KONSEP ANTI FORENSICS

Antiforensik adalah kebalikan dari forensik yaitu teknik yang digunakan untuk mempersulit atau menggagalkan upaya  analisis forensik. Sebenarnya ilmu antiforensik muncul lebih dahulu dibandingkan dengan ilmu forensik, dimana pada jaman dahulu digunakan pada masa-masa perang sebagai media komunikasi yang aman antara prajurit dengan atasannya(Ruby Alamsyah).

Agan-agan, jika anda adalah orang baik, maka di luar sana mungkin ada orang yang jahat. jika forensik bertujuan mengungkap sebuah kasus, maka anti forensik bertujuan menutupi sebuah kasus. Tujuan anti forensik antara lain :

1.       Menghancurkan barang bukti;

2.       Memberi informasi yang tidak akurat;

3.       Memperlama waktu pemeriksaan barang bukti;

Intinya adalah bagaimana caranya agar suatu kasus tidak bisa dipecahkan, atau walaupun bisa dipecahkan, maka akan memakan waktu yang lama dan dengan tingkat kerumitan yang tinggi.

terlepas dari niat atau tujuan forensik maupun anti forensik,kedua kegiatan tersebut mempunyai teknik tersendiri. artinya anti forensik pun dilakukan dengan ilmu pengetahuan atau sains. 

Teknik anti forensik antara lain :
1.        Kriptografi

2.       Steganografi

3.       Watermarking

4.       Data hiding

Metode Anti Forensik

Ada 4 metode anti forensik yang dikemukakan oleh Dr. Marc Rogers, yaitu :

1. Data Hiding

Teknik menyembunyikan data, dilakukan agar investigator tidak dapat melihat bukti secara langsung. Barang bukti tidak dimusnahkan atau dimanipulasi, hanya disembunyikan agar membuatnya lebih tidak tampak di mata investigator. Oleh karenanya diperlukan pemeriksaan lebih mendalam terhadap barang bukti tersebut.

Contoh: steganography, data yang disembunyikan di unallocated space dalam harddisk.

2. Artefact Wiping

Teknik memusnahkan barang bukti dengan cara menghapusnya sehingga sulit dan jika mungkin mustahil untuk di-recover. Teknik ini dapat dilakukan dengan berbagai macam tools yang telah tersedia di pasaran, seperti BC Wipe, Eraser, dan PGP Wipe. Namun teknik ini juga bisa dibilang tidak sempurna, karena kebanyakan dari tools tersebut akan meninggalkan jejak penghapusan yang dapat dilacak.

3. Trail Obfuscation

Teknik mengacaukan jejak yang dilakukan agar investigator forensik dibuat bingung dalam proses pemeriksaan barang bukti. Contoh tools yang digunakan adalah:

• Timestomp   –> digunakan untuk memodifikasi timestamp (access, creation, dan modification time/date) pada metadata.
• Transmogrify   –> digunakan untuk memodifikasi header dari file signature. Contoh: header file .jpg diubah menjadi header file .doc, sehingga jika ada tools forensik yang digunakan untuk mencari file .jpg, maka file .jpg yang telah diubah header-nya menjadi file .doc akan di-skip.

4. Attacks Against Computer Forensics Tools

Teknik serangan terhadap tools forensik komputer. Dilakukan karena tools tersebut memiliki celah keamanan (vulnerability) dan investigator yang sangat bergantung kepada tools tersebut.

Salah satu contohnya adalah tools anti forensik yang menargetkan integritas nilai hash untuk verifikasi image/copy dari bukti digital. Dengan mempengaruhi integritas nilai hash inilah, nantinya membuat barang bukti yang dikumpulkan dan diperiksa akan diragukan keabsahannya.

SUMBER
http://infokomputerdotcom.blogspot.com/2014/01/anti-forensik.html
www.garykessler.net/library/2007_ADFC_anti-forensics.pdf
http://www.senenkliwon.com/anti-forensik-2837.htm

MALWARE & CYBERCRIME ECOSYSTEM

• Malware (biaya: 0 – $20,000 untuk yang license based). Trojan yang didesain untuk mencuri data, memanipulasi online banking session, dan lain-lain. 
• Infrastucture (biaya: $50 – $1,000 untuk sewa perbulan). Layanan hosting untuk update malware, konfigurasi, dan C&C server.
• Spammers (biaya: $1 – $4 per 1.000 email). Operator spam botnet yang mengirimkan email berisi link atau file attachment dengan trojan di dalamnya. 
• Exploit kits (biaya: $2,000 untuk sewa perbulan). Toolkit yang didesain untuk mengeksploitasi kelemahan sistem. 
• Droppers (biaya: 0 – $10,000). Software yang didesain untuk men-download malware ke device dan menghindari antivirus. 
• Money mules (biaya: sampai dengan 60% dari saldo rekening). Pihak yang menerima dana curian dari rekening yang di-hack dan mentransfernya melalui anonymous payment service ke operator dana curian.

MALWARE

Malware (malicious software) merupakan suatu software yang diciptakan untuk menyusup, merusak dan memata-matai untuk melakukan tujuan tertentu tanpa ijin dari pemilik, dan biasanya digunakan sebagai catch phrase.

CYBERCRIME

Cybercrime (Kejahatan Dunia Maya) adalah istilah kejahatan dibidang teknologi informasi yang mengacu kepada aktivitas atau perbuatan kejahatan yang dilakukan oleh seseorang atau kelompok tertentu dengan memanfaatkan jaringan komputer atau teknologi internet sebagai fasilitas dan sasaran kejahatan.

EKOSISTEM

merupakan suatu sistem ekologi yang terbentuk oleh hubungan timbal balik tak terpisahkan antara makhluk hidup dengan lingkungannya. Ekosistem bisa dikatakan juga suatu tatanan kesatuan secara utuh dan menyeluruh antara segenap unsur lingkungan hidup yang saling memengaruhi.

CYBERCRIME ECOSYSTEM

Seperti yang dituliskan oleh Etay Maor, Senior Fraud Prevention Strategist IBM Security, dalam artikelnya yang berjudul “Cybercrime Ecosystem: Everything Is for Sale“ (2007), seorang cybercriminal akan berperan dalam semua tahapan aktivitas cybercrime, mulai dari menulis kode program malware & mendistribusikannya, mempersiapkan C&C server, mengidentifikasi target infeksi, mengelola dana curian, dan sebagainya. Namun saat ini, keseluruhan proses tidak harus dikerjakan oleh seorang cybercriminal, tetapi dapat dilakukan bersama-sama orang lain, dan dapat juga memanfaatkan service/tool yang ada di underground market, baik yang dijual maupun disewakan. Banyaknya pihak dan service/tool yang terlibat dalam cybercrime ini, membentuk sebuah ekosistem tindak kejahatan kriminal. Maka ekosistem ini disebut sebagai Cybercrime Ecosystem.

Sumber :

SUMBER

http://www.draware.dk/fileadmin/IBM/The_thriving_malware_industriy._Cybercrime_made_easy.pdf
https://securityintelligence.com/cybercrime-ecosystem-everything-is-for-sale

http://octianaeni.blogspot.com/2013/11/cybercrime_29.html

INFOGRAFIS CYBERCRIME #CASE : CARBANAK GANK

korban    : lebih dari 100 bank di 30 negara
kerugian : ditaksir mencapai US$ 1 miliar/sekitar 12,7 triliun rupiah

1. Serangan dimulai dengan cara masuk ke komputer karyawan bank target. dengan spear phising(memberi link tipuan untuk mencuri identitas korban), kemudian diinjek dengan malware carbanak
2. Berikutnya setelah masuk ke komputer korban, mereka mulai masuk ke jaringan internal dan melacak komputer admin untuk melakukan pengamatan video. yang diamati adalah detail aktivitas karyawan yang melayani transfer tunai untuk bisa ditiru dan mentransfer.
3. Untuk menarik uang hasil tindakan jahat mereka, mereka menggunakan online banking atau sistem e-payment internasional untuk mentransfer uang dari rekening bank ke rekening mereka.

SUMBER
https://blog.kaspersky.com/billion-dollar-apt-carbanak/7519/
http://www.infokomputer.com/2015/02/berita/berita-reguler/dengan-phishing-hacker-carbanak-curi-uang-us1-miliar-dari-100-bank/

BLACK MARKET CYBER CRIME

BLACK MARKET 

BLACK MARKET (PASAR GELAP) adalah pasar yang secara rutin memperdagangkan barang- barang atau jasa tertentu yang dilarang oleh pemerintah yang berkuasa di negara tersebut. Alasan ditempuhnya jalur "bawah tanah" ini berkenaan dengan keinginan sejumlah pembeli atau penjual untuk menghindari kontrol harga pemerintah  yang ketat atau kuota ketat. Di samping juga untuk meng-hindari pajak yang cukup tinggi atas barang-barang dan jasa tertentu, atau sekadar untuk menjual barang/jasa yang dilarang oleh pemerintah.

 

HUKUM DAN BLACK MARKET

Mahkamah Agung dalam putusan no.527 K/Pdt/2006 menyebutkan jika black market merupakan perdagangan tidak resmi. Sudah jelas bahwa black market adalah illegal karena menyalahi peraturan karena bersifat tidak resmi.syarat sah perjanjian  diatur dalam  pasal 1320 kitab undang-undang Hukum Perdata (KUHPer)yakni sebab yang tidak bertentangan dengan Undang-undang, kesusilaanmaupun ketertiban umum.
Belum adanya undang-undang ITE yang khusus mengatur black market maupun sanksi yang berlaku bagi pelaku black market. Inilah yang menjadi kelemahan hukum yang mengatur black market. Perlu adanya revisi terkait UU ITE, karena akan kejahatan dan teknologi akan berkembang, dan kelemahan UU ITE bsa menjadi senjata bagi para pelaku kejahatan agar terbebas dari hukuman, meskipun terjerat  hukuman  tapi  akan  ringan.
Ada pasal di UU ITE yang sedikit menyinggung black market yaitu UU ITE yang membahas tentang hak kekayaan  dan intelektual, namun pasal ini tidak menjelaskan tentan penjualan ataupun pembelian serta barang black market, hanya menjelaskan hak kekayaan intelektual tentang perangkat lunak dan perangkat keras komputer.

 

BLACK MARKET DALAM KEJAHATAN DUNIA MAYA

Aktivitas kriminal dalam dunia cyber semakin meningkat dengan adanya komunitas hacker yang bekerja secara sembunyi-sembunyi (underground). Mereka bisa saja terlibat dalam praktek black market, misalnya saja praktek jual beli data yang notabene merupakan data hasil curian, merancang malware dan malicious code untuk melakukan pencurian uang, dan bahkan bisa bekerja sama dengan penjahat kriminal tradisional, seperti kartel narkotik, mafia, bahkan teroris. Oleh karena banyaknya penggerebekan yang dilakukan oleh aparat saat terjadinya transaksi kejahatan secara fisik, maka kini transaksi kejahatan pun berpindah secara online. Bermacam teknik pengamanan digunakan di dalamnya, seperti akses terbatas pada area black market, penggunaan teknologi enkripsi, dan penggunaan nama alias atau bahkan anonim.

Cybercrime black market terdiri dari jaringan hacker berskala global. Mereka merupakan komunitas hacker yang berbagi opini, alat, dan informasi lain dalam sebuah forum yang terorganisir. Tujuannya adalah menjauhkan diri dari penegak hukum dan pihak berwenang yang melakukan pengawasan. Cybercrime black market digunakan untuk melakukan aktivitas ilegal, seperti jual beli malicious code, dan bahkan menyediakan layanan/jasa hacking profesional.

Menurut publikasi dari Trend Micro di laman resources.infosecinstitute.com, praktek ilegal dalam cybercrime black market adalah mengenai:

1. Layanan/jasa programming dan penjualan software.
2. Layanan/jasa hacking.
3. Penjualan server dedicated dan layanan/jasa hosting anti peluru.
4. Layanan/jasa spam & flood, termasuk call & SMS flood.
5. Penjualan download.
6. Layanan/jasa DDoS (Distributed Denial of Service).
7. Penjualan traffic.
8. Layanan/jasa enkripsi file.
9. Penjualan trojan.
10. Layanan/jasa penulisan program exploit dan penjualannya.

PELAKU BLACK MARKET

FBI telah merilis kategori para pelaku yang berhubungan dengan Black Market, yaitu sebagai tingkatan posisi profesional dalam organisasi mafia cyber crime, sebagai berikut :

1. Programmers: Orang yang menciptakan program malware untuk tindak kejahatan.
2. Distributors: Bertugas untuk menjual informasi yang diperoleh ke pasar gelap.
3. Tech experts : Bertanggung jawab untuk memelihara infrastruktur IT yang digunakan dalam pelaksanaan cybercrime black market, seperti server, enkripsi teknologi, database, dan sejenisnya.
4. Hackers: Bertugas untuk mencari kerentanan dan mengeksploitasi aplikasi, sistem dan jaringan yang akan jadi target.
5. Fraudsters: Bertugas membuat dan menyebarkan berbagai skema rekayasa sosial, seperti phishing dan spam.
6. Hosted system provider: Penyedia layanan hosting yang aman dari server konten terlarang dan situs.
7. Cashier: Mengatur rekening hasil tindakan ilegal dan menyediakan nama dan akun bagi pelaku kejahatan lain untuk mendapatkan uang.
8. Money mules: Mengatur sistem transfer antar rekening bank secara aman dan bergaransi yang memungkinkan transaksi antar rekening tidak terdeteksi sebagai tindak kejahatan pencucian uang.
9. Tellers: Berperan dalam mencairkan atau mengkonversi nilai mata uang digital ke dalam bentuk mata uang tertentu.
10. Organization leader: Pemimpin dari setiap kegiatan ilegal. Posisi inilah yang sering mengatur dan mengendalikan setiap orang yang berada pada posisinya, meski terkadang orang ini tidak memiliki kemampuan di bidang IT.

SUMBER
http://arti-pengertian-definisi.blogspot.com/2013/04/arti-definisi-pengertian-pasar-gelap.html 
https://garispolisi.wordpress.com/2015/02/11/cybercrime-black-market/
https://innuddin.wordpress.com/2015/08/18/the-cybercrime-black-market/#more-384

LAPORAN INVESTIGASI

1). Identitas Kasus
⇒ Deskripsi Kasus
Ann Dercover adalah seorang karyawan sekaligus tersangka dalam kasus corporate spy yang mencuri data penting milik perusahaan Anarchy-R-Us, Inc. dan melakukan penyelundupan file kepada temannya di luar perusahaan.
Ann akhirnya ditangkap namun dibebaskan kembali dengan jaminan. Setelah dibebaskan dengan jaminan keberadaan Ann tidak diketahui. Untungnya, investigator kasus telah melakukan monitoring aktivitas network Ann sebelum meninggalkan kota dan dicurigai melakukan komunikasi antara Ann dengan kekasih rahasianya Mr. X, sebelum Ann pergi menghilang.
⇒ Ringkasan Kasus

Pemohon	Bp. Yudha., M.Kom
Alamat Pemohon	Jl. Lingkar Utara Condong Catur, Depok, Sleman, Yogyakarta – 55283
Pihak Penerima	Alfan Hidayat
Waktu	Selasa, 4 Agustus 2015 15:30 WIB
No. Kasus	K007/MITK/2015

2). Deskripsi Permohonan Investigasi

• Diajukan barang bukti berupa sebuah file packet capture bernama “evidence02.pcap”.
• Awalnya investigator melakukan packet capture terhadap aktivitas Ann setelah dibebaskan dengan jaminan secara diam-diam, yang kemudian menghasilkan sebuah file yang selanjutnya dijadikan barang bukti digital dan diminta untuk diteliti dan dianalisa, sehingga didapat informasi sbb :
  1. Alamat email milik Ann Dercover.
  2. Password email milik Ann Dercover.
  3. Alamat email milik kekasih gelapnya atau Mr. X Ann Dercover
  4. Barang yang Ann Dercover minta kepada Mr. X untuk dibawa.
  5. Nama file attachment yang dikirimkan Ann Dercover kepada Mr. X.
  6. MD5sum dari file attachment tersebut.
  7. Kota dan negara di mana Ann Dercover dan Mr. X akan bertemu.
  8. MD5sum dari image yang ada di dalam file attachment tersebut.

3). Proses Penerimaan Barang Bukti

Barang bukti yang akan diuji dikirimkan oleh pemohon melalui sebuah pendrive dan ditujukan kepada Lab. Forensika Digital Teknik Informatika UII yang kemudian dilanjutkan pada penerima untuk diproses lebih lanjut. Pada pendrive yang diterima terdapat sebuah folder yang berisi 2 buah file, yaitu sebagai berikut :

• File evidence02.pcap

• File evidence.md5

• Kunci Hash

Barang bukti yang dikirim pemohon sebelumya sudah memiliki hash pada file evidence02.md5

4). Proses Eksaminasi Barang Bukti

• Prosedur

1.  Memindahkan file bukti dari pendrive ke komputer Lab Forensika Digital Teknik Informatika UII.
2.  Menyiapkan environment system untuk keperluan eksaminasi pada Lab. Forensika Digital Teknik Informatika yang berada pada area pusat pelatihan ITCentrum FTI UII.
3.  Mengunakan sejumlah aplikasi untuk kepentingan melihat isi file serta informasi digital lainnya dari file packet traffic tersebut. Dalam hal ini aplikasi yang digunakan adalah : Wireshark, Notepad dan NetworkMiner.
4.  Memeriksa dan menganalisis file evidence02.pcap kemudian melakukan screenshot
hasil temuan sesuai dengan target informasi yang diharapkan.
5.  Melakukan expose hasil baik secara internal team maupun eksternal kepada pihak pemohon.

• Waktu dan Tempat

Proses eksaminasi barang bukti dilakukan pada:
• Waktu : Rabu, 5 Agustus 2015, pkl. 08.00 – 16.00 WIB
• Tempat : Laboratorium Forensika Digital UII (Pusat Pelatihan IT Centrum)

5). Hasil Eksaminasi
a. Langkah awal dengan membuka file evidence.pcap menggunakan wireshark, kemudian memeriksa frame-frame atau dengan melalui filter, dan mencari alamat email yang terlibat di dalam komunikasi melalui jaringan internet Ann Dercover. Hasilnya adalah sebagai berikut:

Nama File Hasil	Alamat Email yang Ditemukan
064.012.102.142.00587- 192.168.001.159.01036	N/A
064.012.102.142.00587- 192.168.001.159.01038	N/A
192.168.001.159.01036- 064.012.102.142.00587	sneakyg33k@aol.com sec558@gmail.comSorry– I can’t do lunch next week after all. Heading out of town. Another time! –Ann
192.168.001.159.01038- 064.012.102.142.00587	sneakyg33k@aol.com misersecretx@aol.comHi sweetheart! Bring your fake passport and a bathing suit. Address attached. love, Ann

Dari sekian percakapan yang ada Ann selalu melampirkan namanya diakhir kalimat…
b. Melakukan pencarian user dan password menggunakan NetworkMiner sehingga menghasilkan seperti berikut.
Berdasarkan gambar diatas maka dapat disimpulkan bahwa alamat emai Ann : sneakyg33k@aol.com dan
Password Ann : 558r00lz.

c. Ketika proses analisa sedang berlangsung ditemukan sebuah file “secretrendezvous.docx”.

d. Agar bisa membaca dan mendapatkan nilai MD5sum dari file “secretrendezvous.docx“, maka perlu dilakukan ekstraksi file tersebut dari file “evidence02.pcap“. Caranya adalah dengan memindahkan atau mengcopy isi documen yang ada pada layar wireshark kemudian menaruhnya di aplikasi Notepad++ dan memanfaatkan pasilitas MIME Tools → Base64 Decode yang ada pada Notepad++, supaya filenya bisa terbaca kemudian menyimpannya dengan akstensi .docx. Kemudian melakukan proses generate nilai MD5 terhadap file “secretrendezvous.docx” dan menghasilkan nilai 9e423e11db88f01bbff81172839e1923.

e. Kemudian mencari informasi tentang keberadaan Ann dari file secretrendezvous.docx yang sudah didapatkan tadi. Terlihat seperti berikut.

dari gambar diatas terlihat jelas bahwa mereka akan melakukan pertemuan di kota Playa del Carmen, Mexico.

f. Dalam file .docx tersebut terdapat didalamnya sebuag gambar dan untuk mendapatkan md5sum dari gambar tersebut adalah dengan cara mengekstraknya. Caranya sebagai berikut yaitu dengan merubah type file “secretrendezvous.docx” menjadi “secretrendezvous.zip” kemudian mengekstraknya dari file .zip tersebut sehingga didapatkan file gambar seperti berikut.

md5sum :aadeace50997b1ba24b09ac2ef1940b7

Kesimpulan Akhir

• Hasil Analisa

Dari hasil analisis yang telah dilakukan sudah mampu menjawab pertanyaan mengenai informasi yang diinginkan oleh pihak pemohon.

• Kesimpulan

Berdasarkan hasil dari pemeriksaan dan analisis terhadap file “evidence02.pcap” menggunakan tool Wireshark, Notepad++ dan NetworkMiner, didapatkan beberapa informasi yang dibutuhkan oleh pemohon.

SWGDE : CAPTURE OF LIFE SYSTEMS

SWGDE (Scientific Working Group on Digital Evidence) adalah sebuah organisasi yang bertujuan untuk menciptakan standar untuk penanganan barang bukti digital dan multimedia. Dibentuk pada tahun 1998 sebagai wadah bagi organisasi-organisasi yang secara aktif terlibat dalam bidang bukti digital dan multimedia untuk mendorong komunikasi dan kerja sama, serta memastikan kualitas dan konsistensi di dalam komunitas forensik.

Untuk lebih jelasnya, bisa dibuka websitenya www.swgde.org. Di dalam website itu terdapat dokumen-dokumen mengenai penanganan barang bukti untuk forensik digital. Salah satu dokumen akan dibahas dalam blog ini, yaitu mengenai bagaimana menangkap (capture) pada sistem komputer yang hidup.

Pada dokumen tersebut dijelaskan mengenai tujuan, ruang lingkup, urutan volatilitas, rincian teknis, tools dan training, serta keterbatasan.

1. Tujuan
Tujuan dari dokumen ini yaitu untuk memberikan bimbingan kepada komunitas forensik duntuk mendapatkan data dari sistem komputer hidup. Sebuah perhatian utama adalah kemampuan untuk menangkap dan menyimpan data dalam format yang dapat digunakan. Faktor-faktor seperti volatilitas atau volume data, pembatasan yang diberlakukan oleh hukum otoritas, atau penggunaan enkripsi dapat mendikte kebutuhan untuk menangkap data dari sistem tanpa mengganggu siklus power (baterai/listrik).

2. Ruang Lingkup
Makalah ini memberikan bimbingan dan pertimbangan untuk akuisisi data dari sistem komputer yang hidup yang mungkin termasuk memori dan/atau data dari file sistem yang bersifat volatile karena disimpan dalam komputer

3. Urutan Volatilitas

Ketika memperoleh bukti, pemeriksa harus hati-hati mempertimbangkan urutan di mana data akan dikumpulkan karena volatilitas pada sistem. Pemeriksa harus memahami kebutuhan yang diberikan, situasi dan urutan pengumpulan data volatile yang sesuai.

Contoh urutan volatilitas:
1. RAM
2. Running processes (proses yang sedang berjalan)
3. Network connections (koneksi jaringan)
4. System settings (pengaturan sistem)
5. Storage media (media penyimpanan)

4. Rincian Teknis
Ada empat kategori akuisisi sistem dalam kondisi hidup:

1. Live memory (RAM, pagefile, swapfile, etc.)
2. Volatile system data/processes
3. Live file/file system acquisition
4. Live physical acquisition

5. Tools dan Training
Ada beberapa tools yang ada untuk mendapatkan (capture) memori sistem dari sistem komputer. Kebanyakan solusi yang digunakan berupa perangkat lunak, membutuhkan sedikit usaha dalam memperoleh memori sistem, dan memerlukan hak administrator untuk sebagian besar sistem operasi modern.

6. Keterbatasan
Pemeriksa harus menyadari bahwa berinteraksi dengan sistem komputer yang hidup akan menyebabkan perubahan sistem. Pemeriksa harus tahu bahwa tindakan mereka dapat menyebabkan perubahan pada data (misalnya, RAM) dan risiko yang menyebabkan ketidakstabilan sistem. Pemeriksa harus memahami masalah ini dan bagaimana mereka mendapatkan barang bukti untuk situasi tertentu seperti live system ini. Pemeriksa harus mengambil langkah-langkah untuk menjaga akses sistem selama proses akuisisi. Mengingat bahwa pemeriksa bekerja dengan data volatile, pemeriksa harus menjaga dokumentasi rinci dari semua tindakan yang diambil.

Sumber :

https://www.swgde.org/

https://www.swgde.org/documents/Current%20Documents/2014-09-05%20SWGDE%20Capture%20of%20Live%20Systems%20V2-0

Analisis kasus “Ann’s Skip Bail" dengan 5W 1H, Occam's Razor dan Alexiou Principle

5W 1H
5W 1H merupakan pertanyaan dasar dalam menyelesaikan sebuah kasus :

1. What (Apa)
2. When (Kapan)
3. Where (Di mana)
4. Who (Siapa)
5. Why (Mengapa)
6. How (Bagaimana)

Analisis 5W1H pada kasus Ann’s Skip Bail.

1). What :
Kasus yang terjadi adalah menghilangnya Ann Dercover, setelah dibebaskan dengan jaminan. Keberadaan Ann tidak diketahui!!!. Untungnya, investigator kasus telah melakukan monitoring aktivitas network Ann sebelum meninggalkan kota dan dicurigai melakukan komunikasi antara Ann dengan kekasih rahasianya Mr. X, sebelum Ann pergi menghilang.

2). When : 

Tanggal 10-10-2009 antara Pukul 20:34:08 – 20:34:22 dengan durasi 00:04:14.

3). Where :

Untuk keberadaan belum diketahui, tapi dari hasil analisa bahwa Ann’s akan melakukan pertemuan dengan kekasih gelapnya di Playa del Carmen, Mexico.

4). Who : Merupakan pertanyaan yang akan mengandung fakta yang berkaitan dengan setiap orang yang terkait langsung atau tidak langsung dengan kejadian. Seperti berikut. Siapa saja yang terlibat? Dari hasil analisa ditemukan antara lain:
→ sneakyg33k@aol.com (Alamat email Ann)
→ sec558@gmail.com (Alamat email teman Ann)
→ mistersecretx@aol.com (Alamat email kekasih gelap Ann)
→ 192.168.1.159 (IP address Ann)
→ 64.12.102.142 (IP address AOL)

5). Why : Akan menjawab latar belakang atau penyebab kejadian. Seperti berikut. Mengapa sampai terjadi kasus tersebut? Pada kasus sebelumnya yaitu “evidence01.pcap” yang penulis tidak posting karna penulis hanya memposting kasus ke 2 saja yaitu “evidence02.pcap”.
Pada kasus pertama Ann ditangkap karena telah mencuri dan menyelundupkan data rahasia milik perusahaan, kemudian pada kasus ke dua Ann dibebaskan dengan jaminan. Namun tiba-tiba dia menghilang tanpa sepengetahuan dan pemberitahuan padahal dia harus melakukan laporan rutin karena bebas dengan jaminan dan berencana untuk kabur.

6). How : Akan memberikan fakta mengenai proses kejadian yang diberikan. Bisa menceritakan alur kejadian bahkan suasana saat suatu kejadian yang tengah berlangsung. Seperti berikut. Bagaimana rencana Ann untuk kabur? Ann melakukan kontak dengan  kekasih gelapnya lewat email dan meminta kekasih gelapnya untuk membawakannya paspor palsu dan baju renang, kemudian melampirkan sebuah file .docx yang berisi tempat pertemuan mereka.

Occam’s Razor

Occam’s Razor adalah sebuah prinsip yang dikembangkan oleh William of Ockham. William of Ockham adalah seorang biarawan Fransiskan pada awal abad ke-14 yang belajar Teologi di Universitas Oxford dan Paris. Ockham adalah nama desa di daerah Inggris Surrey dimana dia dilahirkan.

Occam’s Razor dikenal dalam sebuah kutipan “The simplest and most unifying explanation for any given problem is the one most likely to be correct”.
“Penjelasan yang paling sederhana dan dapat menyatukan setiap soal yang diberikan adalah yang paling mungkin benar”.

Prinsip Occam’s Razor dapat diterapkan pada kasus Ann’s Skip Bail yaitu dengan memanfaatkan software yang tersedia, sederhana dan mudah di dapat seperti Wireshark, NetworkMiner dan Notepad++ dapat menyelesaikan semua pertanyaan yang ada, jadi jika software yang tersedia sudah dapat menjawab semua pertanyaan yang ada kenapa harus mempersulit diri dengan menggunakan software yang lain.

Alexiou Principle 
The Alexiou Principle adalah sebuah prinsip investigasi yang diciptakan oleh Mike Alexiou. Prinsip Alexiou menyatakan empat pertanyaan kepada investigator untuk dijawab:

1. What question are you trying to answer?
2. What data do you need to answer that question?
3. How do you extract that data?
4. What does that data tell you?

Setiap kasus memiliki pertanyaan – pada kenyataannya kebanyakan kasus memiliki beberapa pertanyaan. Terlepas dari apa situasinya, jadi seorang investigator harus mempersiapkan jawabannya.

The Alexiou Principle dapat diterapkan pada kasus Ann’s Skip Bail.

1. What question are you trying to answer?
   Dari kasus dua ini terdapat didalamnya 8 pertanyaan yang harus dijawab, diantaranya:
   ⇒ What is Ann’s email address?
   ⇒ What is Ann’s email password?
   ⇒ What is Ann’s secret lover’s email address?
   ⇒ What two items did Ann tell her secret lover to bring?
   ⇒ What is the NAME of the attachment Ann sent to her secret lover?
   ⇒ What is the MD5sum of the attachment Ann sent to her secret lover?
   ⇒ In what CITY and COUNTRY is their rendez-vous point?
   ⇒ What is the MD5sum of the image embedded in the document?
2. What data do you need to answer that question?
   Untuk bisa menjawab pertanyaan diatas dibutuhkan sebuah file packet capture aktivitas network Ann yaitu “evidence02.pcap”.
3. How do you extract that data?
   Cara mengexstrak file tersebut adalah menggunakan Wireshark, NetworkMiner dan Notepad++
4. What does that data tell you?
   Yang dapat dijelaskan dari hasil ekstaksi file tersebut yaitu dapat menjawab 8 dari pertanyaan yang ada, seperti berikut.
   ⇒ What is Ann’s email address? sneakyg33k@aol.com
   ⇒ What is Ann’s email password? 558r00lz
   ⇒ What is Ann’s secret lover’s email address? mistersecretx@aol.com
   ⇒ What two items did Ann tell her secret lover to bring? paspor
   palsu dan baju renang
   ⇒ What is the NAME of the attachment Ann sent to her secret lover? secretrendezvous.docx
   ⇒ What is the MD5sum of the attachment Ann sent to her secret lover? 9e423e11db88f01bbff81172839e1923
   ⇒ In what CITY and COUNTRY is their rendez-vous point? Playa del Carmen, Mexico
   ⇒ What is the MD5sum of the image embedded in the document? aadeace50997b1ba24b09ac2ef1940b7

SUMBER

http://paedpsych.jk.uni-linz.ac.at/INTERNET/ARBEITSBLAETTERORD/PHILOSOPHIEORD/Occam.html

http://satriamadangkara.com/definisi-berita-dan-penjelasan-unsur-5w-1h/

http://www.ncbi.nlm.nih.gov/pmc/articles/PMC2254462/ 

 

CHAIN OF CUSTODY

Chain of custody adalah proses untuk merekam kronologi pengamanan, penahanan, pengendalian, dan pemindahan barang bukti fisik atau elektronik. Chain of Custody dituliskan dalam sebuah dokumen yang berfungsi untuk menjelaskan kronologi penanganan barang bukti tersebut, sehingga diharapkan tidak menimbulkan keraguan pada saat proses pengadilan.

Ada beberapa model CoC yang pernah saya lihat, yaitu dari University of Pennyslvania, National Institute of Standards and Technology (NIST), dan National Institute of Justice – US Department of Justice.

Berikut ini contoh form CoC :

1. University of Pennyslvania

2. National Institute of Standards and Technology (NIST)

 

3. National Institute of Justice – US Department of Justice dapat dilihat di link https://www.ncjrs.gov/pdffiles1/nij/199408.pdf (untuk formnya bisa dilihat mulai halaman 44) Dari ketiga contoh tersebut terlihat ada perbedaan, namun terdapat pula kesamaan yaitu mengenai isi form yang sesuai dengan tujuan CoC, yaitu tabel yang menunjukkan deskripsi dari barang bukti yang ditemukan. Di bawah ini akan saya berikan contoh CoC yang pernah saya dan teman-teman buat sebagai tugas kuliah.

1.    Formulir I

Formulir I merupakan formulir Penerimaan Barang Bukti Elektronik.

Table 1 Penerimaan Barang Bukti Elektronik

Forensika Digital UII

Formulir I Penerimaan Barang Bukti Elektronik

Asal Barang Bukti1) : Polrestabes		Yang Menyerahkan2)		Yang Menerima3)
		Nama	Tandatangan	Nama	Tandatangan
Tanggal Penerimaan : 03-08-2006		1.Alfan H		1.Mardiana EN
Nomor Takah4) :		2.Dewi YS		2.M.M Munir

Deskripsi Singkat Kasus : Mendapat laporan dari Zulhendri Hasan bahwa telah terjadi penggantian tampilan muka website partai golkar “www.golkar.or.id” pada hari sabtu tanggal 8 Juli 2006 sekitar pukul 21.00 wib, yang semula wajah tokoh-tokoh  partai golkar menjadi “gorilla putih” yang sedang tersenyum. Kemudian  pada hari minggu 9 Juli 2006 pukul 1.00 WIB terjadi perubahan lagi menjadi gambar wanita cantik sexy yang sedang memegang buah dada serta tulisan “bersatu untuk malu”. Tanggal 13 Juli 2006, tampilannya berubah lagi menjadi wajah gorilla yang sedang tersenyum dengan tulisan bersatu untuk malu.

Barang Bukti Yang Diterima
Jenis5)	Spesifikasi Teknis
1. Laptop	Merk TWINHEAD , warna biru
2.Harddisk	Merk SEAGATE
3.CPU	Rakitan
4.CD	Berisi Log Files Website

Keterangan :

1) Direktorat bareskrim/Polda/Polres Metro/Polestabes/Polsek Metro/Polsek dan nama satkernya

2)   Yang menyerahkan barang bukti adalah petugas DFAT Puslabfor

3)   Yang menerima barang bukti adalah point 1)

4)    Nomor takah dari Taud Puslabfor

5)  Jenis barang bukti elektronik dapat berupa personal Computer (PC), laptop, netbook, tablet, harddisk, handphone, simcard, harddisk external, flashdisk, digital camera, memory card, audio recorder dan lain-lain.

2.    Formulir II

Formulir I merupakan formulir Penyerahan Barang Bukti Elektronik.

Table 2 Penyerahan Barang Bukti Elektronik

Forensika Digital UII

Formulir II Penyerahan Barang Bukti Elektronik

Asal Barang Bukti1) : Polrestabes		Yang Menyerahkan2)		Yang Menerima3)
		Nama	Tandatangan	Nama	Tandatangan
Tanggal Penerimaan : 03-08-2006		1.Alfan H		1.Mardiana EN
Nomor Takah4) :		2.Dewi YS		2.M. M Munir

Deskripsi Singkat Kasus : Mendapat laporan dari Zulhendri Hasan bahwa telah terjadi penggantian tampilan muka website partai golkar “www.golkar.or.id” pada hari sabtu tanggal 8 Juli 2006 sekitar pukul 21.00 wib, yang semula wajah tokoh-tokoh  partai golkar menjadi “gorilla putih” yang sedang tersenyum. Kemudian  pada hari minggu 9 Juli 2006 pukul 1.00 WIB terjadi perubahan lagi menjadi gambar wanita cantik sexy yang sedang memegang buah dada serta tulisan “bersatu untuk malu”. Tanggal 13 Juli 2006, tampilannya berubah lagi menjadi wajah gorilla yang sedang tersenyum dengan tulisan bersatu untuk malu.

Barang Bukti Yang Diterima
Jenis5)	Spesifikasi Teknis
1.Laptop	Merk TWINHEAD, warna biru
2.Harddisk	Merk SEAGATE
3.CPU	Rakitan
4.CD	Berisi Log Files Website

Keterangan :

1) Direktorat bareskrim/Polda/Polres Metro/Polestabes/Polsek Metro/Polsek dan nama satkernya

2)  Yang menyerahkan barang bukti adalah petugas DFAT Puslabfor

3)  Yang menerima barang bukti adalah point 1)

4)  Nomor takah dari Taud Puslabfor

5) Jenis barang bukti elektronik dapat berupa personal Computer (PC), laptop, netbook, tablet, harddisk, handphone, simcard, harddisk external, flashdisk, digital camera, memory card, audio recorder dan lain-lain.

Pada CoC yang kami buat terdapat tabel untuk deskripsi barang bukti yang ditemukan, deskripsi kasus, dan deskripsi penyidik/investigator.

Sumber :

https://en.wikipedia.org/wiki/Chain_of_custody 
https://www.ncjrs.gov/pdffiles1/nij/199408.pdf  

http://www.nist.gov/oles/forensics/upload/Sample-Chain-of-Custody-Form.docx 

http://www.upenn.edu/computing/security/chain/chain_of_custody.pdf