Laron: Aplikasi Akuisisi Berbasis SNI 27037:2014 pada Ponsel Android Dedy Hariyadi1, Arif Akbarul Huda2 Jurusan Teknik Elektro dan Teknologi Informasi FT UGM1 2
[email protected],
[email protected]
1.
Pendahuluan
Indonesia pada tahun 2015 diprediksi oleh Growth from Knowledge menduduki peringkat ketiga dalam pertumbuhan pasar ponsel cerdas secara global. Tahun sebelumnya Indonesia belum masuk dalam sepuluh besar. Secara global pertumbuhan ponsel cerdas mengalami peningkatan 18% [1]. Dengan data pertumbuhan tersebut tidak menutup kemungkinan bahwa tindak kejahatan menggunakan ponsel semakin tinggi. Menurut observasi penulis pertumbuhan barang bukti berupa ponsel selalu mengalami peningkatan. Gambar 1.1 menunjukan pertumbuhan barang bukti berupa ponsel dari Digital Forensic Analyst Team Kepolisian Republik Indonesia dari tahun 2010 sampai dengan 2013 yang menunjukan peningkatan. 100%
89%
90% 80%
73%
Prosentase
70% 60%
55%
61%
50% 40% 30% 20% 10% 0% 2010
2011
2012
2013
Tahun
Gambar 1.1.Pertumbuhan Barang Bukti Berupa Ponsel 2.
Prinsip Penanganan Bukti Digital
SNI 27037:2014 tentang Pedoman Identifikasi, Pengumpulan, Akuisisi dan Preservasi Bukti Digital telah mengatur prinsip dasar penanganan bukti digital [2]. Adapun prinsip dasar tersebut sebagai berikut: a) Minimize handling of the original digital device or potential digital evidence; b) Account for any changes and document actions taken; c) Comply with the local rules of evidence; and 1
d) The DEFR and DES should not take actions beyond their competence. DEFR (Digital Evidence First Responder) adalah seseorang yang memiliki wewenang, terlatih dan memenuhi persyaratan khusus sebagai pihak pertama yang bertindak di tempat kejadian perkara mengkoleksi dan mengakuisisi barang bukti digital sesuai dengan tanggung jawabnya. DES (Digital Evidence Specialist) adalah seseorang yang dapat melaksanakan tugas-tugas dari DEFR dan memiliki spesialisasi pengetahuan, keterampilan dan kemampuan untuk menangani berbagai masalah teknis forensik digital. Langkah yang harus dilakukan DEFR dan DES dalam menangani bukti digital dan/atau barang bukti digital sebagai berikut: a) Mendokumentasikan semua aktifitas. b) Menentukan dan menerapkan metode yang akurat dan handal dalam proses penyalinan barang bukti digital berpontesial dari sumber aslinya. c) Menyatakan bahwa usaha penjagaan barang bukti digital yang berpontesial aman dari pihak-pihak yang tidak berhak. 3.
Akuisisi Bukti Digital
Mengakuisisi barang bukti digital berupa ponsel cerdas menurut David Ashfield dibagi menjadi 4 [3]: a) Logical Acquisition b) File System Acquisition c) Physical Acquisition d) Manual Acquisition Sedangkan menurut SNI 27037:2014 proses akuisisi dibedakan menjadi 5 proses yang ditinjau dari ketersediaan barang bukti digital. Adapun proses tersebut sebagai berikut: a) Perangkat dalam keadaan menyala; b) Perangkat dalam keadaan mati; c) Perangkat yang menjalankan sistem kritis d) Media penyimpanan digital; e) Perangkat yang memiliki atau menjalankan fungsi khusus. Dalam tahapan akuisisi yang tercantum di SNI 27037:2014 juga memungkinkan melakukan akuisisi secara logikal. Akuisisi secara logikal dilakukan oleh DEFR pada data yang spesifik, direktori atau partisi tertentu. Pada ponsel cerdas banyak data tersimpan dalam bentuk SQLite. Untuk ponsel cerdas bersistem operasi Android SQLite tersimpan pada direktori /data/data/. Jika menemukan sebuah kasus dengan barang bukti digital berupa ponsel bersistem operasi Android dalam kondisi menyala maka dapat melakukan prosedur yang tergambar pada Gambar 3.1.
2
Mulai
Ya
Ya
Tidak
Tidak
Kegiatan Tambahan Tidak
Ya
Ya
Ya
Tidak
Selesai Tidak
Gambar 3.1: Prosedur Akuisisi Perangkat dalam Kondisi Menyala 4.
Sistem Arsitektur Android Android merupakan sistem operasi open source dengan standar spesifikasi tertentu,
sehingga memungkinkan untuk diadopsi kedalam berbagai macam perangkat ponsel cerdas. Arsitektur sistem operasi Android dijelaskan lebih detail sebagai berikut. 4.1. Komponen Platform Android Secara garis besar, arsitektur Android dibagi menjadi lima komponen yaitu applications, application framework, libraries, runtime, dan Linux kernel [4]. Masingmasing komponen memiliki peran yang berbeda. Application merupakan komponen yang terletak pada lapisan paling atas, didalamnya terdapat berbagai macam aplikasi android (apk) seperti aplikasi contact, aplikasi messaging, aplikasi peramban dan sebagainya. Application Framework merupakan komponen yang terletak pada lapisan dibawah komponen Application, berperan dalam mengelola siklus hidup activity, window dan aplikasi itu sendiri. Di lapisan berikutnya terdapat komponen Pustaka (Libraries) yang berperan untuk mendukung fitur-fitur unggulan android seperti penyimpanan basisdata SQLite, OpenGL, dan SSL. Terletak satu tingkat dengan 3
komponen Pustaka, terdapat komponen Runtime yang berperan menyediakan virtual memory untuk keberlangsungan hidup sebuah aplikasi. Pada lapisan paling bawah terdapat komponen Linux Kernel. Ilustrasi susunan lapisan arsitektur android ditunjukkan pada Gambar 4.1.
Gambar 4.1. Ilustrasi susunan arsitektur android [4] 4.2. Android Runtime Komponen Runtime menyediakan virtual mechine yang disebut dengan DVM (Dalvik Virtual Mechine). Setiap aplikasi berjalan pada virtual mechine-nya masingmasing sehingga antara aplikasi satu dan lainnya tidak dapat berkomunikasi. Penjelasan ini diilustrasikan pada Gambar 4.2.
4
Gambar 4.2 Alokasi Virtual Memory untuk Setiap Aplikasi [5] 4.3. ADB shell Pada prinsipnya, sistem operasi Android dapat dikendalikan melalui command shell seperti halnya Linux. Berlaku pula aturan previllage sebagai pengguna biasa atau super user. Namun demikian, supaya pengguna mendapatkan hak akses penuh maka syarat utamanya yaitu Android harus di-root terlebih dahulu. ADB (Android Debug Bridge) shell merupakan sarana yang disediakan oleh android untuk melakukan proses debugging melalui shell. Melalui ADB shell ini, pengguna dapat memasukkan command-command Linux pada umumnya seperti ls untuk melihat daftar isi sebuah direktori, mv source_path destination_path untuk memindahkan sebuah file ke direktori lain, dan cp source_path destination_path untuk menggandakan sebuah file. Contoh penggunaan perintah ls pada direktori / (root) ditunjukkan pada Gambar 4.3.
5
Gambar 4.3.Menggunakan perintah ls pada adb shell Semua aplikasi yang terinstal pada perangkat Android, disimpan di dalam direktori /data/data. Apabila pengguna menggunakan perintah ls pada direktori ini, maka akan tampil seluruh aplikasi yang direpresentasikan dengan nama package. Penerapan perintah ls untuk direktori /data/data ditunjukkan pada Gambar 4.4.
Gambar 4.4.Memberikan perintah ls didalam direktori /data/data
Dengan menjadi super user, pengguna diijinkan untuk melihat isi direktori setiap package. Didalamnya terdapat direktori database, cache, files, dan beberapa direktori pendukung
aplikasi
lainnya.
Penerapan
perintah
/data/data/
ditunjukkan pada Gambar 4.5.
6
ls
pada
direktori
Gambar 4.5.Daftar direktori yang terdapat didalam setiap package Apabila memiliki hak akses, pengguna dapat masuk kedalam direktori /databases untuk melihat daftar berkas basis data didalamnya. Pada umumnya, informasi-informasi penting seperti percakapan atau transaksi jual beli disimpan didalam berkas penyimpanan data dalam format .db atau .sqlite. Berkas basisdata ini terdapat didalam direktori /databases. Contoh daftar berkas basisdata ditunjukkan pada Gambar 5.1.
Gambar 5.1.Daftar berkas basisdata yang terdapat pada direktori /databases 5.
Pengembangan Aplikasi Forensik Gemerak Pada prinsipnya, aplikasi forensik ini dirancang untuk memudahkan proses
pemindahan berkas basisdata yang terdapat didalam sistem. Berkas basisdata baik yang berekstensi .db maupun .sqlite diduplikasikan kedalam sdcard. Untuk menjalankan peran tersebut, aplikasi harus bisa menjalankan perintah-perintah pada shell seperti su (untuk meminta akses sebagai super user) dan perintah Unix lainnya. Awalnya aplikasi melakukan pemindaian untuk menampilkan daftar aplikasi lain yang terinstal. Sekumpulan informasi aplikasi yang terinstal ini disajikan ke dalam tampilan Expendable Listview, yang memungkinkan pengguna dapat meng-expand salah satunya. Saat pengguna meng-expand, maka aplikasi akan meminta ijin untuk memiliki hak akses penuh sebagai super user. Selanjutnya, untuk memindai berkas basidata, aplikasi akan menjalankan peritah berikut ini.
7
find data/data/nama.package -type f -name data/data/nama.package -type f -name '*sqlite*
'*db*'
&&
find
Berikutnya, pemindahan berkas basisdata dilakukan dengan perintah cp resource_path
Setalah
destination_path.
disalin
kemudian
diakukan
pengompresan dokumen dalam format .tar.bz2 disertai dengan checksum SHA-1. 6.
Proses Akuisisi Proses akuisisi pada ponsel cerdas bersistem operasi Android terbagi menjadi 2
proses yaitu proses pada komputer dan proses pada ponsel. Gambar 6.1 menunjukan proses akuisisi menggunakan Laron.
Proses Akuisisi Laron Komputer Unggah Laron
Ponsel Install Laron
Menjalankan Laron
Memilih Obyek Forensik
Menyalin ke SDCard
Menyalin ke Komputer Hashing
Ekstraksi dan Analisis
Uninstall Laron (opsional)
Gambar 6.1.Proses Akuisisi Menggunakan Laron Tahapan melakukan akuisisi secara logikal pada ponsel bersistem operasi Android sebagai berikut:
8
a) Mengunggah Laron melalui akses shell ke ponsel bersistem operasi Android; b) Menginstall Laron pada ponsel bersistem operasi Android; c) Menjalankan Laron; d) Memilih obyek yang akan diakuisisi secara logikal; e) Menyalin obyek yang dipilih ke SDCard; f) Melakukan hash terhadap berkas yang merupakan hasil akuisisi; g) Menghapus Laron dari ponsel bersistem operasi Android; h) Menyalin berkas hasil akuisisi dan nilai hash ke komputer; i) Membuat salinan untuk siap diektraksi dan dianalisis lebih lanjut. 7.
Kesimpulan dan Saran
7.1. Kesimpulan Laron merupakan aplikasi forensik secara logikal yang mengakuisisi data dari aplikasi yang terinstall pada ponsel cerdas bersistem Android dengan lisensi MIT. Harapannya aplikasi Laron dapat membantu DEFR dalam proses akuisisi perangkat gemerak khususnya ponsel cerdas bersistem operasi Android. Proses akuisisi menggunakan Laron harus memenuhi kondisi sebagai berikut: a) Ponsel dalam kondisi menyala; b) Ponsel dalam kondisi tidak terkunci; c) Telah diaktifkan mode Debuging; d) Telah terinstall busybox; dan e) Ponsel dalam kondisi rooted. 7.2. Saran Menggunakan Laron pada sisi ponsel masih memerlukan sentuhan DEFR dalam melakukan akuisisi data. Oleh sebab itu perlu adanya perbaikan dan pengembangan berikutnya. Ada pun saran pengembangan Laron kedepan sebagai berikut: 9
a) Meminimalisir sentuhan DEFR terhadap ponsel; b) Pengabungan ke sistem yang lebih besar; dan c) Memiliki Summary Report yang memudahkan DEFR dan DES dalam menganalisis. 8.
Referensi
[1] Growth from Knowledge, “Tech devices in 2015: emerging markets dominate growth,
increasing
by
10
billion
USD,”
2014.
[Online]. Available:
http://www.gfk.com/news-and-events/press-room/press-releases/pages/techdevices-in-2015-sales-forecast.aspx. [Accessed: 05-Dec-2014]. [2] Badan Standardisasi Nasional, “Pedoman Identifikasi, Pengumpulan, Akuisisi dan Preservasi Bukti Digital (ISO/IEC 27037:2012, IDT),” Jakarta, 2014. [3] D. Ashfield, “Mobile Device Forensics: Data Acquisition Types.” [Online]. Available: http://www.cclgroupltd.com/mobile-device-forensics-data-acquisitiontypes/. [Accessed: 04-Jul-2015]. [4] L. Vogel, “Introduction to Android development with Android Studio - Tutorial.” [Online].
Available:
http://www.vogella.com/tutorials/Android/article.html.
[Accessed: 08-Jul-2015]. [5] GADI007, “Android Architecture and Pen-testing of Android applications - InfoSec Institute.” [Online]. Available: http://resources.infosecinstitute.com/androidarchitecture-and-pen-testing-of-android-applications/. [Accessed: 08-Jul-2015].
10
