ANTI FORENSICS TOOLS DALAM MENINGKATKAN KEAMANAN DATA FATHONI MAHARDIKA STMIK Sumedang, Magister Teknik Informatika Universitas Langlangbuana
[email protected] YULIAN SANI Magister Teknik Informatika, Universitas Langlangbuana Bandung
[email protected]
ABSTRAK Anti Forensik merupakan suatu bagian kajian di bidang Teknologi Informasi yang bertujuan untuk mengamankan data digital yang bersifat rahasia, agar tidak ditemukan oleh ahli komputer forensik (investigator) pada saat proses investigasi. Andaikata, data digital berhasil ditemukan, maka data tersebut diupayakan agar tetap tidak layak dengan standar hukum yang tersedia, karena data digital tersebut integritasnya sudah tidak sesuai. Dalam Anti Forensik terdapat serangkaian konsep yang dikelompokan berdasarkan cara mengamankan datanya. Anti Forensik dilakukan dengan menggunakan tools khusus sebagai cara untuk merahasiakan data. Kata Kunci : Digital Forensik, Anti Forensik, Anti Forensik Tools, Security 1. PENDAHULUAN 1.1. Latar Belakang
Suatu data digital yang penting dan rahasia akan dapat mengakibatkan kerugian jika data tersebut diketahui oleh pihak lain yang tidak berhak. Pemilik data aslinya tentunya tidak ingin datanya dicuri dan diketahui oleh pihak pihak lain karena akan dapat merugikan privasi pribadi atau kelompok, misalnya pada suatu organisasi atau kelompok. Komputer Forensik adalah suatu tindakan untuk mencari, mengidentifikasi dan menemukan barang bukti digital untuk dipergunakan didalam persidangan. Tujuan utama tindakan komputer Forensik adalah menemukan dan mengumpulkan bukti digital yang selanjutnya dapat dipergunakan dan diterima oleh pengadilan sebagai media pembuktian. Data digital yang didapatkan melalui proses investigasi, harus terjaga kondisinya, agar data tersebut tidak mengalami perubahan baik disengaja atau pun tidak. Anti Forensik merupakan ilmu pengetahuan yang menjadi lawan dari Komputer Forensik. Komputer Forensik bertujuan untuk mencari bukti digital (digital evidence) sedangkan Anti Forensik bertujuan untuk menyulitkan investigator dalam mencari dan menemukan bukti digital. Andaikata meskipun bukti digital telah
ditemukan, maka diharapkan keaslian data tersebut akan diragukan, karena integritas data tersebut memiliki nilai yang tidak sesuai. Anti Forensik dikembangkan sebagai salah satu ilmu yang bertujuan untuk menjaga kerahasiaan data (confidentiality) atau menjaga privasi, agar suatu data digital yang bernilai penting tidak dapat ditemukan atau diketahui oleh pihak lain. Tindakan Anti Forensik dilakukan dengan menggunakan Tools-tools tertentu yang berfungsi sebagai cara kerjanya. 1.2. Rumusan Masalah
Rumusan masalah yang dibahas adalah menganalisa beberapa contoh Tools Anti Forensik untuk mengetahui manfaat dan fungsi dari tools yang dianalisa tersebut. 1.3. Batasan Masalah
Batasan masalah yang dibahas adalah bagaimana menganalisa Tools Forensik berdasarkan fungsi dan tujuannya, dalam melakukan pengamanan data yang bersifat penting dan rahasia untuk menjaga privasi dari pemilik data aslinya. 2. LANDASAN TEORI
2.1 ANTI FORENSIK Computer-Anti Forensik (Liu dan Brown, 2006) adalah "Application of the scientific method to digital media in order to invalidate factual information for judicial review". Jika komputer Forensik menitik beratkan kepada tindakan mencari, menemukan dan menjaga integritas data digital, maka anti forensik justru berfokus sebaliknya, yaitu menjaga agar data tetap aman dan tidak dapat diakses (kecuali oleh pemilik data aslinya). Anti Forensik merupakan bidang TI yang legal, karena dari segi manfaat dan tujuannya membantu meningkatkan keamanan data dan menjaga privasi. Tujuan utama dari Anti Forensik adalah mengagalkan investigasi atau menyulitkan investigator dalam mencari dan menemukan bukti digital (digital evidence). Pada dasarnya Tujuan dari anti Forensik adalah : Membuat agar data digital tidak dapat ditemukan atau diakses, misalnya dengan menyembunyikan, menyandikan (enkripsi), menghapus, merubah integritas dan lain-lain. mengupayakan jika bukti digital telah berhasil ditemukan, maka data tersebut tidak layak dengan standar hukum, dikarenakan integrasi data tersebut telah rusak atau bernilai salah Dari segi batasan waktu, Anti Forensik ditujukan untuk menyulitkan investigator sehingga membutuhkan waktu yang lama pada saat proses investigasi. 2.2 JENIS DAN TOOLS ANTI FORENSIK Dr. Marcus K. Rogers, mengelompokan anti forensik berdasarkan jenis dan tujuannya. Anti Forensik dikelompokan berdasarkan tujuan teknik tersebut seperti Menyembunyikan Data (dengan teknik enkripsi, steganografi, anomizer, split), Penghapusan Jejak (history), dan Merubah Integritas Data.
2.3 Menyembuyikan Data (Data Hiding) Tujuan dari proses pengamanan dengan menyembunyikan data agar tidak dapat ditemukan oleh investigator pada saat melakukan proses pencarian (investigasi). Data digital disembunyikan agar hanya pemilik data aslinya yang dapat mengakses data tersebut. Terdapat beberapa cara untuk melakukan penyembunyian data, misalnya dengan teknik menyandikan data (enkripsi), menyisipkan berkas data ke data lainnya yang berbeda (steganografi) dan menyembunyikan identitas komputer (Anonimizer) 2.3.1 Enkripsi Enkripsi merupakan proses merubah data menjadi data lain yang tidak dapat dimengerti maknanya. Data yang dapat dienkripsi pada komputer misalnya pesan (text), citra (image), suara (audio), video dan data lainnya. Tools ke-1 : TrueCrypt (www.truecrypt.org) TrueCrypt adalah aplikasi open source untuk menyembunyikan data rahasia dengan membuat Virtual Drive. Selain menyembunyikan, Virtual Drive dan data yang tersimpan didalamnya akan dienkripsi menggunakan suatu algoritma tertentu, sehingga jika ada pihak lain yang mengetahui keberadaan virtual drive tersebut, maka pihak lain tersebut tidak dapat mengakses virtual drive tersebut. TrueCrypt dapat digunakan didalam berbagai sistem Operasi seperti Linux, MacOS dan Windows.
2.3.1.1 (b) Gambar 3.1 : (a) Tahapan pemartisian Virtual Drive (b) Tahapan Pemilihan Algoritma Enkripsi Virtual Drive
Data yang disembunyikan didalam Virtual Drive yang telah dienkripsi menggunakan TrueCrypt tidak dapat dibaca dikomputer manapun, jika tidak diakses menggunakan program TrueCrypt dan tanpa menggunakan password yang telah dikonfigurasi. Gambar sebelah kiri berikut ini menunjukan Virtual Drive yang telah dipartisi (mount) dan ditampilkan menggunakan TrueCrypt. Sedangkan gambar sebelah kanan menunjukan Virtual Drive yang telah disembunyikan kembali (unmount)
(a)
(b)
Gambar 3.2 : (a) Virtual Drive yang telah dipartisi (mount), (b) Virtual drive yang telah disembunyikan (Unmount)
Analisa Tools ke-2 : AxCrypt (www.axantum.com/axcrypt) Contoh Tools lainnya yang memanfaat konsep Enkripsi untuk menyandikan data adalah AxCrypt. AxCrypt baik digunakan untuk memproteksi data yang akan dikirimkan ke pihak lain atau data yang sifatnya portable. Hampir seluruh data dengan tipe apapun (termasuk folder) dapat dienkripsi menjadi data dengan
tipedata lainnya yang berbeda dengan aslinya. Penggunaannya cukup mudah, hanya dengan melakukan klik kanan pada data yang akan dienkripsi atau dekripsi kemudian melakukan verifikasi password dan menyisipkan suatu file untuk mencocokan kepemilikan data (authentifikasi). Penulis melakukan pengujian enkripsi terhadap sebuah data dengan tipe teks. Kemudian didapatkan hasil dengan ukuran file yang berubah menjadi lebih kecil dan tipe data berbeda dengan aslinya (tipe data menjadi .axx)
(a)
(b)
Gambar 3.3 : (a) Konfigurasi AxCrypt (b) File teks Asli (atas) dan File yang telah di Enkripsi 2.3.2 Steganografi (Steganopgrahy) Steganografi adalah teknik untuk menyembunyikan pesan dalam suatu file kedalam sebuah file lainnya, sehingga keberadaan pesan tidak diketahui atau tidak disadari oleh orang lain selain pengirim dan penerima pesan yang berhak. Steganography memanfaatkan kekurangan- kekurangan sistem indera manusia, seperti penglihatan atau pendengaran. Steganography menggunakan media digital sebagai wadah penampung, misalnya teks, citra, suara, dan video. Analisa Tools ke-3 : Invisible Secrets 2.1 (www.invisiblesecrets.com) Invisible Secrets Merupakan tools open source yang digunakan untuk melakukan proses steganografi. Dengan menggunakan Tools ini, kita dapat menyisipkan pesan didalam suatu file (misalnya berekstensi .doc, .txt,) kedalam file lain yang berbeda ekstensi (misalnya .bmp, .jpg, .gif, dan lain-lain).
(a)
(b)
Gambar 3.4 : (a) Tahap Penyisipan Data, (b) Tahapan Menampilkan Data
Dengan menggunakan tools ini, pemilik pesan rahasia dapat mengelabui pihak lain, sehingga pesan pribadi yang bernilai penting dan rahasia tidak ditemukan pada saat proses pencarian. Seperti pada gambar berikut ini telah dilakukan penyisipan file pesan (file Bentuk Sistem.doc) kedalam Sisip.jpg. Sisip.jpg dan Asli.jpg ada file yang sama (hasil duplikasi cop- paste), tetapi setelah dilakukan penyisipan terhadap file Sisip.jpg akan menghasilkan file baru dengan ukuran (size) yang berbeda.
Gambar 3.5 : Perbandingan file yang telah disisipi dan belum disisipi pesan 2.3.3 Anonimizer Anonimizer merupakan layanan untuk menyembunyikan identitas komputer agar menjadi lebih rahasia (private), dengan membuat identitas menjadi anonymous. Ketika kita memasuki sebuah alamat di Internet terdapat informasi yang kita berikan secara tidak langsung, dan data tersebut dapat diketahui oleh pihak lain, Contohnya IP Address Public yang dapat menujukan lokasi kita berada. Analisa Tools ke-4: The Onion Router (www.torproject.org) TOR adalah aplikasi local server yang membuat identitas komputer menjadi anonim (acak) ketika kita mengakses internet. TOR berfungsi menyembunyikan identitias komputer (seperti IP Address Publik) yang digunakan untuk mengakses internet, sehingga identitas komputer seperti lokasi tetap terjaga kerahasiaannya.
Gambar 3.6 : TOR ketika dijalankan Sebagai contoh, dalam keadaan normal, penulis melakukan check IP Addres Publik ke situs http://www.ipchicken.com, dan mendapatkan nilai IP Address Publik (didapatkan 125.163.72.172). Setelah menjalankan TOR, Pada saat yang bersamaan, software akan menyalakan Browser secara Portable, yang sudah dilengkapi plugins TOR. Dengan menggunakan Browser TOR portable tersebut dilakukan penge-checkan kembali, dan Ip Address Public berubah menjadi 93.182.129.82.
2.3.3.1 (b) Gambar 3.7 : (a) Penge-chekan IP Publik sebelum menjalankan TOR, 2.3.3.2
Pengechekan IP Publik setelah menjalankan TOR
Cara Kerja TOR adalah Ip address Public dan semua permintaan (request) dari browser akan masuk kedalam proxy server yang terdapat pada tools TOR yang telah diinstal, kemudian di enkripsi ke server TOR yang lain dan akhirnyadikeluarkan dari Onion Router ke website yang kita request sebenarnya.
Gambar 3.8 : Cara Kerja Proxy TOR Ip address kita akan berubah secara otomatis dan Ip address publik kita tidak akan dapat terlacak karena telah terenkripsi dan telah melalui proses masking di server Onion Router. TOR dapat digunakan untuk membypass situs internet yang telah diblok secara lokal. Karena pada dasarnya komputer tidak mengeluarkan request HTTP sama sekali, tetapi melalui proxy server yang telah terinstall melalui TOR di komputer kita. Kelemahan dari aplikasi TOR ini adalah jika website dikunjungi memiliki ActiveX/JavaScript. Website tersebut memiliki kemampuan untuk mengambil informasi langsung dari komputer yang kita gunakan secara utuh, yang mungkin selanjutnya dapat digunakan untuk membongkar identitas komputer pribadi kita. 3.1.4. Pemisahan Data (Split) Split data dalam Anti Forensik dimanfaatkan untuk menyembunyikan data penting dengan membagi data yang berupa file asli menjadi file-file lain yang berbeda tipe dengan ukuran yang lebih kecil. Kelebihan dengan teknik ini adalah memungkinkan proses pengelabuan terhadap ahli forensik atau pihak lain, yang dikarenakan tipe data menjadi tipe data yang bukan aslinya, serta memberikan waktu yang lebih cepat pada saat proses pengiriman kepada pihak lain yang membutuhkan data.(karena ukurannya yang menjadi lebih kecil dan banyak) Tools Ke-5 : HJ SPLIT HJ-Split adalah tools yang berfungsi untuk membagi sebuah file besar kebeberapa bagian file baru yang terpisah, yang ukurannya lebih kecil. Aplikasi ini dapat juga digunakan menggabungkan kembali file-file tersebut menjadi file aslinya. HJ Split dapat berjalan sistem operasi Windows, Linux dan Mac.
Keunggulan dari aplikasi ini adalah mudahnya cara penggunaannya dan kecilnya dari segi ukuran (size) file.
Gambar 3.9 : Pemisahan File Menggunakan HjSplit
Tools ini dapat dimanfaatkan untuk menyembunyikan suatu data rahasia dengan cara membagi menjadi file lain yang terpisah. Sebagai contoh, Penulis mencoba melakukan pembagian file menjadi beberapa bagian yang ukurannya menjadi lebih kecil. File-file yang telah dipisahkan tersebut, dapat digabungkan kembali untuk diakses kembali.
Gambar 3.10 : File asli dan File Asli yang telah dipisahkan
Kelemahan dari aplikasi Hj-Split ini adalah jika salah satu atau lebih data yang telah dipisahkan hilang maka data tersebut tidak akan dapat dikembalikan kedata aslinya. Sehingga informasi penting yang terdapat pada data tersebut pun akan hilang (salah satu cara untuk menyelamatkan data tersebut adalah dengan menggunakan teknik restore komputer forensik). 3.2. Menghapus Data (Artifact Wiping)
Saat beraktifitas menggunakan komputer, secara tidak kita disadari data-data yang kita gunakan dan kita akses akan terekam pada komputer sebagai history. Data yang akan tersimpan secara otomatis misalnya cache pada browser, log-log tertentu
didalam registry atau data-data volatile akan tersimpan didalam memori. Data-data yang terekam tersebut, dapat dimanfaatkan oleh pihak lain dalam melakukan pencarian aktifitas forensik.
Analisa Tools ke-6 : Evidence Eliminator v6.0 (http://www.evidence-eliminator.com/) Evidence eliminitator merupakan tools yang berfungsi untuk menghapus datadata yang tidak kita sadari tersimpan sewaktu kita beraktifitas menggunakan komputer. Evidence Elimintator dapat mengoptimalkan kinerja komputer, karena prosesnya yang membersihkan data-data yang tidak digunakan seperti registry pada sistem operasi, cache pada browser, log- log jaringan dan dan data lainnya yang tidak digunakan pada suatu aplikasi lainnya. Evidence elimintator dapat berjalan disistem operasi Windows. Tools ini sangat mudah digunakan, tetapi tools tidak bersifat gratis atau open source.
Analisa Tools ke-7 : Cyber Privacy Suite (www.cyberscrub.com) Selain Evidence Eliminator, Tools lainnya yang dapat digunakan untuk menghapus data adalah CyberSrub Privacy Suite. CyberScrub merupakan tools yang dapat digunakan untuk membersihkan data yang tidak digunakan, yang terekam komputer. CyberScrub mampu menghapus data atau informasi informasi dalam waktu yang cepat. Selain untuk menghapus Data, CyberScrub memiliki fungsi untuk melindungi komputer dalam suatu jaringan komputer dari komputer luar yang tidak memiliki izin akses.
(b) Gambar 3.12 : (a) Tahap penghapusan Data Temporary (b) Fasilitas Tools pada CyberScrub (a)
Kelebihan lainnya yang dimiliki CyberScrub adalah memiliki fasilitas penjadwalan untuk melakukan aktifitas otomatis pada komputer. Misalnya fasilitas penghapusan otomatis yang dikonfigurasi setiap hari Minggu, pukul 6.00 PM. Jadi Jika waktu pada komputer menunjukkan waktu tersebut maka sistem pada komputer akan melakukan penghapusan secara otomatis pada sistem cache browser, registry ataupun pada data lainnya pada suatu aplikasi tertentu yang dianggap data temporary. Tools ke-8 : Darik’s Boot And Nuke (http://www.dban.org) Darik’s Boot dan Nuke (DBAN) merupakan tool yang tersimpan sebagai file image dalam media disk (seperti flashdisk atau CD), yang digunakan untuk melakukan penghapusan data terhadap harddisk secara aman. Aman disini adalah data didalam harddisk yang dihapus tidak dapat dikembalikan oleh tools-tools forensik.
Gambar 3.13 : Darik’s Boot And Nuke
DBAN biasa digunakan terhadap untuk melakukan penghapusan terhadap media perangkat keras seperti harddisk, flashdisk atau perangkat keras lainnya yang berperan untuk menyimpan data, yang akan dijual atau diberikan kepada pihak lain, sebagai tindakan untuk menghilangkan history data yang pernah disimpan pada media tersebut. 3.3. Merubah Integritas Data (Trail Obfuscation)
Tujuan dari teknik ini adalah mengubah integritas data yang memberikan nilai informasi penting, seperti metadata file. Jadi misalkan seorang investigator telah menemukan data penting yang akan digunakan dalam persidangan, maka data tersebut akan diragukan karena memiliki nilai metadata yang tidak sesuai. Analisa Tools ke-9 : File Properties Changer File Properties Charger dapat digunakan untuk merubah suatu metadata file
seperti merubah ekstensi file, waktu pembuatan file, waktu akses file, dan waktu penulisan file. Inti dari fungsi utama tools ini adalah untuk mengacaukan dengan merubah nilai metadata suatu file.
Gambar 3.14 : File Properties Charger
Sebagai contoh dibawah ini telah dilakukan perubahan dari file asli yang berekstensi .Doc dirubah menjadi file Exe, beserta data lainnya seperti data waktu yang telah dirubah.
(a)
(b)
Gambar 3.15 : (a) Properti File yang belum dirubah metadata-nya (b) PropertiFile yang telah dirubah meta-datanya 3.5. Detecting Forensic Analysis Identitas komputer yang digunakan untuk menyimpan data penting mungkin saja telah diketahui oleh penyusup. Kemudian tanpa disadari penyusup tersebut melakukan scanning terhadap komputer tersebut untuk mendapatkan data yang memiliki informasi penting pada komputer tersebut. Metode ini berupaya untuk mendeteksi jika terjadi aktifitas scanning yang dilakukan penyidik (investigator) yang berperan sebagai penyusup untuk melakukan tindakan scanning analisis forensik secara live pada sistem, misalnya melalui jaringan komputer. Analisa Tools ke-10 : GRML-Linux GRML adalah tools pada sistem operasi linux yang memberikan informasi jika terjadinya penyusupan terhadap sistem. Dengan menggunakan tools ini maka proses analisa (scanning) yang dilakukan penyusup dan sedang berjalan dapat secara langsung dihentikan (terminated). GRML yang berjalan di sistem operasi Linux. GRML melakukan scanning dari akses port yang terbuka (Open Port), dan direktori yang tersedia pada sistem operasi, dimulai dari direktori yang paling tinggi (direktori root) hingga ke yang paling rendah (setiap partisi harddisk).
Gambar 3.16 :GRML-Linux
3. KESIMPULAN Pengembangan Anti Forensik bertujuan untuk mencari kelemahan daripada Komputer Forensik. Setelah ditemukan kelemahan pada Komputer Forensik, maka komputer forensik diharuskan mengembangkan teknologinya kembali sebagai bentuk pencegahan terhadap Anti Forensik. Dengan adanya saling balasan tersebut maka Komputer dan Anti Forensik akan selalu saling mengisi satu sama lain sebagai bentuk pengembangann dalam bidang ilmu pengetahuan. 2. Anti Forensik merupakan bidang TI yang legal, Karena bermanfaat untuk Menjaga privasi seseorang dengan mengamankan dan melindungi data penting yang bernilai rahasia. Misalnya dengan menggunakan Anti Forensik maka akan dapat meningkatkan keamanan data untuk mencegah penyalah gunaan file yang terhapus. 3. Anti Forensik dapat digunakan untuk memperbaiki dan meningkatkan kinerja komputer melalui proses pembersihan terhadap data-data yang tidak penting setelah kita menggunakan komputer 1.
DAFTAR PUSTAKA [1]. Gary C. Kessler, Anti-Forensics and the Digital Investigator, Edith Cowan University Research Online, Australia, 2007 [2]. Simson L.Garfinkel, Anti-Forensics: Techniques, Detection and Countermeasures Naval Postgraduate School [3]. John Mallery, Anti-Forensics: What the bad guys are doing… [4]. Eko Arryawan, Smitdev Community, “Anti Forensik : Mengatasi Investigasi Komputer Forensik”, PT. Elexmedia Komputindo, Jakarta, 2010 [5]. Matthew C. Stamm, Student Member, IEEE,and K.J.RayLiu, Fellow, IEEE, AntiForensics of Digital Image Compression, IEEE Transactions On Information Forensics And Security, Vol. 6, NO. 3, September 2011 [6]. Anti- Forensics Techniques : http://www.forensicswiki.org/wiki/Antiforensic_techniques
