Dalam sebuah paper yang berjudul Computer Anti-Forensics Methods And Their Impact On computer Forensic Investigation menjelaskan tentang anti forensik, namun fokus pembahasannya lebih kedampak yang ditimbulkan bagi investigasi.
Pajek dan Pimenidis melakukan pengujian dengan menggunakan software forensic untuk melihat dampak yang ditimbulkan dari anti forensic bagi investigasi. Ada beberata motode atau tahapan yang dilakukan dalam proses anti forensik. Tahapan / metode yang dilakukan yaitu penghapusan sumber data, penyembunyian data, dan penyerangan terhadap software forensik computer.
Tahap Satu - Elimination of Source (Penghapusan Sumber)
Salah satu cara yang dapat dilakukan agar data tidak dapat diakses oleh penyidik adalah dengan melakukan menghapus data. Penghapusan data dapat dilakukan dengan memodifikasi pengaturan maupun registry dalam computer sehingga system operasi berhenti merecord log aktivitas yang telah dilakukan. Tentu saja hal ini membuat proses investigasi menjadi semakin lama dari biasanya. Contoh lain dari penghapusan sumber data ini adalah dengan mengatur agara brower tidak mencatat aktifitas browsing dalam history. Selanjutnya adalah menghapus sumber log dan disk wiping.
Tahap Kedua - Hiding the Data (Penyembunyian Data)
Tahapan kedua dari proses computer forensic, penyidik mengidentifikasi dan mengekstrak informasi / barang bukti digital yang berhubungan dengan kasus yang terjadi. Pada tahapan ini yang dilakukan adalah dengan melakukan penyembunyian data, sehingga mempersulit proses pencarian serta penemuan data untuk dilakukan pemeriksaan. Data dapat disembunyikan dalam slack space, dapat juga menggunakan steganography serta melakukan enskripsi terhdapat data tersebut.
Tahap Ketiga - Direct Attacks against Computer Forensic Software (Serangan terhadap software computer forensik)
Salah satu cara utama untuk melakukan serangan terhdapa software computer forensic adalah dengan mengskploitasi dan menggunakan kerentanan software tersebut. Apabila kredibilitas software forensic computer tersebut dipertanyakan pada saat proses hukum, maka bukti digital akan dipertanyakan dan tidak dapat digunakan lagi. Saat ini ada dua hal utama agar kredibilitas terhadap software forensic tidak dipertanyakan lagi yaitu time stamp modification dan kode hashing.
Eksperimen dengan Teknik Anti Forensik
Pajek dan Pimenidis melakukan eksperimen dengan menggunakan hardisk baru. Ada tahapan yang dilakukan penulis dalam melakukan eksperimen yaitu :
Tahapan Petama - for wiping / safe deletion tools
- Menguji apakah jejak data sebelumnya yang dihapus masih dapat terungkap
- Menguji apakah data yang sebenarnya dapat dikembalikan
Tahapan Kedua – Teknik penyembunyian data
- Melakukan pengujian terhdapa jumlah data yang dapat diembunyikan dengan aman
- Menguji apakah data yang tersebunyi dapat ditemukan dan diungkapkan
- Menguji apakah data yang sebenarnya dapat dibaca
Tahap Ketiga - Pengujian terhadap kredibiltaas software
- Menguji apakah perubahan terhadap time stamp dapat terungkap
- Menguji apakah time stamp yang sebenarnya dapat dipulihkan kembali.
Penulis melakukan pengujian dengan melakukan 3 buah eksperimen dengan berbagai tools. Pada eksperimen pertama, hardrive dibagi menjadi 4 bagian partisi. Setiap partisi berisi berbagai data kemudian data tersebut dihapus. Tool yang digunakan pada eksperimen pertama yaitu :
Dalam eksperime kedua ini, akan dilakukan manipulasi data dan data juga akan disembunyikan dengan program steganography. Satu partisi akan di lakukan eknskripsi dan juga dilakukan manual hiding data di dalam slack space.
Dalam percobaan ketiga dilakukan manipulasi terhadap time stamp. 4 paket berbeda digunaan dan dimasukan kedalam 4 partisi yang berbeda. Selanjutnya dilakukan manipulasi time stamp di waktu yang berbeda. Setelah dilakukan eksperiman tools time stamp dikeluarkan dari eksperiman ini karena gagal dalam melakukan perubahan MAC (modified, accessed, created) pada file. Semua eksperimen dilakukan dengan menggunakan software forensic computer Forensic Toolkit-FTK Version 1.71 build 07.06.22 (Demo version) dan FTK 1.81.0 – fully licensed.
Hasil Eksperimen
Experimen Pertama– Menggunakan Program Wiping
Hasil analisis tool forensic membuktikan bahwa sebagian besar tool yang digunakan wiping data tidak sepenihnya efisien menghapus jejak data tersebut. Dari empat yang digunakan hanya satu dari keempat tool yang berhasil dengan efisien menghapus semua jejak data dan memenuhi target secara efektif mneyembunyikan data secara efektif dari tools forensic. Hasil dari ekperimen pertama adalah sebagai berikut:
Ekperimen Kedua – Penyembunyian Data
Software yang digunkaan adalah FTK 1.71 Trial, 50% yang dilakukan dengan memanipulasi file signature berhasil secara efisien dengan software FTK tersebut. Semua file yang disembunyikan secara manual maupun dalam slack space juga berhasil ditemukan. Namun untuk mengungkapkan file steganograpgy tidak bisa diungkapkan, tetapi hasil entropinya masih menunjukan kecurigaan terhadapa file tersebut. Enskripsi juga telah berhasil untuk menyembunyikan data sehingga software forensic tidak dapat menemukan data yang disembunyikan. Hasil eksperimen tersebut dapat dilihat pada table dibawah ini
Eksperimen Ketiga – Modifikasi Time Stamps
Time stamp yang dimodifikasi tidak semua nya dapat dideteksi dan tidak dapat direcover dengan software FTK versi demo . Tetapi ketika menggunakan software FTK 1.81.0 tngkat keberhasil dalam deteksi serta recoveri berhasil 100%. Hasil dari eksperimen ketiga dapat dilihat pada table berikut ini :
Kesimpulan
Dari hasil beberapa sekperimen diatas membuktikan bahwa tidak semua penggunaan teknik anti forensic berjalan dengan baik. Dalam beberapepa kasus software forensic gagal menyembunyikan dan menghapus data penting. Tingkat deteksi dan keberhasilan yang dicapai oleh software forensic tergantung pada kecanggihan teknik anti forensic yang digunakan. Hal ini dibuktikan dengan hasil recoveri menggunakan software berbayar tingkat keberhasilannya mencapai 100%.
Referensi
Pajek, P., & Pimenidis, E. (2009). Computer anti-forensics methods and their impact on computer forensic investigation. Journal of Communications in Computer and Information Science, 45, 145–155. http://doi.org/10.1007/978-3-642-04062-7_16
0 Response to "Metode Komputer Anti-Forensik & dampak terhadap Investigasi komputer Forensik"
Posting Komentar