Digital Forensics: Tim DCCF dan Wortel yang hilang



Digital forensicsĀ melalui sebuah cerita fiksi tentang kasus hilangnya wortel yang ditangani oleh tim DCCF. Ditulis oleh Amin Marup


Photo by kat wilcox on Pexels.com

Hai pembaca, salam jumpa

Pada postingan ini penulis akan membahas tentang  digital forensics melalui sebuah cerita fiksi tentang kasus hilangnya wortel yang ditangani oleh tim DCCF.

Seorang pedagang sayuran mengalami musibah kehilangan barang dagangannya berupa wortel. Kemudian si pedagang melaporkan kejadian tersebut ke pihak yang berwajib. Setelah tiba, kemudian mereka mulai melakukan investigasi tempat kejadian perkara, menurut laporan dari si pedagang bahwa sebelum terjadi pencurian, si pedagang sering melihat ada orang mencurigakan yang mondar – mandir di area tokonya dan kejadian ini sudah terjadi ke sekian kali nya. Setelah lima menit proses investigasi berlalu, pihak yang berwajib hanya menemukan sebuah  flashdisk yang berada disekitar toko si pedagang. Pihak yang berwajib menanyakan apakah  flashdisk ini milik si pedagang, tetapi si pedagang tidak merasa memiliki benda tersebut. Pihak yang berwajib pun berinisiatif untuk melakukan investigasi lebih lanjut terhadap  flashdisk tersebut dengan menyerahkan kepada Divisi Cyber Crime Forensics (singkat saja DCCF) untuk diinvestigasi.

Pihak DCCF pun mulai melakukan investigasi terhadap  flashdisk yang tertinggal di lokasi kejadian.

Imaging dengan accessdata FTK imager

Pihak DCCF memulai investigasi dengan cara melakukan proses  imaging atau bisa disebut juga  clonning, dengan menggunakan perangkat lunak “AccessData FTK Imager”. Tujuannya adalah untuk mencegah terjadinya perubahan pada isi dari  flashdisk tersebut. Karena dalam proses investigasi sangat memugkinkan terjadinya  read and  write. Sederhananya,  flashdisk tersebut tidak boleh secara langsung investigasi.

Pada perangkat linak “AccessData FTK Imager”, mereka memilih pilihan “file” dan “create disk image”. Pada jendela “select source” mereka memilih  physical drive, karena targetnya berupa perangkat keras ( flashdisk) bukan  disk virtual.

Capture

Pada jendela “Select Drive”, mereka memilih  flashdisk yang hendak dijadikan berkas  image. Lalu klik kan  finish.

finish

Pada jendela “Create Image”, adalah menentukan berkas hasil  imaging akan dibuat. Setelah mereka meng-klik “add” lalu mereka memilih “image type”. Pihak DCCF memilih “image type” nya sebagai “Raw” karena berkas jenis ini akan kompatibel untuk dibuka diberbagai macam jenis perangkat lunak  forensics.

save it

Pada “Evidence Item Information”, terdapat beberapa kolom isian yang bersifat opsional atau bebas untuk di isi.

fill PIN

Pada jendela “Select Image Destination” adalah opsi untuk menentukan dimana hasil  imaging akan disimpan. Pihak DCCF pun menyimpannya pada folder “DROPZONE” dengan nama berkas adalah “Case01” kemudian meng-klik  finish. Pada kolom “Image Fragment Size (MB)” mereka harus memastikan kalau nilainya harus lebih besar daripada media yang akan dianalisa.

finish-it

Setelah meng-klik  finish pada jendela “Select Image Destination”, kemudian mereka memulai proses  imaging dengan cara meng-klik  start.

start

Melakukan analisa dengan autopsy

Setelah pihak DCCF selesai melakukan  imaging dari  flashdisk, selanjutnya pihak DCCF melakukan analisa menggunakan perangkat lunak “Autopsy”.

Pada perangkat lunak “Autopsy” pihak DCCF memilih  new case, pada jendela  case information mereka mengisi  case name berserta  base directory nya.  Base directory tersebut menentukan dimana berkas – berkas hasil analisa akan disimpan.

Capture

Selanjutnya pada jendela “Optional Information” terdapat beberapa kolom isian yang sifatnya opsional, karena sifatnya opsional mereka pun mengosongkannya dan selanjutnya mereka pun meng-klik kan  finish.

Kemudian muncullah jendela baru “Add Data Source”, pihak DCCF tertuju perhatiannya pada kolom “Select Type of Data Source To Add”. Dikarenakan pihak DCCF akan menganalisa media hasil  image dari sebuah  flashdisk (physical drive), maka pihak DCCF memilih opsi “Disk Image or VM” dan mereka pun meng-klik  next.

1

Pada jendela selanjutnya mereka menjumpai sebuah kolom “Select Data Source”, yang mana mereka harus menentukan lokasi berkas sumber (lokasi hasil  image flashdisk), dan menentukan “Time Zone” nya, setelah mereka menentukan keduanya mereka pun meng-klik  next.

2

Kemudian mereka menjumpai kolom baru berupa kolom “Configure Ingest Modules” yang mana terdapat beberapa pilihan opsi “ingest mode” yang perlu dijalankan guna menganalisa  image flashdisk, setelah itu mereka meng-klik  next.

3

Pada jendela selanjutnya, mereka hanya meng-klik  finish.

Setelah selesai, kemudian pihak DCCF menemukan beberapa berkas foto yang kemungkinan adalah foto yang diambil oleh pelaku. Pihak DCCF meminta konfirmasi kepada si pedagang, dan si pedagang pun mengakui jika foto – foto berikut adalah barang – barang dagangan yang hilang dicuri.

[gambar hanya ilustrasi]

4

Si pedagang pun merasa, kalau si pelaku sempat mengambil gambar sebelum mengambil barang yang hendak dicuri, dan pada foto berikut ini adalah si pedagang sendiri yang sedang mempersiapkan dagangannya.

[gambar hanya ilustrasi]

6

Kemudian pihak DCCF menunjukan foto lainnya, dan si pedagang menunjuk bahwa dia adalah pencuri nya. Karena dialah yang akhir – akhir ini dia sering mondar mandir didepan area dagangannya.

[gambar hanya ilustrasi]

5

Counter antiforensics dengan veracrypt

Kemudian pihak DCCF menemukan adanya direktori yang sudah dihapus dengan nama “rahasia”, pada folder tersebut berisi sebuah berkas  *.mp4, akan tetapi pihak DCCF malah curiga terhadap berkas tersebut, karena jika diperhatikan header berkas tersebut tidak menunjukan berkas  *.mp4 .

7

9

Selain itu, pihak DCCF juga menemukan berkas  *.srt yang berisi  password, pihak pihak DCCF menduga bahwa berkas  *.mp4 tersebut bukanlah berkas  *.mp4 asli melainkan sebuah berkas yang dienkripsi dimana berkas tersebut memuat berkas lain didalamnya  (container).

10

Pihak DCCF pun melakukan dekripsi terhadap berkas tersebut menggunakan perangkat lunak “VeraCrypt”.

Pertama – tama pihak DCCF melakukan ekstraksi terhadap berkas  *.mp4, dengan cara klik kanan (pada “Autopsy”) kemudian memilih pilihan “extract files” lalu menyimpannya.

Pada perangkat lunak “veraCrypt” pihak DCCF menyorot salah satu drive, kemudian memilih “select file” untuk membuka berkas  .mp4 nya, dan meng-klik kan “mount”. Lalu pihak DCCF memasukan  password yang sebelumnya ditemukan pada berkas  *srt.

openpassword

Setelah berhasil di  mount, pihak DCCF mendapatkan beberapa berkas lainnya berupa foto – foto. Setelah dikonfirmasi kepada si pedagang, bahwa foto – foto tersebut adalah barang – barangnya yang sudah lama hilang dicuri atau pernah diambil oleh si pencuri.

open file

Setelah selesai melakukan analisa, pihak DCCF melakukan  dismount pada “VeraCrypt”untuk menutup  drive tersebut.

dismount

Kesimpulan

Dari cerita fiksi singkat yang penulis sampaikan diatas, mungkin pembaca sudah dapat menyimpulkan, apa itu  digital forensics dan apa fungsi nya. Cerita fiksi diatas hanyalah sebagian kecil dari berbagai macam cara dalam melakukan  digital forensics.

Kalau menurut kesimpulan penulis sendiri,  digital forensics adalah sebuah metode penyelidikan terhadap perangkat elektronik, perangkat elektronik tersebut dapat berupa telepon genggam, komputer dan lain lain. Dengan tujuan mencatat atau merekam fakta untuk memperoleh jawaban atas pertanyaan.

Sekian dari penulis, tunggu artikel selanjutnya dan apabila ada saran silahkan isi dikolom komentar. Terima kasih…