Anti Forensik dan Digital Investigator

Hari ini kita akan bahas sebuah paper yang ditulis oleh Gary C. Kesler (2007) yang berjudul “Anti-Forensics and The Digital Investigator”. Dalam paper ini dijelaskan mulai dari apa itu anti forensik, pembagian jenis anti forensik, dan beberapa hal lainnya.

Dalam paper ini, dijelaskan bahwa menurut Rogers (2006) anti forensik itu adalah “attempts to negatively affect the existence, amount, and/or quality of evidence from a crime scene, or make the examination of evidence difficult or impossible to conduct”. Yang dalam bahasa Indonesia lebih kurang adalah “sebuah tindakan negatif yang dilakukan untuk mempengaruhi keberadaan, jumlah, dan atau kualitas barang bukti yang ada di lokasi kejadian, atau membuat pemeriksaan terhadap barang bukti tersebut menjadi sulit bahkan hingga tidak mungkin untuk dilakukan”.


Dijelaskan juga tindakan yang dilakukan oleh seseorang untuk melindungi kerahasiaan datanya hampir sama dengan tindakan anti forensik. Yang mana tindakan tersebut dapat membuat upaya investigator kesulitan dalam melakukan analisis barang buktinya.

Ada empat kategori metode anti forensik yang sering digunakan. Yaitu Data Hiding, Artefact Wiping, Trail Obfuscation, dan Attack Against The Computer Forensic Process or Tools.

Data Hiding

Data hiding atau istilah bahasa Indonesia nya penyembunyian data dapat dilakukan dengan berbagai cara. Istilah lain untuk data hiding ini yaitu Steganography. Digital steganography telah ada sejak pertengahan tahun 1990 dan saat sekarang ini banyak tersedia software stego yang dapat dioperasikan di berbagai system operasi. Berbagai data digital dapat disimpan dalam banyak file seperti disisipkan dalam gambar, audio, video, dan executable file.

Sebagai contoh, seseorang dapat menyembunyikan gambar, tabel, atau teks ke dalam gambar yang ada dalam powerpoint. Selain itu kode morse juga dapat disisipkan dalam sebuah gambar. Selain itu kelemahan yang ada dalam protocol TCP/IP juga memungkinkan orang lain untuk melakukan komunikasi secara rahasia.

Selain itu juga ada beberapa cara yang dapat dilakukan untuk menyembunyikan data. Diantaranya dapat menyembunyikannya ke dalam slack dan unallocated spaces dalam harddisk, disembunyikan di dalam Master Boot Record, disisipkan didalam compact disk dan partisi yang tersembunyi bahkan terenkripsi juga sering digunakan sebagai tempat penyimpanan data rahasia.

Semua data yang disembunyikan tersebut masih dapat ditemukan dengan menggunakan software forensik dan kejelian penyidik, namun memang membutuhkan usaha yang lebih keras untuk menemukannya dan sulit untuk menjelaskannya kepada orang yang tidak mengerti teknisnya.


Artefact Wiping

Tools untuk Artefact Wiping ini sudah banyak tersedia sejak beberapa tahun belakangan ini. Program Wiping seperti BC Wipe, Eraser, dan PGP Wipe akan menghancurkan file dengan cara menghapus dan menimpa file tersebut sehingga file tersebut tidak mungkin untuk diperbaiki.

Tools yang digunakan untuk artefact wiping membuat investigator forensik akan lebih sulit untuk menganalisisnya. Namun faktanya artefact wiping juga tidak sempurna. Banyak program yang masih meninggalkan jejak dari wiping yang dilakukannya dan tidak sesempurna seperti yang diiklankan oleh tool-tool ini. 

Trail Obfuscation

Trail Obfuscation ini merupakan salah satu metode anti forensik dimana penggunanya menyamarkan jejaknya dengan membuat jejak palsu. Contoh mekanisme Trail Obfuscation ini diantaranya penggunaan header email palsu dan penggunaan SSH Tunnel Server. Contoh penggunaan SSH Tunnel Server, ketika seseorang melakukan akses jaringan, maka alamat yang digunakan bukanlah alamat si yang mengakses, tapi alamat yang digunakannya berubah menjadi alamat SSH Tunnel Server nya, sehingga dapat membuat jejak palsu.

Selain itu, trail obfuscation ini juga dapat dilakukan dengan cara mewiping atau merubah log file server atau file system event atau mengubah tanggal yang ada di metadata file. Cara merubah log file server ini juga dapat mengaburkan jejak dan meninggalkan jejak palsu.

Attacks Against Computer Forensics Tools

Serangan yang dilakukan pada tools forensik komputer merupakan tipe terbaru dari anti forensik dan berpotensi paling mengancam. Prosedur yang dilakukan anti forensik pada kategori ini membuat reliability atau kepercayaan terhadap barang bukti digital tersebut menjadi dipertanyakan. Jika kehandalan atau kepercayaan terhadap barang bukti digital dipertanyakan, maka barang bukt tersebut menjadi tidak berharga di pengadilan.

Metode anti forensik pada kategori ini seringnya menyerang dengan pertanyaan apakah prosedur yang dilakukan terhadap barang bukti digital dapat dipercaya dan apakah tools yang digunakan juga apakah bisa dipercaya.

Tujuan anti forensik adalah untuk membuat bukti digital diperdebatkan, kemudian mempertanyakan efektivitas alat dan proses yang dilakukan. Jadi pada tahapan ini penyidik harus dapat menafsirkan dan menjelaskan alat serta prosedur yang digunakannya secara benar dan dapat dipahami oleh audience pengadilan. Jika pengadilan tidak percaya dengan penjelasan kita, maka seluruh hal yang kita lakukan untuk menemukan dan menganalisis barang bukti digital akan menjadi sia-sia.

Aspek Tambahan dalam Anti Forensik

Metasploit Project

Metasploit project merupakan project open source dengan tujuan untuk mendapatkan informasi dari penetration testing (pentest), pengembangan signature Instrusion Detection System (IDS) dan mencari kelemahan suatu sistem. Ada sebuah project metasploit untuk forensik yang dinamakan The Metasploit Anti-Forensics Project yang khusus menyelidiki kekurangan yang ada pada tools forensik, dan memvalidasi tools dan proses yang digunakan. 

Salah satu output yang dihasilkan oleh project ini yaitu software Metastpolit Anti Forensic Investigation Arsenal (MAFIA) yang diantaranya software ini dapat menyembunyikan data ke dalam slack space di NTFS, membuat software Encase tidak dapat membaca signature file, dan merubah timestamp file.

Hasil software ini terbukti dapat membingungkan para penyidik dalam melakukan analisis barang bukti digital dengan menggunakan software forensik. Karena software ini berhasil mendapatkan kelemahan yang ada pada software forensik dan menggunakan kelemahan tersebut untuk menjadikannya anti forensik.

Cryptography

Kriptografi merupakan salah satu tools anti forensik yang ampuh. Dan tentu saja kriptografi bukanlah hal yang baru. Dalam kasus anti forensik ini salah satu kriptografi yang digunakan yaitu pengengkripsian data. Ketika seseorang menggunakan kriptografi maka investigator akan kesulitan dan bahkan tidak mampu menganalisisnya. Banyak aplikasi seperti adobe acrobat, microsoft office dan winzip yang menyediakan mekansime kriptografi ini dengan mengizinkan user untuk membuat password agar dapat memproteksi filenya. 

Bukan hanya file yang dapat di enkripsi, bahkan disk juga. Seperti BitLocker, SafeBoot dan lainnya yang dapat menggagalkan proses forensik. Selain itu penggunaan komunikasi jaringan yang terenkripsi seperti Secure Socket Layer (SSL), Virtual Private Network (VPN) membuat trafik komunikasinya juga tidak dapat dianalsis.

The User

Banyak pengguna yang berasumsi bahwa dengan menggunakan tools anti forensik dapat membuat pemeriksaan komputernya menjadi lebih sulit. Secara umum, ada hubungan linear antara kesulitan dalam menggunakan tool anti forensik dan seberapa banyak data yang akan disembunyikan. Ada beberapa fakta yang ada pada saat ini yaitu :

  • Tidak semua pengguna akan menginstall tool anti forensik
  • Tidak semua pengguna yang pernah menginstall tool anti forensik dan menggunakannya secara konsisten, sehingga akan ada informasi yang dapat digunakan
  • Tidak semua pengguna tool anti forensik yang menggunakannya secara benar, sehingga juga akan meninggalkan informasi yang dapat digunakan
  • Tidak semua tool anti forensik bekerja dengan sempurna seperti yang diiklankan, sehingga memungkinkan ada tertinggalnya sisa-sisa informasi dan jejak yang dapat digunakan.

Time Sensitive Anti Forensics

Dalam model security, deteksi dan respon terhadap serangan berlangsung secara otomatis dan membutuhkan waktu yang relatif singkat (detik, menit, atau jam). Hal ini berbanding terbalik dengan aktivitas forensik seperti identifikasi, akusisi, pemeriksaan, dan analisis bukti digital yang memerlukan kecerdasan manusia dan memakan waktu yang relatif lama (hari atau minggu).  Dalam beberapa kasus, penggunaan anti forensik ditujukan untuk membuat proses ini menjadi lebih lama sehingga berakibat gagalnya proses forensik. Investigasi sangat sensitif terhadap waktu. Hal ini mengingat karena semakin lama proses forensik yang dilakukan maka akan semakin banyak membuang waktu, uang, dan sumber daya personel investigasi. 

Sehingga terkadang juga anti forensik digunakan dengan cara membanjiri informasi yang ada di barang bukti digital, sehingga  investigator membutuhkan waktu yang lama untuk menganalisis informasi yang ada tersebut.

Kesimpulan

Setiap tindakan yang dilakukan untuk membuat proses forensik digital menjadi lebih susah membuat proses yang dilakukan menjadi sebuah tantangan baru. Enkripsi yang ditemukan mengajarkan investigator untuk berpikir dua kali sebelum mematikan komputer yang ada di tempat kejadian. Live imaging terhadap harddisk dan RAM menjadi hal yang paling banyak digunakan saat ini. Intinya setiap ada tantangan baru dari anti forensik berarti akan menjadi pengalaman dan ilmu baru yang didapatkan oleh para praktisi forensik. Kecerdasan manusia dan waktu yang dimiliki menjadi senjata utama yang dimiliki praktisi forensik. 

Walaupun anti forensik digunakan untuk membuat barang bukti menjadi kurang reliable, tapi hal itu tidak mengurangi informasi yang sesungguhnya dari bukti tersebut. Informasi tersebut bisa digunakan untuk mencari petunjuk terhadap barang bukti lain yang dapat diterima di pengadilan. 

Tool anti forensik akan selalu memberikan kesulitan dan tantangan bagi investigator forensik. Bantuan dari akademisi dan industri dalam hal penelitian terhadap anti forensik ini sangat diperlukan untuk dapat menemukan anti dari anti forensik ini. 

Demikianlah pembahasan kita kali ini tentang paper dari Gery C. Kessler. Semoga pembahasan ini menambah wawasan kita semua. Wassalam.

Yogyakarta, 24 Desember 2015
Referensi :
  • Kessler, G.C. (2007, December). Anti-forensics and the digital investigator. In C. Valli & A. Woodward (Ed.), Proceedings of the 5th Australian Digital Forensics Conference. Mt. Lawley, Western Australia: Edith Cowan University.
Previous
Next Post »