Teknologi khususnya pada perangkat mobile telah memberikan pertumbuhan secara revolusioner selama 1 dekade terakhir. Ponsel tidak lagi hanya berfungsi sebagai alat komunikasi, tetapi juga menjadi sebuah portable komputer yang canggih. Smartphone dapat menyimpan berbagai kumpulan informasi pribadi didalamnya, hal ini dapat terjadi karena layanan pada smartphone yang semakin “powerful”, seperti adanya layanan berbasis lokasi (Location based services), Berbagi jaringan internet (tethering), pengenalan kata lewat suara (Intelligent voice). Semakin “powerful” sebuah smartphone membuat potensi digunakannya smartphone tersebut sebagai alat untuk melakukan tindak kejahatan atau aktivitas kriminal juga semakin tinggi. Mobile Forensic merupakan ilmu pengetahuan (science), dalam melakukan pemulihan terhadap bukti digital dari sebuah perangkat mobile, dengan menggunakan forensically-sound (teknik-teknik ataupun pengetahuan dalam hal forensik) yang telah diterima dalam ilmu digital forensik baik itu karena diatur sebagai teknik prosedural dan lazim digunakan ataupun karena telah “lulus” dalam suatu standar pengujian ilmiah.
Beberapa tahun terakhir ini, telah banyak penelitian yang dilakukan mengenai berbagai macam platform mobile forensic, skema akuisisi data, dan metode yang digunakan dalam melakukan ektraksi terhadap informasi pada data hasil akuisisi. Tetapi semakin banyaknya penelitian pada mobile forensic, juga secara tidak langsung membuat adanya pihak - pihak tertentu untuk mencari celah bagaimana suatu data atau informasi yang berpotensi dijadikan sebagai sebuah bukti ini menjadi “gugur” sebagai barang bukti, teknik - teknik ataupun alat ataupun software yang dapat digunakan untuk menggugurkan barang bukti inilah yang disebut sebagai anti-forensik.
Pada paper Nemanja et al (2016), Distefano et al membedakan anti-forensik menjadi beberapa jenis, yakni :
- Menghancurkan/merusak bukti
Hal ini bertujuan untuk membuat bukti tidak dapat digunakan sebagai bukti pada saat penyelidikan.
- Menyembunyikan bukti
Hal ini bertujuan untuk menyulitkan seorang analis / digital forensik / penyidik untuk menemukan barang bukti dengan cara mengurangi visibilitas bukti.
- Menghilangkan informasi sumber terkait bukti
Hal ini bertujuan untuk meminimalisir “jejak” yang terdapat pada suatu bukti digital , sehingga seolah-olah ataupun dapat mengakibatkan tidak ada barang bukti yang ditemui. Analogi pada kasus kejahatan konvensional seperti penggunaan sarung tangan untuk melindungi agar fingerprint tidak tertinggal di lokasi kejadian. Biasanya dilakukan oleh penjahat profesional.
- Memalsukan bukti
Hal ini bertujuan untuk mengalihkan proses forensik sehingga seolah-olah bukti yang dianalisis merupakan suatu bukti yang berasal dari original source tetapi ternyata “versi lain” dari original source yang dibuat sedemikian sehingga menggiring informasi yang tidak benar akan bukti tersebut.
Sementara Kessler mengkategorikan anti-forensik menjadi empat group, yakni :
Penyembunyian data, penghapusan artefak atau jejak digital, trail obfuscation (untuk membuat bingung, dis-orientasi, dan mengalihkan proses pemeriksaan forensik terhadap suatu bukti) dan melakukan serangan terhadap proses-proses forensik atau tool forensik yang dapat dikatakan sebagai serangan balik bagi analis/examiner yang kemudian terpaksa melakukan hal non-prosedural pada bukti digital, sehingga menjadi senjata bagi pihak tersangka untuk mempertanyakan proses analisis yang dilakukan.
Pada smartphone yang non-root, informasi ataupun bukti dapat disembunyikan pada alokasi penyimpanan paling deep (dalam) pada memory dengan menggunakan aplikasi-aplikasi yang mensupport akan hal tersebut dan dapat mengembalikannya pada waktu tertentu. Biasanya disimpan dalam satu folder yang di-hidden, sehingga memungkinkan bukti tersebut dapat dihapus secara keseluruhan/massal dalam waktu yang cepat.
Teknik anti forensik dengan melakukan trail obfuscation tidak efektif dilakukan pada mobile devices. Dikarenakan anti-forensik pada smartphone misalnya, hanya berkaitan dengan data yang disimpan dalam perangkat itu sendiri, bukan ditujukan pada smartphone yang lain. (seperti aplikasi hidden-folder atau data). Jadi cara-cara yang tergolong sebagai trail obfuscation untuk membuat bingung dalam proses forensik misalnya mengubah nama file, tidak menjadi suatu masalah bagi examiner, karena mengubah nama file tidak berpengaruh dengan isi dari file tersebut.
Referensi :
NEMANJA D. MAČEK, PERICA ŠTRBAC, DUŠAN ČOKO, IGOR FRANC, and MITKO BOGDANOSKI . 2016. Android forensic and Anti-Forensic Techniques - A Survey. The Eighth International Conferences on Business Information Security. Belgrade, Serbia.
Timestamp secara umum merupakan tag(menandai/mencatat) setiap aktivitas pada komputer yang kemudian disimpan menjadi log atau metadata. Apa yang disimpan ? Tag yang dimaksud adalah setiap kali adanya perubahan pada aktivitas komputer, maka waktu berubahnya yang akan dicatat.
Pada posting kali ini, timestamp lebih dikhususkan terhadap suatu file/data. Issue yang menjadi perhatian mengenai timestamp adalah apakah data log timestamp pada suatu data dapat di palsukan? Hal ini tentunya dapat menjadi tantangan bagi para examiner dalam melakukan analisis khususnya pada saat melakukan sinkronisasi waktu (epoch time) terhadap file atau data yang dijadikan sebagai bukti. Sehingga examiner dapat teliti untuk melihat apakah timestamp pada bukti telah mengalami perubahan secara disengaja sebagai upaya untuk menggugurkan bukti.
TIMESTOMP
Salah satu aplikasi yang digunakan untuk melakukan perubahan terhadap timestamp suatu file atau data adalah timestomp. Timestomp merupakan buatan James. C. Foster dan Vincent Liu. Aplikasi ini dapat dianggap sebagai satu tool anti-forensic. Timestomp dapat menghapus atau mengubah atau memodifikasi informasi terkait dengan timestamp pada suatu file/data/folder.
Pada File System generasi setelah FAT, yakni NTFS (New Technology FIle System) dan ReFS (The Resilient File System) Terdapat 4 (empat) date record yang berbeda pada satu file yang dikenal sebagai MACE Time. MACE Time pada generasi NTFS dan ReFS berada pada bagian $MFT (Master File Table). Jadi pada NTFS terdapat beberapa partisi seperti pada gambar berikut :
(source : Jonathan Adkins - NTFS and The Master File Table_on youtube.com)
$MFT akan menyimpan seluruh informasi yang terkait pada data yang tersimpan dalam alokasi NTFS, seperti nama file, direktori file, waktu, dan lainnya.
MACE TIME stand for :
(M) odified : Tanggal ketika terjadi perubahan pada data itu sendiri. Misalnya penambahan pada isi data.
(A)ccesed : Tanggal ketika file terakhir kali di akses. Hal yang perlu diperhatikan pada tanggal akses adalah, kadang tanggal akses berubah/terpengaruh ketika dipindai oleh antivirus atau sistem lainnya yang otomatis dapat melakukan akses terhadap data tersebut.
(C)reate : Tanggal ketika file pertama kali dibuat dan disimpan dalam volume disk. Tanggal ini seharusnya tidak akan berubah, meskipun file tersebut di akses (membuka/menutup), diedit, dimodifikasi ataupun disimpan.
(E)ntry Modified : Atau biasa juga disebut sebagai MFT Entry Modified merupakan Tanggal khusus yang ada pada file system NTFS ataupun ReFS yang tidak ditampilkan di interface windows. MFT Entry Modified dapat dilihat dengan bantuan aplikasi third parties ataupun forensik seperti encase dan lainnya. Tanggal Entry Modified akan berubah jika informasi mengenai file pada $MFT diubah maka tanggal ini akan ikut berubah. Karena semua tanggal, nama file, ukuran file disimpan pada $MFT. Misalnya jika nama file diubah atau ukuran file berubah, maka tanggal Entry Modified juga berubah.
INTERESTING POINT PADA $MFT
(source : Dave Hull - Detecting Time Stamp Manipulation)
Hal yang menarik pada $MFT adalah data mengenai tanggal pada sebuah file tidak hanya disimpan satu kali pada alokasi memori. Pada $MFT dikenal istilah $Standard_Information ($SI) dan $File_Name($FN). Sehingga data tanggal pada file yang sama disimpan pada 2 lokasi yang berbeda yakni $SI dan $FN. Pada alokasi $FN ternyata hanya dapat mengalami perubahan pada system kernel, sementara $SI berubah ketika ada modifikasi di user level process. Jadi ketika ada perubahan data yang diubah menggunakan aplikasi anti-forensic seperti timestomp maka data pada $SI saja yang berubah, sementara data tanggal pada $FN tidak mengalami perubahan.
Contoh Kasus :
File Create
Saya coba membuat suatu file .txt pada drive F: seperti berikut :
Ketika data baru di buat maka, date untuk created,modified dan accessed akan terpengaruh, seperti pada gambar diatas.
File Modify
Saya mencoba melakukan modifikasi terhadap data dengan menambahkan text lalu menyimpannya, seperti berikut :
Pada gambar diatas, dapat dilihat bahwa date modified dan date accessed berubah ketika dilakukan perubahan terhadap isi data. Tetapi tidak semua perangkat yang menggunakan khususnya generasi windows XP keatas, date accessed-nya berubah ketika dilakukan modifikasi terhadap data.
Kenapa? Karena beberapa sistem windows pada Last Access Updatenya di set 0, yang berarti disable. Untuk mengeceknya dapat dilakukan sebagai berikut pada command prompt :
Untuk mengaktifkan last access update maka set menjadi 1.
File Copy
Saya melakukan copy file di direktori yang sama.
Maka data mengenai date Modified tidak berubah karena sifatnya inherited(diwariskan) dari file yang dicopy. Sehingga yang berubah adalah date created dan date accessednya.
MENCARI CELAH TIMESTOMP
Seperti yang telah dijelaskan sebelumnya, ternyata pada $MFT data tanggal pada file yang sama disimpan pada 2 lokasi yang berbeda yakni $SI dan $FN. Pada alokasi $FN ternyata hanya dapat mengalami perubahan pada system kernel, sementara $SI berubah ketika ada modifikasi di user level process. Jadi ketika ada perubahan data yang diubah menggunakan aplikasi anti-forensic seperti timestomp maka data pada $SI saja yang berubah, sementara data tanggal pada $FN tidak mengalami perubahan.
Oleh karena itu, kita akan membuktikan hal tersebut dengan melakukan ekstrakting terhadap $SI dan $FN dari $MFT pada direktori F:\ yang dipakai untuk menyimpan file cobaStamp.txt yang telah dibuat sebelumnya.
Langkah - langkahnya sebagai berikut :
1. Ubah seluruh data tanggal pada cobaStamp.txt yang awal mula :
Dengan menggunakan TimeStomp pada command prompt akan mengubah tanggal yang diinginkan, dalam hal ini saya melakukan set tanggalnya sebagai berikut :
Terlebih dahulu, download timestomp.exe kemudian pindahkan program tersebut ke Dekstop.
Lalu ketikkan timestomp pada command prompt untuk mengetahui apakah timestomp telah dapat digunakan dan memberikan petunjuk mengenai option penggunaannya, seperti berikut :
Untuk mengubah keseluruhan tanggal pada data maka menggunakan option -z :
Saya mengeset tanggalnya menjadi Monday 01 January 2018 3:33:33 PM Sehingga data akan berubah tanggalnya seperti berikut :
2. Langkah berikutnya adalah melakukan ekstrak pada $MFT di direktori F: dengan cara sebagai berikut :
Saya menggunakan FTK Imager untuk memperoleh data $MFT. Maka Step nya adalah sebagai berikut :
Pada FTK Imager, Pilih File kemudian pilih Add Evidence Item…
Pilih Source dari Logical Drive.
Pilih Source dari Drive F yang merupakan tempat dari cobStamp.txt.
Di Evidence Tree pilih subfolder root (klik 2x), kemudian pada bagian kanan scrolling down hingga menemukan file $MFT, terdapat 2 file $MFT, yakni $MFT dan $MFTMirr (Mirror). Silahkan pilih yang file dengan nama $MFT saja.
Kemudian pilih Export Files…
Pilih tempat penyimpanan file, simpan file tersebut di didesktop untuk lebih memudahkan, kemudian tunggu hingga proses export file selesai, maka akan muncul pop up window yang berisi keterangan jumlah bytes yang diexport.
Pada desktop, file tersebut ternyata tidak muncul, maka perlu dilakukan analisis list direktori menggunakan command prompt, seperti berikut :
Di list direktori pun file $MFT tidak ada, maka coba perintah attrib (attribute) :
File $MFT terdaftar di Desktop. Apa yang membuat file tersebut tidak terlihat ternyata karena file tersebut Tersembunyi (ditandai dengan keterangan SH/Hidden).
Maka , clear SH pada file dengan perintah diatas.
Maka file akan tampak di desktop, ubah nama file menjadi MFT untuk memudahkan pada proses berikutnya.
3. Langkah berikutnya, file MFT tersebut belum dapat langsung dianalisa karena datanya masih tidak terstruktur dengan baik (time-line file), sehingga sulit untuk membacanya. Oleh karena itu perlu dilakukan konversi terlebih dahulu, agar data tersebut dapat dianalisis secara rapih, terstruktur dalam bentuk table (CSV). Salah satunya menggunakan program AnalyzeMFT .
Yang menjadi kesulitan adalah, AnalyzeMFT ini ber-ekstensi .PY, yang berarti program ini merupakan Raw-Script dari Python.
Sebenarnya pada windows dapat dibuka menggunakan Python Software Foundation, tetapi saya mencari informasi dan menemukan ternyata di linux (saya menggunakan Ubuntu 18.04 LTS yang di running di VB) Script AnalyzeMFT.py ini bisa langsung di run di Terminal dengan mendownload python versi terminal.
Jadi saya memutuskan untuk melakukan konversi terhadap data $MFT di terminal Linux Ubuntu.
File MFT yang ada diwindows saya pindahkan ke Linux dan mendownload sekaligus install analyzeMFT langsung di terminal.
Kemudian melakukan konversi file MFT yang berada di Desktop menjadi suatu file bernama output yang bertipe csv, seperti pada perintah di gambar atas.
Tunggu hingga konversi selesai (memang agak lama), dan file hasil konversi kemudian akan tampil di Desktop. File tersebut kemudian saya pindahkan lagi ke windows untuk dibuka di excel.
Terdapat ribuan record yang dicatat oleh $MFT dan berbagi atribut yang melekat pada file tersebut. Agar tidak membingungkan, maka saya coba memindahkan file cobaStamp.txt saja ke worksheet baru beserta atribute $SI dan $FN saja.
Dari file cobaStamp.txt dapat diketahui bahwa data pada $Standard Information untuk Creation date, Modif date, Access date, dan Entry date ternyata memang berubah (pada tabel highlight orange). Sementara pada $File Name untuk Creation date, Modif date, Access date dan Entry datenya tidak mengalami perubahan!
Dari hasil analisis yang didapatkan, indikasinya adalah file cobaStamp.txt dengan sengaja diubah data datenya (Creation, Modify, Access dan Entry date). Karena ada perbedaan antara $SI date dengan $FN date.
--- THANKS ---
Subscribe to:
Posts
(
Atom
)
