Laman

Sabtu, 16 Januari 2016

Analisa Role of Evidence Kasus Bad Education buku Computer Fraud CaseBook - Joseph T. Wells

Setelah sebelumnya saya membahas tentang Role of Evidence yang bersumber dari buku Angus Marshal yang berjudul Digital Forensics : Digital Evidence in Criminal Investigation , yang artikel nya dapat dibaca disini .

Kali ini saya akan membahas sebuah kasus yang terdapat di dalam buku " Computer Fraud CaseBook" karangan Joseph T. Wells. Kasus ini berjudul Bad Education yang terdapat pada chapter 9 buku tersebut. Nantinya dari kasus tersebut kita akan melihat Role of Evidence dari barang bukti yang ditemukan dari kasus tersebut.
Berikut sedikit ulasan kasusnya,

Kasus ini berawal dari adanya surat kaleng yang dikirimkan oleh orang yang tidak dikenal ke Kementerian Keilmuan di London yang  berisikan tuduhan korupsi, pencurian, dan penipuan terhadap seorang kepala IT universitas St.Joseph di Rutland. Universitas St. Joseph, memiliki fasilitas penelitian utama dalam bidang ilmu kedokteran dan karena itu harus mengumpulkan dan menyimpan data dalam jumlah besar. Sejumlah besar informasi yang dikumpulkan dari sebuah lembaga penelitian yang berorientasi seperti ini membutuhkan komputer mainframe yang mahal untuk mengelola catatan tersebut.

Pada dasarnya isi dari surat kaleng itu adalah menuduh bahwa selama periode yang cukup lama Dr. Braithwaite yang merupakan Kepala Divisi IT Universitas telah menjual sejumlah besar kelebihan hardware TI Universitas St.Joseph kepada seseorang bernama George Sayers dengan nominal tertentu. Surat itu lebih lanjut menyatakan bahwa Sayers dan Braithwaite terlibat dalam sebuah proyek di Wales yang melibatkan hardware IT dari Universitas St.Joeseph. Sedangkan CD tersebut berisi salinan komunikasi melalui e-mail antara dua orang yang mendukung tuduhan tersebut. Untuk mengusut hal ini , Departemen Keilmuan mengutus Sean Jefferson yang merupakan manajer audit dan jaminan dari Departemen Keilmuan untuk mencari kebenaran dari surat tersebut. Sean meminta bantuan seorang audit forensik bernama Russ Allen dalam memecahkan kasus ini, berdasarkan dari pengalaman dan kompetensinya sebagai seorang investigator forensik bagian audit.

Russ Allen berhasil mengumpulkan informasi awal melalui sebuah website bahwa memang benar Dr.Braithwaite dan Sayers merupakan direktur dari sebuah perusahaan konsultasi IT yang bernama Saythwaite Co.Ltd yang menjadi bukti keterhubungan diantara 2 orang tersebut sehingga ada kemungkinan terjadi sesuatu diantara mereka. Russ mengusulkan agar ada seseorang yang diutus ke Rutland untuk mengumpulkan dan mengawasi Braithwaite secara diam-diam, seseorang yang tidak akan dicurigai oleh Braithwaite sehingga dia tidak melakukan usaha untuk menghilangkan barang bukti. Dan Sean mengutus Desmond Smithers. Russ memerintahkan kepada Des untuk mengumpulkan dokumen-dokumen kebijakan universitas dan mencari backup dari data-data sistem IT baik yang terhubung secara internet ataupun intranet di universitas tersebut.

Des berhasil mengumpulkan banyak informasi, informasi tersebut disajikannya dalam folder terindeks yang berisikan semua e-mail dan attachment excel. File-file tersebut memperjelas situasi bahwa Braithwaite telah mengirimkan e-mail kepada Sayers dengan scam berpusat pada " Sumbangan" komputer merk SunBlade dari Dr.Braithwaite kepada Sayers dan perusahaannya Crosstitch UK Ltd, terdapat juga e-mail yang menunjukkan bahwa Sayers telah menulis permohonan kepada Badan Pengembangan Inggris untuk pendanaan proyek Crosstitch Up di daerah rampasan dari Wales. Des meminta ijin akses kepada Lembaga Badan Audit inggris untuk mengakses informasi terkait hibah tersebut. Dan ternyata Crosstitch telah menghabiskan sekitar $ 250.000  untuk pembelian "tangan-kedua" mainframe komputer merk SunBlade dari perusahaan Semester Dataset Ltd ( perusahaan yang berbasis di Pulau Jersey yang merupakan daerah bebas Pajak Inggris) , dari nominal tersebut $ 150.000 merupakan dana hibah dari pemerintahan Inggris. Dan ada sebuah email dari Braithwaite yang berkata kepada Sayers : " Anda ingin menggunakan kit ini untuk analisa atau sebagai palang pintu untuk mengesankan petugas hibah?" dan Sayers membalas : " Harus terlihat bagus, setidaknya kita akan mendapatkan hibah, jika mereka setuju aku akan membayarmu $10.000 untuk kit yang kau berikan".

Dari informasi itu Russ semakin yakin bahwa telah terjadi kasus penipuan, pencurian dan korupsi. Ia memutuskan untuk melakukan pengecekan nomor serial dari komputer SunBlade yang berada di Universitas St.Joseph dan juga yang berada di Wales.
Russ harus dapat membuktikan bahwa komputer SunBlade tersebut tidak berada di Universitas, dia telah melakukan penjualan secara diam-diam kepada Sayers, bahwa Braithwaite telah menulis email kepada Sayers, namun ia harus menjauhkan Dr.Braithwaite dari kantor untuk sementara waktu, Ia harus membujuk dekan agar memberikan cuti kepada Dr.Braithwaite dan dekan Universitas hanya memberikan waktu 72 jam bagi Russ Allen untuk menginvestigasi.

Dengan bergerak cepat, Russ segera bekerja menggali register aset dan melakukan perbandingan fisik dengan semua perangkat keras di lokasi, melakukan penyitaan dan backup data register aset tersebut. Dari wakil kepala IT universitas St.Joseph didapat informasi bahwa segala yang mengotorisasi pembuangan dari kelebihan hardware dari Universitas hanya Dr.Braithwaite, tidak boleh ada camput tangan staff lainnya. Dan Dr.Braithwaite bisa mengakses data secara remote ( jarak jauh) sehingga Russ meminta wakil kepala IT untuk mengganti password akses agar Dr.Braithwaite tidak melakukan akses lagi.

Untuk melakukan pemeriksaan terhadap komputer kantor Dr.Braithwaite , Russ menyewa seorang ahli komputer forensik, Ivor dan Frank . Lalu mereka melakukan proses investigasi dengan menyalin hard drive dari komputer Braithwaite dan membawa salinan tersebut ke laboratorium forensik. Sambil menunggu kabar dari Ivor dan Frank , Russ mendokumentasikan segala berkas dan bukti terkait kasus dr.Braithwaite dan Sayers. Keesokan harinya Russ mendapatkan kabar dari Ivor bahwa telah dilakukan proses dump kepada seratus lebih email selama hari Senin lalu, dan teah direcovery oleh mereka. File-file tersebut menjadi bukti transaksi antara Braithwaite dan Sayers. Russ memutuskan untuk melaporkan hal ini ke Kepolisian Scotland Yard. 

Selama seminggu laporan tersebut di proses dan diterima dan investigasi pun telah dimulai. Telah dikeluarkan surat perintah pencarian alamat rumah Braithwaite dan Sayers serta tempat usaha dari Crosstitch di Wales. Ada tiga tim yang diturunkan yaitu perwira polisi , auditor forensik dan komputer forensik. Akhirnya kepolisian berhasil menangkap Sayers dan dari nya disita barang bukti berupa komputer. Tak lama setelah itu mereka berhasil menangkap Dr.Braithwaite dirumahnya , selain menyita komputer pribadinya , kepolisian juga menemukan enam laptop Sunscope yang tersembunyi dibawah tangga rumahnya. Laptop tersebut tercatat sebagai aset milik Universitas St.Joseph namun nomor serinya telah berbeda, hal tersebut akan diproses nantinya. Universitas St.Joseph memutuskan untuk menuntut Dr.Braithwaite. Kasus terus berkembang selama 6 bulan terakhir, dari penyidikan didapat bahwa komputer SunBlade tidak benar-benar di gunakan di Crosstitch Ltd , itu hanya digunakan untuk menipu petugas hibah dari Departemen Pengembangan Inggris. Sayers juga pernah terlibat kasus serupa di Amerika Serikat.

Demikianlah ringkasan kasus Bad Education yang dilakukan oleh Dr.Braithwaite dan Rekannya Goerge Sayers, sekarang kita akan mengidentifikasi Role of Evidene atau sifat dari barang bukti yang terlibat didalam kasus tersebut.

Pertama kita akan mengidentifikasi barang bukti apa saja yang ditemukan pada kasus ini

-          Komputer SunBlade di Perusahaan Crosstitch Ltd
Dalam kasus ini komputer SunBlade merupakan Close Victim karena dijadikan sebagai barang yang diperjual belikan yang merupakan target dari operasi yang dilakukan oleh Dr.Braithwaite dan Sayers , dan bersifat Close karena tidak terhubung melalui jaringan. 
 -          Komputer Pribadi Dr. Braithwaite dan Goerge Sayers
Komputer pribadi Dr. Braithwaite merupakan Open Tools, dikarenakan komputer ini digunakan untuk berkomunikasi dengan Sayers, selain itu komunikasi hanya dilakukan dengan email yang terhubung dengan jaringan komputer sehingga bersifat Open systems.Komputer Pribadi Dr.Braithwaite juga bisa berfungsi sebagai Open Witness, yaitu saksi kejadian transaksi yang menyimpan informasi penting tentang tindak kejahatan yang dilakukan oleh Dr.Braithwaite dan Sayers.  
-          Email Dr.Braithwaite dan Goerge Sayers
Dalam kasus ini email merupakan Open Accomplice ataupun kaki tangan dari tindakan yang dilakukan oleh Dr.Braithwaite dan Sayers, tanpa adanya aplikasi email ini, maka kejahatan tidak akan bisa dilakukan karena satu-satu nya penghubung Dr.Braithwaite dan Sayers adalah komunikasi dengan menggunakan email. Dalam penyelidikan email ini juga bisa dikategorikan sebagai Open Witness, karena dapat diakses kembali untuk mengumpulkan informasi.  
-          Komputer dan Server Universitas St.Joseph
Dalam proses audit dilakukan pengecekan terhadap register aset yang tercatat di database  universitas dengan jumlah aset yang benar-benar ada, sehingga dalam hal ini , komputer dan server dari Universitas St.Joseph merupakan Open Witness, karena dapat diakses secara remote oleh Dr.Braithwaite.

Dibawah ini merupakan tabel Role of Evidence dari kasus Bad Education yang saya bahas diatas .

Evidence
Witness
Tool
Accomplice
Victim
Guardian
Open
Close
Open
Close
Open
Close
Open
Close
Open
Close
Komputer SunBlade
-
-
-
-
-
-
-
O
-
-
Komputer Dr.Braithwaite& Sayers
O
-
O
-
-
-
-
-
-
-
Email Dr.Braithwaite& Sayers
O
-
-
-
O
-
-
-
-
-
Komputer& Server Universitas
O
-
-
-
-
-
-
-
-
-

Demikianlah pembahasan kita mengenai kasus Bad Education pada capter 9 di dalam Bukunya Joseph T. Wells yang berjudul Computer Fraud CaseBook. Semoga dapat menambah wawasan kita semua . Salam forensika digital. :)


Referensi
Wells, J. T. (2009). Computer Fraud Casebook. New Jersey: John Wiley & Sons, Inc.


Baca Selengkapnya »
Diposting oleh di Tidak ada komentar:
Label: , ,

Jumat, 15 Januari 2016

Laporan Hasil Investigasi Kasus Ann's AppleTV

LAPORAN HASIL INVESTIGASI
KASUS ANN’S APPLETV






OLEH :

NORA LIZARTI
14917222




UNIVERSITAS ISLAM INDONESIA

PROGRAM PASCA SARJANA FAKULTAS TEKNIK INDUSTRI
MAGISTER INFORMATIKA

YOGYAKARTA

TAHUN 2015

Daftar Isi

1.      Pembukaan : Sifat Laporan
2.      Pendahuluan
3.      Barang Bukti
4.      Maksud Pemeriksaan
5.      Prosedur Pemeriksaan
6.      Hasil Pemeriksaan
7.      Kesimpulan
8.      Penutup
9.      Informasi Kontak
10.  Lampiran (Curiculum Vitae)

Bagian I - Pembukaan [Sifat Laporan]
Demi hukum dan undang-undang yang berlaku , saya akan memberikan kesaksian dengan sebenar-benarnya dan seadil-adilnya tanpa ada rekayasa. Laporan ini saya buat dalam keadaan sadar dan sehat serta tanpa ada gangguan dari pihak lain. Laporan ini merupakan laporan formal hasil analisa terhadap kasus Ann's AppleTV yang dapat saya pertanggung jawabkan.


Bagian II - Pendahuluan
Ann dan Mr.X sebelumnya telah berhasil ditangkap berkat informasi yang didapatkan dari pantauan jaringan terhadap dirinya. Saat ini Ann dan Mr X dalam pengawasan aparat hukum dan sedang menunggu dokumen ekstradisinya selesai diproses. Sambil menunggu dokumen ekstradisi terhadap Ann selesai, tim penyelidik diam-diam memantau aktivitas nya karena mencurigai bahwa Ann dan Mr.X mendirikan basis baru dari operasi mereka. Baru-baru ini, Ann mendapatkan sebuah TV baru dengan merek AppleTV yang dikonfigurasi dengan alamat IP statis  192.168.1.10. Kemudian penyidik meminta kepada Laboratorium Forensika Digital UII untuk menganalisis file packet  capture tersebut untuk mencari informasi yang didapatkan dari packet capture tersebut, apakah dapat menjawab kecurigaan penyidik.


Bagian III - Barang Bukti
Barang bukti yang dikirimkan dan diberikan oleh penyidik adalah berupa file capture “evidence03.pcap” dalam sebuah flashdisk berukuran 8GB Merk Toshiba.



Bagian IV- Tujuan Pemeriksaan
Maksud dari pemeriksaan yang telah dilakukan adalah untuk menemukan dan mengetahui :
§  MAC Address dari Ann’s Apple TV
§  User-Agent yang digunakan Ann’s AppleTV File yang ditransfer oleh Ann
§  Empat istilah yang pertama kali dicari Ann’s pada AppleTV
§  Judul film pertama kali dibuka ole Ann’s
§  Alamat lengkap URL dari film tersebut
§  Judul film kedua yang dibuka ole Ann’s
§  Harga untuk membeli film kedua tersebut
§  Istilah terkahir yang dicari Ann


Bagian V- Prosedur Pemeriksaan
Prosedur pemeriksaan yang dilakukan terhadap barang bukti adalah sebagai berikut :
§  Mengekstraksi dan menganalisa barang bukti yang berupa file evidence03.pcap. 
§  Menggunakan sistem operasi Kali Linux v2.0 dalam mengekstraksi dan menganalisa file barang bukti.
§  Menggunakan software Wireshark dalam melakukan analisa file capture jaringan
§  Melakukan screenshoot terhadap hasil ekstrasi dan analisa untuk menjawab pertanyaan dari tujuan pemeriksaan.


Bagian VI- Hasil Pemeriksaan
Dari prosedur pemeriksaan dan ekstraksi data serta analisis terhadap file evidence03.pcap ditemukan hasil sebagai berikut :

Berdasarkan analisis dan ekstraksi terhadap barang bukti maka ditemukan hasil pemeriksaan sebagai berikut :
1.      MAC Address dari Ann’s Apple TV
Dari analisis mengguanakn wireshark terhadap paket evidence03.pcap maka ditemukan Mac Address yang digunakan Ann’ AppleTV adalah 00:25:00:FE:07:C4


2.      User-Agent yang digunakan Ann’s AppleTV untuk melakukan request http
User agent yang digunakan oleh Ann adalah AppleTV/2.4. Yang dapat dilakukan dengan cara memfilter IP address manakah yang melakukan permintan http. Perintah untuk memfilter adalah request.http pada menu kolom filter


3.      Empat istilah yang pertama kali dicari Ann’s pada AppleTV
Dari hasil periksaan yang dilakukan dengan tools wireshark ditemukan bahwa empat istilah pertama yang dicari Ann adalah h, ha, hac, hack.  Ini dapat dilihat dan ditemukan dengan menggunkan perintah  http.request.uri contains “search” dan terlihat paket yang terkhir dibuka ada pada no 63.

Selanjutnya meklik kanan pada paket lalu pilih Follow TCP Stream dan akan muncul empat istilah yang dicari dan dibuka oelh Ann seperti gambar berikut.


4.      Judul film pertama kali dibuka ole Ann’s
Judul film yang pertama kali dibuka oleh Ann’ adalah Hackers yang dapat dilihat dengan cara memfilter preview-url  nya dengan menuliskan perintah xml.cdata contains “preview-url” pada kolom filter. Selanjutnya aka nada informasi yang berkaitan dengan judul filem, price serta url dicari oleh Ann. Dan judul film yang pertama kali adalah Hackers.

5.      Alamat lengkap URL dari film tersebut
Dari analisis yang dilakukan makan ditemukan bahwa URL dari film tersebut yaitu http://a227.v.phobos.apple.com/us/r1000/008/Video/62/bd/1b/mzm.plqacyqb..640x278.h264lc.d2.p.m4v
Proses pencariannya juga masih menggunakan preview-url  nya dengan menuliskan perintah xml.cdata contains “preview-url” pada kolom filter. Selanjutnya akan ada informasi yang berkaitan dengan judul filem, price serta url dicari oleh Ann.


6.      Judul film kedua yang dibuka ole Ann’s
Judul film yang pertama kali dibuka oleh Ann’ adalah Sneakers yang dapat dilihat dengan cara memfilter preview-url  nya dengan menuliskan perintah xml.cdata contains “preview-url” pada kolom filter. Selanjutnya aka nada informasi yang berkaitan dengan judul filem, price serta url dicari oleh Ann. Dan judul film kedua uang dibuka Ann adalah Sneakers.


7.      Harga untuk membeli film kedua tersebut
Untuk melihat berapa harga untuk membeli film yang kedua adalah dengan cara memfilter price-display. Perintahnya adalah xml.cdata contains “price-display”. Selanjutnya akan muncul informasi yang berkaitan dengan judul filem, price serta url dicari oleh Ann. Dari hasil pemeriksaan ternyata harga untuk membeli film tersebut adalah $9.99



8.      Istilah terkahir yang dicari Ann
Dari hasil periksaan yang dilakukan dengan tools wireshark ditemukan kata terakhir yang dicari oleh Ann adalah iknowyourewatchingme
Ini dapat dilihat dan ditemukan dengan menggunkan perintah  http.request.uri contains “search” dan terlihat paket yang terkhir dibuka ada pada no 1771.

Selanjutnya meng-klik kanan pada paket lalu pilih Follow TCP Stream dan akan muncul kata terakhir yang dicari seperti gambar berikut.




Bagian VII - Kesimpulan
Telah dilakukan pemeriksaan, estraksi dan analisis terhadapa paket evidence03.pcap sehingga menemukan semua informasi untuk menjawab pertanyaan dari kasus Ann’s AppleTV. Informasi tersebut nantinya dapat digunakan untuk membuktikan kecurigaan penyidik bahwa Ann melakukan komunikasi tersembunyi dengan salah satu rekanannya. Tool dan system operasi yang digunakan dalam melakukan pemeriksaan dan analisis adalah system operasi kali linux v2.0 serta dan wireshark.


Bagian VIII - Penutup
Laporan hasil pemeriksaan dan analisa terhadap kasus Ann's AppleTV ini dibuat secara benar, jujur dan tanpa ada rekayasa dengan menjunjung nilai keadilan dan kode etik yang berlaku berdasarkan dengan keahlian dan kompetensi yang saya miliki sesuai dengan peraturan perundang-undangan yang berlaku.
  

Bagian IX - Informasi Kontak
           [Laboratorium  Forensika Digital]
           Magister Informatika
            Pascasarjana Fakultas Teknologi Industri
            Universitas Islam Indonesia
            Kampus Terpadu UII Jl.Kaliurang Km.14,5- Yogyakarta(55584)
            Tel +62 274 895287
            Fax +62 274 895007

            http://fit.uii.ac.id
Bagian X - Lampiran ( Curriculum Vitae)
Lampiran 1 Screenshoot Evidence Files

Lampiran 2 Curriculum Vitae


Baca Selengkapnya »
Diposting oleh di Tidak ada komentar:
Label: , ,
Langganan: Postingan (Atom)