ALAMAN JUDUL PENGEMBANGAN PROSES INVESTIGASI UNTUK ANALISIS FORENSIKA DIGITAL PADA JARINGAN DENGAN PROTOKOL SERVER MESSAGE BLOCK (SMB) THESIS

ALAMAN JUDUL PENGEMBANGAN PROSES INVESTIGASI UNTUK ANALISIS FORENSIKA DIGITAL PADA JARINGAN DENGAN PROTOKOL SERVER MESSAGE BLOCK (SMB) THESIS

Disusun Oleh : Fietyata Yudha

11 917 119

MAGISTER TEKNIK INFORMATIKA FAKULTAS TEKNOLOGI INDUSTRI UNIVERSITAS ISLAM INDONESIA 2013

HALAMAN JUDUL PENGEMBANGAN PROSES INVESTIGASI UNTUK ANALISIS FORENSIKA DIGITAL PADA JARINGAN DENGAN PROTOKOL SERVER MESSAGE BLOCK( SMB) THESIS

Disusun Oleh : Fietyata Yudha

11 917 119

MAGISTER TEKNIK INFORMATIKA FAKULTAS TEKNOLOGI INDUSTRI UNIVERSITAS ISLAM INDONESIA 2013 i

HALAMAN PENGESAHAN

PENGEMBANGAN PROSES INVESTIGASI UNTUK ANALISIS FORENSIKA DIGITAL PADA JARINGAN DENGAN PROTOKOL SERVER MESSAGE BLOCK( SMB)

THESIS

Oleh : Nama : Fietyata Yudha No. Mahasiswa : 11 917 119 Oleh Yogyakarta, Juli 2013

Pembimbing I

Pembimbing II

Manik Hapsara, S. T., M. Sc., Ph. D

Yudi Prayudi, S. Si., M. Kom.

ii

LEMBAR PENGESAHAN PENGUJI PENGEMBANGAN PROSES INVESTIGASI UNTUK ANALISIS FORENSIKA DIGITAL PADA JARINGAN DENGAN PROTOKOL SERVER MESSAGE BLOCK( SMB) Oleh : Nama : Fietyata Yudha NIM : 09 523 322 Telah Dipertahankan di Depan Sidang Penguji sebagai Salah Satu Syarat untuk Memperoleh Gelar Magister Teknik Informatika Fakultas Teknologi Industri Universitas Islam Indonesia Yogyakarta … Juli 2013 Tim Penguji : Ketua

Anggota 1 Anggota 2 Mengetahui, Direktur Program Pascasarjana Fakultas Teknologi Industri Universitas Islam Indonesia

(Dr. Sri Kusumadewi, S. Si., MT)

iii

HALAMAN PERNYATAAN KEASLIAN TESIS Saya yang bertanda tangan di bawah ini : Nama : Fietyata Yudha NIM

: 11 917 119

Menyatakan bahwa seluruh komponen dan isi dalam laporan thesis ini adalah hasil karya sendiri. Apabila kemudian hari terbukti bahwa ada beberapa bagian dari karya ini yang bukan hasil karya sendiri, maka saya siap menanggung resiko dan konsekuensinya. Demikian pernyataan ini dibuat, supaya dapat dipergunakan dengan sebagaimana mestinya. Yogyakarta, Juli 2013

___________________ Fietyata Yudha

iv

HALAMAN MOTTO

“Sesungguhnya sesudah kesulitan itu ada kemudahan” (QS. Al Insyirah : 6) “If you want a thing done well, do it yourself” -Napoleon Bonaparte“A person who nerver made mistake never tried anything new” -Albert Einstein“Learning gives creativity, Creativity leads to thinking, Thinking provides knowledge, knowledge makes you great” -Abdul Kalam-

v

KATA PENGANTAR

Assalamualaikum, Wr. Wb. Alhamdulillah, puji syukur kehadirat Alloh SWT atas nikmat dan karunianya sehingga laporan thesis yang berjudul “Pengembangan Proses Investigasi Untuk Analisis Forensika Digital Pada Jaringan Dengan Protokol SMB” dapat diselesaikan dengan baik. Tak lupa shalawat serta salam selalu tercurah pada junjungan kita Nabi Agung Muhammad SAW. Laporan thesis ini disusun sebagai salah saatu sarat untuk menempuh gelar Magister Teknik Informatika pada program Pascasarjana , Fakultas Teknologi Industri, Universitas Islam Indonesia.Laporan ini dibuat sebagai sarana untuk mempraktekkan ilmu yang telah didapat selama menuntut ilmu di MagisterTeknik Informatika, Fakultas Teknologi Industri, Universitas Islam Indonesia. Dalam penyusunan laporan ini tidak lepas dari dukungan berbagai pihak, oleh karena itu pada kesempatan ini penulis dengan segala kerendahan hati ingin mengucapkan termima kasih kepada : 1. Allah SWT Tuhan bagi seluruh alam atas karunia-Nya dan nikmat-Nya yang sehingga penulis

diberikan kesehatan, ketabahan, kemudahan selama

mengerjakan tugas akhir ini. 2. Bapak Dr. Ir. Lalu Makrup, MT. dan ibu Yayuk Marliana yang selalu memberikan semangat, do’a dan dukungan atas terselesaikannya tugas akhir ini. 3. Bapak Gumbolo Hadi Susanto, M. Sc selaku Dekan Fakultas Teknologi Industri, Universitas Islam Indonesia serta seluruh jajarannya. 4. Ibu Dr. Sri Kusumadewi S. Si., MT. selaku direktur Program Pascasarjana, Fakultas Teknologi Industri, Universitas Islam Indonesia yang telah vi

memberikan kemudahan sehingga dapat terselesaikannya laporan thesis ini. 5. Bapak Yudi Prayudi, S. Si, M. Kom dan bapak Manik Hapsara, S. T., M. Sc., Ph. D yang telah membimbing penulis sehingga dapat terselesaikannya thesis yang dibuat. 6. Dosen-Dosen Program Pascasarjana , Fakultas Teknologi Industri, Universitas Islam Indonesia. 7. Bapak Moch. Fajri atas motivasinya. 8. Seseorang yang selalu mendukungku dalam susah dan senang, Inna Fauziana,yang memberikan semangat dan motivasi. 9. Teman-teman MI angkatan 4, atas dukungannya 10. Teman-teman INCLUDE dan “Bajz company” 11. Direksi iTCentrum Kami mengetahui bahwa dalam pembuatan laporan ini banyak sekali kekurangan dan kesalahan, untuk itu kami mengucapkan permohonan maaf yang sebesar-besarya.Diharapkan

kritik

dan

saran

yang

membangun

untuk

penyempurnaan di masa mendatang. Akhir kata semoga laporan ini dapat berguna bagi kita semua, Amin. Wassalamualaikum Wr. Wb Yogyakarta, Juli 2013

Penulis

vii

SARI Meningkatnya jumlah pengguna komputer di dunia menyebabkan meningkatnya kebeutuhan media penyimpanan. SMB merupakan salah satu solusi untuk mengatasi masalah penyimpanan. SMB bekerja pada protokol aplikasi pada model OSI. SMB merupakan protokol default pada Windows yang digunakan untuk menjalankan fasilitas file sharing. Dengan adanya fasilitas file sharing seperti ini menyebabkan terjadinya celah kejahatan. Permasalahan yang umum terjadi pada protokol SMB seperti pembajakan software, pornografi, pencurian data, pencurian identitas, virus, dan lain-lain. Dengan adanya tidak kriminal pada protokol SMB perlu adanya sebuah standart operating procedure untuk melakukan proses investigasi pada fasilitas file sharing, khususnya pada protokol SMB. Terdapat 2 fokus investigasi pada protokol SMB pertama network traffic, kedua file image media penyimpanan. Investigasi dilakukan pertama kali dengan melakukan analisa jaringan dan dilanjutkan dengan melakukan analisa file image. Dengan adanya proses investigasi efektif untuk melakukan investigasi protokol SMB seperti ini dapat mempercepat proses investigasi forensik pada lingkungan protokol SMB. Kata Kunci : Investigasi, file sharing, SMB, SOP

viii

TAKARIR

Image

File yang mengandung seluruh konten dan merepresentasikan struktur dari sebuah media penyimpanan

File Sharing

Merupakan sebuah cara untuk menyediakan layanan penyimpanan digital pada sebuah server

Forensik

Merupakan aplikasi ilmu pengetahuan dan teknologi untuk menyelidiki dan menetapkan fakta dalam kaitannya dengan hukum

Cross Platform

Implementasi dari suatu program ke banyak sistem yang berbeda dalam hal ini adalah sistem operasi

Peer-to-peer

Merupakan sebuah topologi jaringan dimana terdapat 2 node yang saling berkomunikasi secara langsung

ix

DAFTAR ISI

HALAMAN JUDUL.................................................................................................i HALAMAN PENGESAHAN..................................................................................ii LEMBAR PENGESAHAN PENGUJI...................................................................iii HALAMAN PERNYATAAN KEASLIAN TESIS.................................................iv HALAMAN MOTTO..............................................................................................v KATA PENGANTAR..............................................................................................vi SARI.....................................................................................................................viii TAKARIR...............................................................................................................ix DAFTAR ISI............................................................................................................x DAFTAR GAMBAR............................................................................................xiii DAFTAR TABEL...................................................................................................xv BAB I PENDAHULUAN........................................................................................1 1.1Latar Belakang................................................................................................1 1.2Rumusan Masalah...........................................................................................4 1.3Batasan Masalah.............................................................................................4 1.4Tujuan ............................................................................................................5 1.5Manfaat...........................................................................................................5 1.6Review Penelitian...........................................................................................5 1.7Metodologi Penelitian.....................................................................................7 1.8Sistematika Penulisan.....................................................................................8 BAB II KAJIAN PUSTAKA.................................................................................10 2.1Sharing Protokol...........................................................................................10 2.2SMB (Server Message Block)......................................................................11 2.3Samba Sharing..............................................................................................13 2.4sniffing..........................................................................................................13 2.5Forensika Digital..........................................................................................15 x

2.6Barang Bukti Digital.....................................................................................15 2.7Harddisk Forensic.........................................................................................17 2.7.1.Files Recovery.....................................................................................20 2.8Forensika Jaringan........................................................................................21 2.9 File Signature...............................................................................................24 2.10 Hashing......................................................................................................25 2.11Kejahatan Pada SMB..................................................................................27 BAB III METODOLOGI.......................................................................................28 3.1Studi Pustaka................................................................................................29 3.2Metode Pencarian Barang Bukti Digital.......................................................29 3.2.1Capture network traffic.........................................................................30 3.2.2Media Penyimpanan..............................................................................31 3.3Simulasi Investigasi Pada Kasus Protokol SMB..........................................31 3.3.1Skenario................................................................................................34 3.3.2Perangkat Simulasi................................................................................35 3.3.2.1Perancangan Perangkat Simulasi.......................................................36 3.3.2.2Perancangan Jaringan.........................................................................36 3.3.3Metodologi Forensik.............................................................................37 3.3.3.1Persiapan............................................................................................37 3.3.3.2Akuisisi Barang Bukti Digital............................................................37 3.3.3.3Analisis Barang Bukti Digital............................................................38 3.3.3.4Laporan Hasil Investigasi..................................................................38 3.4Analisis.........................................................................................................39 3.4.1.Karakteristik objek digital pada protokol SMB..................................40 3.4.2.Analisis Barang bukti digital pada protokol SMB...............................40 3.4.3.Proses Investigasi efektif yang dapat digunakan pada protokol SMB.40 BAB IV IMPLEMENTASI, HASIL DAN PEMBAHASAN................................43 4.1Simulasi Sharing File....................................................................................43 4.2Simulasi Investigasi Pada Kasus File Sharing..............................................43 4.2.1Pengamanan Barang Bukti....................................................................43 xi

4.2.2Akuisisi Barang Bukti Digital...............................................................44 4.2.3Analisis Barang Bukti Digital...............................................................49 4.3Analisis.........................................................................................................57 4.3.1Karakteristik Barang Bukti Digital Pada Protokol SMB......................57 4.3.1Proses Investigasi Untuk Mendapatkan Barang Bukti Pada Protokol SMB..............................................................................................................58 4.3.1Proses Investigasi Efektit Pada Protokol SMB.....................................60 BAB V KESIMPULAN DAN SARAN.................................................................63 DAFTAR PUSTAKA............................................................................................xvi LAMPIRAN..........................................................................................................xix

xii

DAFTAR GAMBAR

Gambar1. 1 Grafik Evolusi Harddisk Samba...........................................................1 Gambar2. 1 Cara Kerja Protocol SMB...................................................................11 Gambar2. 2 Posisi Protocol SMB Pada Layer OSI................................................12 Gambar2. 3 Samba Sharing....................................................................................13 Gambar2. 4 Struktur Harddisk...............................................................................17 Gambar2. 5 Struktur Platter....................................................................................18 Gambar2. 6 Autopsy...............................................................................................19 Gambar2. 7 Digital Forensic Framework...............................................................20 Gambar2. 8 Wireshark............................................................................................23 Gambar2. 9 Contoh File Signature.........................................................................25 Gambar2. 10 Cara Kerja Fungsi Hash....................................................................26 Gambar3. 1 Kerangka Konsep Penelitian..............................................................28 Gambar3. 2 Alur Studi Pustaka..............................................................................29 Gambar3. 3 Alur Metode Pencarian Barang Bukti Digital Pada file sharing........30 Gambar3. 4 Alur Simulasi Kasus...........................................................................34 Gambar3. 5 Desain Jaringan Simulasi...................................................................36 Gambar3. 6 Bagan Proses Investigasi Forensik.....................................................42 Gambar4. 1 Media Penyimpanan Server Yang Sudah Dilepas..............................44 Gambar4. 2 Proses Akuisisi...................................................................................47 Gambar4. 3 Proses Koneksi Klien 10.0.100.4 ke Server.......................................51 Gambar4. 4 Klien 10.0.100.4 Melihat Isi Direktori Server....................................51 Gambar4. 5 Klien 10.0.100.4 Melakukan Pembuatan Direktori............................51 Gambar4. 6 List Direktori Root Server Pada DFF.................................................52 Gambar4. 7 File Konfigurasi smb.conf Dibaca Dengan DFF................................53 Gambar4. 8 Klien 10.0.100.4 Membuka File f0031680.mp4................................54 Gambar4. 9 Trafic SMB Melakukan Write............................................................54 Gambar4. 10 File f0031680.mp4 Pada image Server............................................55 xiii

Gambar4. 11 File Signature File f0031680.mp4 Pada image Server.....................55 Gambar4. 12 File f003186.mp4 Terhapus Pada Storage Klien..............................56 Gambar4. 13 File Signature File f0031680.mp4 Pada Image Klien 10.0.100.4....56 Gambar4. 14 Menunjukan Tidak Ada Aktifitas Pada Log Server.........................57 Gambar4. 15 proses investigasi Pencarian Barang Bukti Digital..........................59 Gambar4. 16 Bagan Alur Proses Investigasi Efektif Untuk Protokol SMB..........61

xiv

DAFTAR TABEL

Tabel2. 1 Teknologi file sharing.............................................................................10 Tabel2. 2. Informasi Yang Diambil Dari Proses sniffing (ECCouncil, 2008)........14 Tabel4. 1 Tabel Detail File Samba1.pcap...............................................................45 Tabel4. 2 Tbale Detail File Samba2.pcap...............................................................45 Tabel4. 3 Tabel Detail File Samba3.pcap...............................................................45 Tabel4. 4 Tabel Detail File Samba4.pcap...............................................................46 Tabel4. 5 Tabel Detail File Samba-server.dd..........................................................47 Tabel4. 6 Tabel Detail FIle C1-PC.dd....................................................................48 Tabel4. 7 Tabel Detail File C2-LP-LN.dd..............................................................48 Tabel4. 8 Detail File C3-LP-AS.dd........................................................................49 Tabel4. 9 Tabel Detail Kasus..................................................................................50

xv

1 BAB I PENDAHULUAN

1.1 Latar Belakang Perkembangan teknologi informasi saat ini khususnya ledakan informasi di dunia maya telah membawa dampak pada berbagai aspek kehidupan. Informasi dapat diperoleh dengan mudah dari berbagai sumber yang tersebar pada jaringan internet. Perkembangan informasi diimbangi dengan perkembangan perangkatperangkat pendukung komputer seperti prosessor, media penyimpanan, RAM, kartu grafis, perangkat jaringan dan lainya. Jumlah pengguna komputer di dunia meningkat pesat bersama perkembangan perangkat komputer. Peningkatan jumlah pengguna komputer juga berimbas kepada jumlah kebutuhan media penyimpanan. Kapasitas media penyimpanan saat ini makin bertambah dari waktu ke waktu, hingga saat ini sudah ada media penyimpanan sebesar 4 Terrabyte untuk keperluan personal. Gambar1. 1 menunjukkan grafik evolusi ukuran harddisk sejak pertama kali muncul.

HDD Evolution 4,000,000 HDD Capacity (in MB)

3,500,000 3,000,000 2,500,000 2,000,000 1,500,000 1,000,000 500,000

1956 1982 1991 1993 1998 2005 2007 2009 2011

0

Gambar1. 1 Grafik Evolusi Harddisk Samba

1979 1983 1992 1997 2002 2006 2008 2010

2

Tidak

semua

pengguna

komputer

mampu

menyediakan

media

penyimpanan yang besar. Pengguna komputer memerlukan sebuah media penyimpanan tambahan untuk sebuah komputer terutama pada komputer dengan tingkat pengolahan data yang tinggi. Keterbatasan media penyimpanan menyebabkan munculnya teknik-teknik untuk mengatasi keterbatasan media penyimpanan. File sharing merupakan salah satu solusi untuk memanfaatkan media penyimpanan yang berada dalam jaringan lokal. Komputer dengan media penyimpanan besar dapat menampung data dari komputer lain dengan media penyimpanan kecil. Pusat pelatihan, perkantoran, ataupun warung internet menggunakan teknik ini untuk melakukan penyimpanan data pada komputer server. Warnet merupakan tempat yang umumnya mengimplementasikan teknik file sharing. Teknik file sharing sendiri terbagi menjadi beberapa jenis. Bittorrent, gnutella, Server Message Block (SMB) merupakan sebagian dari teknik file sharing yang cukup dikenal luas. Bittorrent dan gnutella berjalan pada jaringan P2P dengan memanfaatkan jaringan internet sedangkan SMB memanfaatkan jaringan lokal. SMB merupakan protokol yang digunakan untuk melakukan sharing file (berbagi file). Sistem operasi Windows memiliki protokol SMB sudah terpasang secara otomatis ketika sistem operasi dipasang ke komputer. Pada sistem operasi berbasis maupun sistem operasi turunannya,

perlu adanya aplikasi tambahan

untuk menjalankan servis SMB. Samba merupakan aplikasi yang digunakan untuk menjalankan servis protokol SMB yang digunakan untuk melakukan sharing file maupun printer ke komputer berbasis Windows. Samba sering digunakan sebagai aplikasi dalam server berbasis Linux. Samba digunakan untuk melakukan sharing video, software, gambar, dan lain-lain. Adanya fasilitas penyimpanan dalam jaringan, pengguna komputer dapat mengatasi masalah kekurangan media penyimpanan. Selain itu juga pelaku bisnis

3 yang membutuhkan data untuk di gunakan bersama juga dapat teratasi. Namun dengan adanya fasilitas seperti ini menyebabkan adanya celah kejahatan. Celah kejahatan tersebut antara lain penyebaran gambar, video, data ataupun software yang bersifat illegal atau bahkan mengandung program berbahaya. Kebanyakan file yang di sharing adalah file yang melanggar hak cipta (Schroeder, 2009). Hal ini dapat membahayakan penyedia fasilitas file sharing pengguna dapat dengan mudah mengeksplorasi media penyimpanan pada server (Coakley, 2008). Program berbahaya dapat merusak sistem yang dimiliki oleh penyedia jasa layanan file sharing. Penyedia layanan file sharing juga biasanya tidak mengaktifkan fasilitas autentikasi pada protokol SMB, sehingga pengguna lain dapat dengan mudah mengakses fasilitas file sharing dengan mudah. Ilmu digital forensik muncul untuk memecahkan kasus-kasus kejahatan digital. Proses perpindahan data pada jaringan dengan protokol SMB memungkinkan terjadinya perpindahan konten-konten ilegal. Konten-konten ilegal tersebut dapat berupa video, gambar, dokumen-dokumen, software, dan lain-lain. Protokol SMB memiliki objek-objek digital yang cukup beragam misalnya terdapat berbagai macam file yang disharing pada protokol SMB, network traffic pada protokol SMB, log file dari server SMB, dan lain-lain. Mendapatkan objekobjek digital pada protokol SMB tersebut diperlukan proses investigasi dan langkah uji forensik yang tepat. Proses investigasi forensik secara umum langkah – langkah yang digunakan pada proses investigasi hanya terbatas untuk melakukan investigasi pada satu jenis barang bukti saja, sedangkan pada invetigasi protokol SMB diperlukan beberapa jenis barang bukti yaitu media penyimpanan, network traffic, dan log file. Perlu dirancangnya sebuah metodologi tepat untuk melakukan investigasi protokol SMB. Melihat adanya potensi kejahatan yang melibatkan protokol file sharingn khususnya pada protokol SMB akan meningkat, maka perlu adanya penelitian lebih lanjut dan juga pengembangan proses investigasi forensik pada protokol SMB. Hasil dari penelitian ini dapat dijadikan sebagai panduan oleh penyidik

4 dalam menangani kasus yang memanfaatkan protokol SMB. 1.2 Rumusan Masalah Adapun rumusan masalah pada penelitian ini adalah : 1.

Belum adanya karakteristik objek-objek digital pada file sharing dengan protokol Server Message Block (SMB).

2.

Belum adanya metode yang tepat untuk mendapatkan barang bukti digital pada file sharing dengan protokol Server Message Block (SMB).

3.

Belum adanya proses investigasi yang efektif untuk kasus-kasus kejahatan pada file sharing dengan memanfaatkan protokol Server Message Block (SMB).

1.3 Batasan Masalah Batasan masalah pada penelitian ini, antara lain : a. Pengujian dilakukan pada platform sistem operasi Windows dan Linux (Cross Platform). b. Barang bukti digital yang diambil merupakan barang bukti digital yang berasal dari hasil capture jaringan yang menjalankan fasilitas sharing file dengan protokol Server Message Block (SMB), log file server, dan harddisk server. c. Digunakan simulasi kasus dengan skenario pada proses investigasi forensik. d. Semua perangkat yang akan diinvestigasi dalam kondisi off. Hal ini dilakukan karena perlunya proses imaging terhadap media penyimpanan, imaging dilakukan untuk mendapatkan file yang ada media penyimapanan yang menjadi barang bukti utama, jika pada saat perangkat dalam kondisi on tidak bisa dilakukan proses imaging terhadap barang bukti, dimana proses imaging merupakan salah satu tahap investigasi forensik. Perangkat dalam kondisi off berarti tidak diterapkannya metode live forensic. e. Perbuatan kriminal yang disimulasikan pada simulasi yang dibuat berupa penyebaran file-file yang bersifat ilegal saja tanpa ada perbuatan kriminal lain.

5

1.4 Tujuan Berdasarkan rumusan yang dibuat dapat dirumuskan tujuan penelitian adalah sebagai berikut: a. Mendefinisikan karakteristik objek-objek digital pada file sharing dengan protokol SMB. b. Mendefenisikan dan melakukan pengujian atas metode yang digunakan untuk mendapatkan barang bukti digital pada file sharing dengan protokol SMB. c. Mendefinisikan dan mensimulaikan proses investigasi efektif yang dapat dipergunakan untuk proses investigasi file sharing pada protokol SMB. 1.5 Manfaat Adapun manfaat yang dapat diambil dari penelitian ini antara lain : a. Mengetahui bagaimana lalulintas data dalam sebuah jaringan ketika terjadi transfer file dengan menggunakan protokol SMB. b. Mengetahui proses untuk mendapatkan barang bukti digital pada jaringan dan media penyimpanan. c. Mengetahui proses investigasi forensik pada barang bukti digital yang terdapat dalam jaringan komputer yang menjalankan protokol sharing file. d. Mendapatkan sebuah proses investigasi yang efektif untuk barang bukti pada protokol SMB. 1.6 Review Penelitian Huili (2008) menuliskan dengan adanya perkembangan jaringan komputer memungkinkan adanya lebih dari satu sistem operasi dalam sebuah Local Area Network. Windows dan linux menjadi sistem operasi yang banyak digunakan. Sangat penting untuk membangun sebuah jaringan komputer dengan fasilitas file sharing. Samba adalah solusi untuk menjembatani komputer Windows dan Linux agar dapat saling berkomunikasi melalui sharing protokol. Penelitian lain dilakukan oleh Liberatore, et. Al(2010) dimana disebutkan

6 investigasi pada jaringan peer to peer mulai menarik bagi para penegak hukum. Jaringan peer to peer digunakan untuk medistribusikan dan membagikan barangbarang ilegal. Penelitian ini difokuskan pada jaringan peer to peer yang fokuskan pada dua protokol jaringan yaitu Gnutella dan Bittorrent. Penelitian ini menjelaskan tentang dua protokol jaringan dan menjelaskan analisa pada dua protokol tersebut. Proses investigasi protokol Gnutella ditemukan 52 kejahatan yang menyerang anak-anak pada 2010, dan pada sejak Oktober 2009 terdapat 300.000 pemasangan Gnutella diteliti oleh penegak hukum, dan juga total ada 558 surat ijin penggeladahan diterbitkan.

Kesimpulan yang dapat diambil dari

penelitian ini adalah file sharing ternyata juga menjadi tempat untuk pelaku melakukan kejahatannya. Sementara itu Aljaedi, et. Al(2011) menuliskan penanganan insiden dan pemeriksa forensika digital memiliki dominasi pekerjaan pada penanganan data volatile. Penelitian ini menjelaskan bagaimana menjadikan memori sebagai barang bukti yang paling bernilai dalam proses investigasi. Paper ini juga melakukan analisis perbandingan proses investigasi pada live response dengan investigasi memory imaging. SMB merupakan bagian dari memori sehingga perlu dilakukan analisis. Kesimpulan dari penelitian ini adalah hasil perbandingan antara 2 proses akuisisi data pada volatile memory. Selamat, Yusof, & Sahib (2008) menuliskan banyaknya frameworkframework forensik yang dikembangkan oleh beberapa peneliti. Adanya banyaknya framework tersebut tiap-tiap proses investigasi dapat memilih framework-framework yang ada. Penelitian ini meneliti 13 framework forensik dan diambil intisari dari ke 13 framework tersebut sehingga mendapatkan kesimpulan berupa 5 langkah dalam framework forensik yaitu preparation, collection and preservation, examination and analisys, presentation and reporting. Sedangkan pada konsentrasi network forensik sendiri dalam penelitian yang dilakukan oleh Pilli, Joshi, & Niyogi(2010) menjelaskan internet merupakan media yang paling handal dalam melakukan komunikasi. Internet memfasilitasi berbagai layanan kepada user. Dengan adanya jaringan internet menjadi

7 munculnya cyber war. Ditambah dengan adanya transaksi online memunculkan adanya cyber crime. Penelitian ini menjelaskan tentang

tantangan dalam

investigasi forensik pada jaringan. Menurut Ieong et al., (2010) jaringan peer-to-peer (P2P) berkembang sangat pesat sejak pertama kali muncul. Napster merupakan aplikasi jaringan P2P yan pertama kali muncul. Terdapat banyak data tersebar pada jaringan P2P seperti dokumen dengan data pibadi atau informasi sensitif pada jaringan Foxy(sebuah jaringan P2P yang populer di daerah Cina). Hal tersebut menyebabkan diperlukannya sebuah cara untuk melakukan investigasi pada jaringan peer-topeer. Berangkat dari penelitian yang pernah dilakukan pada bidang forensik file sharing dan berdasarkan hasil review penelitian, penelitian pada bidang file sharing forensik masih tergolong sedikit. Namun protokol file sharing merupakan protokol yang menjadi perhatian para peneliti. Penelitian yang sudah dilakukan masih terbatas pada protokol bittorrent dan analisa yang dilakukan hanya terbatas pada analisa jaringan saja. 1.7 Metodologi Penelitian metodologi yang digunakan pada penelitian ini antara lain :. 1. Studi Pustaka Studi Pustaka digunakan untuk mendalami konsep dasar file sharing serta karakteristik barang bukti digital yang dihasilkan pada file sharing. 2. Metode Pencarian Barang Bukti Digital dan tools Memahami bagaimana proses pencarian barang bukti digital pada kasus kejahatan yang berkaitan dengan file sharing serta tools-tools yang digunakan untuk kepentingan investigasi. 3. Simulasi investigasi kasus pada file sharing Simulasi digunakan untuk melakukan pengujian terhadap standar yang sudah dibuat, sehingga proses investigasi yang dibuat merupakan SOP yang paling efektif untuk melakukan investigasi pada kasus yang berkaitan dengan file

8 sharing. Metodologi forensik yang dilgunakan untuk menyelesaikan permasalahan ini adalah : ◦ preservation ◦ acquisition ◦ analisys ◦ report 4. Analisis Umum Berisi tentang analisa dari keseluruhan proses penelitian dan hasil akhir yang dicapai berupa metodologi yang paling efektif dalam melakukan investigasi forensik pada kasus yang berhubungan dengan file sharing dan rekomendasirekomendasi untuk proses investigasi 1.8 Sistematika Penulisan Sistematika penulisan pada penelitian ini adalah : BAB I PENDAHULUAN Pendahuluan, merupakan pengantar terhadap permasalahan yang akan dibahas. Di dalamnya menguraikan tentang gambaran suatu penelitian yang terdiri dari latar belakang, rumusan masalah, batasan masalah, tujuan penelitian, manfaat penelitian, metodologi penelitian, serta sistematika penulisan. BAB II KAJIAN TEORI Pada Bab ini menjelaskan teori-teori yang digunakan untuk memecahkan masalah dalam penelitian ini. Teori yang dibahas pada bagian ini merupakan teori yang berhubungan ilmu forensik dan protokol SMB. BAB III METODOLOGI PENELITIAN Bab ini membahas tentang kerangka konsep penelitian dan gambaran umum langkah penyelsaian yang akan dilakukan. Bagan proses investigasi dibuat

9 berdasarkan referensi yang didapat, untuk menyelsaikan penelitian dilakukan pembuatan rancangan simulasi untuk membuktikan bagan proses investigasi yang dikembangkan. BAB IV IMPLEMENTASI, HASIL DAN PEMBAHASAN Bab ini simulasi yang sudah dirancang pada bab sebelumnya di implementasikan pada sistem yang sebenarnya. Hasil yang didapat pada tahap simulasi dianalisa kembali dan dilakukan pembahasan terkati dengan penelitian yang dibuat. BAB V KESIMPULAN DAN SARAN Memuat kesimpulan-kesimpulan dari hasil penelitian

dan saran-saran yang

perlu diperhatikan berdasar keterbatasan yang ditemukan dan asumsi-asumsi yang dibuat selama melakukan penelitian dan juga rekomendasi yang dibuat untuk pengembangan penelitian selanjutnya.

10 BAB II KAJIAN PUSTAKA

2.1 Sharing Protokol Sharing protokol merupakan sebuah protokol jaringan yang digunakan untuk melakukan sharing file maupun printer. Terdapat berbagai teknik dalam melakukan sharing di jaringan. Setiap teknik sharing memiliki protokol sendiri untuk melakukan koneksinya. Beberapa jenis teknologi sharing dapat dilihat pada Tabel2. 1. Tabel2. 1 Teknologi file sharing No

Teknologi file sharing

OSI Layer Protokol Possition

1

BitTorrent

Application

2

File Hosting Service

Application

3

SMB

Application

HTTP

Fungsi

Contoh Aplikasi

Digunakan untuk melakukan sharing melalui jaringan, kecepatan transfer data pada torrent sangat bergantung pada jumlah peer

Kick As Torrent, Piratebay

Digunakan untuk berbagi file dengan memanfaatkan halaman web sebagai sarana berbagi. Proses transfer dilakukan dengan menggunakan metode download

4Shared, Rapidgrator, Rapidshare, Mediafire, dan lainlain.

Digunakan untuk Samba melakukan pembagian file antar komputer berbasis Windows. Pada sistem operasi Linux

11 No

Teknologi file sharing

OSI Layer Protokol Possition

Fungsi

Contoh Aplikasi

diperlukan aplikasi tambahan untuk membangkitkan servis. 2.2 SMB (Server Message Block) Sebuah protokol jaringan yang juga dikenal dengan nama CIFS (Common Internet File System) yang berjalan pada application layer seperti halnya protokol HTTP, FTP, SMTP, dan lain-lain seperti pada Gambar2. 2. SMB merupakan protokol komunikasi jaringan yg digunakan oleh Windows, OS/2 untuk menyediakan fasilitas sharing file dan juga printer (Saptono, 2009). SMB pada umumnya para pengguna komputer untuk saling berbagi file. Protokol SMB merupakan protokol bawaan pada sistem operasi Windows(Morgan, 2003). SMB banyak digunakan untuk melakukan sharing file terutama di perkantoran. Cara kerja SMB dapat dilihat pada Gambar2. 1. Versi SMB yang digunakan saat ini merupakan SMB versi 2 atau lebih dikenal dengan sebutan SMB2.

Gambar2. 1 Cara Kerja Protocol SMB (sumber : Morgan, 2003)

12

Gambar2. 2 Posisi Protocol SMB Pada Layer OSI (sumber : Morgan, 2003) SMB melakukan operasi dengan membangun koneksi menggunakan lower level protocol yaitu protokol netbios. SMB melakukan negosiasi untuk melakukan koneksi. Setelah koneksi terbangun server SMB akan memberikan TID (Tree ID) kepada klien untuk melakukan aktifitas sharing. Klien akan menggabungkan UID dan TID pada pesan berikutnya yang dikirimkan ke server untuk mendapatkan akses yang leluasa, tanpa harus melakukan pembuatan koneksi. SMB memiliki command yang digunakan untuk melakukan aktifitasnya. Terdapat 41 buah command yang digunakan oleh SMB2(MSDN, 2013). Pada header packet SMB command tersebut membutuhkan tempat sebesar 1 byte. Command – command tersebut terbagi dalam 8 kategori. Command – command pada protokol SMB dapat dilihat pada bagian Lampiran 5.

13 2.3 Samba Sharing Samba merupakan sebuah aplikasi berbasis Unix maupun Unix Like System yang digunakan untuk melakukan sharing. Samba menjadi solusi untuk menjembatani komunikasi antara komputer Windows dan Linux (Chen, Zeng, & Mohapatra, 2011). Samba digunakan oleh keluarga Unix maupun Unix Like System untuk membangkitkan servis protocol SMB, agar dapat berkomunikasi dengan sistem lain.

Gambar2. 3 Samba Sharing (sumber : www.faq.org)

2.4 sniffing sniffing dalam pengertian berarti mengendus, sedangkan dalam ilmu keamanan jaringan sniffing merupakan aktifitas menangkap paket-paket data yang lewat dalam sebuah jaringan. sniffing sendiri biasanya digunakan untuk menangkap informasi-informasi vital dari sebuah jaringan seperti password, Email text, dan File transfer (Hamid & Yudha, 2013).

sniffing biasanya

14 menyerang protokol-protokol seperti Telnet, HTTP, POP, IMAP, SMB, FTP, dan lain-lain (ECCouncil, 2008). Informasi yang didapat dari beberapa protokol diatas dapat dilihat pada Tabel2. 2. Hasil dari proses sniffing akan dianalisis untuk mendapatkan informasi-informasi penting yang digunakan untuk melakukan penyerangan.

Tabel2. 2. Informasi Yang Diambil Dari Proses sniffing (ECCouncil, 2008) No.

Protokol

Informasi Yang Bisa Didapat

1

TELNET

Key Stroke

2

HTTP

Data sent in Clear text

3

SMTP

Password and Data sent in clear text

4

NNTP

Password and Data sent in clear text

5

POP

Password and Data sent in clear text

6

FTP

Password and Data sent in clear text

7

IMAP

Password and Data sent in clear text

8

SMB

Data send

Aktifitas sniffing yang dilakukan pada jaringan dengan media penghubung switch atau sejenisnya (Susanto, 2007). Switch sendiri merupakan sebuah perangkat penghubung(Concentrator) yang memiliki chip untuk menyimpan tabel MAC Address. Switch tidak lagi membroadcast paket ke seluruh jaringan namun paket data yang dikirim hanya melalui port asal dan port tujuan saja. Sehingga sangat sulit untuk melakukan sniffing pada switch. Diperlukan metode khusus untu melakukan sniffing pada switch. sniffing pada jaringan dengan perangkat switch kita perlu melakukan proses membanjiri media penyimpanan pada switch dengan MAC address sehingga switch tersebut tidak ada bedanya dengan hub. Membanjiri media penyimpanan dapat menggunakan ARP Poisoning ataupun MAC Flooding.

15 sniffing merupakan salah satu tahap dalam proses akuisisi data. Hasil sniffing akan di analisa untuk dijadikan sebagai rekomendasi pada proses peradilan. 2.5 Forensika Digital Digital forensik merupakan aplikasi ilmu pengetahuan dan teknologi komputer untuk melakukan pemeriksaan dan analisa terhadap barang bukti elektronik dan barang bukti digital dalam melihat keterkaitannya dengan kejahatan (Al-Azhar, 2012). Menurut ECCouncil(2006) digital forensik merupakan aplikasi ilmu komputer untuk pencarian kepastian hukum bagi perbuatan kriminal dan sejenisnya. Pada ilmu digital forensik terdapat prinsip-prinsip dasar. Prinsip dasart forensika digital menurut ACPO & 7save(2008) antara lain : 1. Sebuah lembaga hukum dan atau petugasnya dilarang mengubah data digital yang tersimpan dalam media penyimpanan yang selanjutnya akan dibawa ke pengadilan. 2. Seseorang yang merasa perlu mengakses data digital yang tersimpan dalam media penyimpanan barang bukti, maka orang tersebut harus jelas kompetensi, relevansi, dan implikasi dari tindakan yang dilakukan terhadap barang bukti. 3.

Terdapat catatan teknis dan praktis mmengenai langkah-langkah yang dilakukan terhadap media penyimpanan selama proses pemeriksaan dan analisa berlangsung. Jika terdapat pihak ketiga yang melakukan investigasi terhadap media penyimpanan tersebut akan mendapatkan hasil yang sama.

4.

Person in charge dari investigasi memiliki seluruh tanggung jawab dari keseluruhan proses pemeriksaan dan juga analisis dan dapat memastikan bahwa keseluruhan proses berlangsung sesuai dengan hukum yang berlaku.

2.6 Barang Bukti Digital Barang bukti merupakan bagian yang sangant penting dalam sebuah kasus kejahatan. Barang bukti ini digunakan oleh tim investigasi dan analis forensik

16 dapat mengungkap kasus dengan kronologis yang lengkap. Menurut AlAzhar(2012) barang bukti diklasifikasikan menjadi 2 bagian : 1. Barang Bukti Elektronik Merupakan barang bukti yang bersifat fisik dan dapat dikenali secara visual sehingga tim investigasi dan tim analisa dapat memahami dan mengenali masing barang bukti tersebut. Jenis barang bukti tersebut antara lain : ▪ Komputer, Laptop ▪ Handphone ▪ Flashdisk ▪ Harddisk ▪ Router, Switch ▪ Kamera, dan lain-lain 2. Barang Bukti Digital Barang bukti digital merupakan barang bukti yang di ekstrak atapun direcovery dari barang bukti elektronik. Jenis barang bukti ini yang harus dicari oleh analis forensik yang kemudian akan diteliti keterkaitan barang bukti tersebut dengan kasus kejahatan. Contoh-contoh barang bukti digital antara lain : ▪ Logical file ▪ Deleted file ▪ Lost file ▪ File slack ▪ Log File ▪ Encrypted file ▪ Steganography file ▪ office File ▪ Audio File ▪ Video file

17 ▪ image file ▪ Email ▪ User ID dan Password ▪ Short Message Service (SMS) ▪ Multimedia Message Service (MMS) ▪ Call logs 2.7 Harddisk Forensic Harddisk merupakan media penyimpanan utama dalam sebuah komputer. Harddisk menyimpan sistem operasi, file aplikasi, data, dan lain-lain. Harddisk secara fisik merupakan kumpulan dari beberapa platter seperti terlihat pada Gambar2. 4.

Gambar2. 4 Struktur Harddisk (sumber

: www.engineersgarage.com)

Platter merupakan piringan magnetik yang terbuat dari logam, kaca, dan keramik (ECCouncil, 2006). Platter berputar dengan daya dari spindle (alat putar piringan) diikuti dengan gerakan head untuk proses read-write. Secara fisik

18 platter terdiri atas lingkaran-lingkaran spiral dimulai dari luar hingga ke bagian dalam yang disebut dengan track. Track dihitung mulai dari 0 disebut juga dengan track0. Track terbagi ke dalam sektor-sektor sebagai tempat penyimpanan data. Sector dalam track memiliki besar yang berbeda-beda mulai dari 512, 1024, 2048, 4096 hingga 66 kilobytes. Namun pada umumnya harddisk yang ada memiliki ukuran sektor 512 bytes. Data yang tersimpan dalam sector yang akan dilakukan analisa dan uji forensik untuk mendapatkan informasi-informasi terkait kejahatan.

Gambar2. 5 Struktur Platter (sumber

: www.sqa.org.uk)

Uji forensik atas media penyimpanan dapat menggunakan tools-tools uji forensik baik tools pada sistem operasi Linux maupun Windows. Tools – tools uji forensik tersebut antara lain : 1. Access Data FTK (Forensic Tool Kit), FTK merupakan sebuah platform untk melakukan investigasi forensik. FTK merupakan tools yang cukup cepat, stabil, dan mudah digunakan (AccessData, 2013). Dalam penggunaanya FTK menyediakan versi berbayar dan versi gratis. Versi gratis dari hanya dapat menangani maksimal 5000 file saja . 2. Encase Forensic, Encase merupakan sebuah standar solusi invetigasi forensik

19 (GuidanceSoftware, 2013). Encase memiliki kemampuan untuk menganalisa media penyimpanan berdasarkan sektor – sektor yang dimiliki. Dengan menggunakan encase kita dapat melihat proses penyimpanan file pada sebuah media penyimpanan, memperlihatkan model logic partisi setelah sebuah dilakukan format, dan lain-lan. Dalam penggunaannya encase menggunakan lisensi berbayar. 3. Sleuthkit atau sering disingkat dengan TSK (The Sleuth Kit) merupakan sebuah aplikasi forensik yang bersifat open source. TSK berisi kumpulan library command line untuk melakukan investigasi disk image (Carrier, 2013a). 4. Autopsy merupakan sebuah aplikasi digital forensik dengan menggunakan GUI (Graphical User Interface). Autopsy merupakan tampilan yang disediakan bagi TSK (Carrier, 2013b). Hal ini memudahkan investigator untuk melakukan analisa file system. Dalam penggunaannya Autopsy bersifat free open source. Aplikasi Autopsy dapat dilihat pada Gambar2. 6.

Gambar2. 6 Autopsy

20

5. DFF (Digital Forensic Framework), DFF merupakan sebuah aplikasi investigasi forensik yang bersifat free open source (ArxSys, 2013). DFF dibangun dengan menggunakan bahasa pemrograman python, Qt Framework, dan C++. DFF dapat digunakan oleh seorang profesional maupun orang awam dengan dunia digital forensic. Aplikasi DFF dapat dilihat pada Gambar2. 7.

Gambar2. 7 Digital Forensic Framework 6. PTK adalah sebuah framework yang dibangun untuk TSK (DFlabs, 2011). Fungsi PTK hampir sama dengan fungsi – fungsi pada autopsy. Perbedaan PTK dan autopsy terletak pada versi. PTK memiliki 2 versi yaitu versi free dan versi profesional. 2.7.1. Files Recovery Files recovery merupakan proses pengangkatan kembali file-file yang di cari dari barang bukti elektronik. Files recovery memegang peranan penting dalam forensika digital dikarenakan hal ini merupakan dasar dari permintaan invetigasi pada analis forensik (Al-Azhar, 2012). Files recovery sendiri dibagi

21 menjadi 4 bagian : 1. Logical files recovery, Logical files adalah file-file yang masih ada dan tercatat pada file system dari suatu partisi. Logical files recovery merupakan proses pencarian terhadap file yang masih ada dan tercatat pada file system. 2. Deleted files recovery, Deleted files adalah file-file yang sudah terhapus namun masih tercatat pada file system. Deleted files recovery merupakan proses pengangkatan kembali file yang sudah dihapus. Pada kondisi deleted file belum tertimpa dimungkinkan untuk melakukan proses recovery secara utuh terhadap deleted file. File yang terhapus masih tercatat pada file system sehingga proses recovey deleted file tidak begitu kompleks. 3. Lost files recovery, Lost files merupakan file yang sudah tidak tercatat dalam file system. Hal ini terjadi jika file system dilakukan reformat sehingga file system lama terhapus hal ini menyebabkan catatan file yang berada pada file system lama terhapus. Proses recovery berdasarkan signature dari header maupun footer merupakan proses lost files recovery. 4. Low level recovery, Merupakan sebuah teknik untuk mencari sisa-sisa isi dari deleted files dan lost files yang sudah tertimpa. 2.8 Forensika Jaringan Forensika jaringan merupakan proses mengidentifikasi aktifitas kriminal pada jaringan dan siapa orang didamlamnya. Forensika jaringan juga dapat diartikan sebagai proses sniffing, recording, acquisition, dan analisis pada network traffic dan juga event log untuk mengidentifikasi kejahatan jaringan (ECCouncil, 2012). Menurut Pilli et al.(2010) forensika jaringan merupakan proses analisa traffic data yang melalui firewall atau IDS (Intrusion Detection System) atau Router. Barang bukti forensika jaringan data dapat diperoleh dari berbagai perangkat jaringan. Data dapat diperoleh dari (Volonino & Anzaldua, 2008) : a.

Host

Firewall merupakan sebuah aplikasi yang dipasang pada umumnya di komputer

22 gateway. Firewall bekerja dengan membuat aturan-aturan yang digunakan pada sebuah jaringan. Infomasi yang dapat diambil dari firewall antara lain adalah aturan-autran yang diterapkan oleh firewall dan log koneksi. b. Router Router merupakan perangkat jaringan komputer yang digunakan untuk memberikan informasi jalur kepada paket data jalur mana yang harus dilaui. Perangkat router pada umumnya memiliki prosessor dan penyimpanan. Data yang dapat diambil dari perangkat router antara lain informasi routing table, informasi log, informasi jaringan yang terkoneksi ke router, dan lain-lain. c.

Firewall

Firewall merupakan sebuah aplikasi yang dipasang pada umumnya di komputer gateway. Firewall bekerja dengan membuat aturan-aturan yang digunakan pada sebuah jaringan. Infomasi yang dapat diambil dari firewall antara lain adalah aturan-autran yang diterapkan oleh firewall dan log koneksi. d. Switch Switch merupakan perangkat jaringan yang digunakan untuk menghubungkan host-host yang ada pada jaringan. Switch menyipan daftar port beserta MAC address dari masing-masing host. Daftar ini digunakan oleh switch sebagai panduan dalam mengirimkan paket data. Informasi yang didapatkan dari perangkat ini adalah daftar MAC address yang pernah terkoneksi dengan switch tersebut. e.

IDS

IDS atau Intrusion Detection System merupakan aplikasi yang dipasang pada komputer server yang digunakan untuk memberikan informasi kepada administrator tentang serangan yang terjadi pada komputer server. Infromasi yang dapat diambil dari aplikasi IDS antara lain log koneksi yang masuk ke server, log serangan yang terjadi pada server. f.

IPS

IPS atau Intrusion Prevention System merupakan aplikasi yang digunakan untuk mencegah terjadinya serangan terhadap suatu server. IPS akan mengumpulkan

23 mengenai aktifitas yang terjadi pada server dan melakukan blok terhadap aktifitas tersebut jika aktifitas tersebut dianggap sebagai aktifitas serangan. Informasi yang didapatkan dari IPS antaralain adalah log aktifitas pada server, log aktifitas yang diblok oleh IPS, dan lain-lain. g.

Wireless Access Point

Merupakan perangkat yang berfungsi untuk menyebarkan sinyal pada jaringan wireless. Informasi yang bisa didapatkan dari perangkat ini antara lain adalah log DHCP (Dynamic Host Control Protokol), MAC address, username access point, password access point, dan informasi gateway. Barang bukti digital yang diperoleh dari perangkat-perangkat diatas di analisa dengan menggunakan tools-tools jaringan maupun analisis jaringan, tools-tools tersebut antara lain : a.

Wireshark

Wireshark merupakan aplikasi analisa protokol yang dapat melakukan analisa jaringan hingga hal yang paling kecil (Wireshark, 2013). Wireshark merupakan aplikasi berbasis GUI yang cukup mudah dalam penggunaannya. Aplikasi ini juga dapat digunakan sebagai tools untuk melakukan aktifitas sniffing. Aplikasi Wireshark dapat dilihat pada Gambar2. 8.

Gambar2. 8 Wireshark

24

b. Xplico Xplico merupakan Network Forensic Analisys Tool (NFAT) yang digunakan untuk mengekstrak informasi dari hasil capture network traffic (Xplico, 2013). Xplico berbeda dengan tools protokol analyzer. Xplico bersifa free dengan lisensi GPL (General Public License). Penggunaan tools Xplico cukup mudah karena tools ini berbasi web sehingga user tidak perlu mempelajari dengan mendalam cara penggunaan tools ini. Selain untuk melakukan analisa xplico juga dapat digunakan untuk melakukan capture jaringan. c.

Tcpdump

Tcpdump merupakan aplikasi yang digunakan untuk melakukan analisa protokol berbasis command line (tcpdump, 2010). tcpdump memiliki fiungsi yang hampir mirip dengan wireshark. Tcpdump dapat melakukan penangkapat paket dari jaringan dan menyimpannya dalam format libpcap. Format libpcap ini dapat dibaca dengan menggunakan tools-tools lain. 2.9 File Signature File signature atau disebut juga magic number merupakan kunci dari sebuah file (Kessler, 2013). File signature adalah beberapa byte pertama (header) atau terakhir (footer) dari suatu format file. Setiap file yang tersimpan dalam media penyimpanan memiliki byte-byte file signature sendiri yang unik dan selalu konsisten, tidak akan berubah walaupun extensi file diubah, file di rename, dll. File signature pada umumnya memiliki panjang 4 bit. File signature sendiri ditulis dalam bilangan hexadecimal. File .jpg memiliki file signature dengan panjang 4 byte pertama secara umum yaitu 0xff 0xd8 0xff seperti terlihat pada Gambar2. 9. File signature ini merupakan ciri khas dari sebuah file. Melihat file signature dari sebuah dokumen diperlukan tools untuk melihat bentuk deretan karakterk hexa dari file tersebut.

25 File Signature

Gambar2. 9 Contoh File Signature

2.10 Hashing Hashing atau sering disebut fungsi hash merupakan sebuah cara untuk mengubah text ataupun pesan ke dalam sederetan karakter acak yang disebut message digest (Pucella, 2006). Hash dapat diartikan sebagai cara untuk melakukan kompresi (Rivest, 1995). Fungsi hash merupakan salah satu bentuk kriptografi dan digolongkan dalam kategori tanpa key (unkeyed cryptosystem). Fungsi hash menggunakan algoritma untuk menghasilkan deretan text. Deretan text yang dihasilkan oleh fungsi hash memiliki panjang yang sama. Cara kerja fungsi hash dapat dilihat pada Gambar2. 10. Menurut Kaufman, et. al. (2002) terdapat 3 kegunaan dari fungsi hash yaitu : 1. Menyimpan password 2. Message integrity 3. Message fingerprint

26

Gambar2. 10 Cara Kerja Fungsi Hash (sumber : www.cnx.org)

Hash sendiri memiliki beberapa algoritma. Algoritma tersebut akan menghasilkan nilai hash yang memiliki panjang berbeda-beda. Pada umumnya fungsi hash ini digunakan pada bidang kriptografi. Pada ilmu forensik fungsi hash digunakan untuk melakukan uji validitas dari suatu file maupun image file. Adapun macammacam fungsi hash yang dapat digunakan antara lain : 1. MD5 Merupakan fungsi hash yang paling umum digunakan. Merupakan pengembangan dari fungsi MD4. Fungsi MD5 memiliki panjang memiliki ukuran panjang 2 64 bit yang di generate menjadi pesan yang panjangnya 128 bit (Dunkelman, 2012). MD5 bekerja dengen membaca setiap pesan yang ada dan menghitung total bit yang terdapat pada pesan. Setelah mengitung jumlah bit total maka MD5 akan melakukan generate message digest dengan langkah : a. Penambahan bit pengganjal (padding bit) b. Penambahan nilai panjang pesan semula c. Inisialisasi buffer d. Pengolahan pesan dalam blok 512 bit

27 2. SHA-1 SHA (Secure Hashing Algorithm) merupakan sebuah fungsi hash yang dibuat oleh United State National Security Agency. SHA-1 memiliki panjang pesan 264 – 1 bit, dan menghasilkan output sepanjang 160 bit (Pucella, 2006). SHA-1 akan menghasilkan pesan dengan jumlah 40 karakter. Algoritma SHA-1 memiliki beberapa kelebihan antara lain : a. Validate a password b. Challenge handshake c. Anti-tamper d. Digital signature 2.11 Kejahatan Pada SMB SMB merupakan protokol yang cukup rentan terhadap perilaku kejahatan. Tindak kejahata yang dapat dilakukan melaui protokol SMB antara lain 1.

Ilegal file sharing

Merupakan salah satu tindak kejahatan yang dilakukan dengan melakukan sharing file yang bersifat ilegal seperti musik bajakan, software bajakan, gambar dan video. Dengan melakukan sharing data-data ilegal dapat dengan mudah tersebar ke seluruh komputer yang berada dalam 1 jaringan. 2.

Penyebaran virus

Penyebaran virus terjadi akibat fasilitas sharing dijalankan sehingga virus dapat dengan mudah menduplikasikan diri ke seluruh storage yang ada pada jaringan. 3.

Exploit

SMB merupakan kelemahan yang dimiliki komputer Windows. Dari berbagai versi Windows yang ada terdapat exploit yang tersedia untuk melakukan injeksi kedalam sistem Windows. Dengan menggunakan aplikasi exploit seperti metasploit komputer berbasis windows dapat diambil alih dalam satu hari (zero day exploit).

28 BAB III METODOLOGI

Permasalahan pengembangan proses investigasi untuk analisis forensika digital pada protokol SMB digunakan beberapa langkah

penyelsaian

permasalahan tersebut. Kerangka konsep penelitian dapat dilihat pada Gambar3. 1 .

Gambar3. 1 Kerangka Konsep Penelitian

29

3.1 Studi Pustaka Studi pustaka merupakan langkah awal pada proses penelitian yang dilakukan untuk mendalami konsep dasar file sharing dan karakteristik barang bukti digital yang dihasilkan dari proses file sharing. Garis besar proses studi pustaka dapat dilihat pada Gambar3. 2.

Gambar3. 2 Alur Studi Pustaka

Studi pustaka dilakukan dengan membaca beberapa penelitian dan buku yang berkaitan dengan ilmu forensika digital dan juga raferensi mengenai konsep file sharing pada protokol SMB. Selain itu, dikumpulkan juga referensi mengenai forensika jaringan dan forensika media penyimpanan. 3.2 Metode Pencarian Barang Bukti Digital Konsep file sharing barang bukti digital yang di hasilkan dari kasus kejahatan tentunya berbeda dengan kejahatan komputer lainnya. Berdasarkan analisa yang

30 dilakukan dan referensi yang dibaca, bukti digital yang dapat diambil pada kejahantan dengan memenfaatkan file sharing adalah file capture network traffic, log file, dan juga harddisk ataupun media penyimpanan perangkat yang terlibat seperti terlihat pada Gambar3. 3.

Gambar3. 3 Alur Metode Pencarian Barang Bukti Digital Pada file sharing 3.2.1 Capture network traffic Hasil capture network traffic merupakan elemen penting dalam proses forensika jaringan. File capture network traffic diambil dengan melakukan proses sniffing pada jaringan yang diduga terjadi kasus kejahatan. File hasil capture network traffic berekstensi .pcap, yang nantinya akan dianalisa dengan menggunakan tools analisa jaringan. Adapun tools yang digunakakan untuk melakukan analisa hasil capture network traffic adalah Wireshark. Wireshark merupakan tools yang digunakan untuk melakukan sniffing sekaligus melakukan analisa traffic yang berjalan pada sebuah jaringan (Wireshark, 2013). Wireshark sendiri menjadi salah satu tools yang digunakan untuk melakukan investigasi forensik pada jaringan. Wireshark digunakan untuk menangkap paket-paket yang

31 ada dalam jaringan untuk dilakukan analisa. 3.2.2 Media Penyimpanan Media penyimpanan merupakan tempan para pengguna komputer menyimpan data. Kasus-kasus kejahatan yang melibatkan perangkat komputer, media penyimpanan merupakan hal utama yang harus dilakukan investigasi. Kasus kejahatan dengan memanfaatkan file sharing, media penyimpanan yang akan dilakukan investigasi adalah harddisk dari komputer server dan media penyimpanan pada klien. Kedua media penyimpanan akan dilakukan imaging agar media asli tidak terjadi kontaminasi data pada saat proses investigasi. imaging dilakukan dengan bantuan aplikasi dc3dd. File hasil proses imaging akan dianalisa dengan beberapa tool forensic sepert FTK, Autopsy, dan lain-lain. 3.3 Simulasi Investigasi Pada Kasus Protokol SMB Simulasi bertujuan untuk melakukan pembuktian terhadap hipotesa yang dibuat. Simulasi dilakukan karena tidak memungkinkan untuk melakukan investigasi pada kasus sebenarnya. Simulasi dilakukan dengan melakukan penyusunan skenario seperti terlihat pada Gambar3. 4. Adapun rincian dari proses simulasi tersebut antara lain : 1. Simulasi → Tahap pembuatan simulasi untuk mendukung proses pengambilan data agar peneltian yang dirancang mendapatkan hasil yang sesuai dengan rumusan yang sudah dibuat. 2. Pembuatan skenario → Skenario dibuat agar simulasi dapat berjalan sesuai yang diharapkan dan dapat memenuhi target yang diinginkan. Skenario dibuat berdasarkan alur urutan waktu. 3. Penyusunan Perangkat simulasi → Untuk menjalankan proses simulasi diperlukan perangkat keras. Pada tahap ini perangkat keras yang sudah disiapkan di susun sesuai dengan rancangan topologi jaringan yang sudah dibuat.

32 4. Simulasi sharing file → Pada tahap ini proses sharing file dijalankan dengan melakukan transfer data baik dari maupun menuju server sekaligus melakukan pengujian terhada perancangan perangkat simulasi sebelumnya. Simulasi sharing file dibuat seperti pada jaringan dengan sharing file pada umumnya. Pada tahap ini juga di uji cobakan skenario yang sudah dibuat. 5. Simulasi investigasi → Simulasi investigasi merupakan tahap untuk mensimulasikan proses investigasi seperti layaknya pada kasus sesungguhnya. Simulasi investigasi dilakukan berdasarkan metodologi umum dapal melakukan investigasi forensik pada sebuah kejahatan. 6. Persiapan → Persiapan merupakan tahapan awal dari proses investigasi. Pada tahap ini dipersiapkan segala kebutuhan untuk melakukan proses investigasi. Kebutuhan peralatan baik perangkat keras maupun perangkat lunak dipersiapkan untuk mendukung kelancaran proses investigasi. 7. Olah TKP dan Pengamanan barang bukti → Pada tahap ini di dilakukan proses olah TKP dan pengamanan terhadap barang bukti dilakukan agar barang bukti yang didapat terhindar dari kontaminasi dari luar. Barang bukti yang didapat diambil gambarnya dengan kamera foto. 8. Akuisisi barang bukti → Akuisisi barang bukti merupakan tahap dimana barang bukti digital diambil dari barang bukti elektronik. Akuisisi pada penelitian yang dibuat terbagi menjadi 2 bagian yaitu, akuisisi traffic jaringan dan akuisisi media penyimapanan komputer. Hasil dari proses akuisisi ini akan disimpan dalam bentuk file. 9. Akuisisi jaringan → Tahap ini merupakan proses akuisisi barang bukti berupa network traffic. Umumnya file hasil akuisisi disimpan dalam format file pcap. Akuisisi traffic jaringan dilakukan dengan cara melakukan sniffing pada jaringan. 10. Akuisisi media penyimpanan → Tahap ini merupakan proses akuisisi pada perangkat media penyimpanan seperti harddisk ataupun USB thumbdrive. File hasil akuisisi media penyimpanan ini akan disimpan dalam format image file.

33 11. imaging → imaging merupakan cara yang dilakukan untuk melakukan akuisisi media penyimpanan. imaging merupakan proses yang cukup memakan waktu lama. imaging dilakukan dengan metode bit by bit copy sehingga hasil imaging akan sama persis dengan barang bukti aslinya. 12. Akuisisi log file → log file merupakan file yang berisi aktifitas ayng terjadi pada sebuah komputer. Log file tersimpan pada direktori tertentu pada sebuah sistem operasi. Pada tahap ini log file di ambil dari hasil image pada proses sebelumnya. 13. Analisis → Analisis merupakan tahap untuk mendapatkan berbagai informasi yang dibutuhkan untuk memecahkan kasus. Analisis dilakukan dengan menggunakan bantuan tools – tools forensik. 14. Analisis pcap file → Analisis pcap file merupakan proses analisis network traffic yang sudah didapat pada proses akuisisi. Jaringan dianalisa berdasarkan paket data yang lewat pada sistem jaringan. 15. Analisis log file → analisa log file berfungsi untuk mengetahui aktifitas yang terjadi pada sebuah komputer. Analisis log dilakukan agar investigator mengetahui kejanggalan yang terjadi pada sistem. 16. Analisis dd file → dd merupakan file hasil dari proses imaging. Analisa file ini berfungsi untuk mengetahui file-file apa saja yang tersimpan dalam media penyimpanan yang di akuisisi, file – file yang sudah terhapus, ataupun file yang sudah termodifikasi. 17. Laporan hasil investigasi → laporan hasil investigasi merupakan bentuk tertulis dari keseluruhan proses analisis yang dilakukan dan juga berisi temuan-temuan dari proses analisis.

34

Gambar3. 4 Alur Simulasi Kasus

3.3.1 Skenario Skenario yang dirancang untuk penelitian ini adalah sebagai berikut : •

Klien bergabung dengan jaringan yang memiliki fasilitas file sharing dengan protokol SMB.

35

•

Klien tersebut melakukan koneksi ke server dan melihat isi data-data yang di bagikan oleh server.

•

Klien tersebut melakukan transfer data dari server ke komputer klien dan juga sebaliknya. Data-data yang di transfer ke server merupakan data-data yang dilarang untuk disebarkan, dan merupakan data penting dari sebuah institusi.

•

Data penting pada komputer server diambil dari server dan dihapus.

•

Data yang ada pada media penyimpanan pelaku dihapus.

3.3.2 Perangkat Simulasi Untuk melakukan uji simulasi dibutuhkan perangkat komputer dan jaringan. Perangkat-perangkat yang dibutuhkan untuk melakukan uji simulasi antara lain : 1. Komputer Server Komputer server merupakan seperangkat komputer yang bertindak sebagai server file sharing. Komputer server dibangun dengan sistem operasi linux dan sudah terpasang aplikasi Samba untuk menjalankan servis protokol SMB. Spesifikasi perangkan komputer yang digunakan untuk server antara lain sebagai berikut : a. RAM 2 GB b. Harddisk 80 GB 2. Komputer Klien Komputer klien merupakan komputer yang melakukan akses fasilitas file sharing yang disediakan oleh server. Pada simulasi ini dijalankan 2 buah komputer klien berbasis sistem operasi Windows dan Linux. Pada komputer klien, media penyimpanan klien disimulasikan dengan menggunakan thumb drive 16 GB. 3. Switch Switch merupakan perangkan penghubung antara komputer klien dan komputer server agar kedua perangkat tersebut dapat saling bertukar data.

36 3.3.2.1 Perancangan Perangkat Simulasi Kebutuhan perangkat untuk menjalankan proses simulasi adalah sebagai berikut : 1. Komputer Server

:

1

2. Komputer Klien

:

3

3. Wireless Router

:

1

Perangkat simulasi server, digunakan sistem operasi ubuntu server dengan menjalankan servis Samba untuk menyediakan fasilitas file sharing. Seluruh perangkat simulasi dihubungkan dalam sebuah jaringan. 3.3.2.2 Perancangan Jaringan Simulasi di jalankan pada sebuah jaringan workstation dengan sebuah server Samba. Jaringan yang dirancang menggunakan alokasi IP kelas A 10.0.100.0/24, dengan range ip yang digunakan untuk DHCP 10.0.100.2 – 10.0.100.25. Desain jaringan pada simulasi yang dilakukan dapat dilihat pada . IP address 10.0.100.11 digunakan untuk Samba server.

Gambar3. 5 Desain Jaringan Simulasi

37 3.3.3 Metodologi Forensik Metodologi

forensik

merupakan

kumpulan

langkah-langkah

untuk

melakukan investigasi forensik pada sebuah kasus kejahatan. Pada kasus kejahatan dengan memanfaatkan fasilitas file sharing SMB secara garis besar metodologi yang digunakan merupakan metodologi umum antara lain persiapann, akuisisi barang bukti digital, analisa barang bukti, dan Pembuatan laporan hasil investigasi (Al-Azhar, 2012). 3.3.3.1 Persiapan Simulasi yang dilakukan pertama kali adalah langkah persiapan. Langkah persiapan yang dilakukan adalah langkah pengamanan barang barang bukti. Barang bukti yang berbentuk media penyimpanan diamankan dengan melepas kabel-kabel yang tekoneksi ke media penyimanan. 3.3.3.2 Akuisisi Barang Bukti Digital Akuisisi barang bukti digital bertujuan untuk mengambil barang bukti digital dari perangkat-perangkat yang terlibat dalam kasus kejahatan. Pada proses akuisisi ini juga dilakukan pengujian integritas dari barang bukti digital. Pengujian integritas dilakukan dengan teknik hashing Terdapat tiga proses akuisisi yang dilakukan pada simulasi kasus yang dilakukan. 1. sniffing Active sniffing dilakukan untuk mendapatkan capture network traffic pada tempat kejadian. Biasanya penyedia jasa sudah melakukan penyimpanan file capture network traffic ini. File capture network traffic ini berbentuk file .pcap. Pada simulasi ini file .pcap didapat dengan malakukan sniffing pada jaringan dengan aplikasi ettercap dan wireshark. Hasil capture network traffic disimpan dalam bentuk file .pcap

38 2.

Imaging Harddisk Server

Imaging merupakan proses duplikasi bit by bit media penyimpanan. Imaging menggunakan teknik bit steam copy sehingga antara media sumber dan hasilnya sama persis. Pada simulasi yang dilakukan barang bukti digital yang akan dilakukan imaging adalah harddisk dari server file sharing. 3.3.3.3 Analisis Barang Bukti Digital Analisa barang bukti digital merupakan tahap pencarian mengenai datadata yang diduga menjadi barang bukti tindak kejahatan. Analisa dilakukan dengan beberapa tools-tools investigasi forensik. File capture network traffic digunakan aplikasi wireshark, tcpflow, xxd, dan xplico untuk melakukan analisis. File .pcap akan dianalisa dengan menggunakan wireshark dan xplico, sedangkan aplikasi tcpflow dan xxd digunakan untuk mengembalikan data jika diperlukan. File image hasil kloning di analisa dengan beberapa aplikasi . Autopsy dan dff digunakan untuk melakukan analisa terhadap file hasil imaging. File yang dianalisa dalam bentuk ekstensi .dd. Analisa digunakan untuk mengetahui bahwa barang bukti digital pernah ataupun masih disimpan dalam media penyimpanan. Jika fiile telah dihapus maka file akan dicoba dikembalikan dengan aplikasi foremost dan photorec. 3.3.3.4 Laporan Hasil Investigasi Setelah barang bukti digital didapatkan dari proses analisis, data mengenai barang bukti digital tersebut dimasukkan ke dalam laporan hasil investigasi. Sebagaimana berikut : 1. Judul Berisi judul kasus yang dipersiksa dilengkapi juga dengan nomor pemeriksaan di laboratorium.

39 2. Pendahuluan Berisi nama-nama tim analis forensik dan juga tanggal dan waktu pemeriksaan barang bukti. 3. Barang Bukti Berisi mengenai detail barang bukti yang diperiksa dan dianalisis dan juda data spesifikasi barang bukti yang akan di analisa. 4. Tujuan Pemeriksaan Berisi lembaga yang mengirimkan barang bukti dan juga surat tertulis yang berisi maksud permintaan pemeriksaan. 5. Prosedur Pemeriksaan Berisi tahapan-tahapan yang dilalui selama proses pemeriksaan dan analisa terhadap barang bukti digital. 6. Hasil Pemeriksaan Berisi data-data yang dihasilkan dari proses pemeriksaan dan analisa seperti data hasil recovery. Data yang ditampilkan harus disertai detail dari data tersebut. 7. Kesimpulan Berisi tentang ringkasan dari seluruh proses yang dilakukan selama pemeriksaan dan analisa barang bukti digital. 8. Penutup Berisi bahwa selama proses pemeriksaan dan analisa dilakukan dengan sebenarnya dan tidak ada rekayasa. 3.4 Analisis Hasil yang sudah di dapat dari proses-proses diatas di analisa untuk mendapatkan intisari dari penelitian yang dibuat, sehingga dapat dibangun sebuah proses investigasi untuk melakukan investigasi pada protokol SMB.

40 3.4.1.

Karakteristik objek digital pada protokol SMB Barang bukti digital yang dihasilkan pada protokol Samba memiliki

karakteritik tersendiri. Karakterisik onjek digital tersebut membuat protokol SMB berbeda dengan protokol – protokol lainnya. a. Protokol SMB akan memberikan gambaran proses yang terjadi pada objek network traffic, sehingga investigator dapat dengan mudah mengetahui kejadian yang terjadi. Network traffic koneksi protokol SMB menjalankan commandcommand pada saat terdapat perangkat yang saling terkoneksi, sehingga dapat dengan mudah untk melakukan analisa kejadian yang terjadi pada protokol SMB. b. Terdapat 2 jenis log file yang terbetuk pada server Samba yaitu, log status aplikasi dan log masing-masing host yang terhubung ke server. 3.4.2.

Analisis Barang bukti digital pada protokol SMB Barang bukti yang sudah didapat dianalisa untuk mendapatkan temuan-

temuan yang menyangkut kasus. Analisa dilakukan pada barang bukti berupa network traffic dan media penyimpanan. Media penyimpanan yang di analisa didapatkan dari 2 media penyimpanan yaitu media penyimpanan server dan media penyimpanan klien. Barang bukti yang didapatkan di analisa dengan tools-tools forensik. Hasil temuan yang mungkin didapatkan antara lain : 1. network traffic yang menunjukkan aktifitas pengaksesan server 2. File yang diakses oleh klien pada penyimpanan server 3. traffic proses pemindahan data dari server ke klien 4. File yang dicopy pada penyimpanan server maupun klien 5. log file masing-masing host pada server 3.4.3. Proses Investigasi efektif yang dapat digunakan pada protokol SMB Proses investigasi efektif di bangun agar pada penyelidikan kasus pada protokol Samba lebih mudah dan cepat. Proses investigasi yang dibangun dibuat berdasarkan urutan proses analisa. Analisa terhadap network traffic dilakukan pertama kali untuk melihat aktifitas-aktifitas yang dilakukan masing-masing klien.

41 Setelah mendapatkan hasil analisa network traffic, dapat diketahui dari mana kejahatan yang terjadi berasal. Jika asal kejahatan sudah bisa diketahui, maka proses analisa dapat mengerucut kepada dua file hasil imaging yaitu, file image server dan file image dari komputer pelaku kejahatan. Media penyimpanan server menjadi sasaran analisa kedua setelah network traffic. Hasil analisa yang didapat pada proses analisa jaringan di cocokkan dengan hasil pada proses analisa media penyimpanan server. Selain dicocokkan dengan hasil analisa media penyimpanan server, hasil analisa jaringan juga dicocokkan dengan hasil analisa media penyimpanan klien. Gambaran metodologi efektif yang dibangun pada penelitian ini dapat dilihat pada Gambar3. 6.

42

Gambar3. 6 Bagan Proses Investigasi Forensik

43 BAB IV IMPLEMENTASI, HASIL DAN PEMBAHASAN

4.1 Simulasi Sharing File Simulasi dilakukan dengan menerapkan skenario yang sudah dibuat. Jaringan dengan fasilitas protokol SMB diberi aksi sebagai berikut : 1. Penyimpanan file ke server 2. Penghapusan file dari server 3. Penghapusan file dari Penyimpanan Klien Adapun jenis file yang di berikan aksi-aksi diata antara lain : 1. File gambar 2. File gambar dengan sisipan password 3. File dokumen dengan password 4. File video dan film 5. File crack sistem operasi 6. File aplikasi dengan crack 4.2 Simulasi Investigasi Pada Kasus File Sharing Proses investigasi yang dilakukan pada penelitian ini dimulai dari proses persiapan yaitu pengamanan barang bukti elektronik. 4 langkah yang dilakukan pada proses Investigasi forensik adalah sebagai berikut : 1. Pengamanan Barang Bukti 2. Akuisisi barang bukti digital 3. Analisis barang bukti digital 4. Laporan (Terlampir) 4.2.1 Pengamanan Barang Bukti Barang bukti yang didapatkan diamankan dari kontaminasi data sebelum dilakukan akuisisi. Barang bukti berupa media penyimpanan diamankan dengan

44 melepas koneksi media penyimpanan dari komputer. Saat media penyimpanan dilepas kondisi server maupun klien dalam kondisi mati (off). Media penyimpanan server yang sudah dilepas dari komputer server dapat dilihat pada Gambar4. 1

Gambar4. 1 Media Penyimpanan Server Yang Sudah Dilepas 4.2.2 Akuisisi Barang Bukti Digital Proses akuisisi merupakan proses pengambilan barang bukti digital dari sebuah kasus kejahatan. Proses akuisisi masing-masing barang bukti memiliki cara-cara tersendiri dalam proses akuisisi. Berdasarkan simulasi yang dilakukan terdapat dua barang bukti digital yang dihasilkan dari kejahatan dengan memanfaatkan protokol SMB. 4.2.2.1 Network traffic Network traffic diambil dengan melakukan aktifitas sniffing pada jaringan. sniffing pada jaringan dilakukan pada hari yang sama. Hasil sniffing yang dilakukan mendapatkan empat buah file. Daftar detail masing-masing file dapat dilihat pada Tabel4. 1, Tabel4. 2, Tabel4. 3, dan Tabel4. 4. Dari hasil yang didapat akan dianalisa lebih lanjut pada proses analisis.

45 Tabel4. 1 Tabel Detail File Samba1.pcap Nama

Samba1.pcap

Tipe

Pcap file

Waktu Akuisisi

27-05-2013

Hash

5837f05454bc6fc71a23d32087ba28fe (md5)

Ukuran File

5683399 bytes

Tools

Wireshark

Tabel4. 2 Tbale Detail File Samba2.pcap Nama

Samba2.pcap

Tipe

Pcap file

Waktu Akuisisi

27-05-2013

Hash

6900bec44e5c62fdaa9b339652a9dde6 (md5)

Ukuran File

17548293 bytes

Tools

Wireshark

Tabel4. 3 Tabel Detail File Samba3.pcap Nama

Samba3.pcap

Tipe

Pcap file

Waktu Akuisisi

27-05-2013

Hash

ea8b1f2914a939a0452e1c36e2ab949f (md5)

Ukuran File

463486949 bytes

Tools

Wireshark

46 Tabel4. 4 Tabel Detail File Samba4.pcap Nama

Samba4.pcap

Tipe

Pcap file

Waktu Akuisisi

27-05-2013

Hash

103753b12ad5698dbe33abf99af20fb0 (md5)

Ukuran File

549786950 bytes

Tools

Wireshark

4.2.2.2 Media Penyimpanan Akuisisi barang bukti storage media dilakukan dengan melakukan proses imaging. Proses imaging untuk barang bukti berupa harddisk diperlukan bantuan peralatan pembaca harddisk. Perangkat pembaca harddisk yang digunakan adalah harddisk docking. Proses imaging dilakukan dengan bantuan aplikasi dc3dd. imaging dilakukan dengan menggunakan sistem operasi Linux, untuk menghidari penulisan pada media penyimpanan, fungsi automount pada sistem operasi yang digunakan untuk imaging dimatikan. imaging dilakukan pada media penyimpanan server maupun klien. File hasil imaging disimpan dengan extensi .dd, yang nantinya akan di analisa dengan menggunakan tools forensik. Gambaran proses imaging dapat dilihat pada Gambar4. 2. Informasi yang didapat dari proses imaging dicatat secara detail. Hal-hal yang perlu dicatat antara lain Waktu memulai imaging dan mengakhiri imaging, nilai hash file hasil imaging, dan besar file hasil imaging. Detail file hasil imaging dapat dilihat pada Tabel4. 5, Tabel4. 6, Tabel4. 7, dan Tabel4. 8. Seluruh file yang sudah dilakukan imaging diuji keaslian file dengan menggunakan metode hashing. Metode hashing yang digunakan adalah md5.

47

Gambar4. 2 Proses Akuisisi

Tabel4. 5 Tabel Detail File Samba-server.dd Nama

Samba-server.dd

Tipe

image file

Waktu Akuisisi

29-05-2013 13:27:23 – 29-05-2013 14:40:18

Hash

3f83c09b29f94b5266bf4d3f7fc45f40 (md5)

Ukuran File

80026361856 bytes

Tools

dc3dd

Pada Tabel4. 5 diatas dapat dilihat detail dari proses akuisisi yang dilakukan. File Samba-server.dd merupakan file hasil dari proses imaging media penyimpanan server. Media penyimpanan pada server berukuran 80 GB, atau setara dengan 80026361856 bytes. Media penyimpanan server diakuisisi dalam waktu 1 jam 12 menit 50 detik. Metode hashing yang digunakan adalah md5 dengan nilai hash 3f83c09b29f94b5266bf4d3f7fc45f40.

48 Tabel4. 6 Merupakan detail hasil proses akuisisi pada klien 1, yaitu klien komputer PC dengan sistem operasi Windows. Pada klien media penyimpanan yang digunakan berupa media penyimpanan berukuran 16 GB dalam bentuk thumbdrive yang terkoneksi pada port USB. Media penyimpanan pertama diakuisisi dalam waktu 36 menit 55 detik dengan menghasilkan nilai hash MD5 e9abb8d1614f962ac2532253a06ae7c1. Tabel4. 6 Tabel Detail FIle C1-PC.dd Nama

C1-PC.dd

Tipe

image file

Waktu Akuisisi

27-05-2013 15:36:20 – 27-05-2013 16:13:15

Hash

e9abb8d1614f962ac2532253a06ae7c1 (md5)

Ukuran File

15846080512 bytes

Tools

dc3dd

Detail proses akuisisi dari barang bukti berupa media penyimpanan pada klien 2 dapat dilihat pada Tabel4. 7. Klien 2 merupakan sebuah laptop yang terkoneksi ke jaringan dengan menggunakan wireless USB. Seperti halnya klien 1, klien 2 menggunakan media penyimpanan berukuran 16 GB dengan media thumbdrive. Waktu akuisisi media penyimpanan klien 2 memakan waktu 16 menti 17 detik dengan nilai hash e9abb8d1614f962ac2532253a06ae7c1 dengan menggunakan teknik hashing MD5. Tabel4. 7 Tabel Detail File C2-LP-LN.dd Nama

C2-LP-LN.dd

Tipe

image file

Waktu Akuisisi

27-05-2013 16:27:56 – 27-05-2013 16:44:13

Hash

ca3019095fb34d4122d29b2e958cd304 (md5)

Ukuran File

15846080512 bytes

Tools

dc3dd

49 Tabel4. 8 merupakan tabel detail dari file hasil akuisisi dari klien 3. klien 3 berbentuk laptop dengan koneksi ke jaringan menggunakan wifi dengan sistem operasi linux. Seperti halnya klien yang lain, media penyimpanan laptop berukuran 16 GB. Waktu yang digunakan untuk akuisisi 14 menit 38 detik dengan nilai hash e2cd8f74d808527d8df4e50339a55361 dengan format MD5. Tabel4. 8 Detail File C3-LP-AS.dd Nama

C3-LP-AS

Tipe

image file

Waktu Akuisisi

27-05-2013 17:10:07 – 27-05-2013 17:24:45

Hash

e2cd8f74d808527d8df4e50339a55361 (md5)

Ukuran File

15846080512 bytes

Tools

dc3dd

4.2.3

Analisis Barang Bukti Digital Seluruh barang bukti digital yang sudah melalui proses akuisisi akan

dianalisa untuk menemukan hal-hal yang terkait dengan kejahatan. Hasil analisa yang dilakukan dan temuan yang didapat dituliskan dalam laporan hasil investigasi yang akan menjadi panduan hakim untuk memutuskan perkara. Seluruh informasi yang didapat pada proses akuisisi kembali dicatat untuk kelengkapan proses analisis. Detail yang dicatat merupakan detail informasi dari semua barang bukti yang sudah didapatkan, pelanggaran yang dilakukan dan juga deskripsi singkat mengenai kasus kejahatan yang terjadi. Detail kasus yang akan di analisis dapat dilihat pada Tabel4. 9.

50 Tabel4. 9 Tabel Detail Kasus Pelanggaran

• • •

Penyimpanan file crack Penyimpanan Gambar dengan sisipan data Penyimpanan video

No. Kasus Penerimaan Kasus

24 Mei 2013

Investigasi Kasus

27 Mei 2013

Penyelsaian Kasus Waktu Analisa Forensik (jam)

4 + analisa

Jumlah Barang Bukti

8, 4 file pcap, 4 file image

Tipe Barang Bukti

• •

Ukuran Barang Bukti • • • • • • • • Sistem Operasi

File .pcap file .dd File .pcap Samba1.pcap : 5.4 MB Samba2.pcap : 16.7 MB Samba3.pcap : 442 MB Samba4.pcap : 524.3 MB File .dd C1-PC.dd : 14.8 GB C2-LP-LN.dd : 14.8 GB C3-LP-AS.dd : 14.8 GB Samba-server.dd : 74.5 GB

Linux

Deskripsi : terdapat pengambilan file mp4 dari Samba server, file tersebut disimpan dalam media penyimpanan pada klien. Analis pertama dilakukan terhada file .pcap yang berasal dari capture network traffic. Hal ini dilakukan karena protokol SMB memanfaatkan jaringan sebagai media transfer data. Aplikasi wireshark digunakan untuk melakukan investigasi network traffic. Fitur filter yang ada pada aplikasi wireshark digunakan untuk memudahkan dan mempercepat proses investigasi. Fileter yang digunakan pada aplikasi wireshark adalah filter ip.src dan ip.dst, dengan menggunakan fileter tersebut maka seluruh paket yang terlihat pada aplikasi wireshark hanya paket yang berasal dari klien 10.0.100.4 menuju ke server 10.0.100.11 saja. Pada

51 Gambar4. 3 terlihat proses koneksi klien 10.0.100.4 ke server. Hal ini ditandai dengan adanya query session setup.

Gambar4. 3 Proses Koneksi Klien 10.0.100.4 ke Server Gambar4. 4 memperlihat bahwa klien 10.0.100.4 melihat isi direktori pada server. Hal ini dibuktikan dengan adanya query Trans2 Request, QUERY_PATH_INFO. Selain melakukan aktifitas melihat direktori klien 10.0.100.4 melakukan pembuatan direktori baru seperti terlihat pada Gambar4. 5.

Gambar4. 4 Klien 10.0.100.4 Melihat Isi Direktori Server

Gambar4. 5 Klien 10.0.100.4 Melakukan Pembuatan Direktori

52 Berdasarkan network traffic dari protkol SMB dan juga commandcommand yang ada. Aktifitas yang dilakukan klien terhadap mesin server dapat dilihat secara langsung. Analisa terhada hasil image media penyimpanan server untuk membuktikan aktifitas yang dilakukan pada server perlu adanya. Digunakan aplikasi DFF analisa image media penyimpanan server. Hal ini dilakukan mengingat harddisk pada server menggunakan format ext4. Proses analisis dengan menggunakan aplikasi DFF dapat dilihat pada Gambar4. 6.

Gambar4. 6 List Direktori Root Server Pada DFF Proses analisa dilakukan dengan melihat partisi yang ada pada image harddisk tersebut. Berdasarkan analisa awal terhadap file image, terdapat 4 partisi didalamnya dengan rincian sebagai berikut : 1. part2 merupakan partisi yang digunakan untuk swap area 2. part3 merupakan partisi yang digunakan untuk root direktori atau '/' 3. part4 merupakan partisi yang digunakan untuk /var direktori 4. part5 merupakan partisi yang digunakan untuk penyimpanan

53 Proses pertama dilakukan analisa terhadap partisi root direktori. Hal ini dilakukan untuk mecari file konfigurasi Samba server. File konfigurasi Samba ini menyimpan data mengenai dimana file-file yang dapat diakses melaui protokol SMB di letakkan. File konfigurasi pada Samba server bernama smb.conf. Letak file konfigurasi Samba terdapat pada /etc/Samba/smb.conf. Hasil analisa file smb.conf dapat dilihat pada Gambar4. 7.

Gambar4. 7 File Konfigurasi smb.conf Dibaca Dengan DFF Pada file konfigurasi smb.conf terlihat bahwa penyimpanan di sever diletakkan pada /user_data/ yang didalamnya terdapat 3 buah direktori Filem, Master, dan Data. Berdasarkan hasil analisa file smb.conf dapat disimpulkan

54 bahwa partisi part5 digunakan untuk partisi /user_data, sesuai dengan hasil listing direktori pada partisi part5. Berdasarkan hasil analisa pada harddisk server dan telah diketahuinya tempat penyimpanan file pada server, maka dilakukan proses analisa keseluruhan dengan membandingkan network traffic dan penyimpanan pada server maupun klien. Gambar4. 8 menunjukan suspect 10.0.100.4 melakukan pengaksesan salah satu file pada server. Selain melakukan pengaksesan file ke server suspect 10.0.100.4 melakukan transfer file tersebut ke penyimpanan klien, Gambar4. 9 menunjukkan traffic melakukan penulisan pada media penyimpanan klien ditandai dengan command write.

Gambar4. 8 Klien 10.0.100.4 Membuka File f0031680.mp4

Gambar4. 9 Trafic SMB Melakukan Write Gambar4. 10 menunjukan file yang diakses oleh suspect memang benar tersimpan dalam sever. Selain file tersebut tersimpan dalam penyimpanan server file tersebut juga ditemukan pada penyimpanan klien 10.0.100.4 namun file yang tersimpan pada penyimpanan kilen sudah dihapus. Hal ini dibuktikan dengan analisa yang dilakukan terhadap penyimpanan klien dengan menggunakan autopsy seperti pada Gambar4. 12. file tersebut berwarna merah dan penamaan file sudah

55 berubah menjadi _0031680.mp4. Kesamaan file yang ada pada media penyimpanan server maupun klien dibuktikan dengan melakukan pengecekan file signature dari file yang ada diserver maupun klien seperti terlihat pada Gambar4. 11 dan Gambar4. 13 file tersebut memiliki signature yang sama yaitu 00 00 00 18 66 74 79 70 6D 70 34 32.

Gambar4. 10 File f0031680.mp4 Pada image Server

Gambar4. 11 File Signature File f0031680.mp4 Pada image Server

56

Gambar4. 12 File f003186.mp4 Terhapus Pada Storage Klien

Gambar4. 13 File Signature File f0031680.mp4 Pada Image Klien 10.0.100.4 Log file dianalisa dari image Samba server. Terdapat beberapa log yang dibuat oleh aplikasi Samba, termasuk didalamnya log file masing-masing host yang terkoneksi ke Samba server. Namun log file tersebut merupakan file kosong. Berdasarkan hasil pengujian terhadap Samba server dalam kondisi hidup memang tidak ada log yang terbentuk pada sisi server. File log yang terbentuk merupakan file kosong, seperti terlihat pada Gambar4. 14.

57

Gambar4. 14 Menunjukan Tidak Ada Aktifitas Pada Log Server 4.3 Analisis Berdasarkan hasil analisa forensik yang dilakukan pada barang bukti yang ada maka dapat dilakukan analisis secara umum terhadap kejahatan yang terjadi pada pada protokol SMB. Berdasarkan hasil temuan yang didapatkan pada proses analisis forensik, maka dapat ditemukan beberapa simpulan sebagai berikut : 1. Karakteristik barang bukti yang terdapat pada protokol SMB 2. Metodologi untuk mendapatkan barang bukti pada protokol SMB 3. Metodologi efektif untuk investigasi protokol SMB 4.3.1 Karakteristik Barang Bukti Digital Pada Protokol SMB Protokol SMB memiliki karakteristik barang bukti yang unik. Network traffic

dari

protokol

SMB

memiliki

command-command

tersendiri.

Pengeksekusian tiap file pada protokol SMB dapat dilihat langsung dari network traffic yang ada. Adapun karakteristik secara terperinci sebagai berikut : 1. Network Traffic a. Protokol SMB memunculkan command – command akses pada network traffic, hal tersebut dapat dilihat pada proses analisa network traffic pada bagian info yang memberikan informasi command apa yang sedang dijalankan seperti pada Gambar4. 8.

58 b. Pada network traffic dapat dilihat seluruh proses yang dilakukan klien ke server c. network traffic dapat analisis berdasarkan waktu urutan network traffic. 2. Media Penyimpanan Server a. File-file yang tersimpan pada harddisk server dapat dilihat meskipun file tersebut sudah dihapu b. Log akses pada harddisk server tidak dapat dibuka dengan menggunakan tools yang digunakan dikarenakan log tersebut kosong, setelah di analisis ulang dengan melakukan mounting file image ke os investigator. Selain itu log juga dicek dari sistem yang sedang berjalan dan merupakan file kosong. 3. Media Penyimpanan Klien a. Pada penyimpanan klien file yang di transfer dari server dapat dibuktikan dengan melihat isi penyimpanan baik yang sudah dihapus maupun masih berada pada penyimpanan. 4.3.1 Proses Investigasi Untuk Mendapatkan Barang Bukti Pada Protokol SMB Proses investigasi yang digunakan untuk melakukan investigasi forensik terhadap protokol Samba merupakan proses yang dibangun dengan memadukan forensika jaringan dan juga forensika storage. Barang bukti pada investigasi protokol SMB didapatkan dengan beberapa langkah : a. Melakukan sniffing pada jaringan dengan protokol SMB b. Mengambil media penyimpanan klien maupun server c. Melakukan analisa terhadap hasil sniffing yang didapat d. Dari hasil yang didapat pada analisa jaringan, dapat diketahui sumber kejahatan yang terjadi. Klien yang melakukan kejahatan maupun sasaran kejahatan.

59 e. Setelah mendapatkan komputer yang dicurigai sebagai alat kejahatan, dilakukan analisa terhadap media penyimpanan server dan klien yang dicurigai. Berdasarakan langkah yang dilakukan diatas maka didapatkan barang bukti digital pada jaringan dengan protokol SMB. Gambar4. 15 Menunjukkan langkah – langkah yang dilalui untuk mendapatkan barang bukti digital pada proses investigasi jaringan dengan protokol SMB.

Gambar4. 15 proses investigasi Pencarian Barang Bukti Digital

60

4.3.1 Proses Investigasi Efektit Pada Protokol SMB Berdasar pada barang bukti yang didapat dan juga hasil analisa yang dilakukan, maka dapat ditarik sebuah proses investigasi efektif untuk melakukan investigasi terhadap protokol SMB. Proses investigasi efektif yang digunakan untuk melakukan investigasi protokol SMB adalah dengan terlebih dahulu melakukan analisa network traffic. Hal ini dilakukan dikarena network traffic memberikian seluruh informasi tentang hal-hal yang dilakukan terhadap protokol SMB. Sehingga investigator dapat mengetahui apa saja yang harus di analisa pada penyimpanan server maupun klien. Berangkat dari informasi yang didapat dari proses analisa jaringan, maka dilakukan analisa media penyimpanan server dan klien. Hasil analisa media penyimpanan tersebut dicocokan kembali dengan hasil analisa jaringan. Bagan proses investigasi efektif yang dapat digunakan untuk investigasi pada protokol SMB dapat dilihat pada Gambar4. 16. Berdasar detail alur proses investigasi efektif yang dibuat pada Gambar4. 16 maka dapat disimpulkan proses investigasi forensik pada protokol SMB dapat dibagi menjadi 4 tahap sesuai dengan metodologi yang digunakan: 4. Preservation Proses-proses yang ada dalam tahap ini adalah : a. Proses Olah TKP (1, 2) b. Proses Pengamanan Barang Bukti (1, 3) 5. Acquisition Proses pada tahap ini adalah : a. Proses akuisisi barang bukti jaringan (4, 5, 6, 7) b. Proses akuisisi barang bukti media penyimpanan (4, 8, 9, 10) 6. Analisys Proses-proses yang ada pada tahap ini adalah : a. Proses analisis barang bukti jaringan (12, 12, 13, 14) b. Proses analisis barang bukti media penyimpanan server (15, 16, 17, 22)

61 c. Proses analisis barang bukti media penyimpanan klien (15, 18, 19, 22) d. Proses analisis log (15, 20, 21, 22) e. Proses Membangdingkan hasil analisa jaringan dan analisa media penyimpanan (14, 22) 7. Report Proses yang ada pada tahap ini adalah : a. Penyusunan laporan (23)

Gambar4. 16 Bagan Alur Proses Investigasi Efektif Untuk Protokol SMB

62

Proses investigasi diatas dapat dijalankan pada kondisi-kondisi seperti dibawah ini : 1. Server file sharing menggunakan platform Linux dengan Samba server 2. Terdapat klien yang terkoneksi ke komputer server 3. Perangkat jaringan yang ada dalam lingkungan dengan SMB protokol mendukung mode sniffer Apabila kondisi diatas tidak terpenuhi maka dapat dilakukan modifikasi pada bagian-bagian tertentu. Bagian yang memungkinkan untuk dilakukan proses modifikasi adalah bagian acquisition dan bagian analisys, yang dapat dimodifikasi sesuai kebutuhan proses investigasi.

63 BAB V KESIMPULAN DAN SARAN

5.1 Kesimpulan Berdasarkan hasil yang didapat pada proses implementasi, hasil dan pembahasan, maka pada penelitian

studi dan analisa forensika digital pada

jaringan dengan protokol SMB dapat ditarik beberapa kesimpulan : 1. Penelitian yang dilakukan menghasilkan karakteristik 2 bukti digital. Karakteristik tersebut terdapat pada barang bukti network traffic dan log file . Paket data yang dikirim pada network traffic disertai dengen command pada protokol SMB. log file yang terdapat pada server samba merupakan file kosong dibuktikan dengan pengujian yang dilakukan, baik pada sistem yang sedang hidup maupun sistem yang ada dalam kondisi off. 2. Metode pencarian barang bukti yang dihasilkan pada penelitian ini merupakan gabungan dari 2 metode pencarian barang bukti, metode pencarian barang bukti pada jaringan dengan melakukan proses sniffing dan metode pencarian barang bukti pada media penyimpanan dengan melakukan proses imaging. 3. Proses investigasi yang dihasilkan merupakan proses investigasi efektif dibuktikan dengan jumlah langkah yang dilalui pada proses investigasi yaitu 21 langkah sedangkan pada tahap perancangan terdapat 23 langkah. 21 langkah tersebut merupakan hasil dari proses pengujian dan simulasi yang dilakukan. 5.2 Saran Untuk penelitian lebih lanjut mengenani SMB forensik diberikan beberapa saran, saran tersebut adalah : 1. Pengembangan metode live forensic pada protokol SMB pada sistem yang sedang berjalan, sehingga barang bukti seperti file log tidak hilang dikarenakan wiping pada saat proses shutdown.

64 2. Diperlukan adanya tambahan barang bukti berupa hasil image memory, dalam hal ini adalah RAM (Random Access Memory). 3. Analisa forensik pada protokol SMB dengan menggunakan kasus kejahatan dengan memanfaatkan protokol SMB lainnya.

DAFTAR PUSTAKA AccessData. (2013). Computer Forensics Software for Digital Investigations. Retrieved June 27, 2013, from http://www.accessdata.com/products/digitalforensics/ftk#.UcxQr9cupko ACPO, & 7save. (2008). Good Practice Guide for Computer-Based Electronic Evidence Official release version. ACPO & 7save. Al-Azhar, M. N. (2012). Digital Forensic Panduan Praktis Investigasi Komputer (Edisi Pert.). Jakarta: Penerbit Salemba Infotek. Aljaedi, A., Lindskog, D., Zavarsky, P., Ruhl, R., & Almari, F. (2011). Comparative Analysis of Volatile Memory Forensics: Live Response vs. Memory Imaging. 2011 IEEE Third Int’l Conference on Privacy, Security, Risk and Trust and 2011 IEEE Third Int'l Conference on Social Computing, 1253–1258. doi:10.1109/PASSAT/SocialCom.2011.68 ArxSys. (2013). Free & open Source digital forensics software. Retrieved June 27, 2013, from http://www.digital-forensic.org/ Carrier, B. (2013a). The Sleuth Kit. Retrieved June 27, 2013, from http://www.sleuthkit.org/sleuthkit/ Carrier, B. (2013b). Autopsy. http://www.sleuthkit.org/autopsy/

Retrieved

June

27,

2013,

from

Chen, S., Zeng, K., & Mohapatra, P. (2011). Efficient data capturing for network forensics in cognitive radio networks. 2011 19th IEEE International Conference on Network Protocols, 176–185. doi:10.1109/ICNP.2011.6089049 Coakley, M. (2008). Illegal Downloads, Copyright, File Sharing & Piracy. Retrieved from http://www.mass.gov/ago/about-the-attorney-generalsoffice/community-programs/cyber-crime-and-internet-safety/cybercrimes/illegal-downloads-copyright-file-sharing-and-.html DFlabs. (2011). PTK Forensics | Computer Forensic Software | Digital Investigations | Incident Response. Retrieved June 27, 2013, from http://ptk.dflabs.com/ Dunkelman, O. (2012). Hash Functions — MD5 and SHA1, 1–15. ECCouncil. (2006a). Module I - Computer Forensics in Today ’ s World Scenario, 4. ECCouncil. (2006b). Module VIII – Understanding Hard Disks and File Systems, 4. ECCouncil. (2008). Ethical Hacking and Countermeasures - Module 10 Sniffer, 6.1. xvi

ECCouncil. (2012). CHFI v8 Module 16 Network Forensics, Investigating Logs and Investigating Network Traffic.pdf. GuidanceSoftware. (2013). EnCase Forensic - Computer Forensic Data Collection for Digital Evidence Examiners. Retrieved June 27, 2013, from http://www.guidancesoftware.com/encase-forensic.htm Hamid, & Yudha, F. (2013). Analysis of Wireless Network Security Level in FTI Building of Islamic University of Indonesia. In P. D. A. VAROL, Y. D. D. M. KARABATAK, A. G. M. BAYKARA, A. G. Z. GÜLER, A. G. G. M. HİLMİ, & A. G. F. ÖZKAYNAK (Eds.), 1st International Symposium on Digital Forensics and Security (ISDFS’13) (p. 155). Elazig: Fırat University. Huili, Z. H. Z. Realization of Files Sharing between Linux and Windows Based on Samba. , 2008 International Seminar on Future BioMedical Information Engineering (2008). doi:10.1109/FBIE.2008.97 Ieong, R. S. C., Lai, P. K. Y., Chow, K. P., Kwan, M. Y. K., Law, F. Y. W., Tse, H. K. S., & Tse, K. W. H. (2010). Forensic Investigation of Peer-to-Peer Networks. In K. Klinger (Ed.), IGI Global. Hersey. Kaufman, C., Perlman, R., & Speciner, M. (2002). Network Security: Private Communication in a Public World (2nd. Edition). New Jersey: Prentice Hall. Kessler, G. C. (2013). File Signatures. Retrieved March 22, 2013, from http://www.garykessler.net/library/file_sigs.html Liberatore, M., Erdely, R., Kerle, T., Levine, B. N., & Shields, C. (2010). Forensic investigation of peer-to-peer file sharing networks. Digital Investigation, 7, S95–S103. doi:10.1016/j.diin.2010.05.012 Morgan, D. (2003). SMB – a protocol example SMB historical lineage Where can I find SMB ?, 1–13. MSDN. (2013). 2.2 Message Syntax. Retrieved June 16, 2013, from http://msdn.microsoft.com/en-us/library/cc246497.aspx Pilli, E. S., Joshi, R. C., & Niyogi, R. (2010). A Generic Framework for Network Forensics. International Journal of Computer Applications, 1(11), 1–6. doi:10.5120/251-408 Pucella, R. (2006). Hash Functions, (x), 1–6. Rivest, R. (1995). Chapter 6 Hash Functions, 1, 1–15. Saptono, H. (2009). Membangun File server dan PDC ( Primary Domain Controller ) menggunakan Samba. Schroeder, S. (2009). If File Sharing is a Crime, We’re All Criminals. Retrieved June 15, 2013, from http://mashable.com/2009/02/18/file-sharing-criminals/ Selamat, S. R., Yusof, R., & Sahib, S. (2008). Mapping Process of Digital Forensic Investigation Framework, 8(10), 163–169. xvii

Susanto. (2007). Seni Teknik Hacking 2 (Edisi Dua.). Jakarta: Jasakom. tcpdump. (2010). Tcpdump/Libpcap public repository. Tcpdump. Retrieved June 27, 2013, from http://www.tcpdump.org/ Volonino, L., & Anzaldua, R. (2008). Conputer Forensics for Dummies (1st ed.). Indianapolis: Wiley Publishing, Inc. Wireshark, F. (2013). Wireshark. http://www.wireshark.org/ Xplico. (2013). Xplico – About. http://www.xplico.org/about

Retrieved Retrieved

xviii

March

23,

2013,

from

June

27,

2013,

from

LAMPIRAN 1.

Dokumen Chain of Custody

2.

Computer Evidence Worksheet

3.

Storage Evidence Worksheet

4.

Laporan Hasil Investigasi

5.

SMB Command

xix