Photo by kat wilcox on Pexels.com
Hai pembaca, salam jumpa
Pada postingan ini penulis akan membahas tentang digital forensics melalui sebuah cerita fiksi tentang kasus hilangnya wortel yang ditangani oleh tim DCCF.
Seorang pedagang sayuran mengalami musibah kehilangan barang dagangannya berupa wortel. Kemudian si pedagang melaporkan kejadian tersebut ke pihak yang berwajib. Setelah tiba, kemudian mereka mulai melakukan investigasi tempat kejadian perkara, menurut laporan dari si pedagang bahwa sebelum terjadi pencurian, si pedagang sering melihat ada orang mencurigakan yang mondar – mandir di area tokonya dan kejadian ini sudah terjadi ke sekian kali nya. Setelah lima menit proses investigasi berlalu, pihak yang berwajib hanya menemukan sebuah flashdisk yang berada disekitar toko si pedagang. Pihak yang berwajib menanyakan apakah flashdisk ini milik si pedagang, tetapi si pedagang tidak merasa memiliki benda tersebut. Pihak yang berwajib pun berinisiatif untuk melakukan investigasi lebih lanjut terhadap flashdisk tersebut dengan menyerahkan kepada Divisi Cyber Crime Forensics (singkat saja DCCF) untuk diinvestigasi.
Pihak DCCF pun mulai melakukan investigasi terhadap flashdisk yang tertinggal di lokasi kejadian.
Imaging dengan accessdata FTK imager
Pihak DCCF memulai investigasi dengan cara melakukan proses imaging atau bisa disebut juga clonning, dengan menggunakan perangkat lunak “AccessData FTK Imager”. Tujuannya adalah untuk mencegah terjadinya perubahan pada isi dari flashdisk tersebut. Karena dalam proses investigasi sangat memugkinkan terjadinya read and write. Sederhananya, flashdisk tersebut tidak boleh secara langsung investigasi.
Pada perangkat linak “AccessData FTK Imager”, mereka memilih pilihan “file” dan “create disk image”. Pada jendela “select source” mereka memilih physical drive, karena targetnya berupa perangkat keras ( flashdisk) bukan disk virtual.
Pada jendela “Select Drive”, mereka memilih flashdisk yang hendak dijadikan berkas image. Lalu klik kan finish.
Pada jendela “Create Image”, adalah menentukan berkas hasil imaging akan dibuat. Setelah mereka meng-klik “add” lalu mereka memilih “image type”. Pihak DCCF memilih “image type” nya sebagai “Raw” karena berkas jenis ini akan kompatibel untuk dibuka diberbagai macam jenis perangkat lunak forensics.
Pada “Evidence Item Information”, terdapat beberapa kolom isian yang bersifat opsional atau bebas untuk di isi.
Pada jendela “Select Image Destination” adalah opsi untuk menentukan dimana hasil imaging akan disimpan. Pihak DCCF pun menyimpannya pada folder “DROPZONE” dengan nama berkas adalah “Case01” kemudian meng-klik finish. Pada kolom “Image Fragment Size (MB)” mereka harus memastikan kalau nilainya harus lebih besar daripada media yang akan dianalisa.
Setelah meng-klik finish pada jendela “Select Image Destination”, kemudian mereka memulai proses imaging dengan cara meng-klik start.
Melakukan analisa dengan autopsy
Setelah pihak DCCF selesai melakukan imaging dari flashdisk, selanjutnya pihak DCCF melakukan analisa menggunakan perangkat lunak “Autopsy”.
Pada perangkat lunak “Autopsy” pihak DCCF memilih new case, pada jendela case information mereka mengisi case name berserta base directory nya. Base directory tersebut menentukan dimana berkas – berkas hasil analisa akan disimpan.
Selanjutnya pada jendela “Optional Information” terdapat beberapa kolom isian yang sifatnya opsional, karena sifatnya opsional mereka pun mengosongkannya dan selanjutnya mereka pun meng-klik kan finish.
Kemudian muncullah jendela baru “Add Data Source”, pihak DCCF tertuju perhatiannya pada kolom “Select Type of Data Source To Add”. Dikarenakan pihak DCCF akan menganalisa media hasil image dari sebuah flashdisk (physical drive), maka pihak DCCF memilih opsi “Disk Image or VM” dan mereka pun meng-klik next.
Pada jendela selanjutnya mereka menjumpai sebuah kolom “Select Data Source”, yang mana mereka harus menentukan lokasi berkas sumber (lokasi hasil image flashdisk), dan menentukan “Time Zone” nya, setelah mereka menentukan keduanya mereka pun meng-klik next.
Kemudian mereka menjumpai kolom baru berupa kolom “Configure Ingest Modules” yang mana terdapat beberapa pilihan opsi “ingest mode” yang perlu dijalankan guna menganalisa image flashdisk, setelah itu mereka meng-klik next.
Pada jendela selanjutnya, mereka hanya meng-klik finish.
Setelah selesai, kemudian pihak DCCF menemukan beberapa berkas foto yang kemungkinan adalah foto yang diambil oleh pelaku. Pihak DCCF meminta konfirmasi kepada si pedagang, dan si pedagang pun mengakui jika foto – foto berikut adalah barang – barang dagangan yang hilang dicuri.
[gambar hanya ilustrasi]
Si pedagang pun merasa, kalau si pelaku sempat mengambil gambar sebelum mengambil barang yang hendak dicuri, dan pada foto berikut ini adalah si pedagang sendiri yang sedang mempersiapkan dagangannya.
[gambar hanya ilustrasi]
Kemudian pihak DCCF menunjukan foto lainnya, dan si pedagang menunjuk bahwa dia adalah pencuri nya. Karena dialah yang akhir – akhir ini dia sering mondar mandir didepan area dagangannya.
[gambar hanya ilustrasi]
Counter antiforensics dengan veracrypt
Kemudian pihak DCCF menemukan adanya direktori yang sudah dihapus dengan nama “rahasia”, pada folder tersebut berisi sebuah berkas *.mp4, akan tetapi pihak DCCF malah curiga terhadap berkas tersebut, karena jika diperhatikan header berkas tersebut tidak menunjukan berkas *.mp4 .
Selain itu, pihak DCCF juga menemukan berkas *.srt yang berisi password, pihak pihak DCCF menduga bahwa berkas *.mp4 tersebut bukanlah berkas *.mp4 asli melainkan sebuah berkas yang dienkripsi dimana berkas tersebut memuat berkas lain didalamnya (container).
Pihak DCCF pun melakukan dekripsi terhadap berkas tersebut menggunakan perangkat lunak “VeraCrypt”.
Pertama – tama pihak DCCF melakukan ekstraksi terhadap berkas *.mp4, dengan cara klik kanan (pada “Autopsy”) kemudian memilih pilihan “extract files” lalu menyimpannya.
Pada perangkat lunak “veraCrypt” pihak DCCF menyorot salah satu drive, kemudian memilih “select file” untuk membuka berkas .mp4 nya, dan meng-klik kan “mount”. Lalu pihak DCCF memasukan password yang sebelumnya ditemukan pada berkas *srt.
Setelah berhasil di mount, pihak DCCF mendapatkan beberapa berkas lainnya berupa foto – foto. Setelah dikonfirmasi kepada si pedagang, bahwa foto – foto tersebut adalah barang – barangnya yang sudah lama hilang dicuri atau pernah diambil oleh si pencuri.
Setelah selesai melakukan analisa, pihak DCCF melakukan dismount pada “VeraCrypt”untuk menutup drive tersebut.
Kesimpulan
Dari cerita fiksi singkat yang penulis sampaikan diatas, mungkin pembaca sudah dapat menyimpulkan, apa itu digital forensics dan apa fungsi nya. Cerita fiksi diatas hanyalah sebagian kecil dari berbagai macam cara dalam melakukan digital forensics.
Kalau menurut kesimpulan penulis sendiri, digital forensics adalah sebuah metode penyelidikan terhadap perangkat elektronik, perangkat elektronik tersebut dapat berupa telepon genggam, komputer dan lain lain. Dengan tujuan mencatat atau merekam fakta untuk memperoleh jawaban atas pertanyaan.
Sekian dari penulis, tunggu artikel selanjutnya dan apabila ada saran silahkan isi dikolom komentar. Terima kasih…