-
0
UJIAN AKHIR SEMESTER
TAKE HOME
CYBER FORENSIC MUHAMMAD SALAHUDDIEN MANGGALANY
Diajukan Untuk Memenuhi Salah Satu Syarat Akademik Program Pasca
Sarjana (S-2)
Oleh :
Yaya Suharya L.25.013.0021
J u r u s a n K e a m a n a n K o m p u t e r M a g i s t e r T
e k n i k I n f o r m a t i k a
U N I V E R S I T A S L A N G L A N G B U A N A B A N D U N
G
2 0 1 5
-
1
SOAL
UNIVERSITAS LANGLANGBUANA Program Pasca Sarjana Magister Teknik
Informatika Mata Kuliah Komputer Forensik
Ada dua bagian soal. Untuk setiap bagian, Anda diminta untuk
memiilih 3 (tiga) soal yang paling menarik
minat Anda. Waktu pengerjaan adalah 2 (dua) minggu take home
exam. Tulis seluruh jawaban dengan
menggunakan komputer dan dilengkapi ilustrasi diagram ataupun
contoh tampilan (apabila diperlukan),
dikirim ke alamat email [email protected] diserahkan sebelum
tanggal 5 April 2015. Anda diperkenankan
membuka buku, mencari referensi dan mengakses Internet, akan
tetapi dilarang bekerjasama dengan
peserta ujian lainnya.
Jangan lupa berdoa. Selamat bekerja, semoga sukses!
BAGIAN I ANALISIS (bobot soal masing-masing 20%)
(pilih hanya tiga soal yang paling menarik minat Anda)
Soal 1 Email resmi Perusahaan XYZ menerima kiriman ancaman
pembocoran informasi bisnis rahasia dan keselamatan Direksi. Hasil
analisis header dan penelusuran alamat IP mengindikasikan
keterlibatan orang dalam (insider threat) yang menggunakan
fasilitas akses WiFi terbuka kantor dan perangkat bergerak (mobile)
milik sendiri (BYOD). Alat bukti terkait apa saja yang bisa
didapatkan dan disediakan Penyidik serta bagaimana prosedur Chain
of Custody yang tepat?
Soal 2 Dari Soal 1, jelaskan ancaman hukuman bagi pelaku sesuai
UU Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi
Elektronik.
Soal 3 Sepasang artis terkenal terlibat dalam skandal The Naked
Pre Wedding Photo Session. Seri foto pribadi tersebar luas setelah
smartphone milik artis tersebut hilang sampai seluruh akses cloud
storage dibajak pelaku. Pada saat Penyidik melakukan investigasi
justru ditemukan adanya satu cover up menggunakan penyebaran materi
multimedia untuk mengirim kepingan berkas rahasia. Anda diminta
membantu kasus ini. Teknik apa yang digunakan pelaku? Bagaimana
mengungkapkannya?
Soal 4 Anda diminta oleh Penyidik Kepolisian untuk memberikan
pendapat dan analisis sebagai Ahli terkait penemuan sejumlah
dokumen dalam media penyimpan USB thumb drive yang dipulihkan dari
proses penghapusan. Informasi properties menunjukkan notasi waktu
01:01:01 dan 12/12/12. Bagaimana cara Anda mencari referensi waktu
yang sesuai?
Soal 5 Anda ditunjuk sebagai Ahli oleh Pengadilan. Tugas Anda
menjelaskan alat bukti berupa suatu file dengan sejumlah informasi
metadata EXIF. Bagaimana Anda membuktikan otentisitas material
tersebut?
-
2
BAGIAN II DEFINISI (bobot soal masing-masing 10%)
(pilih hanya tiga soal yang paling menarik minat Anda) Soal 1
Jelaskan perbedaan antara unallocated, unused dan slack space
Soal 2 Sebutkan dan jelaskan dengan singkat masing-masing satu
jenis tools yang digunakan di dalam
proses evidence gathering dan imaging
Soal 3 Jelaskan, menurut anda apa perbedaan computer crime dan
computer related crime menurut definisi EU Convention on Cyber
Crime 2001
Soal 4 Apakah yang dimaksudkan dengan volatile dan non volatile
data
Soal 5 Jelaskan istilah berikut: steganography, encryption dan
compression
BAGIAN III KESIMPULAN (bobot soal 10%)
Berikan pendapat Anda tentang fungsi dan peranan Komputer
Forensik, dalam bentuk kesimpulan poin-poin yang paling utama
sebanyak maksimal 100 kata.
BAGIAN IV TUGAS TAMBAHAN
Untuk menambah pengetahuan dan nilai, anda diminta untuk memilih
salah satu: 1. Menyusun paper ulasan (paper review) tentang fungsi
dan fitur 5 (lima) jenis perangkat keras dan 5
(lima) jenis perangkat lunak computer/digital forensic 2.
Menyusun paper ulasan (paper review) satu Jurnal atau Proceedings
tentang computer/digital forensic.
Bisa berupa ringkasan (resume) maupun kritik. Format paper A4
satu spasi (lebih disukai menggunakan format IEEE Journal), minimum
2000 kata, maksimum 4000 kata dilengkapi dengan diagram/gambar
ilustrasi pendukung (bila ada). Sebutkan juga sumber referensi yang
digunakan.
-
3
JAWABAN
BAGIAN I ANALISIS (bobot soal masing-masing 20%)
Soal 3 Sepasang artis terkenal terlibat dalam skandal The Naked
Pre Wedding Photo Session. Seri foto pribadi tersebar luas setelah
smartphone milik artis tersebut hilang sampai seluruh akses cloud
storage dibajak pelaku. Pada saat Penyidik melakukan investigasi
justru ditemukan adanya satu cover up menggunakan penyebaran materi
multimedia untuk mengirim kepingan berkas rahasia. Anda diminta
membantu kasus ini. Teknik apa yang digunakan pelaku? Bagaimana
mengungkapkannya?
Saat ini teknologi komputer dapat digunakan sebagai alat bagi
para pelaku kejahatan komputer : seperti pencurian, penggelapan
Uang dan lain sebagainya. Barang bukti yang berasal dari komputer
telah muncul dalam persidangan hampir 30 tahun. Awalnya, Hakim
menerima bukti tersebut tanpa membedakannya dengan bentuk bukti
lainnya. Namun seiring dengan kemajuan teknologi Komputer,
perlakuan tersebut menjadi membingungkan. Bukti yang berasal dari
komputer sulit dibedakan antara yang asli ataupun salinannya,
karena berdasarkan sifat alaminya, data yang ada dalam komputer
sangat mudah dimodifikasi. Proses pembuktian bukti tindak kejahatan
tentunya memiliki kriteria - kriteria, demikian juga dengan proses
pembuktian pada bukti yang didapat dari komputer.
Di awal tahun 1970-an kongres amerika serikat mulai
merealisasikan kelemahan hukum yang ada
dan mencari solusi terbaru yang lebih cepat dalam penyelesaian
kejahatan komputer. Us federals rules of evidence 1976 menyatakan
permasalahan tersebut. Hukum lainnya yang menyatakan permasalahan
tersebut adalah:
a. Economic espionage act 1996, berhubungan dengan pencurian
rahasia dagang b. The electronic comunications privacy act 1986,
berkaitan dengan penyadapan peralatan
elektronik. c. The computer security act 1987 (public law
100-235), berkaitan dengan keamanan sistem komputer
pemerintah Berikut ini adalah beberapa buah definisi komputer
forensik: a. Definisi sederhana : penggunaan sekumpulan prosedur
untuk melakukan pengujian secara menyeluruh
suatu sistem komputer dengan menggunakan software dan tool untuk
mengambil dan memelihara barang bukti tindakan kriminal.
b. Menurut Judd Robin, seorang ahli komputer forensik :
"Penerapan secara sederhana dari penyelidikan komputer dan teknik
analisisnya untuk menentukan bukti-bukti hukum yang mungkin".
c. New Technologies memperluas definisi Judd Robin dengan:
"Komputer forensik berkaitan dengan pemeliharaan, identifikasi,
ekstraksi dan dokumentasi bukti-bukti komputer yang tersimpan dalam
wujud informasi magnetik".
d. Menurut Dan Farmer & Wietse Venema : "Memperoleh dan
menganalisa data dengan cara yang bebas dari distorsi atau bias
sebisa mungkin, untuk merekonstruksi data atau apa yang telah
terjadi pada waktu sebelumnya di suatu sistem"
-
4
Barang Bukti Digital
Bukti digital adalah informasi yang didapat dalam bentuk /
format digital (scientific Working Group on Digital Evidence,
1999). Beberapa contoh bukti digital antara lain: E-mail, alamat
e-mail Filewordprocessor/spreadsheet Source code perangkat lunak
File berbentuk image(.jpeg, .tip, dan sebagainya) Web Browser
bookmarks, cookies Kalender, to-do list
Bukti digital tidak dapat langsung dijadikan barang bukti pada
proses peradilan, karena menurut sifat
alamiahnya bukti digital sangat tidak konsisten. Untuk menjamin
bahwa bukti digital dapat dijadikan barang bukti dalam proses
peradilan maka diperlukan sebuah standar data digital yang dapat
dijadikan barang bukti dan metode standar dalam pemrosesan barang
bukti sehingga bukti digital dapat dijamin keasliannya dan dapat
dipertanggung jawabkan.
Adapun klasifikasi barang bukti digital forensik menurut Ruby
Alamsyah terbagi atas :
Barang bukti elektronik. Barang bukti ini bersifat fisik dan
dapat dikenali secara visual, oleh karena itu investigator dan
forensic analyst harus sudah memahami untuk kemudian dapat
mengenali masing-masing barang bukti elektronik ini ketika sedang
melakukan proses searching (pencarian) barang bukti di TKP.
Jenis-jenis barang bukti elektronik adalah sebagai berikut : 1.
Komputer PC, laptop/notebook, netbook, tablet 2. Handphone,
smartphone 3. Flashdisk/thumb drive 4. Floppydisk 5. Harddisk 6.
CD/DVD 7. Router, switch, hub 8. Kamera video, cctv 9. Kamera
digital 10. Digital recorder 11. Music/video player 12. Barang
bukti digital. Barang bukti digital Barang bukti ini bersifat
digital yang diekstrak atau di-recover
dari barang bukti elektronik. Barang bukti ini di dalam
Undang-Undang No. 11 tahun 2008 tentang Informasi dan Transaksi
Elektronik dikenal dengan istilah informasi elektronik dan dokumen
elektronik. Jenis barang bukti inilah yang harus dicari oleh
forensic analyst untuk kemudian dianalisa secara teliti keterkaitan
masing-masing file dalam rangka mengungkap kasus kejahatan yang
berkaitan dengan barang bukti elektronik. Berikut adalah
contoh-contoh barang bukti digital.
13. Logical file, yaitu file yang masih ada dan tercatat di file
system yang sedang berjalan (running) di suatu partisi. File
tersebut bisa berupa file aplikasi, library, office, logs, multi
media, dan lain-lain.
14. Deleted file, dikenal juga dengan istilah unallocated
cluster yang merujuk kepada cluster dan sektor tempat penyimpanan
file yang sudah terhapus dan tidak teralokasikan lagi untuk file
tersebut dengan ditandai di file system sebagai area yang dapat
digunakan lagi untuk penyimpanan file yang baru. Artinya file yang
sudah terhapus tersebut masih tetap berada di cluster atau sektor
tempat penyimpanannya sampai tertimpa (overwritten) oleh file yang
baru pada cluster atau sektor tersebut. Pada kondisi di mana
deleted file tersebut belum tertimpa, maka proses recovery secara
utuh terhadap file tersebut sangat memungkinkan terjadi.
-
5
15. Lost file, yaitu file yang sudah tidak tercatat lagi di file
system yang sedang berjalan (running) dari suatu partisi, namun
file tersebut masih ada di sektor penyimpanannya. Ini bisa terjadi
ketika misalnya suatu flashdisk atau harddisk maupun partisinya
dilakukan proses re-format yang menghasilkan file system yang baru,
sehingga file-file yang sudah ada sebelumnya menjadi tidak tercatat
lagi di file system yang baru. Untuk proses recovery-nya didasarkan
pada signature dari header maupun footer yang tergantung pada jenis
format file tersebut.
16. File slack, yaitu sektor penyimpanan yang berada di antara
End of File (EoF) dengan End of Cluster (EoC). Wilayah ini sangat
memungkinkan terdapat informasi yang mungkin penting dari file yang
sebelumnya sudah dihapus (deleted).
17. Log file, yaitu file yang merekam aktivitas (logging) dari
suatu keadaan tertentu, misalnya log dari sistem operasi, internet
browser, aplikasi, internet traffic, dan lain-lain.
18. Encrypted file, yaitu file yang isinya sudah dilakukan
enkripsi dengan menggunakan algoritma cryptography yang kompleks,
sehingga tidak bisa dibaca atau dilihat secara normal. Satu-satunya
cara untuk membaca atau melihatnya kembali adalah dengan melakukan
dekripsi terhadap file tersebut dengan menggunakan algoritma yang
sama. Ini biasa digunakan dalam dunia digital information security
untuk mengamankan informasi yang penting. Ini juga merupakan salah
satu bentuk dari Anti-Forensic, yaitu suatu metode untuk
mempersulit forensic analyst atau investigator mendapatkan
informasi mengenai jejak-jejak kejahatan.
19. Steganography file, yaitu file yang berisikan informasi
rahasia yang disisipkan ke file lain, biasanya berbentuk file
gambar, video atau audio, sehingga file-file yang bersifat carrier
(pembawa pesan rahasia) tersebut terlihat normal dan wajar bagi
orang lain, namun bagi orang yang tahu metodologinya, file-file
tersebut memiliki makna yang dalam dari informasi rahasianya
tersebut. Ini juga dianggap sebagai salah satu bentuk dari
Anti-Forensic.
20. Office file, yaitu file yang merupakan produk dari aplikasi
Office, seperti Microsoft Office, Open Office dan sebagainya. Ini
biasanya berbentuk file dokumen, spreadsheet, database, teks, dan
presentasi.
21. Audio file, yaitu file yang berisikan suara, musik dan
lain-lain, yang biasanya berformat wav, mp3 dan lain-lain. File
audio yang berisikan rekaman suara percakapan orang ini biasanya
menjadi penting dalam investigasi ketika suara di dalam file audio
tersebut perlu diperiksa dan dianalisa secara audio forensik untuk
memastikan suara tersebut apakah sama dengan suara pelaku
kejahatan.
22. Video file, yaitu file yang memuat rekaman video, baik dari
kamera digital, handphone, handycam maupun CCTV. File video ini
sangat memungkinkan memuat wajah pelaku kejahatan sehingga file ini
perlu dianalisa secara detil untuk memastikan bahwa yang ada di
file tersebut adalah pelaku kejahatan.
23. Image file, yaitu file gambar digital yang sangat
memungkinkan memuat informasi-informasi penting yang berkaitan
dengan kamera dan waktu pembuatannya (time stamps). Data-data ini
dikenal dengan istilah metadata exif (exchangeable image file).
Meskipun begitu metadata exif ini bisa dimanipulasi, sehingga
forensic analyst atau investigator harus hati-hati ketika memeriksa
dan menganalisa metadata dari file tersebut.
24. Email, merupakan singkatan dari electronic mail, yaitu surat
berbasis sistem elektronik yang menggunakan sistem jaringan online
untuk mengirimkannya atau menerimanya. Email menjadi penting di
dalam investigasi khususnya phishing (yaitu kejahatan yang
menggunakan email palsu dilengkapi dengan identitas palsu untuk
menipu si penerima). Email berisikan header yang memuat informasi
penting jalur distribusi pengiriman email mulai dari sender
(pengirim) sampai di recipient (penerima), oleh karena itu data di
header inilah yang sering dianalisa secara teliti untuk memastikan
lokasi si pengirim yang didasarkan pada alamat IP. Meskipun begitu,
data-data di header juga sangat dimungkinkan untuk dimanipulasi.
Untuk itu pemeriksaan header dari email harus dilakukan secara
hati-hati dan komprehensif.
25. User ID dan password, merupakan syarat untuk masuk ke suatu
account secara online. Jika salah satunya salah, maka akses untuk
masuk ke account tersebut akan ditolak.
26. SMS (Short Message Service), yaitu pelayanan pengiriman dan
penerimaan pesan pendek yang diberikan oleh operator seluler
terhadap pelanggannya. SMS-SMS yang bisa berupa SMS inbox (masuk),
sent (keluar), dan draft (rancangan) dapat menjadi petunjuk dalam
investigasi untuk mengetahui keterkaitan antara pelaku yang satu
dengan yang lain.
-
6
27. MMS (Multimedia Message Service), merupakan jasa layanan
yang diberikan oleh operator seluler berupa pengiriman dan
penerimaan pesan multimedia yang bisa berbentuk suara, gambar atau
video.
Call logs, dan lain-lain, yaitu catatan panggilan yang terekam
pada suatu nomor panggilan seluler. Panggilan ini bisa berupa
incoming (panggilan masuk), outgoing (panggilan keluar), dan missed
(panggilan tak terjawab).
Berikut ini adalah aturan standar agar bukti dapat diterima
dalam proses peradilan: Dapat diterima, artinya data harus mampu
diterima dan digunakan demi hukum, mulai dari
kepentingan penyelidikan sampai dengan kepentingan pengadilan.
Asli, artinya bukti tersebut harus berhubungan dengan kejadian /
kasus yang terjadi dan bukan
rekayasa. Lengkap, artinya bukti bisa dikatakan bagus dan
lengkap jika di dalamnya terdapat banyak petunjuk
yang dapat membantu investigasi. Dapat dipercaya, artinya bukti
dapat mengatakan hal yang terjadi di belakangnya. Jika bukti
tersebut
dapat dipercaya, maka proses investigasi akan lebih mudah.
Syarat dapat dipercaya ini merupakan suatu keharusan dalam
penanganan perkara. Untuk itu perlu adanya metode standar dalam
pegambilan data atau bukti digital dan pemrosesan
barang bukti data digital, untuk menjamin keempat syarat di atas
terpenuhi. Sehingga data yang diperoleh dapat dijadikan barang
bukti yang legal di pengadilan dan diakui oleh hukum.
Metodologi Standar
Pada dasarnya tidak ada suatu metodologi yang sama dalam
pengambilan bukti pada data digital, karena setiap kasus adalah
unik sehingga memerlukan penanganan yang berbeda. Walaupun demikian
dalam memasuki wilayah hukum formal, tentu saja dibutuhkan suatu
aturan formal yang dapat melegalkan suatu investigasi.
Untuk itu menurut U.S. Department of Justice ada tiga hal yang
ditetapkan dalam memperoleh bukti digital: Tindakan yang diambil
untuk mengamankan dan mengumpulkan barang bukti digital tidak
boleh
mempengaruhi integritas data tersebut. Seseorang yang melakukan
pengujian terhadap data digital harus sudah terlatih. Aktivitas
yang berhubungan dengan pengambilan, pengujian, penyimpanan atau
pentransferan barang
bukti digital harus didokumentasikan dan dapat dilakukan
pengujian ulang.
Selain itu terdapat pula beberapa panduan keprofesian yang
diterima secara luas:
Pengujian forensik harus dilakukan secara menyeluruh. Pekerjaan
menganalisa media dan melaporkan temuan tanpa adanya prasangka atau
asumsi awal.
Media yang digunakan pada pengujian forensik harus disterilisasi
sebelum digunakan. Image bit dari media asli harus dibuat dan
dipergunakan untuk analisa. Integritas dari media asli harus
dipelihara selama keseluruhan penyelidikan.
Dalam kaitan ini terdapat akronim PPAD pada Komputer
forensik:
1. Memelihara (Preserve) data untuk menjamin data tidak berubah.
2. Melindungi (Protect) data untuk menjamin tidak ada yang
mengakses barang bukti. 3. Melakukan analisis (Analysis) data
menggunakan teknik forensik. 4. Mendokumentasikan (Document)
semuanya, termasuk langkah-langkah yang dilakukan.
-
7
Penanganan Barang Bukti Forensik
Para ahli atau pakar dalam bidang forensik, khususnya forensika
digital mempunyai standar dalam proses penanganan barang bukti. Hal
tersebut digunakan supaya dalam proses penyidikan, data-data yang
didapatkan berasal dari sumber asli, sehingga tidak ada manipulasi
bentuk, isi, dan kualitas data digital. Proses penanganan barang
bukti hingga tahapan tahapan digital forensik diantaranya:
Preserving (Memelihara dan mengamankan data) Merupakan serangkaian
aktifitas yang dilakukan oleh penyidik yang sudah ahli, untuk
menjamin agar data-data yang dikumpulkan tidak berubah. Collecting
(Mengumpulkan data) Merupakan serangkaian kegiatan untuk
mengumpulkan data-data sebanyak mungkin untuk mendukung proses
penyidikan dalam rangka pencarian barang bukti. Confirming
(Menetapkan data) Merupakan serangkaian kegiatan untuk menetapkan
data-data yang berhubungan dengan kasus yang terjadi. Identifying
(mengenali data) Merupakan serangkaian kegiatan untuk melakukan
proses identifikasi terhadap data-data yang sudah ada agar
memastikan bahwa data tersebut memang unik dan asli sesuai dengan
yang terdapat pada tempat kejadian perkara. Untuk data digital,
misalnya melakukan identifikasi dengan teknik hashing (membuat
sidik jari digital terhadap barang bukti) Analyzing (meneliti data)
Proses untuk meneliti data-data yang sudah terkumpul. Untuk data
digital analisa data yang dilakukan diantaranya memeriksa data yang
sudah terhapus, tersembunyi, terenkripsi, dan history akses
internet seseorang yang tidak bisa dilihat oleh masyarakat umum
Recording (mencatat data) Melakukan pencatatan terhadap data-data
hasil temuan dan hasil analisis sehingga nantinya data tersebut
dapat dipertanggungjawabkan atau dapat direkonstruksi ulang (jika
diperlukan) atas temuan barang bukti tersebut. Presenting
(mempresentasikan data) Kegiatan yang dilakukan penyidik untuk
membeberkan hasil temuannya kepada pihak berwajib atau di
pengadilan. Biasanya presentasi data dilakukan oleh seorang ahli
forensic untuk menjelaskan hal-hal yang susah dipahami oleh
kalangan umum, sehingga data-data tersebut dapat membantu proses
penyidikan untuk menemukan tersangka.
Dari berapa uraian di atas sudah sangat jelas bahwa tujuan
pendefinisian metodologi standar adalah untuk melindungi bukti
digital. Mengenai penentuan kebijakan dan prosedur teknis dalam
pelaksanaan dapat disusun kemudian oleh instansi yang terkait,
tentunya dengan mengacu pada metode-metode standar yang telah ada
dan disesuaikan dengan hukum yang berlaku di negara yang
bersangkutan. Dari beberapa metodologi di atas dapat digarisbawahi
bahwa penggunaan bukti asli dalam investigasi sangat dilarang dan
bukti ini harus dijaga agar jangan sampai ada perubahan di dalamnya
karena akan sangat mempengaruhi kesimpulan yang diambil.
-
8
Pemrosesan Barang Bukti Barang bukti sangat penting keberadaanya
karena sangat menentukan keputusan di pengadilan, untuk itu
pemrosesan barang bukti dalam analisa forensik sangat diperhatikan.
Berikut ini adalah panduan umum dalam pemrosesan barang bukti
menurut Lori Wilier dalam bukunya "Computer Forensic": shutdown
komputer, namun perlu dipertimbangkan hilangnya informasi proses
yang sedang berjalan dokumentasikan konfigurasi hardware sistem,
perhatikan bagaimana komputer disetup karena
mungkin akan diperlukan restore kondisi semula pada tempat yang
aman pindahkan sistem komputer ke lokasi yang aman buat backup
secara bit-by-bitdan hardisk dan floppy
barang bukti asli uji keotentikan data pada semua perangkat
penyimpanan dokumentasikan tanggal dan waktu yang berhubungan
dengan file komputer buat daftar keyword pencarian evaluasi swap
file, evaluasi file slack evaluasi unallocated space (erased file)
pencarian keyword pada file, file slack, dan unallocated space
dokumentasikan nama file, serta atribut tanggal dan waktu
identifikasikan anomali file, program untuk mengetahui kegunaannya
dokumentasikan temuan dan software yang dipergunakan buat salinan
software yang dipergunakan.
Untuk memastikan bahwa media bukti digital tidak dimodifikasi,
sebelum ia digunakan untuk
duplikasi, ia harus diset ke "Read Only", locked" atau "Write
Protect", untuk mencegah terjadinya modifikasi yang tidak
disengaja. Secara baku, SLAX4 menset seluruh device sebagai read
only, sehingga mereka tidak dapat dimodifikasi dengan mudah.
Namun demikian, kami tetap menyarankan untuk melindungi media
digital tersebut menggunakan hardware write protector.
Analisa Kasus Pada Uji Forensik Objek Digital
Pada kasus seri foto pribadi tersebar luas setelah smartphone
milik artis tersebut hilang sampai seluruh akses cloud storage
dibajak pelaku terhadap sepasang artis terkenal terlibat dalam
skandal The Naked Pre Wedding Photo Session . Analisa File Imaging
untuk kebutuhan Foreksik berikut ini menggunakan Software Autopsy.
Imaging di dalam ilmu Forensik merupakan hasil Cloning dari sebuah
Hard Disk atau Flash Disk ataupun media penyimpanan lainnya yang
digunakan untuk melakukan analisa forensik oleh penyidik.
Mengapa melakukan Imaging ?
Barang bukti digital cepat mengalami perubahan, jadi apabila
mengalami kerusakan atau kecacatan dalam mengumpulkan barang bukti,
sehingga mengalami perubahan dari aslinya, maka secara hukum barang
bukti tersebut tidak sah atau gagal.
Mengenai bagaimana cara membuat File Imaging tersebut, banyak
terdapat software ataupun tools yang Free maupun yang komersil
untuk membuatnya
Pada analasi kali ini akan menjelaskan tahapan tahapan untuk
menganalisa salah satu file Imaging pada suatu kasus, tools yang
digunakan adalah autopsy, bisa berjalan di Windows maupun Linux,
pada contoh analisa forensik file kali ini menggunakan Kali Linux
sebagai Sistem Operasinya, biasanya disana sudah terinstal secara
otomatis file autopsy, selain Kali Linux alternatif Distro Linux
lainnya adalah menggunakan Backtrack, disana juga biasanya sudah
ada software autopsy.
-
9
Beberapa tahapan Analisis Software menggunakan autopsy di Kali
Linux sebagai berikut : 1. Buka program autopsy 2. Berikut tampilan
autopsy berupa browser jika sudah terbuka 3. Input Case Name, dalam
contoh ini UAS Cyber Forensics, Description, dan Investigator
Names,
kemudian klik New Case 4. Klik Add Host dengan nama Investigator
yang dipilih 5. Input mulai dari Host Name, Description, Time Zone,
dan seterusnya 6. kemudian klik Add Host 7. Kemudian klik Add Image
untuk menambahkan file Image 8. Klik Add Image File 9. Isi file
image tersebut berada pada lokasi mana, pilih tipe image nya dan
pilih import method nya 10. Klik Add 11. Klik OK 12. Pilih C:/ 13.
Klik File Analyses 14. Maka akan didapatkan hasil analisis tersebut
berupa file-file yang ada di File Image 15. Kemudian klik export
& buka open with GVim (default) 16. Maka akan ditampilkan isi
dari file tersebut berupa menu-menu makanan 17. Export File yang
ditemukan berikutnya 18. Berikut hasil yang didapat dari file
berikutnya yang ada di File Image 19. Export file berikutnya 20.
Hasil dari export Soal 4 Anda diminta oleh Penyidik Kepolisian
untuk memberikan pendapat dan analisis sebagai
Ahli terkait penemuan sejumlah dokumen dalam media penyimpan USB
thumb drive yang dipulihkan dari proses penghapusan. Informasi
properties menunjukkan notasi waktu 01:01:01 dan 12/12/12.
Bagaimana cara Anda mencari referensi waktu yang sesuai?
Data Lain Pada Media
File sistem dirancang untuk menyimpan file pada suatu media.
Namun demikian, file sistem dapat pula berisikan data dan
dihapusnya file atau versi lebih awal dari file yang ada. Data ini
dapat menyediakan informasi penting. Beberapa hal berikut
menguraikan bagaimana data masih dapat berada pada berbagai media:
File yang dihapus. Manakala suatu file dihapus, umumnya ia tidak
dihapus dan media; melainkan
informasi struktur data direktori yang menunjuk ke lokasi file
ditandai sebagai terhapus. Hal ini berarti file masih disimpan pada
media tetapi hal itu tidak lagi dihitung oleh sistem operasi
tersebut. Sistem operasi menganggap ini sebagai ruang kosong dan
dapat mengisi sebagian atau seluruh file terhapus kapanpun
dibutuhkan.
Slack Space. Seperti dijelaskan sebelumnya, filesistem
menggunakan unit-unit alokasi file untuk menyimpan file. Sekalipun
suatu file memerlukan ruang lebih sedikit daripada ukuran unit
alokasi file, seluruh unit alokasi file masih disediakan untuk file
itu. Sebagai contoh, jika ukuran unit alokasi file adalah 32 KB dan
suatu file hanya berukuran 7 KB, keseluruhan 32 KB dialokasikan
untuk file tetapi hanya 7 KB yang digunakan, akibatnya 25 KB ruang
yang tak terpakai. Ruang yang tak terpakai ini dikenal sebagai file
slack space, ia dapat berisikan data sisa seperti bagian file yang
dihapus.
Free Space. Free Space adalah area pada media yang tidak
dialokasikan untuk partisi apapun. la terdiri dari cluster atau
blok yang tidak teralokasi. Hal ini sering meliputi ruang pada
media tempat file (dan
-
10
bahkan keseluruhan volume) mungkin berada pada satu waktu namun
kemudian telah dihapus ruang kosong masih dapat berisi potongan
data.
Cara lain data mungkin disembunyikan adalah melalui Alternate
Data Streams (ADS) di dalam volume
NTFS. NTFS telah lama mendukung berbagai arus data untuk
direktori dan file. Masing-masing file pada suatu volume NTFS
terdiri dari suatu stream tak bernama yang digunakan untuk
menyimpan data primer file, dan satu atau lebih stream bernama
(misalnya file.txt:Stream1, file.txt:Stream2) yang dapat digunakan
untuk menyimpan informasi tambahan seperti properti file dan gambar
thumbnail data Sebagai contoh, jika seorang user mengklik kanan
pada suatu file di dalam Windows Explorer, melihat properti file
dan kemudian memodifikasi informasi yang diperlihatkan di dalam
summary tab, OS menyimpan ringkasan informasi file dalam arus
bernama (named stream).
Semua arus data dalam suatu file berbagi atribut file (seperti
timestamp, atribut keamanan). Walaupun stream bernama mempengaruhi
kuota penyimpanan file, mereka sebagian besar disembunyikan dari
user sebab utilitas file Windows standar seperti Explorer hanya
melaporkan ukuran stream tak bernama (unnamed stream) file.
Akibatnya, user tidak dapat menentukan apakah suatu file berisi ADS
dengan menggunakan utilitas file Windows standard. Hal ini
memungkinkan data tersembunyi berada dalam filesistem NTFS.
Memindahkan file dengan ADS ke filesistem non-NTFS secara efektif
melepaskan ADS dari file, maka ADS dapat hilang jika analis tidak
paham akan kehadiran mereka.
Modifikasi File, Akses, dan Waktu penciptaan
Seringkali penting untuk mengetahui kapan suatu file digunakan
atau dimanipulasi, dan kebanyakan sistem operasi mencatat
timestamps tertentu yang terkait dengan file. Timestamps yang
biasanya digunakan adalah waktu modifikasi, akses, dan penciptaan
modification, access, and creation', MAC), sebagai berikut: Waktu
Modifikasi Ini adalah waktu terakhir file diubah dengan berbagai
cara, meliputi ketika suatu file
ditulis dan ketika file tersebut diubah oleh program lain. Waktu
Akses. Ini adalah waktu terakhir dilakukannya akses apapun pada
file (misalnya, dilihat, dibuka,
dicetak). Waktu penciptaan. Ini biasanya merupakan waktu dan
tanggal file diciptakan. Bagaimanapun, ketika
file disalinkan ke sistem, waktu penciptaan akan menjadi waktu
file dicopy ke sistem yang baru.Waktu modifikasi akan tetap
utuh.
File sistem yang berbeda mungkin saja menyimpan jenis waktu yang
berbeda. Sebagai contoh,
Sistem Windows menyimpan waktu modifikasi terakhir, waktu akses
terakhir, dan waktu penciptaan file. Sistem UNIX menyimpan waktu
modifikasi terakhir, perubahan inode terakhir, dan waktu akses
terakhir, namun beberapa sistem UNIX (termasuk versi BSD dan SunOS)
tidak memperbaharui waktu akses terakhir file eksekutabel ketika
mereka dijalankan. Beberapa sistem UNIX merekam waktu terkini
ketika metadata file diubah. Metadata adalah data tentang data;
untuk filesistem, metadata adalah data yang menyediakan informasi
mengenai isi file.
Jika suatu analis ingin menetapkan garis waktu yang akurat atas
suatu peristiwa, maka waktu file harus dipelihara. Analis harus
sadar bahwa tidak semua metode untuk memperoleh file dapat
memelihara waktu file. Image bit stream dapat mempertahankan waktu
file karena dilakukan penyalinan bit-for-bit; melakukan logical
backup menggunakan beberapa tool dapat menyebabkanwaktu penciptaan
file terubah ketika file data disalinkan. Oleh karena itu, bila
waktu file penting, harus digunakan imaging bit stream untuk
mengumpulkan data.
Analis juga harus menyadari bahwa waktu file tidak selalu
akurat. Beberapa alasan ketidakakuratan
itu adalah sebagai berikut:
-
11
Jam komputer tidak mempunyai waktu yang benar itu. Sebagai
contoh, jam mungkin tidak selalu disinkronisasi secara teratur
dengan sumber waktu resmi.
Waktu tidak mungkin direkam dengan tingkat detil yang
diharapkan, seperti menghilangkan detikatau beberapa menit.
Penyerang mungkin telah mengubah waktu file yang direkam
Isu Teknis
Beberapa isu teknis mungkin muncul dalam memperoleh file data.
Seperti yang diuraikan dalam Bagian
2.2.1, isu utama adalah memperoleh sisa-sisa file dan file yang
dihapus yang masih ada dalam free space
dan slack space pada media. Individu dapat menggunakan berbagai
teknik untuk merintangi pengumpulan
data seperti itu. Sebagai contoh, terdapat banyak tool yang
tersedia untuk melaksanakan wiping
overwriting media (atau bagian media, seperti file tertentu)
dengan nilai-nilai tetap atau acak (misalnya
semua 0). Tool seperti itu berbeda dalam reliabilitas dan
keandalan, tetapi umumnya efektif dalam
mencegah pengumpulan file secara mudah, terutama bila dilakukan
beberapa penghapusan. Individu dapat
juga menggunakan alat-alat fisik untuk mencegah di dapatnya
data, seperti demagnetizing harddrive (juga
yang dikenal sebagai degaussing) atau secara fisik merusakkan
atau menghancurkan media. Kedua teknik
berbasis fisik dan software dapat membuat sangat sulit, atau
bahkan mustahil, untuk memulihkan semua
data yang menggunakan perangkat lunak. Usaha pemulihan dalam
kasus ini mengharuskan penggunaan
tenaga ahli khusus forensik dengan fasilitas, perangkat keras,
dan teknik yang canggih, tetapi usaha dan
biaya dalam pelaksanaan hal tersebut menjadi penghalang
penggunaan cara ini secara umum. Dalam
beberapa hal, data tidak dapat dipulihkan.
Isu umum lainnya adalah memperoleh data yang tersembunyi. Banyak
sistem operasi mengijinkan
user menandai file, direktori, atau partisi tertentu sebagai
tersembunyi, yang berarti secara baku mereka
tidak ditampilkan di dalam listing direktori. Beberapa sistem
operasi dan aplikasi menyembunyikan
konfigurasi file untuk mengurangi kemungkinan user secara tidak
sengaja memodifikasi atau
menghapusnya. Juga, pada beberapa sistem operasi, direktori yang
telah dihapus mungkin ditandai sebagai
tersembunyi. Data yang tersembunyi dapat berisi banyak
informasi; sebagai contoh, suatu partisi yang
tersembunyi bisa berisi suatu sistem operasi terpisah dan banyak
file data. User dapat menciptakan partisi
yang tersembunyi dengan mengubah label partisi untuk mengganggu
manajemen disk dan mencegah
aplikasi melihat adanya area data. Data tersembunyi dapat juga
ditemukan di dalam ADS pada volume
NTFS, di akhirfile slack space dan free space pada medium, dan
dalam Host Protected Area (HPA) pada
beberapa hard drive, yang merupakan area drive yang ditujukan
hanya untuk vendor. Banyak tool
pengumpul data yang dapat mengenali beberapa atau semua metode
penyembunyian data ini dan dapat
memulihkan data yang terkait. Isu lain yang mungkin muncul
adalah pengumpulan data dari array RAID
yang menggunakan stripping (e.g., RAID-0, RAID-5). Di dalam
konfigurasi ini, stripped volume terdiri atas
partisi berukuran sama yang berada pada disk drive terpisah.
Ketika data ditulis ke volume, ia
didistribusikan secara merata ke seluruh partisi untuk
meningkatkan performa disk. Hal ini akan menjadi
masalah karena semua partisi dari stripped volume harus ada
untuk menguji isinya, namun dalam hal ini
partisi berada pada physical disk drives terpisah. Oleh karena
itu, untuk menguji suatu stripped volume,
masing-masing disk drive di dalam array RAID perlu diimage dan
konfigurasi RAID harus dibuat ulang pada
sistem pengujian. Sistem pengujian harus diboot menggunakan disk
boot forensik yang dapat mengenali
dan menggunakan array RAID dan dapat mencegah penulisan ke
array. Beberapa tool dapat mengambil
stripped volume dan mampu memelihara area data tak terpakai dari
sebuah volume, seperti free space
dan slack space.
-
12
Soal 5 Anda ditunjuk sebagai Ahli oleh Pengadilan. Tugas Anda
menjelaskan alat bukti berupa suatu file dengan sejumlah informasi
metadata EXIF. Bagaimana Anda membuktikan otentisitas material
tersebut?
Sebagai Ahli yang ditunjuk oleh pengadilan, Ahli Analis harus
memiliki akses ke beragam tool yang
memungkinkan mereka melakukan pengujian dan analisis data, dan
juga aktivitas pengumpulan. Banyak produk forensik memungkinkan
analis melakukan sejumlah proses untuk menganalisis file dan
aplikasi, serta mengumpulkan file, membaca image disk, dan
mengekstraksi data dari file. Kebanyakan produk analis juga
menawarkan kemampuan membuat laporan dan mencatat seluruh kesalahan
yang terjadi selama analisis.
Proses-proses berikut adalah proses yang harus dapat dilakukan
oleh analis dengan beragam tool:
Menggunakan Penglihat (viewer) File. Menggunakan penglihat file
alih-alih aplikasi sumber asli untuk menampilkan isi tipe tertentu
file merupakan sebuah teknik penting untuk mempreview data, dan
lebih efisien karena analis tidak membutuhkan aplikasi natif untuk
melihat setiapjenis file.
Mendekompresi file. File terkompresi mungkin berisikan file
dengan informasi berguna. Karenanya penting bagi analis untuk
mencari dan membuka file terkompresi tersebut. Proses dekompresi
harus dilakukan di awal proses forensik untuk memastikan bahwa isi
file terkompresi disertakan dalam pencarian dan tindakan lain.
Namun demikian, analis perlu memperhatikan bahwa file terkompresi
dapat berisikan malicious content, seperti bom kompresi, yaitu file
yang dikompresi berulang kali. Untuk meminimalkan dampaknya, mesin
penguji harus menggunakan antivirus yang up-to-date dan merupakan
sistem standalone. Selain itu image mesin pengujian harus dibuat,
sehingga bila dibutuhkan, sistem dapat direstorasi.
Menampilkan struktur direktori secara grafis. Praktek ini
memudahkan dan mempercepat analis untuk mengumpulkan informasi umum
tentang isi media, seperti tipe software yang terinstalasi dan
kemampuan teknikal user yang membuat data.
Identifikasi File Dikenal. Keuntungan menemukan file penting
adalah jelas, namun juga bermanfaat untuk menghilangkan file-file
tidak penting untuk dipertimbangkan, seperti file aplikasi dan
sistem operasi yang dikenal bagus. Analis perlu menggunakan set
hash yang telah tervalidasi, seperti yang dibuat oleh NIST National
Software Reference Library (NSRL), sebagai dasar mengindentifikasi
file jahat yang dikenal. Set hash biasanya menggunakan algoritma
SHA-1 dan MD5 untuk memberikan nilai message digest untuk setiap
file yang dikenal.
Melakukan Pencarian String dan Pencocokan Pola. Pencarian string
membantu dalam mencari kata kunci atau string dalam sekumpulan
data. Contoh pencarian yang umum mencakup pencarian banyak kata
dalam satu file dan pencarian versi salah eja kata tertentu.
Beberapa hal yang perlu dipertimbangkan dalam melakukan pencarian
string adalah sebagai berikut: Beberapa format file proprietary
tidak dapat dicari stringnya tanpa menggunakan tool tambahan.
Selain itu, file terkompresi, terenkripsi atau dilindungi
password membutuhkan proses tambahan sebelum dilakukan pencarian
string.
Penggunaan set data multi-karacter yang menyertakan karakter
asing atau Unicode dapat menyebabkan masalah dengan pencarian
string.
Adanya keterbatasan tool atau algoritma pencarian. Sebagai
contoh, sebuah kecocokan mungkin tidak ditemukan untuk pencarian
string jika sebagian string ada dalam satu kluster dan sisa string
berada dalam kluster lain yang tidak bersebelahan.
Mengakses File Metadata. File metadata memberikan rincian
tentang file tertentu. Sebagai contoh, mengumpulkan metadata
tentang file grafis mungkin memberikan informasi mengenai waktu
penciptaan, informasi hak cipta, dan deskripsi file. Metadata untuk
grafis yang dihasilkan oleh kamera digital mungkin menyertakan
pembuat dan model kamera digital yang digunakan untuk mengambil
gambar, serta seting F-stop, flash, dan aperture.
-
13
BAGIAN II DEFINISI (bobot soal masing-masing 10%)
Soal 1 Jelaskan perbedaan antara unallocated, unused dan slack
space
http://en.wikipedia.org/wiki/Glossary_of_digital_forensics_terms
https://social.msdn.microsoft.com/Forums/sqlserver/en-US/4c5c3712-b1de-4e0a-844c-d76dc61b2be0/unused-vs-unallocated-space?forum=sqldatabaseengine
UNALLOCATED SPACE
Clusters of a media partition not in use for storing any active
files. They may contain pieces of files that were deleted from the
file partition but not removed from the physical disk. Unallocated
space is free space, file/db has taken from OS but no objects
(tables ,indexes) have claimed/asked for that ye Cluster partisi
media yang tidak digunakan untuk menyimpan file aktif. Mereka
mungkin berisi potongan file yang telah dihapus dari partisi berkas
tetapi tidak dihapus dari disk fisik. Ruang yang tidak terisi
adalah ruang kosong, file / db telah diambil dari OS tapi tidak ada
benda (tabel, indeks) telah mengklaim / meminta untuk itu
belum.
UNUSED
Unused space is specific to an object (table, index) and part of
it may not be used yet Ruang yang tidak digunakan khusus untuk
obyek (tabel, indeks) dan bagian dari itu tidak boleh digunakan
belum
SLACK SPACE
The unused space at the end of a file in a file system that uses
fixed size clusters (so if the file is smaller than the fixed block
size then the unused space is simply left). Often contains deleted
information from previous uses of the block. Ruang yang tidak
terpakai pada akhir file dalam sistem file yang menggunakan cluster
ukuran tetap (jadi
jika file lebih kecil dari ukuran blok tetap maka ruang yang
tidak terpakai hanya kiri). Sering mengandung
informasi yang telah dihapus dari penggunaan sebelumnya blok
Soal 4 Apakah yang dimaksudkan dengan volatile dan non volatile
data
DATA VOLATILE Berkas data atau program akan hilang jika listrik
padam
OS berjalan dalam RAM suatu sistem. Ketika OS sedang berfungsi,
isi RAM berubah secara konstan. Di setiap waktu, RAM Dapat berisi
banyak jenis informasi dan data yang mungkin menarik. Sebagai
contoh,
-
14
RAM sering berisi data yang sering diakses serta terakhir
diakses, seperti file data, password hashes, dan perintah terbaru.
Seperti file sistem, ram dapat berisi data sisa dalam slack dan
free space, sebagai berikut: Slack space. Slack space memori lebih
kurang deterministik daripada file slack space. Sebagai contoh,
osbiasanya mengatur memori dalam unit yang dikenal sebagai
halaman atau blok, dan mengalokasikannya bagi aplikasi yang
meminta. Kadang-kadang meskipun aplikasi tidak meminta keseluruhan
unit, tetapi diberikan juga. Jadi data sisa dapat saja berada dalam
unit memori yang dialokasikan ke aplikasi, meskipun ia tidak dapat
diakses Oleh aplikasi. Untuk efisiensi dan kinerja, beberapa sistem
operasi memvariasikan ukuran unit yang mereka alokasikan, yang
cenderung menghasilkan space memori slack yang lebih kecil.
Free space. Halaman memori dialokasikan dan didealokasikan
seperti himpunan file. Ketika mereka tidak dialokasikan, halaman
memori sering dikumpulkan dalam kelompok umum halaman yang
tersedia, prosesnya Dikenal sebagai garbage collection. Tidaklah
aneh bagi data sisa berada di halaman memori yang dapat digunakan
kembali, yang serupa dengan kluster file yang belum
dialokasikan.
Beberapa jenis data volatil penting lainnya yang mungkin ada
dalam suatu OS adalah : 1. Konfigurasi jaringan. Walaupun banyak
elemen jaringan, seperti driver kartu penghubung jaringan
(Network Interface Card atau NIC) dan seting konfigurasi,
umumnya disimpan dalam file sistem, secara alami jaringan bersifat
dinamis. Sebagai contoh, banyak host yang diberikan alamat IP
secara dinamis oleh host lainnya, yang berarti bahwa alamat IP
mereka tidak menjadi bagian konfigurasi yang disimpan. Banyak host
juga mempunyai beragam interface jaringan, seperti wired, wireless,
virtual private network (VPN), dan modem; konfigurasi jaringan yang
sekarang menandai interface yang digunakan. User mungkin dapat
mengubah konfigurasi interface jaringan, seperti mengubah alamat IP
secara manual. Jika memungkinkan, analis perlu menggunakan
konfigurasi jaringan yang sekarang, bukan konfigurasi yang
tersimpan.
2. Hubungan jaringan. OS memfasilitasi koneksi antara sistem dan
sistem lainnya. Kebanyakan OS dapat menyediakan daftar koneksi
jaringan yang keluar dan masuk saat ini, dan beberapa OS dapat
menampilkan daftar koneksi terkini.
3. Proses yang berjalan. Proses adalah program yang sedang
dijalankan suatu komputer. Proses meliputi layanan yang ditawarkan
oleh OS dan aplikasi yang dijalankan oleh administrator dan user.
Kebanyakan OS menawarkan cara untuk melihat daftar proses yang saat
ini sedang berjalan. Daftar ini dapat dipelajari untuk menentukan
layanan yang aktif pada sistem. Mengidentifikasi proses yang
berjalan bermanfaat untuk mengidentifikasi program yang harus
berjalan namun telah ditiadakan atau dihapus.
4. File terbuka. OS memelihara daftar file terbuka, yang
biasanya meliputi user atau proses yang membuka file.
5. Sesi login. OS umumnya memelihara informasi tentang user yang
login saat ini (dan waktu awal serta durasi setiap sesi), login
yang gagal dan sukses sebelumnya, penggunaan istimewa, serta
impersonasi. Namun demikian, informasi sesi login hanya tersedia
bila komputer telah dikonfigurasi untuk mengaudit usaha login.
Catatan logon dapat membantu menentukan kebiasaan penggunaan user
dan mengkonfirmasi apakah akun user aktif ketika terjadi sebuah
peristiwa.
6. Waktu sistem operasi. OS memelihara waktu sekarang dan
menyimpan waktu daylight saving serta informasi zona waktu.
Informasi ini dapat bermanfaat ketika membuat garis waktu peristiwa
atau mengkorelasikan peristiwa di antara sistem yang berbeda.
Analis harus tahu bahwa waktu yang diberikan oleh sistem operasi
mungkin berbeda dengan bios karena seting khusus os, seperti
wilayah waktu.
-
15
DATA NON VOLATILE Berkas data atau program tidak akan hilang
sekalipun listrik dipadamkan
Sumber utama data non volatil dalam suatu os adalah filesistem.
Filesistem juga biasanya merupakan sumber data yang paling kaya dan
yang paling besar di dalam os, berisikan informasi yang dipulihkan
selama peristiwa forensik. Filesistem menyediakan penyimpanan untuk
os pada satu atau lebih media. Suatu filesistem umumnya berisi
banyak jenis file yang berbeda, yang mungkin bernilai bagi analis
dalam situasi yang berbeda.
Daftar berikut menguraikan beberapa jenis data yang biasanya
ditemukan di dalam file sistem OS: File konfigurasi. Os dapat
menggunakan file konfigurasi untuk menyimpan seting os dan
aplikasi. Sebagai contoh, file konfigurasi dapat mendaftarkan
layanan yang dimulai secara otomatis setelah sistem diboot, dan
menetapkan lokasi log files dan file temporer. User juga dapat
memiliki file konfigurasi os dan aplikasi sendiri yang berisi
pilihan dan informasi spesifik untuk user, seperti pengaturan yang
terkait dengan perangkat keras (misalnya, resolusi layar, setingan
printer) dan asosiasi file. File konfigurasi yang menarik adalah
sebagai berikut: 1. User dan kelompok. OS menyimpan catatan tentang
akun user dan kelompok. Informasi akun ini dapat
meliputi keanggotaan kelompok, uraian dan nama akun, ijin akun,
status akun (misalnya, aktif, ditiadakan), dan path ke direktori
home akun.
2. File sandi. OS mungkin menyimpan hash password dalam file
data. Berbagai tool password cracking dapat digunakan untuk
mengkonversi hash password ke clear text ekivalennya untuk os
tertentu.
3. Pekerjaan yang dijadwalkan. OS memelihara daftar tugas yang
dijadwalkan supaya dapat dilakukan secara otomatis pada waktu
tertentu (misalnya, melaksanakan pemeriksaan virus tiap minggu).
Informasi yang dapat diperoleh meliputi nama tugas, program yang
digunakan untuk melaksanakan tugas, argumen dan switch perintah
baris, waktu dan hari saat tugas dilakukan.
Log. File log OS berisi informasi tentang berbagai peristiwa
sistem operasi, dan dapat juga berisi informasi peristiwa spesifik
tergantung pada OS, log mungkin disimpan dalam file teks, file
biner dengan format proprietary, atau database. Beberapa OS menulis
entri log ke dua atau lebih file terpisah. Jenis informasi yang
umum ditemukan dalam log os adalah: 1. Peristiwa sistem. Peristiwa
sistem adalah tindakan operasional yang dilakukan oleh komponen
os,
seperti mematikan sistem atau memulai suatu layanan. Umumnya,
peristiwa gagal dan peristiwa penting yang sukses akan dicatat,
tetapi banyak sistem operasi mengijinkan admin sistem menetapkan
peristiwa mana yang akan dicatat setiap peristiwa biasanya diberi
penanda waktu; informasi pendukung lain dapat meliputi kode
peristiwa, kode status, dan nama user.
2. Arsip audit. Arsip audit berisi informasi peristiwa keamanan
seperti sukses dan tidaknya usaha otentikasi dan perubahan
kebijakan keamanan. Os umumnya mengijinkan admin sistem menetapkan
jenis peristiwa mana yang harus diaudit.
3. Peristiwa aplikasi. Peristiwa aplikasi adalah tindakan
operasional penting yang dilakukan oleh aplikasi, seperti awal dan
akhir aplikasi, kegagalan aplikasi, dan perubahan besar konfigurasi
aplikasi.
4. Sejarah perintah. Beberapa sistem operasi mempunyai log file
yang terpisah (umumnya untuk setiap pemakai) yang berisi sejarah
perintah os yang dilakukan oleh pemakai tersebut. File yang baru
diakses. Suatu sistem operasi mungkin mencatat file terakhir yang
diakses atau pemakaian lain, menciptakan daftar file yang terkini
diakses.
File aplikasi. Aplikasi dapat terdiri atas banyak jenis file,
termasuk executable, skrip, dokumentasi, file konfigurasi, file
log, file sejarah, grafik, suara, dan ikon. File data. File data
menyimpan informasi aplikasi.
-
16
Beberapa contoh file data umum adalah file teks, pengolah kata
dokumen, spreadsheet, database, file audio, dan file grafik. Swap
files. Kebanyakan os menggunakan swap file bersama dengan random
access memory (ram)
untuk menyediakan penyimpanan sementara bagi data yang sering
digunakan aplikasi. Pada dasarnya swap file meningkatkan jumlah
memori yang tersedia bagi suatu program dengan memungkinkan halaman
(atau segmen) data untuk ditukarkeluar dan masuk RAM.
Dump file. Beberapa os memiliki kemampuan menyimpan isi memori
secara otomatis selama kondisi kesalahan untuk membantu dalam
troubleshooting berikutnya. File yang berisikan isi memori yang
disimpan dikenal sebagai dump file.
File hibernasi. File hibernasi dibuat untuk menyimpan status
sistem saat ini (khususnya adalah laptop) dengan merekam memori dan
file terbuka sebelum mematikan sistem itu. Ketika sistem dinyalakan
setelahnya, status sistem dikembalikan.
File sementara. Selama instalasi sistem operasi, aplikasi;
update atau upgrade OS atau aplikasi, file sementara sering dibuat.
Meskipun file ini umumnya dihapus pada akhir proses instalasi, hal
ini tidak selalu terjadi. File sementara juga diciptakan ketika
banyak aplikasi yang dijalankan, file ini akan dihapus ketika
aplikasi berakhir, tetapi hal ini tidak selalu terjadi.
Walaupun file sistem adalah sumber utama data non volatil,
sumber menarik lainnya adalah sistem
input output dasar (Basic Input/Output System, atau sering
dikenal dengan BIOS). BIOS berisi jenis informasi yang terkait
dengan perangkat keras, seperti alat yang dipasang (misalnya CD-ROM
drives, hard drives), jenis koneksi dan Interrupt Request Line
(IRQ) assignments (misalnya serial, USB, kartu jaringan),
komponen-komponen motherboard (misalnya, tipe dan kecepatan
prosesor, cache size, informasi memori), seting keamanan sistem,
dan hot key. BIOS juga berkomunikasi dengan driver raid dan
menampilkan informasi yang disajikan driver itu. Sebagai contoh,
BIOS memandang perangkat keras raid sebagai single drive dan
perangkat lunak raid debagai multiple drive. BIOS biasanya
mengijinkan user menetapkan password yang membatasi akses ke
pengaturan bios dan dapat mencegah sistem booting tanpa password.
BIOS juga menyimpan waktu dan tanggal sistem.
Soal 5 Jelaskan istilah berikut: steganography, encryption dan
compression
http://en.wikipedia.org/wiki/Steganography
http://en.wikipedia.org/wiki/Encryption STEGANOGRAPHY Steganografi
(AS Listeni / st.n.r.fi /, Inggris /st.n.r.fi/) adalah seni atau
praktek menyembunyikan file, pesan, gambar, atau video yang di
dalam yang lain berkas, pesan, gambar, atau video. Kata
steganografi menggabungkan Yunani Kuno kata steganos (), yang
berarti "tertutup, tersembunyi, atau dilindungi", dan graphein ()
yang berarti "menulis". Penggunaan tercatat pertama dari istilah
itu pada 1499 oleh Johannes Trithemius di Steganographia, sebuah
risalah pada kriptografi dan steganografi, menyamar sebagai sebuah
buku tentang sihir. Umumnya, pesan tersembunyi akan tampak (atau
menjadi bagian dari) sesuatu yang lain: gambar, artikel, daftar
belanja, atau beberapa teks penutup lainnya. Sebagai contoh, pesan
tersembunyi mungkin dalam tinta tak terlihat antara garis-garis
yang terlihat dari surat pribadi. Beberapa implementasi dari
steganografi yang tidak memiliki rahasia bersama adalah bentuk
keamanan melalui ketidakjelasan, sedangkan skema steganografi
key-dependent mematuhi prinsip Kerckhoffs itu. [1] Keuntungan dari
steganografi lebih kriptografi sendiri adalah bahwa pesan rahasia
yang dimaksud tidak menarik perhatian pada dirinya sendiri sebagai
objek pengawasan. Pesan-tidak jelas terlihat terenkripsi peduli
seberapa bisa dipecahkan-akan membangkitkan minat, dan mungkin
dalam diri mereka akan memberatkan di negara-negara di mana
enkripsi adalah ilegal. [2] Dengan demikian, sedangkan
kriptografi
-
17
adalah praktek melindungi isi pesan saja, steganografi berkaitan
dengan menyembunyikan fakta bahwa pesan rahasia sedang dikirim,
serta menyembunyikan isi pesan. Steganografi termasuk penyembunyian
informasi dalam file komputer. Dalam steganografi digital,
komunikasi elektronik dapat mencakup steganografi coding dalam
lapisan transport, seperti file dokumen, file gambar, program atau
protokol. File media yang ideal untuk transmisi steganografi karena
ukurannya yang besar. Misalnya, pengirim mungkin mulai dengan file
gambar tidak berbahaya dan menyesuaikan warna setiap pixel ke-100
untuk sesuai dengan surat dalam alfabet, perubahan begitu halus
bahwa seseorang tidak secara khusus mencari untuk itu tidak mungkin
untuk melihatnya
ENCRYPTION
Dalam kriptografi, enkripsi adalah proses encoding pesan atau
informasi sedemikian rupa sehingga hanya
pihak yang berwenang dapat membacanya [1] Enkripsi tidak dengan
sendirinya mencegah intersepsi, tapi
membantah isi pesan ke pencegat [2]:.. 374 Dalam skema enkripsi,
pesan atau informasi, disebut sebagai
plaintext, dienkripsi menggunakan algoritma enkripsi,
menghasilkan ciphertext yang hanya bisa dibaca jika
didekripsi. [2] untuk alasan teknis, skema enkripsi biasanya
menggunakan kunci enkripsi pseudo-acak yang
dihasilkan oleh algoritma. Hal ini pada prinsipnya mungkin untuk
mendekripsi pesan tanpa memiliki kunci,
namun, untuk skema enkripsi yang dirancang dengan baik, sumber
daya komputasi besar dan keterampilan
yang diperlukan. Penerima yang berwenang dapat dengan mudah
mendekripsi pesan dengan kunci yang
disediakan oleh originator kepada penerima, tetapi tidak untuk
pencegat yang tidak sah.
COMPRESSION
http://www.mahanani.web.id/2012/11/pengertian-kompressing-file.html
Dalam ilmu komputer dan teori informasi , kompresi data atau sumber
pengkodean adalah proses encoding informasi dengan menggunakan
lebih sedikit bit (atau unit informasi-bantalan lainnya) dari
sebuah unencoded representasi akan menggunakan, melalui penggunaan
khusus pengkodean skema. Dalam komputasi, deduplication data adalah
teknik kompresi data khusus untuk menghilangkan data-grained
berlebihan kasar, biasanya untuk meningkatkan utilisasi storage.
Seperti komunikasi apapun, dikompresi komunikasi data hanya bekerja
jika kedua pengirim dan penerima informasi memahami skema
pengkodean. Misalnya, teks ini masuk akal hanya jika penerima
mengerti bahwa itu adalah dimaksudkan untuk ditafsirkan sebagai
karakter yang mewakili bahasa Inggris. Demikian pula, data
terkompresi hanya dapat dipahami jika metode decoding diketahui
oleh penerima.
BAGIAN III KESIMPULAN (bobot soal 10%)
CYBER CRIME
Kejahatan dunia maya (Inggris: cybercrime) adalah istilah yang
mengacu kepada aktivitas kejahatan dengan komputer atau jaringan
komputer menjadi alat, sasaran atau tempat terjadinya kejahatan.
Termasuk ke dalam kejahatan dunia maya antara lain adalah penipuan
lelang secara online, pemalsuan cek, penipuan kartu kredit/carding,
confidence fraud, penipuan identitas, pornografi anak, dll.
Walaupun kejahatan dunia maya atau cybercrime umumnya mengacu
kepada aktivitas kejahatan
dengan komputer atau jaringan komputer sebagai unsur utamanya,
istilah ini juga digunakan untuk kegiatan kejahatan tradisional di
mana komputer atau jaringan komputer digunakan untuk mempermudah
atau memungkinkan kejahatan itu terjadi.
-
18
Contoh kejahatan dunia maya di mana komputer sebagai alat adalah
spamming dan kejahatan terhadap hak cipta dan kekayaan intelektual.
Contoh kejahatan dunia maya di mana komputer sebagai sasarannya
adalah akses ilegal (mengelabui kontrol akses), malware dan
serangan DoS.
KEBUTUHAN AKAN FORENSIK
Dalam satu dekade terakhir, jumlah kejahatan yang melibatkan
komputer telah meningkat pesat, mengakibatkan bertambahnya
perusahaan dan produk yang berusaha membantu penegak hukum dalam
menggunakan bukti berbasis komputer untuk menentukan siapa, apa, di
mana, kapan, dan bagaimana dalam sebuah kejahatan. Akibatnya,
komputer forensik telah berkembang untuk memastikan presentasi yang
tepat bagi data kejahatan komputer di pengadilan. Teknik dan tool
forensik seringkali dibayangkan dalam kaitannya dengan penyelidikan
kriminal dan penanganan insiden keamanan komputer, digunakan untuk
menanggapi sebuah kejadian dengan menyelidiki sistem tersangka,
mengumpulkan dan memelihara bukti, merekonstruksi kejadian, dan
memprakirakan status sebuah kejadian. Namun demikian, tool dan
teknik forensik juga dapat digunakan untuk tugas-tugas lainnya,
seperti : Operational Troubleshooting. Banyak tool dan teknik
forensik dapat digunakan untuk melakukan
troubleshooting atas masalah-masalah operasional, seperti
menemukan lokasi fisik dan virtual sebuah host dengan konfigurasi
jaringan yang tidak tepat, mengatasi masalah fungsional dalam
sebuah aplikasi.
Log Monitoring. Beragam tool dan teknik dapat membantu dalam
melakukan monitoring og, seperti menganalisis entri log dan
mengkorelasi entri log dari beragam sistem. Hal ini dapat membantu
dalam penanganan insiden, mengidentifikasi pelanggaran kebijakan,
audit, ddan usaha lainnya.
Data Recovery. Terdapat lusinan tool yang dapat mengembalikan
data yang hilang dari sistem, termasuk data yang telah dihapus atau
dimodifikasi baik yang disengaja maupun tidak.
Data Acquisition. Beberapa organinasi menggunakan tool forensik
untuk mengambil data dari host yang telah dipensiunkan. Sebagai
contoh, ketika seorang user meninggalkan organisasi, data dari
komputer user tersebut dapat diambil dan disimpan bilamana
dibutuhkan di masa mendatang. Media komputer tersebut lalu dapat
disanitasi untuk menghapus semua data user tersebut.
Due Diligence/Regulatory Compliance. Regulasi yang ada dan yang
akan muncul mengharuskan organisasi melindungi informasi sensitif
dan memelihara beberapa catatan tertentu demi kepentingan audit.
Juga, ketika informasi yang dilindungi terekspos ke pihak lain,
organisasi mungkin diharuskan untuk memberitahu pihak atau individu
yang terkena dampaknya.
Forensik dapat membantu organisasi melakukan due diligence dan
mematuhi persyaratan tersebut Berbicara mengenai tindak kejahatan
(Crime), tidak terlepas dari lima faktor yang terkait, antara
lain
karena adanya pelaku kejahatan, modus kejahatan, korban
kejahatan, reaksi sosial atas kejahatan, dan hukum. Berdasarkan
beberapa pustaka, sebagian besar menyebutkan bahwa pelaku Cyber
Crime adalah para remaja yang berasal dari keluarga baik baik,
bahkan berotak encer. Hukum positif di Indonesia masih bersifat lex
loci delicti yang mencakup wilayah, barang bukti, tempat atau fisik
kejadian, serta tindakan fisik yang terjadi. Padahal kondisi
pelanggaran yang mungkin terjadi di CyberSpace dapat dikatakan
sangat bertentangan dengan hukum positif yang ada tersebut. Dalam
Cyber Crime, pelaku tampaknya memiliki keunikan tersendiri, secara
klasik kejahatan terbagi dua : Blue Collar Crime dan White Collar
Crime. Pelaku Blue Collar Crime biasanya dideskripsikan memiliki
stereotip, seperti dari kelas social bawah, kurang terdidik,
berpenghasilan rendah, dsb. Sedangkan White Collar Crime, para
pelaku digambarkan sebaliknya. Mereka memiliki penghasilan yang
tinggi, berpendidikan, dsb. Untuk pelaku CyberCrime, pembagian
teoritis demikian tampaknya kurang mengena lagi. Karena dipacu oleh
perkembangan teknologi yang pesat, telah menghasilkan komunitas
yang lebih kompleks. Dampak dari kehidupan yang semakin kompleks,
telah memperlebar celah celah kriminalitas, maka Polri harus sedini
mungkin berperan secara aktif sebagai anggota masyarakat global
Cyberspace. CyberPolice merupakan polisi yang dilatih dan
ditugaskan untuk menangani kasus kasus di dalam segala tindakan
kriminal yang dilakukan di dunia maya CyberSpace. Andaikata
CyberPolice tidak segera diwujudkan, maka semua kejahatan yang
timbul di dunia CyberSpace tidak dapat dijangkau oleh POLRI.
-
19
BAGIAN IV TUGAS TAMBAHAN
2. Menyusun paper ulasan (paper review) satu Jurnal atau
Proceedings tentang computer/digital forensic. Bisa berupa
ringkasan (resume) maupun kritik.
IJoFCS (2013) 1, 8-12 The International Journal of
FORENSIC COMPUTER SCIENCE
www.IJoFCS.org
DOI: 10.5769/J201301001 or
http://dx.doi.org/10.5769/J201301001
Forensic Examination And Imaging Of Password
Protected Moveable Media Cards
Waghmare, N.P(1)
, Toofany, M.A., Anubha lal(1)
,
Eniysvan(1)
, Ajay Pande(1)
, R.K.Sarin(1)
(1) Computer Forensic Unit, Forensic Science Laboratory,
GNCT, Sector-14,Rohini,Delhi-85.. Email:
[email protected]
Abstract - In digital world memory cards are an extension to
users ability for storing, transferring
and sharing data. Many digital devices available in the open
market are designed to support the
requirement of adding extra memory in the form of memory cards.
With increasing use of such types
of data storage devices their value as a source of digital
evidence cannot be ignored. Multimedia
memory cards may be recovered from devices such as mobile phone,
digital cameras, and PDAs.
Password protection to the storage devices can be a big
challenge to forensic examiners. In this
paper an attempt has been made to provide solutions to digital
forensic examiners in handling cases
where memory cards are protected with a secrete password. The
suggested procedure allows the
examiner to remove the password and to image the memory card for
further analysis.
Key words: Memory card, digital evidence, password protection,
forensic examiner
-
20
1. INTRODUCTION
Over the years there has been an ever increasing demand for more
storage capacity and portability
of electronic devices. History has witnessed the change in
storage media technology from the floppy
disk (1.44 Mb) to blue ray disc (25,000 Mb). But the greatest
change of all revolutions in storage media
facility was the introduction of the pen drive and the Memory
cards. These memory cards are
manufactured in various dimensions and specific technical
aspects. At present, in open market more
than 20 types of media cards are available [1-3]. These media
cards provide users with the ease of
portability and compatibility with numerous digital devices.
Memory card can be used as external
memory in a mobile phone as well as in a digital camera. The
memory card can also be inserted in a
memory card reader that can transfer the digital data captured
from an electronic device to a computer.
As such devices are so commonly in use, they are frequently
encountered in many crimes as digital
evidences having digital data in the form of digital pictures,
messages, phone book, or even higher
documents such as Microsoft office files. Retrieving data from
such media card can be of major
significance in providing clues to solve a crime.
The aspect of increasing storing capacity has also brought about
significant change in the concept of
security. Data which is stored on memory cards can be very
sensitive and may include credit card
numbers, pin code numbers, phone books, encrypted messages and
personal messages[4-8]. To
prevent the theft or un-authorized access to a memory card, the
introduction of encrypted password
within digital devices provides a very secure means for the
user. But nevertheless, this has created more
difficulty in their forensic examination[9-14]. In this paper we
aim at explaining the difficulties
encountered during forensic examination of password protected
moveable media cards and also
providing a guide line to forensic examiners in case they come
across such types of password protected
devices.
2. METHODS AND MATERIALS
The analysis involved the media cards such as Multimedia memory
cards (MMC), Slot cards (SD
Cards), Compact flash Card (CF cards), Sony pro duo stick, mini
SD cards. The cards were first
completely formatted by placing them in a 16 in 1 memory card
reader and using the hard erase
function so as to remove any data that might be present on them.
One reduced size memory card
(reduced MMC) of 512Mb (Kingston) was then placed in a mobile
phone of Nokia make (Nokia N70).
Some data from the phone was then copied to the memory card and
a password was applied to the
memory card. The card was then removed. A second memory card of
same model (512Mb Kingston)
was then placed in the same phone (Nokia N70) and the same data
was transferred on it but in this case
no password was applied to it.
Figure 1. Compact flash, MMC card and 16 in 1 Memory card
reader
-
21
Both cards were then placed in a memory card reader attached to
a laptop (Compact Presario 2200)
and standard forensic software (EnCase and AccessData Forensic
Toolkit) was used in imaging the
memory cards (refer Figure 1). The same steps were performed
with different media cards using
compatible digital devices that support them. One copy was
password protected while the other copy
was left unprotected.
The digital devices that were used in pass-word protecting the
media cards were kept for further
analysis and for retrieving data that could be relevant for
analyzing the memory cards. The devices were
properly labeled to with their respective memory cards and were
switched off.
3. RESULTS AND DISCUSSIONS
The analysis of memory cards, both the protected and unprotected
ones yielded some very
interesting observations. A memory card that is not password
protected would simply auto execute and
display the contents of the cards. The imaging can be done in a
similar manner as that of standard hard
disk with no major complications. On the other hand a memory
card that is password protected when
inserted in the memory card reader does not auto executes. This
is due to the fact that the password
protection mechanism also locks the auto.exe files. The
protection mechanism will also cause the
memory card not to be displayed. So, when trying to access, it
will simply not open. This is a major
problem, as the memory card cannot be accessed or cannot be
displayed and forensic tools are not
capable of producing an image of the memory card.
It is also important to note that while inserting the memory
card in the card reader the computer can
give an indication that the media card is not formatted and the
forensic examiner should be careful as
not to format the card or data can be lost permanently. The
interesting fact about memory cards is that the key to unlock the
password present is located
within the memory card itself. Since protection mechanism denies
access to card by not displaying the
card, it is not possible to un-lock the card with any form of
brute force or dictionary attack. This literally
means that it is not possible to unlock the password protected
memory card by connecting it to a
computer.
The process of imaging password protected memory cards firstly
requires the removal of the
protection key. The solution in removing this key lies within
the digital device that was used to protect
this memory card. This device may not be present in all cases or
may not be know by the examiner so
alternative solutions are recommended. 3.1. Steps for removing a
password from a memory card
1. Make an image of the whole system file of the phone memory or
in cases where the device is not
supported by data cable then make use of a phone registry
Symbian software (FExplorer) and
install it on the phone memory. This phone registry software
will give full access to the whole
registry system of the phone
2. Locate a file that is called MMCSTORE. This file contains a
list of passwords that have been used
to lock the memory cards
3. Copy the file or send if using Bluetooth to another
folder
4. Rename the file to MMCSTORE.txt
5. Open the file and the password will be displayed in it. This
number corresponds to the key that
has been used in locking the memory card the corresponds to the
password within the memory
card it will not ask for the password.
6. Insert the memory card inside the phone. of the digital data
that is present on the card. If the
password on the MMCSTORE file corresponds to the password within
the memory card it will not
ask for the pass-word
7. Now navigate to the memory card and remove any password by
inserting the password
recovered from the MMCSTORE file.
-
22
8. Take the memory card out and place it in the card reader and
the imaging can be done.
In certain situations the key for unlocking the memory card
might not be on the MMCSTORE file or
the key found on the MMCSTORE file might not be the right key
and this could be due to:
a) If the phone has been formatted that would also erase any key
that were pres-ent on the
MMCSTORE file.
b) If the key doesnt match the password of the memory card it
might be that another digital device has been used in locking the
memory card.
c) Another reason is that if more than three wrong hits of the
password is done then automatically
the memory card password will be changed and locked. This would
mean very minimal chances
of retrieving any data from it.
In cases where it is not possible to find the key to unlock the
password it is recommended that the
examiner performs a HEX dump of the memory card (see Figure 2).
This is a very te-dious work as it
would require long hours for decrypting the data present from
the HEX dump but its the best way at
this time to keep a copy.
Figure 2. HEX dump format
-
23
Another method that we propose but that is more destructive in
nature and that should be used
in critical scenarios is a type of reverse formatting. The
concept is removing the key by erasing it.
This also erases some of the data that is present on the card
but the data can be brought back by
using forensic data recovery software toolkit. The type of
recovery that should be done is a RAW
format recovery. RAW recovery will provide us with maximum
information from the memory card.
The only problem with RAW recovery is that the data can once
again be in encrypted format and it
would require great ef-fort to decrypt it. This method is also
destructive and does not guarantee
100% recovery of data and this method should be performed in
extreme cases.
4. CONCLUSION
When performing an imaging of a memory card, the examiner should
confirm whether the
memory card is password protected or not. A memory card that
cannot be read by a computer does
not imply that it is physically damaged, it could be an
indication that it is password protected. The
memory card has to be placed in a phone that is supporting it
and if a pass-word is requested it
confirms that memory card is locked. If the memory card is
placed in the phone that is also sent
along for examination and no password is requested and the
contents of the memory card can be
read from the phone it confirms that the password needed to open
the memory card is saved on the
MMCSTORE file. Extracting that file would allow the examiner to
get hold of the key to unlock the
memory card. If a password is not present in the MMCSTORE file
then a HEX dump is firstly
recommended and in extreme cases the proposed reverse formatting
can be implemented.
Even though mobile forensic kits are now readily available and
they have the potential of reading
the memory card contents in mobile phones but there is no such
device yet that would allow us to
work directly on password protected memory cards alone. The only
solution, at present for in
forensic imaging of password protected media cards are the
proposed methods mentioned above.
ACKNOWLEDGEMENT
Authors are very thankful to Director, Forensic Science
laboratory, GNCT of Delhi, Sector-14,
Rohini, Delhi for his keen interest and constant
encouragement.
REFERENCES
[1] Types of memory cards- http://www.camerahacker.com/
CompactFlash/Types_of_Memory_Cards.shtml [2] Gerry Masters and
Philip Turner; Forensic data recovery and examination of magnetic
swipe card cloning devices, In:Digital Investigation, Volume
4, Supplement 1, September 2007, Pages 16-22
[3] Philip Turner, Unification of digital evidence from
disparate sources (Digital Evidence Bags); In: Digital
Investigation, Volume 2, Issue 3,
September 2005, Pages 223-228 [4] Barrie Mellars; Forensic
examination of mobile phones; In: Digital Investigation, Volume 1,
Issue 4, December 2004, Pages 266-272
[5] Casey Eoghan. Chapter 13: Forensic examination of handheld
devices, Digital Evidence and Computer Crime. 2nd ed. Academic
Press;
March 2004. [6] Wiechmann Fred J.; Processing flash memory
media; New Technologies Inc.; November 2002.
http://www.forensics-intl. com/
art16.htmlO. [7] SD Card Association -
http://www.sdcard.org/about/memory_card/ [8] Memory card data
recovery utility- http://www.recoverdata.in/
recovery-data/memory-card-data-recovery-utilities.html
[9] Encase forensic-
http://www.guidancesoftware.com/products/ef_ works.asp
[10] Thakur, Roshan; Chourasia, Khyati; and Thakur, Bhupendra;
Data Base Forensics of Mobile Phone, In: The International Journal
of
Forensic Computer Science IJoFCS, Volume 7, Number 1, pages:
42-50, ISSN: 1809-9807, DOI: 10.5769/J201201004. [11] Simo, Andr;
Scoli, Fbio; Melo, Laerte; Deus, Flvio; and Sousa Jnior, Rafael;
Acquisition and Analysis of Digital Evidence in
Android Smartphones; In: The International Journal of Forensic
Computer Science IJoFCS, Volume 6, Number 1, pages: 28-43,
ISSN:
1809-9807, DOI: 10.5769/J201101002. [12] Lallie, Harjinder; and
Benford, David; Challenging the Reliability of iPhone - Geo-tags;
In: The International Journal of Forensic
Computer Science IJoFCS, Volume 6, Number 1, pages: 59-67, ISSN:
1809-9807, DOI: 10.5769/J201101004. [13] Kathirvel, Ayyaswamy, and
R. Srinivasan; Double Umpiring System for Ad Hoc Wireless Mobile
Network Security; In: The International Journal
of Forensic Computer Science IJoFCS, Volume 5, Number 1, pages:
22-29, ISSN: 1809-9807, DOI: 10.5769/J201001003.
[14] Rosa, Antonio; Barboni, Daniel; and Quintiliano, Paulo;
Mobile Positioning Methods used in Location-Based Services in GSM,
WCDMA
and WLAN Networks; In: The International Journal of Forensic
Computer Science IJoFCS, Volume 5, Number 1, pages: 51-59;
ISSN:
1809-9807, DOI: 10.5769/J200801005.
-
24
RESUME / RINGKASAN
The International Journal of FORENSIC COMPUTER SCIENCE DOI:
10.5769/J201301001 or http://dx.doi.org/10.5769/J201301001
Forensic Examination And Imaging Of Password Protected Moveable
Media Cards Waghmare, N.P(1), Toofany, M.A., Anubha lal(1),
Eniysvan(1), Ajay Pande(1), R.K.Sarin(1) (1) Computer Forensic
Unit, Forensic Science Laboratory, GNCT,
Sector-14,Rohini,Delhi-85.. Email: [email protected]
BUKU INTERNASIONAL TENTANG ILMU PEGETAHUAN KOMPUTER DALAM BIDANG
FORENSIK
TES FORENSIK DAN GAMBARAN DARI KARTU MEDIA YANG DAPAT DIGUNAKAN
UNTUK MELINDUNGI KATA SANDI
ABSTRAK
Kartu memori dalam dunia/ranah digital adalah sebuah kemajuan
terhadap kemampuan pengguna
untuk menyimpan, mengirim dan berbagi data/materi/bahan. Banyak
sekali alat alat digital yang tersedia
dengan terbuka di pasaran yang di rancang untuk mendukung
keperluan dalam hal menambahkan
memori tambahan dalam bentuk kartu memori. Dengan meningkatkan
penggunaan seperti jenis alat
penyimpanan data nilai dari sumber jenis tersebut sebagai fakta
digital yang tidak bisa di abaikan
Kartu memori multimedia saat ini bisa disimpan di dalam alat
seperti handphone, kamera digital,
dan PDA. Perlindungan terhadap kata sandi terhadap alat alat
penyimpan data bisa menjadi sebuah
tantangan yang luar biasa untuk para penguji dari badan
forensik. Di dalam jurnal ini sebuah usaha telah
di buat untuk memberikan jalan keluar untuk membantu para
penguji forensik dalam menangani kasus
kasus diman kartu memori dilindungi dengan menggunakan sandi
yang sifat nya rahasia. Sebuah cara
atau usulan mengijinkan penguji untuk memindahkan kata sandi ke
memory bayangan untuk mengetahui
analisis lebih jauh lagi.
Kata Kunci : Kartu memori, bukti digital, proteksi password,
pemeriksa forensic.
1. PENDAHULUAN
Lebih dari beberapa tahun sebuah peningkatan menuntut untuk
membuat alat alat elektronik yang memiliki kapsitas penyimpanan dan
portabilitas yang lebih dari yang sebelumnya. Sejarah menyaksikan
sebuah perkembangan dari teknologi media penyimpanan data yaitu
perubahan dari floopy disk disk (1.44 Mb) to blue ray disc (25,000
Mb).
Tapi perkembangan yang paling luar biasa adalah perubahan
seluruh fasilitas media penyimpanan
data yaitu adanya pena penggerak dan kartu memori. Kartu kartu
memori tersebut di ciptakan dengan
dimensi yang beragam dan segi teknik yang khusus. Masa kini di
pasaran tersedia lebih dari 20 jenis
kartu memori. Dalam kartu media tersebut memudahkan para
pengguna untuk kesesuaian dan
portabilitas dengan alat digital yang lebih banyak. Kartu memori
bisa digunakan sebagai memori
eksternal di telpon genggam seperti di gunakan dalam kamera
digital. Kartu memori tersebut dapat di
masukan kedalam kartu pembaca kartu memori yang bisa mengirim
tangkapan data digital dari alat
elektronik terhadap komputer. Seperti hal nya alat yang lazim di
gunakan, alat tersebut acapkali
menemukan banyak kejahatan sebagai bukti digital mempunyai data
digital dalam bentuk poto digital,
pesan, buku telpon, atau bahkan dokumen yang lebih besar seperti
data dari microsoft office.
-
25
Mendapatkan kembali data seperti dari kartu memori di jadikan
arti utama dalam penyediaan jejak
untuk menanggulangi kejahatan.
2. METODE DAN BAHAN
Pertama Dalam bahasan ini analisis melibatkan kartu memori
sebagai kartu memori multimedia
(MMC), lobang kartu (SD) ), Compact flash Card (CF cards), Sony
pro duo stick, mini SD cards. Kartu tersebut disusun secara lengkap
dengan menempatkannya dalam 16, dalam satu pembaca kartu memori dan
menggunakan fungsi penghapus yang kuat untuk memindahkan data yang
telah ada dalam memori tersebut. Salah satu kartu ada yang mampu
mengurangi ukuran kartu memori reduced MMC) of 512Mb (Kingston)
ditempatkan dalam telpon genggam NOKIA (N70). Data data dari telpon
genggam kemudian disalin ke kartu memori dan kata sandinya di pakai
dalam kartu memori. Kemudian kartu memorinya dikeluarkan.
Gambar 1 : Compact flash, MMC card and 16 in 1 Memory card
reader
Kedua kartu memori yang sama modelnya model (512Mb Kingston) di
masukan kedalam telepon genggam yang sama (NOKIA N70) dan data yang
sama di kirim ke dalam telepon tersebut. Dalam kasus ini password
tidak tampil dalam telepon tersebut. Kemudian kedua kartu tersebut
di masukan kedalam laptop bersamaan (Compact Presario 2200) dengan
software forensic yang berstandar (EnCase and AccessData Forensic
Toolkit) digunakan dalam bayangan kartu memori (gambar 1). Langkah
langkah yang sama dilakukan dengan kartu yang berbeda dengan
menggunakan alat alat digital yang sesuai yang mendukung langkah
langkah tersebut. Salah satu salinan harus dilindungi oleh kata
sandi ketika data yang tak terlindungi di simpan kemudian alat alat
digital yang di gunakan untuk melindungi kata sandi dan kartu media
disimpan untuk dianalisis yang lebih jauh dan untuk mendapatkan
kembali data yang bisa terkait untuk menganalisis kartu memori
tersebut. Alat tersebut di beri nama yang sesuai untuk memori
masing data dan diberi tombol off.
3. HASIL DAN PEMBAHASAAN
Analisis kartu memori yang terlindungi dan yang tak terlindungi
menghasilkan pengamatan yang
sangat menarik. Sebuah kartu memori yang tidak terlindungi oleh
kata sandi akan dengan mudah di hapus dan di tunjukan isi kartunya.
Image tersebut bisa di lakukan dalam cara yang sama seperti standar
hard disk nya dengan tidak melibatkan kesulitan yang utama dengn
kata lain kartu memori yang terlindungi kata sandi ketika dimasukan
kedalam pembaca kartu memori tidak bisa dihapus secara otomatis.
Ini seharusnya menjadi fakta bahwa mekanisme pelindungan kata sandi
juga mengunci otomatis files exe (files yang digunakan untuk
menginstal sebuah aplikasi). Mekanisme proteksi juga akan
menyebabkan kartu memori tida bisa ditampilkan. Jadi, ketika
mencoba untuk memasukan, hal itu tidak akan terbuka dengan mudah.
Ini adalah masalah utama seperti kartu memori yang tak bisa
dimasukkan atau tidak bisa ditampilkan dan alat forensik tidak
dapat menghasilkan bayangan dari kartu memori. Ini adalah catatan
yang juga mekanisme perlindungan penting yang mengijinkan akses
terhadap kartu yang menunjukan kartu, ini memungkinkan untuk tidak
mengunci kartu bentuk tenaga yang kasar atau serangan masalah
kebahasaan. Secara harfiah maksudnya bahwa ini tidak mungkin untuk
tidak mengunci kartu memori yang terlindungi kata sandi dengan
menyambungkannya ke komputer. Proses dari bayangn kartu memori yang
terlindungi kata sandi pertama kali mensyaratkan pemindahan kunci
perlindungan. Pemecahan masalah dalam memindahkan kunci tersebut
denga menyimpan alat digital yang digunakan untuk melindungi kartu
memori. Alat ini mungkin ada dalam semua kasus atau tidak mungkin
untuk di ketahui oleh penguji, jadi ada beberapa pemecahan yang di
sarankan.
-
26
3.1 Langkah Langkah Untuk Memindahkan Kedalam Kartu Memori
1. Buatlah bayangn dari seluruh berkas sistem dari memori
telepon atau dalam kasus dimana alat tidak didukung oleh kabel data
kemudian buatlah penggunaan dari pendaftaran telepon yang
menggunakan sebuah software Symbian (Fexplorer) dan instal dalam
memori telepon. Software pendaftaran telepon akan memberikan akses
yang penuh untuk seluruh sistem pendaftaran di telpon.
2. Lokasikan berkas yang di sebut MMCSTORE, berkas ini berisi
daftar kata kunci yang sudah digunakan untuk kartu memori.
3. Salin berkas atau kirim melalui bluetooth untuk berkas yang
lain. 4. Rubah nama dari berkas ke MMCSTORE. 5. Buka berkas dan
kata sandi akan di tampilkan. Nomor yang cocok telah digunakan
untuk
mengunci kartu memori. 6. Masukan kartu memori kedalam telepon.
Jika kata kunci di MMCSTORE sesuai terhadap kata
kunci di dalam kartu memori, hal ini tidak akan meminta kata
kunci lagi. 7. Sekarang kemudikan kartu memori dan pindahkan kata
kunci dengan memasukan pemulihan
kata kunci dari berkas MMCSTORE. 8. Keluarkan kartu memori dan
tempatkan dalam ard reader dan image akan di buat.
Dalam solusi tertentu kunci untuk mengunci kartu memori tidak
mungkin ada di MMCSTORE dan
tidak memungkinkan kunci yang benar dan itulah yang seharusnya
dilakukan adalah : a. Jika telepon sudah di susun ulang hal itu
juga akan menghapus kunci yang ada di berkas
MMCSTORE. b. Jika kunci tidak sesuai dengan kata kunci dari
kartu memori hal ini mungkin membutuhkan alat
digital yang lain yang telah digunakan untuk mengunci kartu
memori. c. Alasan yang lain adalah jika lebih tiga kali mengetik
password yang salah kemudian kata kunci
kartu memori secara otomatis akan dirubah dan terkunci. Ini
berarti bahwa hanya sedikit kesempatan untuk mendapatkan kembali
data dari MMCSTORE.
Dalam beberapa kasus dimana tidak mungkin menemukan kunci untuk
membuka kata kunci, ini
juga disarankan penguji untuk melakukan membuang HEX dari kartu
memori (GAMBAR 2). Ini adalah pekerjaan yang sangat membosanan dan
akan membutuhkan waktu yang lama untuk mendeskrikpsikan data yang
ada dari HEX DUMP. Tapi ini adalah jalan terbaik pada saat ini
untuk menyimpan salinan data digital yang ada dalam kartu yang
lebih merusak dan itu seharusnya digunakan dalam skenario yang
kritis adalah jenis format yang dibalikkan. Konsepnya adalah
memindahkan kunci dengan menghapusnya. Hal ini juga menekankan
menghapus beberapa sektor data yang yang ada di dalam kartu itu
tapi data bisa diambil ulang dengan menggunakan alat software
pemulihan data forensik. Jenis pemulihan yang harus dilakukan
adalah pemulihan format RAW. Pemulihan RAW akan memberikan kita
informasi yang banyak dari kartu memori. Masalah pemulihan RAW
adalah data yang bisa satu kali lagi menjadi format sandi dan ini
akan mensyaratkan usaha yang maksimal untuk mendeskripsikannya.
Metode ini juga merusak dan tidak menjamin 100 % pemulihan dari
data dan metode ini harus dilakukan dalam kasus yang ekstrim.
-
27
Gambar 2 : HEX dump format
4. RANGKUMAN
Ketika melakukan sebuah bayangan dari kartu memori, penguji
harus menegaskan apakah kartu memori terlindungi atau tidak. Sebuah
kartu memori yang tidak terbaca oleh komputer tidak menyatakan
bahwa kartu itu rusak secara fisik. Ini bisa menjadi sebuah tanda
bahwa kata kunci yang terlindungi. Kartu memori harus ditempatkan
didalam telepon yang mendukung kartu tersebut. Dan jika kata kunci
diminta maka akan mengkonfirmasi bahan kartu memori terkunci. Jika
kartu memori di tempatkan di telepon, itu juga dikirim untuk
pengujian dan tidak kata kunci yang diminta dan isi dari kartu
memori akan dapat terbaca dari telepon. Ini menegaskan kata kunci
harus dibuka kemudian kartu memori di simpan di berkas MMCSTORE,
kemudian HEX DUMP yang pertama di sarankan dan dalam kasus yang
ekstrim diajukan untuk memformat ulang bisa dilakukan. Walaupun
alat forensik telepon sudah tersedia dan alat tersebut mempunyai
potensial dalam membaca isi kartu memori dalam telepon genggam tapi
belum ada alat yang mengijinkan kita untuk bekerja secara angsung
terhadap kartu memori dengan kata kunci yang terlindungi kata sandi
hanya satu solusi pada saat ini dalam bayangan forensik dari kartu
media yang terlindungi kata kuncinya adalah metode yang diajukan
sebelumnya dalam bahasan diatas. 5. UCAPAN TERIMA KASIH
Penulis sangat berterima kasih kepada pimpinan laboraturium ilmu
pengetahuan Forensik, GNC Delhi, sektor 14 Rohini Delhi, untuk
ketekunan dan dorongan yang kuat.
-
28
REFERENSI
[5] Types of memory cards- http://www.camerahacker.com/
CompactFlash/Types_of_Memory_Cards.shtml [6] Gerry Masters and
Philip Turner; Forensic data recovery and examination of magnetic
swipe card cloning devices, In:Digital Investigation, Volume
4, Supplement 1, September 2007, Pages 16-22
[7] Philip Turner, Unification of digital evidence from
disparate sources (Digital Evidence Bags); In: Digital
Investigation, Volume 2, Issue 3,
September 2005, Pages 223-228 [8] Barrie Mellars; Forensic
examination of mobile phones; In: Digital Investigation, Volume 1,
Issue 4, December 2004, Pages 266-272
[15] Casey Eoghan. Chapter 13: Forensic examination of handheld
devices, Digital Evidence and Computer Crime. 2nd ed. Academic
Press;
March 2004. [16] Wiechmann Fred J.; Processing flash memory
media; New Technologies Inc.; November 2002.
http://www.forensics-intl. com/
art16.htmlO. [17] SD Card Association -
http://www.sdcard.org/about/memory_card/ [18] Memory card data
recovery utility- http://www.recoverdata.in/
recovery-data/memory-card-data-r