TimeLine Analisis

Pada postingan kali ini kita akan membahas tentang timeline analisis. Dalam forensika digital , waktu merupakan unsur yang paling penting dalam sebuah pembuktian, identifikasi dan analisa dari sebuah barang bukti digital. Lalu apakah yang dmaksus dengan timeline analisis? Timeline analisis merupakan urutan kejadian dari waktu kewaktu dalam system dan berisikan time stamps seperti informasi pembuatan file, acces file dan modifikasi  dari data dalam system maupun sumber lainnya seperti log dan metadata. Dalam forensika digital, timeline digunakan untuk merekonstruksi urutan kejadian dengan tujuan untuk memudahkan seorang investigator ataupun aparat penegak hukum dalam menganalisa barang bukti dan membuktikan adanya keterkaitan antara barang bukti dengan kasus kejahatan yang terjadi sehingga dapat dipergunakan di pengadilan. Namun terdapat permasalahan krusial dalam membuat sebuah timeline , yaitu keabsahan dan kredibilitas dari timeline yang dibuat. 

Timeline sangat bergantung terhadap timestamp yang merupakan catatan waktu dalam file metadata yang berisikan informasi tentang MAC ( Modified, Access, Created) dari sebuah barang bukti digital. Kelemahan timestamps adalah sangat rentan terhadap kerusakan seperti erorr dari sistem , ataupun usaha dari pelaku untuk mengaburkan keberadaan timestamps itu sendiri.

Pada tahun 2006, Eiland dkk melakukan sebuah penelitian mengenai kredibilitas terhadap timeline analisis pada forensika digital dengan judul : Time  Line Analysis  in Digital  Forensics. Menurut Eiland, kesalahan dalam timestamps dapat disebabkan oleh faktor internal ( perbedaan waktu GMT) dan eksternal ( perubahan yang dilakukan oleh user). 2 faktor tersebut terjadi dikarenakan 2 alasan yaitu

1.     Systemic Erorr
Kesalahan secara sistemik yaitu efek samping yang ditimbulkan oleh sistem operasi pada umumnya. Dari faktor internalnya , kesalahan ini berasal dari proses clock-drift yaitu erorrnya setingan waktu pada sebuah sistem, sedangkan faktor eksternalnya adalah perbedaan pengaturan time-of-flight ( pengaturan GMT)2.      Interventional Erorr
Intervensi yang disebabkan oleh perubahan yang dengan sengaja dilakukan oleh sebuah sistem lain, ataupun user. Dalam hal ini faktor internalnya adalah seseorang yang dengan sengaja melakukan perubahan terhadap timestamps dengan tujuan mengacaukan sebuah urutan waktu, sedangkan dari faktor eksternalnya berasal dari intervensi yang dilakukan oleh serangkaiang malware 

Dari beberapa faktor diatas , pembuatan timeline yang valid menjadi sulit dilakukan, apalagi dalam hal pembuatan timeline secara otomatis, diperlukan penggabungan antara tools-tools forensik yang dimiliki dengan teknik secara manual, yaitu kemampuan sumber daya manusia yang baik agar dapat membuat sebuah timeline yang valid. Penggabungan kedua teknik ini akan lebih memudahkan seorang investigator dalam membuat sebuah timeline.

Dan pada tahun 2013, Chandrawanshi dan Gupta dalam penelitiannya “Server timeline analysis for web forensics” melakukan sebuah studi terhadap teknik dalam analisa timeline pada sebuah web server. Analisa ini berguna dalam studi forensik untuk menganalisa log file pada sebuah web untuk menemukan pola kejadian akses user pada sebuah halaman web. Dengan melakukan studi literatur terhadap beberapa penelitian terkait sebelumnya, Chandrawanshi dan Gupta membuat sebuah tools forensik untuk menganalisa timeline secara otomatis, yang kompatibel untuk menangani  segala log file pada sebuah web,termasuk file log yang di-firewall. Dari sumber web log files yang didapatkan, mereka melakukan analisis dengan metode yang mereka sebut “pre-prosess dan teknik path analysis” untuk mendapatkan informasi mengenai URL yang mengakses server tersebut yang nantinya akan menghasilkan visualisasi timeline.

Adapun kerangka dari metode pre-prosess dan teknik path analysis adalah seperti yang terlihat pada gambar dibawah ini

 Dengan adanya tools ini , maka proses rekonstruksi dari sebuah timeline akan menjadi lebih mudah dan valid , dikarenakan semua kejadian akan terintegrasi dan terhubung dan akan dibandingkan dengan informasi dari log file web server tersebut. Sehingga setiap usaha untuk melakukan modifikasi terhadap timestamps dapat dilihat melalui log- server.

Penelitian terbaru mengenai timeline analisis adalah penelitian yang dilakukan oleh Leigh dan Shi (2014) yang berjudul “Forensic Timeline Analysis of ZFS". Banyak tools-tools forensik yang mampu menganalisa file system sebuah operasi sistem yang banyak digunakan seperti Windows, Linux  dan Mac, namun file system yang kurang populer seperti ZFS (Zettabyte File System) mempunyai masalah tersendiri. Ini karena ZFS mempunyai struktur yang komplek untuk penyimpanan data dan metadatanya. ZFS sendiri banyak digunakan untuk storage kelas Enterprise . Dalam penelitian tersebut mereka menggunakan Fress BSD 9.1 dan ZFS Pool  untuk mengekstraksi metadata yang tersimpan dalam file ZFS kemudian menganalisis datanya untuk mengetahui time stamps  dan selanjutnya dilakukan analisis terhdap timelinenya.  Untuk melakuan penyesuaian terhadap waktu time stampnya mereka menggunakan blok pointer. Walaupun penelitian ini telah telah terbukti  berkerja dan dilakukan uji coba di laboratorium  namun masih memepertimbankan kemungkinan lain yang timbul seperti adanya manipulasi terhadap time stamp bisa diungkapkan.

Dari ketiga penelitian yang sedikit diulas diatas , dapat disimpulkan bahwa dalam melakukan analisa terhadap timeline memiliki permasalahan sendiri ,faktanya adalah timeline merupakan hal penting dalam proses investigasi bukti digital, kredibilitas dari timeline sangat dituntut agar dapat dilakukan rekonstruksi terhadap kejadian kejahatan secara dunia maya, selain itu timeline juga berguna agar bukti digital benar-benar dapat dipertanggung jawabkan di depan pengadilan ini masih merupakan open problem bagi para peneliti dibidang teknologi informasi untuk terus mengembangkan sebuah sistem yang dapat menghasilkan sebuah timeline yang memenuhi segala kebutuhan dari analisa forensik tersebut.

Referensi

Chandrawanshi, R., & Gupta, H. (2003). A Survey: Server TimeLine Analysis For Web Forensics. International Journal of Scientific Research Engineering & Technology, 1(March), 17–21. Retrieved from http://www.ijsret.org/pdf/rohit_chandrawanshi_139.pdf

Eiland, E. E. (2006). Time Line Analysis in Digital Forensics, 1–6. Retrieved from https://www.cs.nmt.edu/~DF/StudentPapers/Eiland.pdf\npapers2://publication/uuid/DB190D15-EA29-4009-A672-AA5520F5BB8E

Leigh, D., & Shi, H. (2014). Forensic Timeline Analysis of ZFS Using ZFS Metadata to enhance timeline analysis and detect forged timestamps, 1–15.