Teknik Eksplorasi Bukti Digital Pada File Sharing Protokol SMB Untuk Mendukung Forensika Digital Pada Jaringan Komputer Fietyata Yudha
Yudi Prayudi
Jurusan Teknik Informatika Fakultas Teknologi Industri UII Jalan Kaliurang KM 14.5 fietyata,
[email protected]
Jurusan Teknik Informatika Fakultas Teknologi Industri UII Jalan Kaliurang KM 14.5
[email protected]
Abstract— Meningkatnya jumlah pengguna komputer di dunia menyebabkan meningkatnya kebeutuhan media penyimpanan. SMB merupakan salah satu solusi untuk mengatasi masalah penyimpanan. SMB bekerja pada protokol aplikasi pada model OSI. SMB merupakan protokol default pada Windows yang digunakan untuk menjalankan fasilitas file sharing. Dengan adanya fasilitas file sharing seperti ini menyebabkan terjadinya celah kejahatan. Permasalahan yang umum terjadi pada protokol SMB seperti pembajakan software, pornografi, pencurian data, pencurian identitas, virus, dan lain-lain. Dengan adanya tidak kriminal pada protokol SMB perlu adanya sebuah proses investigasi pada fasilitas file sharing, khususnya pada protokol SMB. Terdapat 2 fokus investigasi pada protokol SMB pertama network traffic, kedua file image media penyimpanan. Investigasi dilakukan pertama kali dengan melakukan analisa jaringan dan dilanjutkan dengan melakukan analisa file image. Dengan adanya proses investigasi efektif untuk melakukan investigasi protokol SMB seperti ini dapat mempercepat proses investigasi forensik pada lingkungan protokol SMB Kata Kunci : Proses; Investigasi; File Sharing; SMB
I.
PENDAHULUAN
Umumnya pengguna komputer memerlukan media penyimpanan tambahan untuk memenuhi berbagai aktivitas pekerjaannya, namun tidak semua pengguna komputer mampu menyediakan media penyimpanan (storage) yang besar. Salah satu solusi untuk mengatasi keterbatasan dalam hal media penyimpanan ini adalah melalui teknik file sharing. Melalui file sharing, satu komputer dengan kapasitas media penyimpanan yang lebih besar dapat menampung data dari komputer lain atau dijadikan sebagai tempat menyimpan file yang kemudian digunakan bersama. Umumnya komputer di sekolah, perkantoran, warung internet yang terhubung dalam sebuah jaringan menerapkan teknik file sharing. Teknik file sharing sendiri terbagi menjadi beberapa jenis. Bittorrent, gnutella, Server Message Block (SMB) merupakan teknik file sharing yang cukup dikenal luas. Bittorrent dan gnutella berjalan pada jaringan P2P (peer to peer) dengan
memanfaatkan jaringan internet sedangkan SMB memanfaatkan jaringan lokal. Protokol SMB sudah terpasang secara otomatis pada sistem operasi windows. Namun untuk menjalankan servis SMB ini diperlukan aplikasi tambahan lainnya. Dalam hal ini, Samba merupakan aplikasi yang digunakan untuk menjalankan servis protokol SMB yang digunakan untuk melakukan file sharing maupun printer sharing pada komputer berbasis Windows. Samba digunakan pula sebagai aplikasi dalam server berbasis Linux. Aplikasi ini umumnya digunakan untuk melakukan sharing video, software, gambar, dan lain-lain. Selain manfaat dan kelebihannya, ternyata SMB merupakan protokol yang cukup rentan terhadap perilaku cybercrime. Tindakan cybercrime yang dapat dilakukan melalui protokol SMB antara lain : a) Illegal file sharing. Merupakan salah satu tindak kejahatan yang dilakukan dengan melakukan sharing file yang bersifat ilegal seperti musik bajakan, software bajakan, gambar dan video. Dengan melakukan sharing data-data ilegal dapat dengan mudah tersebar ke seluruh komputer yang berada dalam 1 jaringan. b) Penyebaran virus. Penyebaran virus terjadi akibat fasilitas sharing dijalankan sehingga virus dapat dengan mudah menduplikasikan diri ke seluruh media penyimpanan yang ada pada jaringan. c) Exploit. SMB ternyata merupakan kelemahan yang dimiliki komputer berbasis sistem operasi Windows. Melalui SMB exploit/metasploit yang ada akan dengan mudah melakukan injeksi kedalam sistem Windows. Akibatnya adalah apabila aplikasi exploit/metasploit telah dijalankan maka dimungkinkan komputer berbasis windows dapat diambil alih dalam satu hari (zero day). Melihat potensi kejahatan memanfaatkan file sharing (khususnya pada protokol SMB) akan meningkat, maka penelitian dan pengembangan proses investigasi forensik pada protokol SMB menjadi salah satu topik penelitian yang sangat diperlukan. Hasil dari penelitian ini dapat dijadikan sebagai
bagian dari upaya untuk mendukung pengungkapan kasuskasus cybercrime berbasiskan pada protocol file sharing. II.
pada jumlah peer 2
File Hosting Service
Application
HTTP Berbagi file dengan memanfaatkan halaman web. Proses transfer dilakukan dengan menggunakan metode download
3
SMB
Application
melakukan pembagian file antar komputer berbasis Windows dan Linux.
REVIEW PENELITIAN
Menurut Ieong et al., [1], jaringan peer-to-peer (P2P) berkembang sangat pesat sejak pertama kali diperkenalkan. Dalam hal ini, Napster merupakan salah satu aplikasi jaringan P2P yang dikenal cukup luas. Selanjutnya menurut Liberatore [2], jaringan peer to peer umumnya sering digunakan untuk mendistribusikan kontenkonten illegal. Selain itu, terdapat banyak data yang tersebar melalui jaringan P2P seperti dokumen dengan data pibadi atau informasi sensitif lainnya. Dengan demikian layanan P2P ini sangat potensial untuk dijadikan sebagai sarana untuk melakukan aktivitas cybercrime. Karena itu investigasi digital pada jaringan peer to peer seharusnya mulai dilakukan oleh para penegak hukum. Untuk itu maka Liberatore (2010) telah mencoba untuk melakukan proses investigasi digital pada jaringan peer to peer dengan protokol Gnutella dan Bittorrent. Dalam penelitiannya ini Liberatore (2010) berhasil menemukan sejumlah data yang dapat diidentifikasi sebagai bukti digital dari sebuah skema cybercrime. Selanjutnya menurut Wu [3], salah satu issue yang masih kurang diperhatikan dari penggunaan jaringan peer to peer adalah bidang keamanan. Pendekatan tradisional adalah menggunakan teknik kriptografi untuk menangani masalah authentifikasi dan integritas data. Dalam hal ini Wu mengajukan sebuah skema menggunakan pendekatan trust rating sebagai dasar untuk security management pada peer to peer file sharing. III.
4Shared, Rapidgrator, RapidshareM ediafire, dan lain-lain.
Samba
B. Server Message Block (SMB) SMB adalah sebuah protokol jaringan yang juga dikenal dengan nama CIFS (Common Internet File System) yang berjalan pada application layer seperti halnya protokol HTTP, FTP, SMTP. SMB merupakan protokol komunikasi jaringan yg digunakan oleh Windows, OS/2 untuk menyediakan fasilitas sharing file dan printer [4]. Protokol SMB merupakan protokol bawaan pada sistem operasi Windows [5].Versi SMB yang digunakan saat ini merupakan SMB versi 2 atau lebih dikenal dengan sebutan SMB2. Cara kerja SMB dapat dilihat pada Gambar 1.
FILE SHARING
A. File Sharing Sharing protokol merupakan sebuah protokol jaringan yang digunakan untuk melakukan sharing file maupun printer. Terdapat beberapa teknik dalam melakukan sharing pada jaringan. Setiap teknik sharing memiliki protokol sendiri untuk melakukan koneksinya. Beberapa jenis teknologi sharing dapat dilihat pada Tabel 1. Salah satu aplikasi yang spesifik untuk kepentingan transfer file secara file to file adalah Foxy, yaitu aplikasi yang dijalankan didaratan China-Hongkong dengan interface yang sesuai dengan karakteristik masyarakat China [1]. Gambar 1. Cara Kerja Protokol SMB
Tabel 1. Teknologi File Sharing No
1
Teknologi file sharing
OSI Layer Possition
BitTorrent
Application
Proto kol
Fungsi
Sharing melalui jaringan, kecepatan transfer data pada torrent sangat bergantung
Contoh Aplikasi Kick As Torrent, Piratebay
C. Samba Sharing Samba merupakan sebuah aplikasi berbasis Unix atau Unix Like System yang digunakan untuk melakukan sharing. Samba menjadi solusi untuk menjembatani komunikasi komputer dengan sistem operasi Windows dan Linux [6]. Samba digunakan untuk membangkitkan servis protocol SMB agar dapat berkomunikasi dengan sistem lainnya.
IV.
FORENSIKA JARINGAN
A. Packet Sniffing Packet Sniffing adalah aktifitas menangkap paket-paket data yang lewat dalam sebuah jaringan. Sniffing biasanya digunakan untuk menangkap informasi-informasi vital dari sebuah jaringan seperti password, Email text, dan File transfer[7]. Sniffing biasanya menyerang protokol-protokol seperti Telnet, HTTP, POP, IMAP, SMB, FTP, dan lain-lain[8]. Teknik sniffing saat ini juga digunakan untuk melakukan administrasi jaringan seperti traffic monitoring, traffic analisys, troubleshooting [9]. B. Forensika Jaringan Forensika jaringan merupakan proses mengidentifikasi aktifitas kriminal pada jaringan dan siapa orang didamlamnya. Forensika jaringan juga dapat diartikan sebagai proses sniffing, recording, acquisition, dan analisis pada trafik jaringan dan juga event log untuk mengidentifikasi kejahatan jaringan. Menurut Pilli et al. [10] forensika jaringan merupakan proses analisa traffic data yang melalui firewall atau IDS (Intrusion Detection System) atau Router. Menurut Volonino & Anzaldua [11], Data untuk kepentingan forensika digital dapat diperoleh dari : Host, Router, Firewall, Switch, IDS, IPS, Network Printer, Network Copier, Wireless Access Point. C. Bukti Digital Pada Konsep file sharing barang bukti digital yang di hasilkan dari kasus kejahatan tentunya berbeda dengan kejahatan komputer lainnya. Berdasarkan analisa yang dilakukan dan referensi yang dibaca, bukti digital yang dapat diambil pada kejahatan dengan memenfaatkan file sharing adalah file capture traffic jaringan, file log, dan media penyimpanan perangkat yang terlibat. D. Tools Tools yang digunakan untuk melakukan proses investigasi forensik pada jaringan antara lain : a) Ettercap, merupakan tools yang dibangun untuk melakukan proses packet sniffing pada jaringan. Selain untuk melakukan packet sniffing pada jaringan ettercap dapat digunakan untuk melakukan serangan ARP poisonning [12]. b) Wireshark, merupakan tools yang digunakan untuk melakukan packet sniffing sekaligus melakukan analisa traffic yang berjalan pada sebuah jaringan [13]. Wireshark sendiri menjadi salah satu perangkat yang umum digunakan untuk melakukan investigasi forensika pada jaringan. V.
DESAIN PENELITIAN
Skenario yang dirancang untuk penelitian ini adalah sebagai berikut : 1. Seseorang bergabung dengan jaringan yang memiliki fasilitas file sharing. 2. Orang tersebut melakukan koneksi ke server dan melihatlihat data-data yang di bagikan oleh server.
3. Orang tersebut melakukan transfer data dari server ke komputer klien. Data-data yang di transfer ke server merupakan data-data yang dilarang untuk disebarkan, dan merupakan data penting dari sebuah institusi. 4. Data-data penting pada komputer server diambil dari server dan dihapus. 5. Data yang ada pada media penyimpanan pelaku dihapus. Untuk melakukan uji simulasi dibutuhkan perangkat komputer dan jaringan. Perangkat-perangkat yang dibutuhkan untuk melakukan uji simulasi antara lain : 1. Komputer Server. Komputer server merupakan seperangkat komputer yang bertindak sebagai server file sharing. Komputer server dibangun dengan sistem operasi Linux dan sudah terpasang aplikasi Samba untuk menjalankan servis protokol SMB. 2. Komputer Klien. Komputer klien merupakan komputer yang melakukan akses fasilitas file sharing yang disediakan oleh server. Pada simulasi ini dijalankan 2 buah komputer klien berbasis sistem operasi Windows dan Linux. 3. Switch. Switch merupakan perangkat penghubung antara komputer klien dan komputer server agar kedua perangkat tersebut dapat saling bertukar data. Simulasi di jalankan pada sebuah jaringan workstation dengan sebuah server samba. Jaringan yang dirancang menggunakan alokasi IP kelas A 10.0.100.0/24, dengan jangjakuan alamat IP yang digunakan untuk DHCP 10.0.100.2 – 10.0.100.25. Desain jaringan pada simulasi yang dilakukan dapat dilihat pada . Alamat IP 10.0.100.11 digunakan untuk Samba server seperti pada Gambar 2.
Gambar 2. Desain Topologi Jaringan Simulasi II.
HASIL DAN ANALISIS
File hasil capture jaringan dianalisis dengan menggunakan wireshark, tcpflow, xxd, dan xplico. File .pcap akan dianalisa dengan menggunakan wireshark dan xplico, sedangkan aplikasi tcpflow dan xxd digunakan untuk mengembalikan data jika diperlukan. File log yang didapat dianalisa dengan menggunakan 2 tools yaitu text editor dan log viewer. File log dianalisa menurut waktu laporan kejahatan. File hasil imaging di analisa dengan beberapa aplikasi . Autopsy dan DFF digunakan untuk melakukan analisa terhadap file hasil imaging. File yang dianalisa dalam bentuk ekstensi .dd. Analisa digunakan untuk
mengetahui bahwa barang bukti digital pernah ataupun masih disimpan dalam media penyimpanan. Jika file telah dihapus maka file akan dicoba dikembalikan dengan aplikasi foremost dan photorec. Protokol SMB memiliki karakteristik barang bukti yang unik. Network traffic dari protokol SMB memiliki perintah perintah tersendiri. Pengeksekusian tiap file pada protokol SMB dapat dilihat langsung dari network traffic yang ada. Adapun karakteristik secara terperinci sebagai berikut : 1. Network Traffic, Protokol SMB memiliki perintah – perintah akses yang terekam pada network traffic, hal tersebut dapat dilihat pada proses analisa network traffic pada bagian info yang memberikan informasi perintah apa yang sedang dijalankan. Pada network traffic dapat dilihat seluruh proses yang dilakukan klien ke server . Network traffic dapat analisis berdasarkan waktu urutan packet data. 2. Media Penyimpanan Server. File-file yang tersimpan pada media penyimpanan server dapat dilihat meskipun file tersebut sudah dihapus. Log akses pada harddisk server tidak dapat dibuka dengan menggunakan tools yang digunakan dikarenakan log tersebut kosong, setelah di analisis ulang dengan melakukan mounting file image ke os investigator. Selain itu log juga dicek dari sistem yang sedang berjalan dan merupakan file kosong. 3. Media Penyimpanan Klien. Pada penyimpanan klien file yang di transfer dari server dapat dibuktikan dengan melihat isi penyimpanan baik yang sudah dihapus maupun masih berada pada penyimpanan. Selamat, Yusof, & Sahib [14](2008) menuliskan banyaknya framework-framework forensik yang dikembangkan oleh beberapa peneliti. Adanya banyaknya framework tersebut tiap-tiap proses investigasi dapat memilih framework-framework yang ada. Penelitian ini meneliti 13 framework forensik dan diambil intisari dari ke 13 framework tersebut sehingga mendapatkan kesimpulan berupa 5 langkah dalam framework forensik yaitu preparation, collection and preservation, examination and analisys, presentation and reporting. Berdasar hasil analisa yang dilakukan, maka dapat ditarik kesimpulan berupa sebuah proses investigasi efektif untuk melakukan investigasi terhadap protokol SMB. Proses investigasi efektif yang digunakan untuk melakukan investigasi protokol SMB adalah dengan terlebih dahulu melakukan analisa network traffic. Hal ini dilakukan karena network traffic memberikian seluruh informasi tentang hal-hal yang dilakukan terhadap protokol SMB. Sehingga investigator dapat mengetahui apa saja yang harus di analisa pada penyimpanan server maupun klien. Berangkat dari informasi yang didapat dari proses analisa jaringan, maka dilakukan analisa media penyimpanan server dan klien. Hasil analisa media penyimpanan tersebut dicocokan kembali dengan hasil analisa jaringan. Bagan proses investigasi efektif yang dapat digunakan untuk investigasi pada protokol SMB dapat dilihat pada Gambar 3.
Berdasar detail alur proses investigasi efektif yang dibuat pada Gambar4. 16 maka dapat disimpulkan proses investigasi forensik pada protokol SMB dapat dibagi menjadi 4 tahap sesuai dengan metodologi yang digunakan : 1. Preservation Proses-proses yang ada dalam tahap ini adalah : a) Proses Olah TKP (1, 2) b) Proses Pengamanan Barang Bukti (1, 3) 2. Acquisition Proses pada tahap ini adalah : a) Proses akuisisi barang bukti jaringan (4, 5, 6, 7) b) Proses akuisisi barang bukti media penyimpanan (4, 8, 9, 10) 3. Analisys Proses-proses yang ada pada tahap ini adalah : a) Proses analisis barang bukti jaringan (12, 12, 13, 14) b) Proses analisis barang bukti media penyimpanan server (15, 16, 17, 22) c) Proses analisis barang bukti media penyimpanan klien (15, 18, 19, 22) d) Proses analisis log (15, 20, 21, 22) e) Proses membandingkan hasil analisa jaringan dan analisa media penyimpanan (14, 22) 4. Report Proses yang ada pada tahap ini adalah : a) Penyusunan laporan (23)
Gambar 3. Bagan Proses Investigasi
VI.
KESIMPULAN DAN SARAN
Berdasarkan hasil yang didapat pada proses implementasi, hasil dan pembahasan, maka pada penelitian ini dapat ditarik beberapa kesimpulan :
1. Penelitian yang dilakukan menghasilkan karakteristik 2 bukti digital. Karakteristik tersebut terdapat pada barang bukti network traffic dan log file . Paket data yang dikirim pada network traffic disertai dengen perintah pada protokol SMB. Log file yang terdapat pada server samba merupakan file kosong dibuktikan dengan pengujian yang dilakukan, baik pada sistem yang sedang hidup maupun sistem yang ada dalam kondisi off. 2. Metode pencarian barang bukti yang dihasilkan pada penelitian ini merupakan gabungan dari 2 metode pencarian barang bukti, metode pencarian barang bukti pada jaringan dengan melakukan proses sniffing dan metode pencarian barang bukti pada media penyimpanan dengan melakukan proses imaging. 3. Proses investigasi yang dihasilkan merupakan proses investigasi efektif dibuktikan dengan jumlah langkah yang dilalui pada proses investigasi yaitu 21 langkah sedangkan pada tahap perancangan terdapat 23 langkah. 21 langkah tersebut merupakan hasil dari proses pengujian dan simulasi yang dilakukan. Untuk penelitian lebih lanjut mengenani SMB forensik diberikan beberapa saran, antaralain malakukan pengembangan metode live forensic pada protokol SMB pada sistem yang sedang berjalan. Dengan metode ini barang bukti seperti file log tidak hilang dikarenakan proses wiping pada saat proses shutdown. REFERENSI [1] R. S. C. Ieong, P. K. Y. Lai, K. P. Chow, M. Y. K. Kwan, F. Y. W. Law, H. K. S. Tse, and K. W. H. Tse, “Forensic Investigation of Peer-to-Peer Networks,” in IGI Global, 2010. [2] M. Liberatore, R. Erdely, T. Kerle, B. N. Levine, and C. Shields, “Forensic investigation of peer-to-peer file sharing networks,” Digital Investigation, vol. 7, pp. S95–S103, Aug. 2010. [3] H. Wu, C. Shi, H. Chen, and C. Gao, “A Trust Management Model for P2P File Sharing SystemNo Title,” in International Conference on Multimedia and Ubiquitous Engineering,, 2008, pp. 41–44. [4] H. Saptono, “Membangun File server dan PDC ( Primary Domain Controller ) menggunakan Samba,” 2009. [5] D. Morgan, “SMB – a protocol example SMB historical lineage Where can I find SMB ?,” pp. 1–13, 2003. [6] S. Chen, K. Zeng, and P. Mohapatra, “Efficient data capturing for network forensics in cognitive radio networks,” 2011 19th IEEE International Conference on Network Protocols, pp. 176–185, Oct. 2011. [7] Hamid and F. Yudha, “Analysis of Wireless Network Security Level in FTI Building of Islamic University of Indonesia,” in 1st International Symposium on Digital Forensics and Security (ISDFS’13), 2013, p. 155. [8] ECCouncil, “Ethical Hacking and Countermeasures Module 10 Sniffer,” vol. 6.1, 2008.
[9] P. Asrodia and V. Sharma, “Network Monitoring and Analysis by Packet Sniffing Method,” International Journal of Engineering Trends and Technology, vol. 4, no. May, pp. 2133–2135, 2013. [10] E. S. Pilli, R. C. Joshi, and R. Niyogi, “A Generic Framework for Network Forensics,” International Journal of Computer Applications, vol. 1, no. 11, pp. 1–6, Feb. 2010. [11] L. Volonino and R. Anzaldua, Conputer Forensics for Dummies, 1st ed. Indianapolis: Wiley Publishing, Inc, 2008. [12] A. Ornaghi, M. Valleri, E. Escobar, and E. Milam, “Ettercap,” 2013. [Online]. Available: http://ettercap.github.com/ettercap/about.html. [Accessed: 23-Mar-2013]. [13] F. Wireshark, “Wireshark,” 2013. [Online]. Available: http://www.wireshark.org/. [Accessed: 23-Mar-2013]. [14] S. R. Selamat, R. Yusof, and S. Sahib, “Mapping Process of Digital Forensic Investigation Framework,” vol. 8, no. 10, pp. 163–169, 2008.