Untuk kali ini kita akan menyambung
pembahasan tentang Anti Forensik yang sebelum nya sudah sedikit dibahas pada artikel
Anti Forensic and The Digital Invesigator disini .
Pada postingan kali ini saya akan
meresume sebuah jurnal anti forensik yang ditulis oleh Przemyslaw Pajek and Elias Pimenidis yang berjudul "Computer
Anti-forensics Methods and Their Impact on Computer Forensic Investigation".
Pada jurnal ini Pajek dan Elias lebih menekankan terhadap pengaruh
dari Anti forensik terhadap Locard's
Principle yang merupakan dasar dari pencarian barang bukti forensik. Menurut
mereka, anti forensik mampu mengkontaminasi sebuah jejak barang bukti sehingga
dapat mengaburkan prinsip dari Locard itu sendiri. Apa itu Locard Principle ,
dapat dibaca pada postingan saya sebelumnya disini : http://noralizarti.blogspot.co.id/2015/10/locard-exchange-principle.html
Pajek melakukan beberapa eksperimen terhadap beberapa metode Anti
Forensik yang terkenal dengan tujuan untuk mengidentifikasi metode manakah yang
paling baik bagi penerapan anti forensik dalam menghadapi proses investigasi
forensik.
Computer Forensics Methodologies versus Anti-forensics
Untuk menguji teknik dari Anti forensik
secara baik, maka diperlukan usaha
identifkasi metodologi forensik per-bagiannya. Setiap bagian akan menerapkan
metode forensik dan anti forensik yang berbeda. Adapun Pajek membagi Stage
tersebut menjadi 3 bagian, yaitu :
1. Stage One – Elimination of Source
Cara paling mudah untuk mengeliminasi
sumber data adalah dengan cara mentidak aktifkan responsible dari tools pada
sumber, bisa dilakukan dengan melakukan setingan pada registri komputer. Komputer
akan otomatis berhenti merekam semua proses log. Contoh lain adalah dengan cara
mengedit group policy dari sistem operasi sehingga sistem tidak lagi me-log
browser history dari website-website yang kita kunjungi. Metode lain yang dapat
digunakan adalah melakukan wiping log dan disk sehingga semua data akan
terhapus dan sangat mustahil untuk di-recovery.
Stage Two – Hiding the Data
Pada bagian ini , tidak perlu menghapus
data, namun cukup dengan menyembunyikan data pada lokasi yang sangat sulit
untuk ditemukan dan diproses. Dapat dilakukan dengan cara :
·
Memanipulasi
"header" dari sebuah data sehingga data tersebut tidak dapat dibaca
oleh pihak lain tanpa terlebih dahulu mengembalikan header aslinya.
·
Menyembunyikan
data pada slack space di media hard drive ,dengan memanfaatkan sistem cluster
dan sector dari sebuah media penyimpanan.
·
Stenography
, cara ini dilakukan dengan memasukkan digital watermark pada sebuah image
ataupun file-file lainnya. Diperlukan usaha ekstra dalam mengenali file-file
yang memiliki embed stenografi didalamnya karena file yang dianggap file biasa,
bisa saja memiliki informasi penting.
·
Enskripsi,
dalam banyak kasus, enkripsi dilakukan sebagai upaya pencegahan terhadap akses
yang ilegal terhadap sebuah file. Metode ini bisa diaplikasikan terhadap
tindakan anti forensik, dan sangat mustahil bagi seorang penyidik untuk dapat
membuka file yang sudah terenkripsi tersebut
Stage Three – Direct Attacks against Computer Forensic Software
Salah satu cara untuk menyerang komputer
forensik adalah dengan memecahkan titik kelemahannya dan melakukan intrusion
atau penyusupan didalam nya. Tools dari komputer forensik yang beredar saat ini
memiliki titik kelemahan yang berbeda-beda namun memungkinkan untuk disusupi
oleh para penggiat anti forensik. Adapun 2 kelemahan dari komputer forensik
yang pernah di susupi adalah :
- Memodifikasi
Timestamp
- Hash Collision , merubah nilai sebuah hash dari barang bukti asli
3 Experimenting with
Anti-forensics Techniques
Pajek melakukan 3 stage eksperimen untuk
mengevaluasi teknik mana yang paling baik untuk diterapkan, adapun 3 step
tersebut adalah :
1. Stage One - untuk proses wiping , yaitu :
·
Menguji
apakah data yang sudah dihapus bisa di-recovery
·
Menguji
apakah live data bisa di recovery
2. Stage two - untuk teknik menyembunyikan
data
·
Melihat
apakah ada data penting yang bisa disembunyikan
·
Pengaplikasian
teknik hiding
·
Menguji
apakah data yang disembunyikan bisa ditampilkan
·
Menguji
apakah data live bisa dibaca
3. Stage three - mencari tahu kredibilitas
dari software
·
Menguji
apakah modifikasi terhadap timestamp bisa dimunculkan
·
Menguji
apakah timestamp asli bisa di munculkan kembali
Dari ketiga tahap eksperimen diatas,
Pajek mengemukan hasil dalam bentuk tabel seperti dibawah ini :
1. Tabel hasil pengujian Tahap pertama-
wiping data
|
Tools/ Deleted Area
|
Presence of deleted data revealed/ if yes where? MFT Entry
|
Actual Data/ if yes from where?
|
Forensic tool used
|
|
Eraser v.5.86.1-
Freeware
|
Yes,
NTFS\$LogFile, NTFS\$130
|
No
|
FTK 1.71- demo
|
|
External Examiner
|
Yes, NTFS\$LogFile,
NTFS\$130
|
No
|
FTK 1.81.0 -
Fully licensed
|
|
Flex TK Express
V.2.8.42- Freeware
|
Yes,
NTFS\$LogFile..SMFT, $130
|
No
|
FTK 1.71- demo
|
|
External Examiner
|
Yes, Orphan
files, NTFS\$LogFile..SMFT, $130
|
No
|
FTK 1.81.0 -
Fully licensed
|
|
Free Wipe Wixard
1.5 ( Freeware)
|
Yes,
NTFS\$LogFile, SMFT, $130 + List of deleted file
|
Yes, 60 % of
data, by data carving
|
FTK 1.71- demo
|
|
External Examiner
|
Yes,
NTFS\$LogFile, SMFT, $130, change log file+ List of deleted file
|
Yes, 60 % Data,
method not defined
|
FTK 1.81.0 -
Fully licensed
|
|
Tool 4 R-Wipe and
Clean v.8.1b_1462
|
No
|
No
|
FTK 1.71- demo
|
|
External Examiner
|
No
|
No
|
FTK 1.81.0 -
Fully licensed
|
2. Tabel hasil pengujian tahap kedua -
hiding data
|
Techniques
applied/ Areas of Hard drive
|
Presences
of hidden data revealed
|
Actual
Data recovered
|
Recovery
technique applied
|
Forensic
Tool used
|
|
Manipulation
of file Extensions and Signature
|
Yes-
50% of tested files
|
Yes-
50% of tested files
|
General
Forensic Software
|
FTK
1.71- demo
|
|
External
Examiner
|
Yes-
75% if tested files
|
Yes-
75% if tested files
|
General
Forensic Software+ hex editing and checking extensions
|
FTK
1.81.0 - Fully licensed
|
|
Stenography
in single image files
|
No,
but raised suspicion
|
No
|
General
Forensic Software + entropy test
|
FTK
1.71- demo
|
|
External
Examiner
|
No
|
No
|
FTK
1.81.0 - Fully licensed
|
FTK
1.81.0 - Fully licensed
|
|
Encryption
of Volume
|
No,
but raised suspicion
|
No
|
General
Forensic Software + entropy test
|
FTK
1.71- demo
|
|
External
Examiner
|
No
|
No
|
General
Forensic Software
|
FTK
1.81.0 - Fully licensed
|
|
Manual
Hiding in file slack space
|
Yes
|
Yes
|
General
Forensic Software
|
FTK
1.71- demo
|
|
External
Examiner
|
Yes
|
Yes
|
General
Forensic Software
|
FTK
1.81.0 - Fully licensed
|
Dari tabel diatas dapat disimpulkan
dengan menggunakan versi trial dari software FTK 1.71, 50 % dari signature yang
telah dimanipulasi berhasil di identifikasi oleh software forensik. Secara
manual, data yang tersembunyi pada slack space berhasil di munculkan kembali.
Namun pada kasus data yang ter-stenography tidak dapat dimunculkan, namun test
entropi meningkatkan kecurigaan terhadap file tersebut. Data yang terenkripsi
juga tidak dimunculkan namun dapat teridentifikasi sebagai file yang dicurigai
memiliki informasi yang tersembunyi.
3. Tabel hasil pengujian tahap ketiga
|
Tool
used
|
Time
Stamp- value created
|
Time
Stamp- value modified
|
Time
Stamp- value last accesed
|
Time
Stamp- value entry modified
|
Forensic tool used
|
|
|
Manipulation
revealed in % original. Timestamp recovered in %
|
Manipulation
revealed in % original. Timestamp recovered in %
|
Manipulation
revealed in % original. Timestamp recovered in %
|
Not
Analysed
|
|
|
Tool
1 - Freeware
|
No
- 0 %
|
No
- 0 %
|
Yes-
25 %
|
|
FTK
1.71- demo
|
|
External
Examiner
|
Yes-
100 %
|
Yes-
100 %
|
Yes
-100 %
|
|
FTK
1.81.0 - Fully licensed
|
|
Tool
2 - 10 days trial
|
No
- 0 %
|
Yes
- 33 %
|
Yes
- 25 %
|
|
FTK
1.71- demo
|
|
External
Examiner
|
Yes-100
%
|
Yes-100
%
|
Yes-100
%
|
|
FTK
1.81.0 - Fully licensed
|
|
Tool
3 - Timestomp- Freeware
|
Tool
failed to work
|
Tool
failed to work
|
Tool
failed to work
|
|
FTK
1.71- demo
|
|
External
Examiner
|
|
|
|
|
FTK
1.81.0 - Fully licensed
|
|
Tool
4 -Trial
|
No
- 0 %
|
No
- 0 %
|
Yes
- 50%
|
|
FTK
1.71- demo
|
|
External
Examiner
|
Yes-100
%
|
Yes-100
%
|
Yes-100
%
|
|
FTK
1.81.0 - Fully licensed
|
Dari tabel diatas, didapatkan kesimpulan
bahwa 100 % dari value yang dibuat, 33 % nilai modifikasi dan Last accessed
berhasil dimunculkan. Pada software forensik full version akan dapat mendeteksi
100% kemungkinan dari perubahan timestamps.
4 Kesimpulan
Dari hasil eksperimen dapat dibuktikan
bahwa tidak semua teknik anti forensik berhasil terhadap software dan tools
komputer forensik. Dalam banyak kasus, tools AF gagal menyembunyikan dan
menghapus file dan data penting. Penggunaan Steganografi dan enkripsi file
dianggap paling mampu untuk menyembunyikan data dari investigasi dengan
menggunakan software forensik. Eksperimen membuktikan bahwa dari 3 tahap uji
coba diatas hanya 2 teknik tersebut yang mendapatkan hasil diatas rata-rata.
Dalam analisa kasus diatas , perlu adanya pengalaman dan pengetahuan mendalam
dalam mengaplikasikan sebuah software forensik sehingga dapat dimanfaatkan
secara maksimal. Selain itu , pengalaman dari seorang investigator juga
memainkan peranan penting daripada software yang digunakan.
Demikianlah pembahasan saya mengenai
Jurnal Computer Anti-forensics Methods and Their Impact on Computer
Forensic Investigation karya Przemyslaw Pajek and Elias Pimenidis
Referensi :
Pajek,
P., Pimenidis, E., (2009). Computer Anti-forensics Methods and Their Impact on
Computer Forensic Investigation. Page 145-155.
Tidak ada komentar:
Posting Komentar