Pada kesempatan kali ini kita akan membahas tentang analisis timeline dalam forensik digital. Apa itu timeline? Timeline merupakan urutan waktu dalam sebuah kejadian. Nah Timeline merupakan bagian yang sangat penting dalam analisis forensik. Timeline digunakan agar dapat merekonstruksi urutan peristiwa dalam kejadian. Tanpa kronologi kejadian yang akurat, penegak hukum akan kesulitan memetakan tindakan pelaku kejahatan dalam melakukan kejahatannya. Contoh seperti apa timeline itu dapat dilihat pada gambar dibawah ini.
(Sumber : DFRWS, 2011)
Sebuah masalah yang sangat signifikan dalam analisis timeline digital adalah kredibilitas. Bagaimana dapat menyatakan keabsahan sebuah timeline sangat sulit. Untuk membuat sebuah timeline sangat tergantung pada time stamps. Time stamps adalah catatan waktu dalam sebuah file ataupun sistem terhadap event atau perubahan terakhir dari file ataupun sistem tersebut. Namun time stamps itu dapat error.
Berdasarkan penelitian yang dilakukan (Eiland, 2006), Errornya time stamp dapat disebabkan faktor internal dan external. Faktor internal diantaranya seperti errornya setingan waktu yang ada pada perangkat (seperti jika batrai CMOS komputer habis, maka setingan jam tidak akan akurat) dan bisa juga perbedaan GMT dari waktu tersebut (padahal seharusnya menggunakan GMT +7, tapi setingan malah menggunakan GMT +5). Faktor external penyebab errornya time stamp bisa karena diubah oleh pelaku kejahatan. Sehingga untuk membuat catatan waktu yang valid membutuhkan ketekunan dan kreativitas investigator.
Membuat timeline dalam setiap kasus membutuhkan pendekatan yang berbeda. Hal ini mengakibatkan sulitnya membuat sebuah metodologi agar timeline bisa diotomatisasi. Sehingga banyak yang masih dilakukan secara manual dengan mengurutkan kejadian satu persatu secara manual berdasarkan timestamps data yang ditemukan dalam barang bukti digital. Mengkombinasikan data waktu kejadian antara time stamps data digital dengan waktu kejadian secara langsung (mengurutkan kejadian secara manual seperti berdasarkan waktu laporan kejadian, keterangan saksi, pengakuan tersangka) juga merupakan sebuah langkah untuk membuat valid timeline.
Selanjutnya perhatian yang harus diberikan terkait sulitnya membuat timeline yang valid yaitu tidak adanya standar baku untuk time stamps dan time stamps itu sendiri sangat mudah dimanipulasi.
Tapi seiring perkembangan teknologi, pembuatan timeline ini pun akhirnya jadi semakin mudah. Contohnya software-software forensik saat sekarang ini hampir semua sudah mempunyai fitur timeline. Namun kembali lagi pada permasalahan diatas, yaitu timeline itu dibuat berdasarkan time stamps dari file-file yang ditemukan dalam barang bukti digital, dan seperti yang telah dibahas bahwa time stamps itu sendiri sangat mudah dimanipulasi.
Masalah selanjutnya dalam timeline ini adalah file system yang beragam. Windows menggunakan file system sendiri dengan NTFS nya, linux menggunakan ext4 nya, dan Mac menggunakan HFS nya. Untuk ketiga file system ini karena populer maka sudah hampir semua software forensik dapat membaca timestamps dari file-file yang ada didalamnya. Namun untuk file system yang kurang populer seperti ZFS (Zettabyte File System) mempunyai masalah tersendiri. Ini karena ZFS mempunyai struktur yang komplek untuk penyimpanan data dan metadata nya. Ya wajar saja, karena ZFS sendiri banyak digunakan untuk storage kelas Enterprise.
Banyak penelitian yang telah dilakukan untuk melakukan analisis timeline di ZFS ini. Salah satunya peneliti dari Australia, (Leigh & Shi, 2014) yang berhasil menemukan cara untuk membuat analisis timeline pada ZFS menggunakan metadata ZFS dan menggunakan struktur internal ZFS sebagai sumber analisis timeline nya. Dalam eksperimennya mereka menggunakan sistem Free BSD 9.1 dan ZFS Pool version 28. Kemudian mereka membuat 9 ZFS Pool untuk dilakukan ujicoba mengekstraksi metadata file-file di dalam ZFS Pool tersebut untuk mendapatkan time stamps nya baru kemudian dilakukan analisis timeline nya. Namun diakhir penelitiannya, tetap saja masalah yang dulu tetap ada. Yaitu apabila jam yang ada dalam sistem dirubah atau seseorang melakukan manipulasi waktu, maka termanipulasi jugalah time stamps file-file yang ada dalam sistem tersebut.
Jika pada sebelumnya kita berbicara tentang timeline dalam sebuah file system dalam komputer yang mempunyai masalah dengan jika dimanipulasinya jam dalam sistem komputer tersebut, hal ini sedikit berbeda dengan menganalisis timeline dalam web server. (Chandrawanshi & Gupta, 2013) dalam penelitiannya memaparkan bahwa dalam sebuah sistem web server, jika terjadi serangan, maka untuk menganalisisnya yang paling terbaik yaitu dengan menggunakan log dari web server itu. Web log files digunakan untuk menyelidiki informasi mengenai siapa saja yang pernah mengakses web server itu dan apa saja yang dilakukan.
Bahkan (Chandrawanshi & Gupta, 2013) berhasil membuat tool untuk membuat timeline secara otomatis dengan menggunakan sumber dari web log files tersebut. Dari sumber web log files yang didapatkan, mereka melakukan analisis dengan metode yang mereka sebut “pre-prosess dan teknik path analysis” untuk mendapatkan informasi mengenai URL yang mengakses server tersebut. Setelah dilakukan analisis, berikutnya mereka memvisualisasikan hasil analisis nya sehingga timeline nya nampak dengan jelas. Adapun metodologi pre-proses dan path analysis yang mereka gunakan tersebut dapat dilihat dalam gambar dibawah ini.
Yang bisa diambil simpulan di penelitian analisis timeline dalam webserver ini adalah bahwa pelaku kejahatan tidak bisa merubah ataupun memanipulasi waktu karena semua tercatat dalam log web server tersebut. Walaupun pelaku berhasil menembus sistem keamanan komputer dan merubah jam yang ada di server, namun tetap akan terbaca waktu yang sebenarnya berdasarkan log sebelumnya. Kecuali mungkin pelaku kejahatan menghapus log tersebut, tapi tetap saja, log itu bisa direcovery kembali menggunakan software forensik.
Berdasarkan ketiga hasil penelitian yang telah dibahas sebelumnya, dapat diambil kesimpulan bahwa, analisis timeline sangat penting dilakukan agar dapat merekonstruksi kejadian yang telah berlangsung. Namun pada dasarnya, masalah terbesar dalam melakukan analisis timeline yaitu adanya manipulasi time stamps terhadap file-file ataupun sistem komputer. Ketika sebuah tools atau software dapat membaca time stamps dan mampu membuat timeline secara otomatis, namun jika ternyata time stamps yang ada itu telah dimanipulasi sebelumnya oleh pelaku kejahatan, maka rekonstruksi kejadian bisa berantakan. Sehingga untuk melakukan menyusun timeline agar dapat merekonstruksi kejadian, investigator harus mampu melakukan analisis timeline secara manual dengan mengkombinasikan waktu kejadian berdasarkan keterangan korban dan saksi.
Dalam khayalan saya, jika teknik yang digunakan dalam melakukan analisis timeline dalam web server bisa juga dilakukan dalam sistem komputer secara umum, mungkin masalah manipulasi waktu bisa diminimalisir. Maksudnya seperti ini, sistem operasi komputer membuatkan log sistem seperti pada web server, yang mencatat semua aktivitas yang dilakukan dalam komputer namun log tersebut harus dibuat agar tidak dapat dihapus.
Sehingga jikapun jam pada komputer diubah, namun jika log mencatat perubahan jam tersebut dari misalkan dari yang awalnya menggunakan GMT +7 diubah menjadi GMT +5, maka analisis timeline akan lebih mudah dilakukan karena sudah tahu waktu yang sebenarnya berdasarkan catatan log tersebut. Investigator hanya tinggal menyusun ulang timeline berdasarkan log yang digunakan tadi.
Demikian lebih kurang pembahasan dan sedikit diakhiri dengan khayalan dari saya tentang analisis timeline dalam forensik digital ini. Semoga pembahasan kali ini menambah wawasan kita semua. Wassalam.
Yogyakarta, 4 Desember 2015
Referensi :
- Chandrawanshi, R., & Gupta, H. (2013). A Survey: Server TimeLine Analysis For Web Forensics. International Journal of Scientific Research Engineering & Technology, 1(March), 17–21. Retrieved from http://www.ijsret.org/pdf/rohit_chandrawanshi_139.pdf
- DFRWS. (2011). DFRWS Timeline. Retrieved December 1, 2015, from http://sandbox.dfrws.org/2011/fox-it/DFRWS2011_results/Report/DFRWS 2011 - timeline.png
- Eiland, E. E. (2006). Time Line Analysis in Digital Forensics, 1–6. Retrieved from https://www.cs.nmt.edu/~DF/StudentPapers/Eiland.pdf\npapers2://publication/uuid/DB190D15-EA29-4009-A672-AA5520F5BB8E
- Leigh, D., & Shi, H. (2014). Forensic Timeline Analysis of ZFS Using ZFS Metadata to enhance timeline analysis and detect forged timestamps, 1–15.
Sign up here with your email