Tugas 6 “Keamanan Jaringan Komputer”
Nama NIM
: Muhamad Yusup : 09011281419061
“Komputer Forensik”
“Komputer Forensik” Komputer forensik atau yang juga dikenal juga dengan istilah digital forensik, adalah salah satu cabang ilmu forensik yang berkaitan dengan bukti legal yang dapat ditemukan pada komputer dan media penyimpanan digital lainnya. Forensik sendiri merupakan sebuah proses ilmiah dalam mengumpulkan, menganalisis, dan menghadirkan berbagai bukti pada sidang pengadilan karena adanya suatu kasus hukum. Berbeda dari pengertian forensik pada umumnya, komputer forensik dapat diartikan sebagai proses pengumpulan dan analisis data dari berbagai sumber daya komputer yang mencakup sistem komputer, baik itu jaringan komputer, jalur komunikasi, dan berbagai media penyimpanan yang layak untuk diajukan dalam sidang pengadilan. Secara singkat tujuan dari komputer forensik adalah untuk menjabarkan keadaan terkini dari suatu catatan digital. Istilah catatan digital bisa mencakup sebuah sistem komputer, media penyimpanan (seperti flash disk, hard disk, atau juga CD-ROM), sebuah dokumen elektronik (misalnya sebuah pesan email atau gambar JPEG), atau bahkan sederetan paket yang berpindah dalam jaringan komputer. Secara lebih rinci komputer forensik memiliki fungsi mengamankan dan menganalisis bukti digital, serta memperoleh berbagai fakta yang objektif dari sebuah kejadian atau pelanggaran keamanan dari sistem informasi. Berbagai fakta tersebut akan menjadi bukti yang akan digunakan dalam proses hukum. Contohnya, melalui internet forensik, untuk dapat mengetahui siapa saja orang yang mengirim pesan elektronik, kapan dan dimana keberadaan pengirim. Dalam contoh lain dapat pula dimanfaatkan untuk melihat siapa pengunjung suatu situs secara lengkap dengan informasi IP address, komputer yang dipakainya dan keberadaannya serta kegiatan apa yang dilakukan pada situs tersebut. Secara garis besar terdapat empat tahapan dalam komputer forensik, yaitu pengumpulan data, pemeliharaan data, analisis, dan presentasi laporan akhir. 1. Pengumpulan Tahapan pertama yang perlu untuk dilakukan ialah mengumpulkan dan mendapatkan bukti-bukti yang dapat digunakan untuk mendukung proses penyelidikan. Pada tahapan ini, merupakan tahapan yang sangat menentukan karena bukti-bukti yang didapatkan akan sangat mendukung penyelidikan untuk mengajukan seseorang ke pengadilan dan diproses sesuai hukum hingga akhirnya dijebloskan ke tahanan. Media digital yang bisa dijadikan sebagai barang bukti mencakup sebuah sistem komputer, media penyimpanan, PDA, smartphone, smart card, SMS, e-mail, cookies, log file, dokumen atau bahkan sederetan paket yang berpindah dalam jaringan komputer. 2. Pemeliharaan
Tugas 6 “Keamanan Jaringan Komputer” “Komputer Forensik”
Tahap kedua ialah memelihara dan menyiapkan bukti-bukti yang ada. Termasuk dalam tahapan ini melindungi bukti-bukti dari terjadinya kerusakan, perubahan, dan penghilangan oleh pihak-pihak tertentu. Barang bukti harus benar-benar terjaga dengan baik, artinya belum mengalami proses perubahan apapun ketika diserahkan kepada ahli digital forensik untuk diteliti. Kesalahan kecil pada penanganan suatu bukti digital dapat membuat barang bukti digital tersebut tidak dapat diakui di pengadilan. Bahkan menghidupkan komputer dengan tidak hati-hati bisa saja merusak atau mengubah informasi dalam barang bukti tersebut. 3. Analisis Tahap ketiga, melakukan analisis secara mendalam terhadap bukti-bukti yang ada. Bukti yang telah didapatkan perlu dipelajari kembali dalam sejumlah alur yang terkait dengan tindak pengusutan, antara lain siapa yang telah melakukan, apa yang telah dilakukan, software yang digunakan, hasil proses apa yang dihasilkan, dan waktu melakukan. Penelusuran bisa dilakukan pada sumber data seperti berikut, alamat URL yang telah dikunjungi, pesan e-mail atau kumpulan alamat e-mail yang terdaftar, program word processing, format gambar yang digunakan, berkas-berkas yang telah dihapus, password, registry, hidden files, log event viewers, dan log application. Kebanyakan berkas mempunyai metadata yang berisi informasi yang ditambahkan mengenai berkas tersebut seperti computer name, total edit time, jumlah editing session, dimana dicetak, berapa kali terjadi penyimpanan, tanggal dan waktu modifikasi. Selanjutnya melakukan pemulihan dengan cara mengembalikan berkas dan folder yang telah dihapus, unformat drive, membuat ulang partisi, mengembalikan password, merekonstruksi ulang situs yang pernah dikunjungi, mengembalikan surat elektronik yang terhapus, dan berbagai hal lainnya yang sekiranya diperlukan. 4. Presentasi Tahap terakhir ialah menyajikan dan menguraikan secara rinci laporan penyelidikan dengan bukti-bukti yang sudah dilakukan analisis sebelumnya, secara mendalam dan dapat dipercaya secara ilmiah di pengadilan. Beberapa hal penting yang perlu dicantumkan pada saat presentasi dan panyajian laporan tersebut. Adapun beberapa faktor yang dapat mempengaruhi hasil dari penyajian laporan ialah aebagai berikut. ●
Alternative Explanation,
seorang analis pada dasarnya harus mampu menggunakan pendekatan yang berupa metode untuk menyetujui ataupun menolak setiap penjelasan dari sebuah kasus atau perkara yang diajukan ●
Audience Consideration,
yaitu menyediakan data ataupun informasi kepada audience yang sangat berguna dan diperlukan, dalam sebuah kasus yang melibatkan sejumlah aturan sangat dibutuhkan laporan yang secara rinci berkaitan dengan informasi data yang
Tugas 6 “Keamanan Jaringan Komputer” “Komputer Forensik”
dikumpulkan, selain itu juga sangat dibutuhkan salinan dari setiap fakta yang diperoleh, karena ini dapat menjadikan pertimbangan yang sangat beralasan ●
Actionable Information,
merupakan sebuah proses dokumentasi dan laporan yang mencakup tentang identifikasi yang diperoleh dari sekumpulan jumlah data terdahulu, dengan bantuan sejumlah data tersebut, maka informasi dapat tersebut dapat diperoleh dan dilihat datanya. Percobaan dalam melakukan komputer forensik dilakukan menggunakan salah satu image file yang terdapat di situs http://old.honeynet.org/scans/scan24/. Ada 4 tools yang dipersiapkan untuk melakukan percobaan komputer forensik kali ini, yakni autopsy, foremost, strings, dan Ghex. Saya mengasumsikan semua tools telah terinstall di dalam sistem operasi. Sebuah kasus dalam analisa sebuah recovery floppy untuk melakukan pengungkapan kasus pemasokan narkoba dengan beberapa petunjuk yang terdapat dalam sebuah file ‘image.zip’. Beberapa pertanyaan yang harus diselesaikan yakni : 1. Siapa pemasok dari narkoba yang dimiliki Joe Jacob’s serta alamat pemasok tersebut? 2. Apa data penting yang tersimpan di dalam file coverpage.jpg, dan mengapa itu dianggap penting? 3. Apa (jika ada) ada sekolah tinggi lainnya selain Smith Hill yang sering dikunjungi Joe Jacob’s? 4. Untuk setiap file, proses apa yang diambil oleh tersangka untuk menutupinya dari orang lain? 5. Proses apa yang dilakukan penyelidik untuk berhasil memeriksa keseluruhan isi file? Langkah pertama yang dilakukan dalam melakukan percobaan ini adalah melakukan pengecekan keaslian file yang telah disimpan menggunakan tools md5 checksum, MD5 adalah sebuah algoritma yang biasa digunakan untuk meng-enkripsi sesuatu file, nilai hasil enkripsi MD5 akan berubah jika ada satu komponen saja yang berubah di dalam file. Dalam situs lokasi download file, diberikan informasi md5checksum yang dapat dijadikan parameter pengecekan keaslian file, berikut screenshot tampilan MD5 di webisite tersebut :
Gambar 1. Tampilan MD5 di website
Pengecekan dilakukan menggunakan commang md5sum (nama file) di dalam
Tugas 6 “Keamanan Jaringan Komputer” “Komputer Forensik”
terminal, Nama file hasil downloadan tadi adalah ‘image.zip’ dan didapatkan hasil seperti berikut :
Gambar 2. Tampilan MD5 di terminal
Dari hasil pengecekan file MD5 didapatkan hasil bahwa file yang telah didownload dari website sama dengan file yang berada di dalam komputer sehingga keaslian file dapat dilihat berdasarkan enkripsi MD5 tersebut. Setelah dapat memastikan keaslian file, selanjutnya file ‘imgae.zip’ diekstrak ke dalam folder tertentu untuk melakukan proses forensic selanjutnya. Dari hasil ekstrak, terdapat sebuah file bernama ‘image’ dengan ekstensi yang tidak dikatahui.
Gambar 3. Tampilan hasil ekstrak file ‘image.zip’
Langkah selanjutnya yang dilakukan adalah melakukan pengecekan awal jenis file yang ada pada file image menggunakan utilitas file, berikut hasil pengecekan file tersebut :
Gambar 4. Tampilan pengecekan jenis file
Dari hasil pengecekan awal tersebut kita dapatkan bahwa file itu merupakan sebuah jenis file bootdisc image yang sering digunakan dalam pembuatan bootable sistem operasi. Untuk melihat apa saja isi dari file ini, kita lakukan proses mounting file, simpan dimana saja hasil mountingan. Namun kali ini, saya menyimpan di file /tmp/kasus. Kasus merupakan sebuah folder baru yang dibuat di dalam folder tmp.
Gambar 5. Hasil mounting file image
Dari hasil mounting tersebut, didapat dua file yang berada di dalam file image. Pertama yakni file cover page.jpgc dan kedua adalah file SCHEDU~1.EXE. Seperti yang kita lihat, kedua file memiliki ekstensi normal, dengan file pertama memiliki ekstense file gambar, dan file kedua dengan ekstensi sebuah program. Namun kita tidak bisa mempercayai begitu saja kedua file tersebut, karna bisa jadi file ini telah dirubah jenis filenya sehingga kita tidak bisa untuk mengetahui isi file sebenarnya. Untuk melakukan pengecekan file, sama seperti yang awal, kita menggunakan utilitas file untuk mengecek jenis file dari kedua file tersebut.
Tugas 6 “Keamanan Jaringan Komputer” “Komputer Forensik”
Gambar 6. Hasil pengecekan file
Dari hasil tersebut, didapatkan kode error ketika dilakukan pengecekan jenis file cover page.jpgc, sedangkan pada file SCHEDU~1.EXE didapat bahwa file terindikasi memiliki jenis file Zip yang bisa dilakukan ekstraksi isi filenya. Untuk melakukan forensic dengan hasil lebih akurat, kita menggunakan jenis tools lain agar mendukung argumen kita dalam pembuktian. Tools yang digunakan adalah tools autopsy. Jalankan tools autopsy, dan buka link localhost yang diberikan setelah running tools tersebut. Setelah kita membuka link yang ada pada saat melakukan running autopsy, akan didapatkan sebuah homepage sebagai berikut :
Gambar 7. Tampilan Hompage autopsy
Klik newcase dan isi data-data yang diperlukan dalam penyelesaian kasus ini. Selanjutnya masukkan nama investigator, berikan lokasi path image yang akan dilakukan analisa, dan beberapa tambahan data yang dirasa perlu dalam penyelesaian kasus ini. Hingga akan tiba kita pada tampilan seperti ini,
Gambar 8. Tampilan Page awal untuk analisa
Saya memberikan nama case dengan nilai ‘kasus’, kemudian nama komputer yang diinvestigasi dengan nama ‘host1’, hal ini bersifat opsional dalam pengisian data yang diinginkan agar mempermudah dalam mengingat setiap jenis kasus yang akan diselesaikan. Karena kasus terbilang sederhana dan hanya melibatkan 1 host, maka saya menggunakan nama sederhana tersebut, Langkah selanjutnya adalah memilih ‘analyse’, kemudian pilih ‘file analyse’. Kita akan melakukan analisa terhadap isi file ‘image’ yang tidak terbaca atau tidak terdeteksi oleh utilitas sebelumya. Dari hasil tersebut, didapatkan hasil seperti
Tugas 6 “Keamanan Jaringan Komputer” “Komputer Forensik”
gambar dibawah ini :
Gambar 9. Tampilan File Analysys autopsy
Setelah melakukan analisa file, kita mendapati ada 3 buah file yang ada di dalam file image yang kita dapat. Menariknya, ada sebuah file yang sebelumnya tidak ada ketika melakukan ekstrak file, namun ketika menggunakan analisa file di tools autopsy terdapat file tersebut, dengan status dimana file telah terhapus, kita memerlukan tools tambahan untuk merecovery file tersebut. Sebelum itu, kita fokus dulu pada dua file sebelumnya. Kita klik bagian image details, dan drag ke bawah dibagian FAT CONTENTS (In Sector), terdapat dua file EOF seperti gambar di bawah ini,
Gambar 10. Tampilan Image Details autopsy
Untuk benar-benar mengetahui jenis file dari kedua file sebelumnya, kita melakukan analisa terhadap signature file yang ada pada file tersebut dengan membuka FAT CONTENTS dari setiap file, File signature adalah “data yang digunakan untuk mengidentifikasi atau memverifikasi isi file”. Secara umum istilah File Signature merujukpada dua pengertian, yaitu File Magic Number dan File Checksum. Sebagai parameter signature, kita bisa melakukan pencarian di Google dengan beberapa variasi keyword, saya menggunakan referensi signature file dari wikipedia.
Tugas 6 “Keamanan Jaringan Komputer” “Komputer Forensik”
Gambar 11. Pencarian list of file signature
Dari daftar tersebut, kita bisa mencocokkan signature yang kita dapatkan dengan file list signature yang ada pada referensi hingga kita dapatkan dengan akurat jenis file yang mampu membaca informasi di dalam dua file yang kita peroleh. Selanjutnya kita membuka file dengan nama FAT CONTENTS 73-103 (31) dan didapatkan informasi sebagai berikut :
Gambar 12. Pembacaan Signature file pada sectors 73-103
Kita mendapatkan kode JFIF yang dapat kita telusuri di dalam referensi signature yang kita gunakan,
Gambar 13. Penelusuran file signatue JFIF
Dari hasil penelusuran, kita mendapati bahwa file JFIF merupakan salah satu jenis file .jpg yang merupakan file gambar. Untuk menguji apakah asumsi kita benar, kita melakukan Export Contents yang ada pada menu page ketika kita melakukan
Tugas 6 “Keamanan Jaringan Komputer” “Komputer Forensik”
image details. Setelah file tersimpan, file masih berada pada bentuk ekstensi raw, kita identifikasi file tersebut sekali lagi menggunakan utilitas file dan didapatkan hasil
Gambar 14. Pengecekan file dari hasil export content
Dari hasil pengecekan kita dapati bahwa benar utilitas file mendeteksi bahwa file yang telah kita simpan dari hasil export content file dari sector 73-103 merupakan file dengan ekstensi .JPEG, selanjutnya kita ubah ekstensi file tersebut dengan merename nama file dan menggantinya dengan format JPEG. Dan kita mendapatkan sebuah file gambar dengan tampilan sebagai berikut
Gambar 15. Pengecekan file dari hasil export content
Selanjutnya kita melakukan hal yang sama pada FAT CONTENTS di sektor 104-108 dan didapatkan hasil bahwa file merupakan file zip, kita lakukan export konten dan lakukan pemeriksaan kembali file dengan utilitas file dan didapatkan hasil file merupakan file zip. Rename file dengan ekstensi zip. Selanjutnya ketika kita ingin melakukan ekstrak terhadap file .zip, ternyata terdapat autentikasi password untuk membuka file tersebut. Sehingga kita harus mencari informasi terhadap kemungkinan password yang digunakan untuk masuk ke dalam akses file .zip tersebut.
Tugas 6 “Keamanan Jaringan Komputer” “Komputer Forensik”
Gambar 16. Autentikasi password file .zip
Karena isi dari file image terdapat dua file, yakni file dengan ekstensi .jpeg dan .zip, maka ada kemungkinan bahwa password zip berada di file .jpeg, untuk melihat apakah kemungkinan ini benar, kita melakukan penyelidikan dengan tools strings, karena ada kemungkinan password disembunyikan ke file gambar dengan salah satu teknik steganography.
Gambar 17. Password di dalam file .jpeg
Kita coba untuk menginputkan password tadi ke dalam file zip. Dan hasilnya adalah kita mampu mengekstrak file zip yang didalamnya terdapat file Scheduled Visits.xls
Gambar 18. File Scheduled Visits.xls hasil ekstrak file vol1-Sector104.zip
Setelah file .xls tersebut dibuka, terdapat beberapa informasi dimana saja tersangka berkunjung dalam beberapa sekolah tinggi dengan frekuensi yang bervariasi dalam lingkupan seperti jadwal bulanan. Berikut cuplikan gambar dari isi file yang ada
Gambar 19. Isi file Scheduled Visits.xls
Setelah melakukan analisa terhadap dua file dalam image file tadi, dengan hasil kita mendapatkan 1 buah gambar, 1 buah password di gambar, 1 buah file .zip dan
Tugas 6 “Keamanan Jaringan Komputer” “Komputer Forensik”
juga sebuah file .xls yang berisi file penting yang disembunyikan dengan berbagai teknik dalam keamanan sistem. Selanjutnya kita kembali ke temuan ketika melakukan analisa file menggunakan tools autopsy. Dimana terdapat sebuah file .doc yang tak mampu dibaca oleh autopsy. Kita menggunakan sebuah tools foremost untuk melakukan recovery file. Command yang digunakan untuk melakukan recovery file tersebut yakni foremost -v -i (nama file) -o recover,
Gambar 20. Recovery menggunakan foremost
Setelah dilakukan recovery file terhadap file image tersebut, kita mendapatkan 4 buah file dari hasil ekstraksi. Selanjutnya kita buka hasil file ekstraksi ke path recover yang berada di dalam folder file image.
Gambar 21. Hasil recovery file image menggunakan foremost
Terdapat sebuah file baru dengan folder doc yang dapat kita analisa lebih dalam, ketika dibuka, terdapat sebuah file mirip dengan sebuah surat yang dikirim ke tersangka dengan alamat lengkap pengirim yang dapat dijadikan sebagai informasi tambahan. Berikut gambar dari surat yang ditemukan
Tugas 6 “Keamanan Jaringan Komputer” “Komputer Forensik”
Gambar 22. File Jimmy Jungle.doc
Dari informasi-informasi yang diperoleh didapatkan jawaban dari pertanyaan-pertanyaan untuk penyelesaian kasus ini. Pertanyaan : Siapa pemasok dari narkoba yang dimiliki Joe Jacob’s serta alamat pemasok tersebut? Jawaban : Berdasarkan file yang diperoleh dari file yang telah terhapus dengan nama file Jimmy Jungle.doc didapatkan sebuah informasi pemasok Joe Jacob’s bernama Jimmy Jungle, dengan alamat 626 Jungle Ave Apt 2, Jungle NY 11111, isi surat berisi tentang pembahasan pendistribusian narkoba ke sekolah-sekolah tinggi dengan lampiran berupa file .xls yang berisi daftar sekolah tinggi potensial dalam pendistribusian narkoba. Pertanyaan : Apa data penting yang tersimpan di dalam file coverpage.jpg, dan mengapa itu dianggap penting? Jawaban : file coverpage.jpg merupakan file gambar yang berisi file tentang Jimmy Jungle, informasi penting yang terdapat dari file ini adalah adanya sebuah password tersembunyi yang disimpan di dalam file coverpage.jpg sebagai akses untuk membuka file .zip yang didalamnya berisi data tentang sekolah tinggi yang menjadi tempat pendistribusian narkoba oleh Joe Jacob’s. File ini menjadi sangat penting karena tanpa file ini, kita tidak bisa mengakses informasi penting pendistribusian narkoba Joe Jacob’s. Pertanyaan : Apa (jika ada) ada sekolah tinggi lainnya selain Smith Hill yang sering dikunjungi Joe Jacob’s? Jawaban : file pendistribusian narkoba oleh Joe Jacob’s terdapat pada file Scheduled Visits.xls, ada 5 sekolah tinggi lain yang sering dikunjungi Jacob’s, yakni
Tugas 6 “Keamanan Jaringan Komputer” “Komputer Forensik”
Key High School, Leetch High School, Birard High School, Richter High School, Hull High School. Pertanyaan : Untuk setiap file, proses apa yang diambil oleh tersangka untuk menutupinya dari orang lain? Jawaban : ada beberapa hal yang dilakukan untuk menutupi file milik tersangka, diantaranya mengubah jenis file dari .zip menjadi .exe agar file tidak bisa dibaca, kemudian file diberi password yang telah dimasukkan ke dalam file .jpg, sehingga file memiliki keamanan yang ganda, sebelum file bisa diakses oleh orang yang tidak memiliki akses ke file tersebut. Pertanyaan : Proses apa yang dilakukan penyelidik untuk berhasil memeriksa keseluruhan isi file? Jawaban : proses yang dilakukan meliputi penyelidikan keaslian file, melakukan mounting terhadap file image, melakukan analisa file, analisa signature file, menyesuaikan jenis file, pencarian password menggunakan strings, melakukan proses recovery file, dan analisa terhadap dokumen-dokumen yang ada. Dalam beberapa kasus, seringkali terdapat sebuah file yang corrupt dan tidak bisa diidentifikasi jenis filenya, pada kasus ini, kita harus melakuakn pengeditan manual dengan menyesuaikan nilai hexadesimal file yang biasanya tersisa, referensi nilai hexadesimal bisa diambil dari list of file signature tadi.
