MITK
Occam Razor and Alexiou Principle - Part 2 (Cases)
Setelah kita mengetahui pada postingan sebelumnya mengenai apa itu Occam Razor Principle ? Apa itu Alexiou Principle ? Bagaimana menerapkannya ? Nah kali ini, saya mencoba menerapkan kedua prinsip tersebut untuk mengetahui kira-kira dari beberapa asumsi atau dugaan awal yang dibentuk, mana yang akan dipilih sebagai asumsi yang paling mendekati “kebenaran” untuk mengungkap sebuah kasus dengan menggunakan pendekatan dari kedua prinsip tersebut.
Berikut merupakan kasus yang saya ambil sebagai contoh, dari website The HoneyNet Project yang dapat diakses pada http://old.honeynet.org/scans/scan24/
The Challenge :
The folks from Digital Forensic Research WorkShop have created a unique challenge for you. Your mission is to analyze a recovered floppy and answer the questions below. What makes this challenge unique, you will need to read the police report before continuing your challenge. Just like an investigation in the real world, you will have some background information and some evidence, but its up to you and your technical skills to dig up the answers. Below is the dd image of the recovered floppy. This is the image that will provide you the answers, providing you can 'extract' the data.
Make sure you check the MD5 checksum of your download before you unzip it.
------------------
Jika di terjemahkan, kira-kira challenge-nya begini :
Anggota team dari Digital Forensic Research Workshop memberikan tantangan yang unik untuk kamu! Misi kamu pada kasus ini adalah melakukan analisis terhadap sebuah floppy-disk yang ditemukan, dan kamu harus mengungkap dan menjawab pertanyaan yang telah disertakan dibawah ini. Apa yang membuat tantangan ini menjadi unik ? Karena ini seperti melakukan investigasi yang real, dimana juga disertakan laporan polisi yang kamu harus baca terlebih dahulu. Pada laporan tersebut terdapat informasi latar-belakang dan beberapa barang bukti, dan teknis dalam investigasi tidak dibatasi, sesuaikan dengan keterampilan kamu!
Data dibawah ini adalah hash value file bertipe dd yang menjadi pedoman kamu nantinya pada saat melakukan ekstrak data :
Pastikan kamu mengecek MD5 - checksum dari fie bukti diatas sebelum kamu melakukan unzip!
LAPORAN KEPOLISIAN - KASUS JOE JACOB
Joe Jacobs, 28 tahun, ditahan atas tuduhan menjual obat-obatan terlarang dengan target siswa SMA. Seorang petugas polisi sektor menyamar sebagai pembeli untuk menjebak Jacobs di tempat parkir Smith Hill - High School. Target mendekati polisi tersebut dan menawarkan ganja. Sebelum polisi memberi jawaban kepada target, target langsung mengeluarkan beberapa bungkusan diduga ganja untuk ditunjukkan kepada polisi tersebut. Target kemudian berkata, “Lihat barang ini, orang Kolombia tidak bisa menyuburkan lebih baik dari ini! Pemasok saya bukan cuma menjual tapi juga menumbuhkannya sendiri.
Target telah beberapa kali terlihat di berbagai kesempatan, sedang nongkrong di berbagai tempat parkir di sekolah-sekolah menengah atas sekitar pukul 2:30 siang, saat jam pulang sekolah. Guru-guru di beberapa sekolah juga telah melakukan kontak kepada kepolisian atas adanya target di lingkungan sekolah mereka, dan atas laporan dari pihak guru, ternyata memang terjadi peningkatan penggunaan narkoba di kalangan siswa mereka semenjak terlihatnya target di lingkungan sekolah.
Polisi membutuhkan bantuan unit Digital Forensik untuk mendapatkan bukti kuat, apakah Joe Jacobs memang telah menjual obat-obatan terlarang kepada siswa di sekolah lain selain di Smith Hill. Soalnya, tidak ada satu siswa-pun yang bersedia memberikan kesaksiannya untuk membantu polisi (Mengingat bahwa, di negara tersebut privasi sangat dijunjung tinggi, sehingga tidak bisa melakukan tindakan jika saksi secara pribadi tidak ingin dan menolak memberikan keterangan). Berdasarkan keterangan Jacobs yang sempat menyebut mengenai orang Kolombia, membuat polisi menyimpulkan bahwa ganja yang dimiliki oleh Jacobs ada pemasok/produsennya dan akan mendalami siapa orangnya.
Jacobs membantah menjual narkoba di sekolah lain selain di Smith Hill dan menolak untuk memberikan nama pemasok ganja tersebut. Jacobs juga memberikan bantahan terhadap apa yang dia katakan kepada polisi sektor yang menyamar tepat sebelum dilakukan penangkapan. Setelah mengeluarkan surat perintah penggeledahan dan melakukan penyelidikan di rumah tersangka, polisi memenukan lagi sejumlah kecil ganja. Selain itu polisi juga menyita sebuah floppy-disk yang dicurigai, tetapi anehnya tidak ada komputer dan/atau-pun media lain yang dapat mengakses floppy tersebut yang ada di dalam rumah.
First responder kemudian telah melakukan proses imaging terhadap floppy-disk tersangka dan memberikan salinnya kepada Anda. Mereka ingin anda menggali dan dapat memberikan jawaban atas pertanyaan yang telah disertakan. Polisi ingin anda mendapatkan informasi apapun itu yang mungkin akan membuktikan bahwa Joe Jacobs sebenarnya menjual narkoba di sekolah lain selain di Smith Hill. Juga mencoba mencari tahu kemungkinan terdapat informasi mengenai siapa pemasok ganja Joe Jacobs.
Jaminan terdapat Jacob ditetapkan sebesar $10,000.-, karena khawatir Jacob melarikan diri, polisi ingin membuatnya dipenjara sesegera mungkin. Oleh karena itu, polisi ingin anda mendapatkan informasi yang kemudian dapat dijadikan bukti yang kuat untuk dihadapkan ke pengadilan paling lambat diserahkan pada 25 Oktober 2002. Mohon untuk menyertakan apa saja informasi yang diperoleh, proses dan teknik yang digunakan dan tindakan apa yang dilakukan tersangka dalam upaya menghilangkan bukti, baik itu menghapus/menyembunyikan/dan/atau mengubah data pada floppy-disk. Semoga Berhasil!
Perhatian : Setiap nama, lokasi dan situasi yang disajikan hanya settingan. Sehingga kemiripan nama/lokasi/dan/atau situasi apapun yang disebutkan adalah murni kebetulan.
Pertanyaan yang coba digalih oleh kepolisian :
1. Siapa pemasok marijuana(ganja) yang dimiliki oleh Joe Jacobs dan dimana lokasinya (alamat pemasok) ?
2. Data penting apa yang diperoleh dari file coverpage.jpg dan mengapa data itu penting ?
3. Adakah informasi mengenai sekolah lain yang dijadikan sebagai sasaran Joe Jacobs dalam menjual ganjanya selain Smith Hill ?
4. Pada setiap file, proses apa yang di lakukan oleh tersangka untuk menutupi kasus ini ?
5. Proses apa yang anda lakukan dan gunakan sebagai penyidik untuk memeriksa seluruh isi setiap file ?
Dari pertanyaan tersebut, saya akan mencoba menjawab dan menyelesaikan salah satu dari pertanyaan diatas yang merupakan salah satu inti yang dapat membuka kasus ini, yakni :
Hal teknis yang saya lakukan :
Mengunduh file image.zip dan melakukan verifikasi terhadap integritas dari file tersebut ;
1. Mengunduh file salinan hasil imaging dari link yang diberikan berikut http://old.honeynet.org/scans/scan24/image.zip menggunakan browser Google Chrome pada tanggal 26 Juli 2018. file tersebut berbentuk zip dengan nama image.
2. Kemudian sebelum melakukan ekstrak terhadap file, saya menghitung dan mencocokkan nilai hash dari file untuk memastikan bahwa file yang saya peroleh tidak mengalami perubahan sedikitpun dan masih sama yang diperoleh oleh first responder sebelumnya.
Saya menggunakan aplikasi HashTab v6.0.0 dari vendor Implbits Software untuk menghitung MD5 dari file dengan hasil sebagai berikut :
Sehingga MD5 dinyatakan “Matched”.
3. Langkah selanjutnya, saya membuka file zip menggunakan WinZip Version 1.0.700.1.
Isi dari file hanya 1, yaitu image dengan ukuran 1.40 MB.
Kemudian saya melakukan ekstrak ke drive F pada perangkat komputer saya.
--------
Berdasarkan analisa awal, file image bertipe .file yang mengindikasikan bahwa file tersebut merupakan file “generic” atau umum yang tidak memiliki ekstensi yang terikat dengan suatu program apapun yang ada di komputer yang sedang digunakan untuk mengaksesnya. Karena bertipe file, maka hal yang paling memungkinkan adalah membuka file tersebut menggunakan aplikasi text reader sederhana untuk melihat “kandungan” dari file tersebut yang dapat memberikan petunjuk untuk mengakses file tersebut.
1. Pada kasus ini saya menggunakan aplikasi wordPad bawaan windows 10 seperti yang terlihat dibawah ini :
Disclaimer : hasil text reading diatas tercapture tidak secara keseluruhan.
2. Hal penting yang didapati dari hasil text reading diatas, mengindikasikan file merupakan suatu file system dengan tipe FAT (File Allocation Table) yang berarti bahwa file tersebut digunakan sebagai suatu alokasi memory pada sistem berkas dan digunakan sebagai media penyimpanan. FAT12 berarti memiliki unit alokasi dengan batas 12-bit, jadi dapat meyimpan maksimum hingga 2^12 atau 4096 data dengan maksimum ukuran 32 MegaByte.
-----------
Setelah mengetahui bahwa file ternyata merupakan suatu file system, maka untuk melihat “kandungan” isi dari file system tersebut dapat dilakukan Mounting. Mounting adalah teknik untuk menyalin secara bit-to-bit setiap isi file, yang mana file tersebut merupakan partisi disk (drive).
1. Hal pertama yang saya pikirkan jika melakukan mounting file adalah, setelah di mount, file tersebut harus disimpan dimana ? oleh karena itu, saya menggunakan aplikasi OSFMount Version 1.5.1015. Aplikasi ini,selain bisa melakukan mounting terhadap sebuah file partisi disk, juga sekalian membuatkan drive virtual yang bisa diakses layaknya drive :E dan lainnya pada sistem komputer. Maka hasil mounted nya adalah sebagai berikut :
Hasil Mounted file disimpan di drive virtual bernama G: yang memberikan info mengenai path lokasi Image, ukuran dari direktori, hak akses, tipe dari file system, dan OS yang digunakan untuk membuat file system FAT tersebut mulanya.
Drive saya pada sistem komputer yang saya gunakan tertambah drive G: yang merupakan disk virtual. Sehingga isi file tersebut dapat diakses sekarang.
Pada image.file berisi:
- cover page.jpgc dengan ukuran 16kb.
- SCHEDU~1 dengan ukuran 1kb.
---------
Maka kita perlu melakukan analisis dari root filenya yakni image.file dan juga cover page.jpgc dengan melihat file system sectornya. Analisis dengan melihat sector ini merupakan sebuah teknik analisis dengan melihat isi file berdasarkan lokasi sektor pada sistem penyimpanannya dengan nilai hexadecimal.
1. Untuk melakukan analisis terhadap sector berdasarkan nilai hexadecimalnya, saya menggunakan disk editor. Hal pertama yang saya lakukan adalah melakukan analisis terhadap root file yakni image.file. Pada sector 19, dari kode ASCII yang berhasil di dapatkan berdasarkan hexadecimal, mengindikasikan isi dari file, seperti berikut :
- terdapat satu buah file bertipe DOC dengan tulisan yang dapat di baca : Jimmy Jungle.
- satu file JPG dengan tulisan yang dapat dibaca : cover page.
-satu file (belum diketahui) tapi bertipe EXE dengan tulisan dapat dibaca : Scheduled Vis…
2. Kemudian pada sector 33 terdapat nilai hexadecimal yang dapat diidentifikasi sebagai berikut :
Awal nilai sector pada offset 16896 sampai 6 bytes ke depan yakni (D0 CF 11 E0 A1 B1 1A E1) menandakan bahwa sector tersebut diisi oleh file microsoft office (.doc/.ppt/.xls) sesuai dengan legalitas standar microsoft office.
Selanjutnya adalah menemukan end of filenya. Setelah melakukan scrolling sambil melihat convert ascii dan nilai hexadecimalnya, pada sektor 73 terdapat nilai hexadecimal pada bytes awal di sector 73 ( FF D8 ) yang menandakan standar pada file lain, dan melihat pada sector 72 masih terdapat dan terbaca ascii yang bertuliskan document, sehingga saya mengambil kesimpulan bahwa end of file dari microsoft office file tersebut berakhir di sektor 73.
3. Karena pada disk editor tidak dapat memotong sector dengan panjang tertentu, maka saya menggunakan aplikasi editor hexadecimal lainnya yaitu winHex version 19.6.
Pada winHex sector 33 hingga sector 72 saya blocked (offset 4200 - offset 91FF), 1 sector hexadecimal memiliki ukuran 512 bytes, satu baris (offset) panjangnya 16 bytes dan terdapat 32 offset. Sehingga dari sector 33 hingga sector 72 memiliki panjang (72-33)+1 = 40 sector. 40 sector x 512 bytes = 20,480 bytes. Jadi file document tersebut memiliki ukuran 20,480 bytes atau sekitar 20 kb.
4. Setelah melakukan block terhadap sector yang berisi file document tersebut, langkah selanjutnya adalah memotongnya dan membuat file baru dari hasil potongan sector tersebut. Hal ini dilakukan untuk memulihkan file tersebut agar dapat dibaca.
Save file tersebut dengan tipe document, karena pada nilai ascii yang sempat terbaca pada sector 33 - 27 terdapat kata document maka kita dapat mengindikasikan bahwa file ini adalah sebuah document, sehingga saya memberi nama jimmy jungle.doc .
File tersebut berhasil terpulihkan.
(isi dari jimmy jungle.doc)
---------
Awal mula adalah melakukan analisis terhadap cover page.jpgc tetapi pada saat proses analisis dilakukan, kita malah menemukan informasi lain yang tersimpan di jimmy jungle.doc.
Nah, langkah berikutnya adalah menganalisis file yang berada pada sector 73 setelah dokumen tadi.
1. Dari nilai hexa awal pada sector 73 di baris pertama yakni ( FF D8 … ) mengindikasikan bahwa file ini memiliki format standar untuk JPEG atau JPEG File Interchange Standard (JFIF Standard) berdasarkan referensi saya berikut :
2. FF D8 mengindikasikan nilai awal dari gambar, kemudian langkah selanjutnya mencari nilai akhir dari gambar tersebut.
Pada sector 103 offset CEDF, nilai akhir dari gambar berhasil ditemukan. Hal ini dapat diketahui karena terdapat nilai FF D9 yang merupakan nilai hexa untuk mengakhiri sebuah JPEG sesuai dengan referensi sebelumnya.
3. Pada sector 103, juga terdapat informasi menarik yakni adanya sisipan text (string) pw=goodtimes, dugaan saya bahwa ini merupakan password untuk membuka SCHEDU~1.EXE, karena pada properties file tersebut, didapatkan informasi bahwa file ini merupakan file zip yang berisi 1 buah file dengan ukuran 16,896 bytes dan memiliki password seperti berikut ini :
Maka , seperti pada cara untuk memulihkan file jimmy jungle.doc sebelumnya, saya memisahkan nilai hex pada sector 104 di offset D000 hingga sector 108 di offset D9FF yang mengindikasikan bahwa pada sector tersebut terisi sebuah file yang dapat dilihat dari ascii hexa-nya. Karena mengetahui bahwa file tersebut di archive menggunakan zip seperti pada gambar sebelumnya, maka file dari sector 104 hingga 108 saya beri nama SCHEDU.zip seperti berikut :
Dan benar saja ketika akan membuka file tersebut, ternyata harus menggunakan password seperti berikut :
Saya memasukkan password yang disisipkan di sector 103 dan berhasil membuka archive zip tersebut.
Terdapat sebuah file Scheduled Visits.xls yang isinya adalah sebagai berikut :
4. Kemudian, langkah berikutnya adalah meng-esktrak gambar JPEG yang telah kita temukan start (DD F8) dan end (DD F9) sesuai dengan nilai hexnya. Gambar tersebut berada di sector 73 pada offset 9200 hingga di sector 103 pada offset CFFF.
Berikan esktensi file dengan tipe .jpgc kemudian save.
File tersebut kemudian dapat dibuka menggunakan paint seperti berikut :
Dari hanya ingin menganalisis terhadap 1 pertanyaan yakni data penting apa yang diperoleh dari file coverpage.jpg dan mengapa data itu penting ? ternyata dalam prosesnya kita dapat menemukan keseluruhan data /file dan memulihkannya, yang disimpan dalam floppy tersebut.
Dengan menggunakan prinsip occam razor, untuk menjawab data penting apa yang diperoleh dari file coverpage.jpg dan mengapa data itu penting ? Maka, data lain yang kita telah temukan tidak dapat digunakan sebagai penegas untuk memperkuat jawaban tersebut. Karena konteks pertanyaannya adalah data penting yang ada pada coverpage.jpg, sehingga jawabannya harus fokus saja pada coverpage.jpg tanpa menambahkan bukti lainnya yang didapat.
Jadi jawabannya akan menjadi :
1. Coverpage.jpg pada gambar memuat tulisan “POT SMOKERS MONTHLY” Your Monthly guide to the best pot on the plant! Kemudian ada gambar (kurang jelas) dan dibawahnya ada tulisan “This month’s featured pot grower, smoker and seller is Jimmy Jungle.”
Data tersebut dianggap penting karena terdapat nama Jimmy Jungle yang pada tulisan tersebut dikatakan sebagai pot grower, smoker and seller (jika diterjemahkan secara bebas ke dalam bahasa Indonesia adalah Jimmy Jungle merupakan orang yang menumbuhkan, sebagai pengguna dan penjual).
2. Terdapat string ‘pw=goodtimes’ di sector 103 yang dapat membuka file zip SCHEDU~1.EXE (Archive Zip) setelah dilakukan analisis dan pemulihan file. Isi filenya adalah Sheduled Visits.xls yang berisi nama sekolah-sekolah dan ada kolom hari dan bulan (tidak dijelaskan lebih lanjut) dari april, mei dan juni.
---------
Karena pada prinsip occam razor kita tidak dapat menambahkan asumsi lain selain fakta yang didapatkan, maka jawabannya hanya sebatas itu. Mengenai maksud dari pot smokers monthly, siapa Jimmy Jungle ?, dan apa yang tumbuhkan,digunakan dan dijual oleh Jimmy Jungle kita tidak boleh menambahkan asumsi tersebut kedalam jawaban.
Terdapat 4 pertanyaan yang telah dipetakan untuk menjawab suatu pertanyaan, yakni :
1. Pertanyaan apa yang kamu coba untuk jawab ?
Pertanyaan yang coba dijawab adalah data penting apa yang diperoleh dari file coverpage.jpg dan mengapa data itu penting ?
2. Data apa yang kamu perlukan untuk menjawab pertanyaan tersebut ?
Data yang dibutuhkan adalah hasil ekstraksi file image.zip yang merupakan sebuah file system bertipe FAT12, berarti digunakan sebagai media penyimpanan. Dari data tersebut kemudian dilakukan analisis berdasarkan nilai heaxdecimal dari setiap sectornya. Dari hasil mounted file image.zip juga diketahui bahwa image.zip didalamnya terdapat file coverpage,jpgc.
3. Bagaimana kamu ekstrak data tersebut ?
Untuk menjawab pertanyaan ini silahkan lihat langkah-langkah teknis yang telah saya lakukan sebelumnya.
4. Apa yang kamu dapat dari data tersebut ?
Dari data file coverpage.jpgc yang telah diekstrak, kemudian diketahui bahwa ada sebuah nama pada tulisan di gambar, yakni Jimmy Jungle yang diyakini sebagai pemasok ganja untuk Joe Jacobs. Karena terdapat kata yang memperkuat dugaan serta foto yang diduga adalah tanaman ganja. Kata tersebut bertuliskan “This month’s featured pot grower, smoker and seller is Jimmy Jungle.”
Selain itu, setelah melakukan analisis terhadap sectornya, terdapat string ‘pw=goodtimes’ yang dapat membuka isi dari file archive zip SCHEDU~1.EXE. Isinya adalah satu file dengan nama Scheduled Visits.xls yang ketika dibuka berisi nama - nama sekolah serta terdapat kolom hari dan bulan yang diyakini kuat adalah list data transaksi ganja yang berhasil dilakukan dari bulan april hingga mei tahun 2002.
---------
Demikian posting kali ini mengenai penerapan prinsip occam razor dan alexiou dalam membuka sebuah kasus penjualan obat-obat terlarang dengan barang bukti sebuah hasil imaging dari floppy disk yang ditemukan dirumah tersangka.
Post a Comment