Resume Paper Anti-Forensic and The Digital Investigator - Garry C. Kessler

Pada postingan kali ini saya akan me-resume sebuah jurnal Anti forensic yang ditulis oleh Garry C. Kessler yang berjudul " Anti-Forensic and The Digital Investigator". Jurnal ini menjelaskan tentang alat-alat dan metode di dalam Anti Forensic. Konsep dari Anti forensik bukan hanya digunakan untuk kejahatan namun juga dapat digunakan untuk melindungi privasi.

Apa itu Anti Forensic?

Menurut Rogers (2006) , Anti Forensik adalah usaha untuk menimbulkan efek negatif terhadap keberadaan dan kualitas dari barang bukti dari lokasi kejadian , atau membuat sebuah proses analisa barang bukti menjadi susah dilakukan.

Sedangkan menurut Liu dan Brown (2006) , Anti Forensik adalah pengaplikasian dari sebuah metode terhadap media digital untuk membuat informasi menjadi tidak valid di depan persidangan.

Kessler sendiri mengungkapkan bahwa Anti forensik dapat dilihat dari 2 sudut pandang, pada perspektif si pelaku kejahatan mungkin anti forensik adalah tindakan untuk mempersulit diperolehnya sebuah bukti digital , namun dari perspektif subjek yang melakukan , bisa dinilai sebagai tindakan untuk memproteksi keamanan dari privasi mereka.

Kategori dari Metode Anti Forensik

Menurut Rogers(2006) ada 4 kategori dari metode Anti Forensik, yaitu :

1. Data Hiding

Data hiding adalah sebuah kegiatan menyembunyikan sebuah data informasi. Data hiding dapat dilakukan dengan banyak cara, salah satunya adalah dengan Steganography . Saat ini banyak terdapat aplikasi Stego yang mampu menyimpan informasi digital didalam berbagai macam files, termasuk gambar,audio, video, dan file-file executable. Contoh lainnya adalah Saluran rahasia dalam data protokol komunikasi yang memungkinkan komunikasi tersembunyi pada sebuah jaringan publik ataupun private, misalnya Transmission Control Protocol / Internet Protocol (TCP / IP) suite memiliki kelemahan yang dapat dimanfaatkan untuk memungkinkan komunikasi rahasia. Data juga dapat disembunyikan pada slack space sebuah hard drive komputer disembunyikan di dalam Master Boot Record, disisipkandidalam compact disk danPartisi yang tersembunyi bahkan terenkripsi juga sering digunakan sebagai tempat penyimpanan data rahasia dan juga metadata dari berbagai macam file.

2. Artefact Wiping

Artefak wiping adalah kegiatan menghapus dan menimpa file sehingga tidak mungkin lagi untuk diperbaiki. Tools artefact wiping sudah banyak tersedia ,seperti BC Wipe, Eraser, PGP Wipe Destroy yang menggunakan sistem penghapusan dan penimpaan secara berkali-kali. Penggunaan dari tools tersebut mempersulit seorang investigator dalam memperoleh informasi penting, dan bisa dikatakan sangat mustahil.

Software Automated Artefact  Wiping tersedia dipasaran  seolah-olah untuk memungkinkan pengguna untuk memulihkan ruang penyimpanan dan melindungi privasi seseorang  dengan menghapus file-file sementara yang tidak dibutuhkan yang dianggap dapat merusak hard drive. Tapi perangkat lunak seperti Evidence Eliminator, Secure Clean, dan Window Washer mampu menghapus history browser dan Cache file, menghapus file sistem operasi, slack space dan ruang yang tidak terisi dimana lokasi tersebut merupakan lokasi terdapatnya barang bukti yang paling penting. Banyak dari program-program ini dikonfigurasikan untuk menghilangkan sisa-sisa berbagai sistem operasi dan umum utilitas (misalnya, Windows, MS Office, Internet Explorer, AOL Instant Messenger, dan Firefox), dan memiliki tambahan plug-in untuk sejumlah besar aplikasi umum lainnya (misalnya, Eudora, Picasa, RealAudio, dan WinZip) yang kesemua fitur tersebut bila digunakan oleh pelaku kejahatan  akan menghambat untuk pengumpulan barang bukti

3. Trail Obfuscation

Trail Obfuscation merupakan salah satu metode anti forensik dimana penggunanya menyamarkan jejaknya dengan membuat jejakpalsu. Contoh mekanisme Trail Obfuscation ini diantaranya adalah penggunaan header email palsu dan penggunaan SSH Tunnel Server. Contoh penggunaan SSH Tunnel Server, ketika seseorang melakukan akses jaringan, maka alamat yang digunakan bukanlah alamat orang yang mengakses, melainkan alamat yang digunakannya berubah menjadi alamat SSH Tunnel Servernya, sehingga dapat membuat jejak palsu.

Selain itu, trail obfuscation ini juga dapat dilakukan dengan cara me-wiping atau merubah log file server atau file system event atau mengubah tanggal yang ada pada file metadata. Cara merubah log file server ini juga dapat mengaburkan jejak dan meninggalkan jejakpalsu.

4. Attacks Against Computer Forensics Tools

Serangan langsung terhadap komputer forensik merupakan metode Anti forensik yang paling baru dan juga paling membahayakan. Menurut Daubert, hakim dapat menentukan diterimanya bukti ilmiah berdasarkan empat faktor:

·         Pengujian: Apakah prosedur telah teruji?

·         Error Rate: Apakah ada tingkat kesalahan pada prosedur?

·         Publikasi: Apakah prosedur telah diterbitkan dan tunduk pada peer review?

·         Penerimaan: Apakah prosedur umum diterima dalam komunitas ilmiah yang relevan?

Prosedur anti-forensik, kemudian, dapat menyerang keandalan bukti digital; jika keandalan bukti bisa berhasil dipertanyakan, menjadi tidak berharga di pengadilan hukum. Telah sering terjadi penyerangan terhadap Tools dan komputer forensik , dari laporan Konferensi Black Hat di Amerika Serikat pada 2007 silam , kelompok tersebut mempresentasikan keberhasilan mereka dalam mengeksploitasi sejumlah aplikasi forensik komersial dan opensource. Hal ini tentunya menjadi ancaman besar bagi para investigator forensik karena ke validan dari Tools yang mereka gunakan akan dipertanyakan di Pengadilan ,sehingga proses dan hasil investigasi bisa saja di tolak oleh pengadilan.

Aspek Lain dari Anti Forensik

The Metaspolit Project

The Metaspolit Project adalah projek kolaborasi dari aplikasi open-source dengan tujuan untuk memberikan informasi kepada usaha  penetrasi testing (pentest), perkembangan signature dari intrusion detection system (IDS) , dan pengujian kelemahan sistem. Salah satu output dari Project Metasploit Anti-Forensic Investigation Arsenal ( MAFIA) adalah membangun sebuah program ,antara lain :

• Sam Juicer : sebuah program yang menghasilkan sebuah kode hash dari file NT Security Access Manager ( SAM) tanpa harus menyentuh hard drive
• Slacker : sebuah program untuk menyimpan file pada sleck space dari file NTFS
• Transmogrify : mampu mengalahkan kapabilitas deteksi dari  file signature  Encase dan memungkinkan user untuk membuka atau menutup bermacam-macam tipe file
• Timestomp : adalah sebuah program yang dapat merubah timestamps dari semua file NTFS

Ketika tools MAFIA sukses menyelesaikan output mereka maka software tersebut dapat digunakan untuk berbagai macam tujuan, salah satunya adalah menyembunyikan bukti penting dari sebuah tindak kriminal dan memindahkan nya kepada pihak yang tidak bersalah.

Cryptography

Kriptografi merupakan tools Anti-Forensik yang paling pamungkas. Dalam kasus anti forensik salah satu kriptografi yang digunakanya itu pengengkripsian data.  Ketika seseorang menggunakan kriptografi maka investigator akan kesulitan dan bahkan tidak mampu menganalisisnya. Banyak aplikasi seperti adobe acrobat, ms office dan winzip yang menyediakan mekansime kriptografi ini dengan mengizinkan user untuk membuat password agar dapat memproteksi filenya.

Bukan hanya file yang dapat di enkripsi, bahkan disk juga. Seperti BitLocker, SafeBoot dan lainnya yang dapat menggagalkan proses forensik. Selain itu penggunaan komunikasi jaringan yang terenkripsi seperti Secure Socket Layer (SSL), Virtual Private Network (VPN) membuat trafik komunikasi jaringan menjadi tidak dapat dianalsis.

The User

Banyak orang yang beranggapan bahwa dengan menggunakan tools anti forensik dapat membuat pemeriksaan komputer menjadi lebih sulit. Secara umum, terdapat hubungan linear antara kesulitan dalam penggunaan tools anti forensik dengan seberapa penting data tersebut harus disembunyikan. Terdapat beberapa fakta, antara lain

• Tidak semua user akan menginstall Tools Anti Forensik
• Tidak semua pengguna yang menginstal tools tersebut akan menggunakannya secara konsisten, dan akan meninggalkan informasi yang tidak berguna
• Tidak semua user yang menggunakan tools anti forensik akan menggunakan tools tersebut secara benar, yang mana akan meninggalkan informasi yang tidak berguna
• Tidak semua tools anti forensik sama seperti apa yang mereka iklankan, yang mana tools tersebut masih saja tetap meninggalkan jejak dan bukti.

Time Sensitive Anti Forensik

Tujuan lain dari anti forensik adalah untuk melindungi data. Dalam model security, deteksi dan respon terhadap serangan berlangsung secara otomatis dan membutuhkan waktu yang relative singkat (detik, menit, atau jam). Hal ini berbanding terbalik dengan aktivitas forensik seperti identifikasi, akusisi, pemeriksaan, dan analisis bukti digital yang memerlukan kecerdasan manusia dan memakan waktu yang relative lama (hari atau minggu).  Dalam beberapa kasus, penggunaan anti forensik ditujukan untuk membuat proses ini menjadi lebih lama sehingga berakibat gagalnya proses forensik. Investigasi sangat sensitive terhadap waktu. Hal ini mengingat karena semakin lama proses forensik yang dilakukan maka akan semakin banyak membuang waktu, uang, dan sumber daya personel investigasi.

Sehingga terkadang, anti forensik digunakan dengan cara membanjiri informasi yang ada pada barang bukti digital, sehingga investigator membutuhkan waktu yang lama untuk menganalisis informasi tersebut.

Kesimpulan

Setiap usaha untuk membuat proses investigasi forensik menjadi lebih sulit telah menjadi tantangan baru bagi dunia digital forensik. Enkripsi mengajarkan investigator untuk berpikir dua kali sebelum mematikan komputer yang ada pada lokasi kejadian. Live imaging terhadap harddisk dan RAM menjadi hal yang paling banyak digunakan saatini. Intinya setiap ada tantangan baru dari anti forensik berarti akan menjadi pengalaman dan ilmu baru yang didapatkan oleh para praktisi forensik. Kecerdasan manusia dan waktu yang dimiliki menjadi senjata utama yang dimiliki praktisi forensik.

Perlu dicatat bahwa, metode dari anti forensik akan menyebabkan barang bukti menjadi tidak layak untuk proses eksaminasi ataupun untuk dihadirkan dipengadilan, namun itu menjadi tugas dan tantangan bagi para praktisi forensik untuk memecahkan setiap kasus sesulit apapun , tentu saja dengan memaksimalkan sumber daya dan kecerdasan manusia untuk mencari sebuah solusi dan menjawab sebuah tantangan.

Referensi :

Kessler, G.C. (2007, December). Anti-forensics and the digital investigator. In C. Valli& A. Woodward(Ed.), Proceedings of the 5th Australian Digital Forensics Conference. Mt. Lawley, Western Australia:Edith Cowan University.