijital. Salah satu barang bukti yang ikut dibawa adalah
komputer jinjing milik fulan. Entah setan apa yang menjadi rekanan mereka, fulan sudah terlebih
dahulu mendapatkan bocoran informasi tentang penggeledahan. Data-data terkait pengadaan
proyek dan transaksi gelap yang dilakukan sudah terlebih dahulu dihapus oleh fulan. Sekarang
menjadi tugas yang tidak ringan bagi KPK untuk kembali mengumpulkan data-data tersebut
menjadi sebuah barang bukti yang valid dan dapat dipertanggung jawabkan di mata hukum.
Folder dan data-data yang dihapus fulan pada komputer jinjingnya dapat dilihat seperti gambar
dibawah ini, sekarang tinggal bagaimana KPK melakukan usaha untuk mengumpulkan data-data
tersebut kembali. Dalam hal ini, kita mengenal dengan istilah digital forensic.
Gambar 1. Data-data penting yang sudah dihapus oleh fulan
Sesuai dengan prosedur umum pelaksanaan digital forensic yang dijabarkan diatas, tim digital
forensic KPK harus terlebih dahulu memastikan bahwa data di barang bukti dijital yang akan di
investigasi tidak terjadi perubahan. Untuk mengantisipasi hal ini, tim KPK harus melakukan
kloning terhadap media penyimpanan komputer jinjing fulan ke media penyimpanan baru. Proses
klonning dapat menggunakan bantuan aplikasi. Salah aplikasi yang dapat digunakan untuk
cloning hardisk adalah clonezilla.
Dalam kasus ini, diasumsikan tim investigator KPK sudah melakukan kloning terhadap harddisk,
sehingga data yang terdapat pada hardisk master komputer jinjing fulan tidak akan mengalami
perubahan. Sistem operasi yang digunakan selama proses investigasi adalah Back|Track. Hardisk
yang sudah di kloning pada proses sebelumnya, di mounting terlebih dahulu kedalam system
operasi Back|Track sehingga dapat digunakan. Berikut ditampilkan hasil mounting hardisk
kloning yang sudah berhasil
Gambar 2. Mounting hardisk pada sistem operasi backtrack
Untuk mempermudah didalam proses investigasi, hardisk yang sudah di kloning oleh tim KPK
akan diubah kedalam bentuk image. Investigator harus membuat terlebih dahulu folder tujuan
image dan mounting hardisk tersebut kedalam folder tersebut.
Gambar 3. Pembuatan folder dijifor dan mounting hardisk
Jangan lupa untuk melakukan pengecekan terhadap hasil sum file guna memastikan tidak adanya
kerusakan terhadap file atau terjadinya perubahan data. Salah satu aplikasi yang dapat digunakan
untuk pengecekan sum adalah md5sum
Gambar 4. Pengecekan md5sum source file
Selanjutnya investigator akan membuat image dari hardisk yang dimaksud. Salah satu aplikasi
yang bisa digunakan untuk pembuatan image adalah dcfldd. Informasi mengenai option dan
penjelasan lain mengenai aplikasi ini dapat membaca langsung pada panduan yang disediakan
dengan mengetikkan “dcfldd --help”.
Gambar 5. Pembuatan image hardisk target
Setelah semua keperluan untuk proses invesitgasi dipersiapkan, investigator KPK akan mulai
melakukan analisis awal menggunakan aplikasi sleuthkit dengan interface autopsy. Aplikasi ini
memiliki interface berupa web sehingga cukup user friendly dalam pengoperasiannya. Autopsy
memberikan keleluasaan kepada investigator untuk melakukan investigasi dengan menggunakan
file image berformat dd,mencari tahu tipe file sistem, melakukan analisis dan identifikasi konten
dari file dan direktori, recovery file, analisis meta data dan beberapa keunggulan lainnya.
Pastikan autopsy sudah aktif dan dapat diakses melalui web browser
Gambar 6. Autopsy sudah aktif dan bisa diakses
Selanjutnya buka browser pada komputer yang terkoneksi dengan system operasi backtrack dan
isikan url berikut ini pada address bar http://localhost:9999/autopsy
Gambar 7. Welcome screen autopsy
Apabila kasus yang akan di investigasi merupakan kasus baru yang belum pernah di investigasi
sebelumnya, pilih opsi “New Case” dan isikan informasi-informasi tambahan pelengkap untuk
investigasi.
Gambar 8. Pembuatan case pada autopsy
Setelah mengisikan detail informasi terkait case, selajutnya investigator harus mengisikan
informasi host dari penanganan kasus ini
Gambar 9. Penambahan host
Gambar 10. Inforamsi host investigator
Setelah itu, investigator diharuskan memasukkan image file yang sudah dibuat pada proses
sebelumnya kedalam case. Ada baiknya dibuat folder tersendiri yang berisikan tautan kepada
path direktori image.
Gambar 11. Simbolik link folder dari source image ke path folder baru
Gambar 12. Penambahan image dari path folder mount hardisk target
Gambar 13. Image file details dan check hash value image
Gambar 14. Disk image sudah siap untuk dianalisis
Berdasarkan gambar diatas, bisa dilihat mount disk mendeteksi 2 buah partisi berbeda sehingga
membentuk 2 disk dengan label C:/ dan D:/. Mount disk C:/ merupakan hidden partisi dari
system operasi windows 7 yang biasa dikenal dengan istilah “system reserved”, sedangkan
mount disk D:/ adalah partisi System dan local disk C target dimana kemungkinan besar data-
data seperti dokumen, history, dan network logging tersimpan disini. Tandai button radio mount
disk D:/ dan klik button analyze untuk masuk kedalam menu menggunakan tools-tools yang
disediakan autopsy.
File Analysis merupakan menu awal yang bisa digunakan oleh investigator. Didalam menu ini
investigator dapat melihat file-file apa saja yang terdapat pada hardisk (file browsing), selain itu
informasi mengenai kapan sebuah file ditulis, diakses, berubah dan dibuat tersedia disini.
Gambar 15. Menu file analysis
Pada sisi kiri menu file analysis terdapat 3 buah sub menu, yaitu directory seek, file name search
dan all deleted files. Directory seek berguna untuk melihat langsung/mencari path direktori
folder yang ingin kita lihat. Contoh, apabila investigator KPK ingin melihat aplikasi apa saja
yang diinstal oleh fulan, maka tim investigator KPK cukup mengetikkan direktori path folder
“program files”.
Gambar 16. Pencarian folder program files
Fitur lain yang dapat digunakan pada menu file analysis ini adalah file name search. Dengan
mengetikkan perl regular expression file yang akan dicari, maka otomatis aplikasi autopsy akan
mengelompokkan file-file tersebut sehingga memudahkan investigator untuk mengumpulkan
bukti-bukti yang dibutuhkan. Contoh, investigator KPK akan mencari file-file berekstensi jpg
pada harddisk fulan, maka cukup mengetikkan “.jpg”.
Gambar 17. Pencarian file ekstensi jpg
Dari hasil pencarian diatas, dapat dilihat terdapat perbedaan warna tulisan, ada yang berwarna
biru dan merah. File yang berwarna biru berarti file yang masih exists didalam system,
sedangkan file yang bertuliskan warna merah merupakan file yang sudah di delete dari sistem.
Pencarian spesifik terhadap file yang sudah terhapus juga dapat dilakukan, dalam hal ini kita
analogikan tim investigator menaruh curiga terhadap fulan dikarenakan informasi penggeledehan
sudah bocor, maka ada kemungkinan file-file penting terkait transaksi proyek sudah terlebih
dahulu dihapus.
Gambar 17. Pencarian file yang terhapus
Dengan bantuan fitur deleted files ini, tim investigator dapat melakukan pemeriksaan terhadap
file-file yang terindikasi sudah dihapus oleh fulan. Sebagai catatan, pencarian file ini akan
spesifik langsung kepada file bukan terhadap direktori yang ada. Informasi lain yang bisa
didapatkan dari hasil ini bisa adalah informasi waktu terkahir file tersebut diakses, informasi
waktu file tersebut dibuat, dan informasi waktu file tersebut ubah. Dengan bantuan aplikasi ini,
investigator juga dapat dengan mudah untuk menemukan nilai-nilai ASCII, Hex ataupun
metadata dari file yang dicurigai
Gambar 18. Inforasi ASCII dari file desktop.ini
Gambar 19. Informasi Hexa dari file desktop ini
Gambar 20. Informasi metadata file desktop.ini
Pemeriksaan metadata dari file atau media yang akan di investigasi sangat penting untuk
dilakukan, output yang dihasilkan berupa informasi akan menjadi dasar untuk proses investigasi
selanjutnya. Untuk beberapa kasus berkaitan dengan dokumen selama proses investigasi
dilakukan, hendaknya investigator mengumpulkan informasi metadata yang kemudian diekstrak
guna membandingkan untuk mendapatkan histori timeline dari dokumen tersebut. salah satu
kerawanan dalam melakukan investigasi terhadap sebuah file terletak di masalah waktu (time
stamps) dokumen. Dengan memanfaatkan aplikasi seperti stexbar, seorang terdakwa yang
terjerat kasus korupsi ini pun bisa berkelit dengan perubahan date dokumen. Melakukan validasi
terhadap time stamps sangat sulit untuk dilakukan, disinilah dibutuhkan informasi yang sangat
detail untuk melakukan validasi terhadap metadata.
Pengubahan time stamps pada dokumen dapat dilakukan dengan berbagai cara, cara lainnya
dengan melakukan pengubahan waktu terlebih dahulu pada komputer sebelum pembuatan file,
dengan melakukan perubahan waktu kedalam jam yang tidak akurat maka time stamps yang
terdapat pada dokumen akan mengikuti waktu pada komputer (tidak akurat). Hal ini akan
menjadi tantangan tersendiri bagi investigator untuk menemukan metode yang tepat untuk
memecahkan permasalahan yang ada. Salah satu clue yang bisa digunakan dengan membaca
time stamps pada aplikasi-aplikasi yang running pada system, seperti browser dan application
anti virus. Dalam sebuah contoh, tersangka pernah melakukan transaksi online baik itu
pembelian tiket pesawat pada sebuah maskapai penerbangan, walaupun tersangka berusaha
mengelabui dengan mengatur sendiri time stamp pada komputer yang digunakan, akan tetapi
browser akan mengikuti time stamp dokumen yang diterbitkan/dikeluarkan oleh server reservasi
tiket maskapai penerbangan, dan setiap aktivitas seperti ini akan ter-record didalam sistem. Hal-
hal kecil seperti ini bisa menjadi solusi bagi investigator untuk meminimalisir kemungkinan
adanya perubahaan time stamp yang dilakukan oleh tersangka.
Setelah melakukan analisis terhadap data-data yang terdapat pada file, investigator KPK akan
mencoba untuk melakukan recovery terhadap file-file yang terdapat didalam hardisk kloning.
Untuk melakukan recovery terhadap file, investigator dapat menggunakan beberapa aplikasi,
seperti foremost dan scalpel. Foremost merupakan aplikasi berbasis console yang melakukan
recovery file berdasarkan headers, footers dan internal data struktur. Aplikasi ini bisa digunakan
pada Diskimaging yang di-generate menggunakan dd, dcfldd, safeback dan encase. Beberapa
tipe format yang disupport oleh foremost seperti jpg, gif, png, bmp, avi, exe, mpg, wav, riff,
wmv, mov, pdf, ole, doc, zip, rar, htm dan cpp (http://goo.gl/S7pTQi) Untuk file format lainya
yang tidak tercantum diatas, investigator dapat menambahkannya pada file konfigurasi foremost
(foremost.conf) secara manual berdasarkan file signature tipe file yang ingin ditambahkan
(http://goo.gl/P1s5N). Scalpel memiliki fungsi hampir sama dengan foremost. Aplikasi ini
diperkenalkan dipersentasikan pada event konferensi Digital Forensic Research Workshop
(DFRWS) 2005
Gambar 21. Recovery file mengguakan foremost
Gambar 22. Output foremost
Contoh yang diberikan diatas adalah penggunaan foremost untuk recovery dengan tipe file jpg,
png, dan bmp. File yang berhasil direcovery secara default oleh foremost akan disimpan pada
direktori /root/output. Bagaimana dengan tipe file lainnya yang belum disupport oleh foremost?
Investigator cukup membuat sebuah file conf baru sesuai dengan type sign file nantinya akan kita
gunakan. Contoh dibawah ini akan diberikan penjelasan mengenai recovery file PST.
Gambar 23. Penambahan sign file PST
Selanjutnya kita akan melakukan percobaan recovery terhadap file pst dengan menggunakan file
conf baru. Berikut output aplikasi berdasarkan percobaan yang dilakukan
Gambar 24. Output foremost recovery file pst
Output diatas memberikan informasi bahwa foremost tidak berhasil melakukan extraksi file pst.
Bisa disebabkan tidak adanya file dengan berekstensi tersebut didalam hardisk. Selain dengan
foremost, recovery file juga dapat menggunakan aplikasi scalpel. Secara default file konfigurasi
scalpel dinonaktifkan untuk recovery beberapa tipe file, sebelum menggunakannya aktifkan
terlebih dahulu beberapa tipe file recovery dengan cara uncomment pada file conf nya. File conf
scalpel dapat ditemukan pada direktori /etc/scalpel/scalpel.conf
Pada proses sebelumnya investigator sudah mengumpulkan informasi yang cukup mengenai file
analysis. Akan tetapi bukti-bukti yang dikumpulkan oleh investigator tersebut belum bisa
dikatakan detail dikarenakan tidak adanya data-data penunjang seperti informasi network traffic
(IP, URL, domain), history email, dan beberapa informasi lainnya. Investigator membutuhkan
sebuah aplikasi extractor yang dapat mengumpulkan informasi informasi tersebut. Salah satu
aplikasi yang dapat digunakan investigator adalah bulk extractor. Ada baiknya sebelum
menggunakan bulk_extractor, tim investigator yang belum pernah menggunakan membaca
terlebih dahulu manual yang tersedia atau dengan mengetikkan command “man bulk_extractor”
pada terminal sistem operasi backtrack investigator.
Gambar 21. Manual bulk_extractor
Proses scanning yang dilakukan oleh bulk extractor akan sedikit berbeda jika dibandingkan
dengan beberapa aplikasi dijital forensik lainya, hal ini disebabkan kecepatan dalam hal scanning
yang dilakukan aplikasi tergantung dari jumlah core mesin investigator. Bulk extractor termasuk
aplikasi cross platform yang juga bisa digunakan pada komputer bersistem operasi windows.
Aplikasi ini dapat diunduh dari alamat http://digitalcorpora.org/downloads/bulk_extractor/
Gambar 22. Memulai scanning dengan bulk_extractor
Gambar 23. Proses scanning selesai dilakukan
Gambar 23. Output hasil scanning bulk_extractor
Dari hasil output yang dihasilkan oleh bulk extractor, investigator mendapatkan informasi yang
lebih lengkap seperti domain yang pernah diakses oleh fulan, interaksi dengan e-mail yang
dilakukan fulan dan informasi mengenai network traffic lainnya. Data-data yang sudah berhasil
dikumpulkan dapat menjadi bukti yang bisa digunakan baik itu di peradilan ataupun sebagai
arsip kepolosian untuk mendalami kasus-kasus berikutnya. Sedikit catatan yang harus
diperhatikan oleh investigator agar hasil investigasi menjadi sah didalam peradilan sebagai
berikut :
1. Dapat diterima, artinya data yang dihasilkan harus bersifat informasi dapat dipahami dan
diterima serta digunakan untuk keperluan hukum, mulai dari kepentingan penyelidikan
sampai dengan kepentingan pengadilan,
2. Asli, artinya bukti tersebut harus otentik dan benar merupakan hasil output dari media
penyimpanan sehingga informasi yang dihasilkan dapat dipertanggungjawabkan dan
benar adanya bukan hasil rekayasa,
3. Lengkap, artinya bukti bisa dikatakan lengkap dan bisa dijadikan sebagai alat bantu untuk
proses investigasi selanjutnya. Salah satu aspek lengkap yang harus tersedia pada hasil
investigasi adalah time stamps sebuah file/dokumen,
4. Dapat dipercaya, artinya bukti dapat mengatakan hal yang terjadi pada kejadian
sebelumnya, jika bukti tersebut dapat dipercaya maka proses investigasi selanjutnya akan
dapat dilakukan dengan lebih cepat.