Digital Forensic

EXPERT WITNESS PRINCIPLE

ZEUS TROJAN HORSE (Bagian 2) “Attack Schema”

Terakhir dari varian Zeus (ZBot) Versi 3 ditemukan setelah sebelumnya ZBot versi 2 ditemukan. Zbot versi 3 telah menimbulkan kerugian yang cukup signifikan di Inggris (UK). ZBot versi sebelumnya telah terdeteksi oleh sebagian besar anti virus sedangkan untuk versi 3, sangat sulit untuk di diungkap.

Zeus Trojan menggunakan sebuah toolkit exploit yang bernama ELENORE EXPLOIT TOOLKIT. Sebuah toolkit exploit dapat digunakan untuk melayani beberapa eksploitasi melalui web browser. Toolkit exploit memanfaatkan kerentanan dalam aplikasi web untuk menyelesaikan pekerjaan nya. Elenore exploit toolkit menggunakan cara eksploitasi berikut :

· IE MDAC Vulnerability

· Adobe Reader Collab GetIcon Vulnerability

· Adobe Reader CollectEmailInfo Vulnerability

· Adobe Reader newPlayer Vulnerability

· Java Development Kit Vulnerability

· Java Web Start Vulnerability

· Social Engineering Attack – Requires the user to download and execute the payload

Gambar dibawah menunjukkan bagaimana skema Zeus bekerja:

Adapun skema sederhana dapat dilihat pada gambar dibawah ini :

Salah satu teknik yang dilakukan ZBot dalam melakukan infeksi kepada file-file yang dapat didownload secara bebas di internet, iklan-iklan, spamming dan banyak lagi terutama melalui media sosial sperti facebook.

Beberapa cara yang dapat dilakukan dalam melakukan menghindari Trojan ini adalah

1. Mengupdate perangkat lunak keamanan komputer

2. Terutama perangkat lunak :

a. Internet Explore

b. Adobe Reader

c. Java Development Kit including Java web start

3. Jika menggunakan Firefox, dapat menggunakan ekstensi Adblock Plus

ANTI FORENSIK DAN INVESTIGATOR DIGITAL

 

Dilihat dari definisi umum, anti forensik (AF) adalah seperangkat taktik dan tindakan yang diambil oleh seseorang untuk menggagalkan proses pemeriksaan Digital. Konsep AF bukanlah semata-semata untuk tindakan pidana, namun AF juga digunakan untuk tindakan dalam melindungi privasi seseorang.

PENDAHULUAN ANTI-FORENSIK

Istilah anti forensik (AF) baru-baru ini menjadi istilah dasar bagi peneliti digital. Meskipun secara konseptual istilah ini tidak lah baru, namun belum memiliki perangkat definisi yang jelas (Harris, 2006). Roger (2006), seorang praktisi forensik digital dan peneliti, mendefinisikan AF sebagai upaya untuk mengaburkan (negatively affect) terkait keberadaan, jumlah, dan/ atau kualitas bukti di TKP, atau membuat pemeriksaan barang bukti menjadi sulit dan / atau tidak mungkin untuk dilakukan. Liu dan Brown (2006) pencipta metode dan alat-alat AF, menawarkan sebuah definisi berbeda, yaitu : penerapan sebuah metode ilmiah untuk media digital untuk membatalkan informasi yang faktual di pengadilan.

Forensik adalah sebuah analisis ilmiah yang spesifik dari prilaku AF sebagai bukti yang dihadirkan di pengadilan. Sedangkan Anti Forensik adalah berbagai tool, metode dan proses untuk menghambat analisis tersebut (forensik).

AF tidak semata-mata hanya untuk tindakan pidana, namun bisa saja AF digunakan untuk melindungi privasi seseorang. Penggunaan AF dalam menyembunyikan sesuatu dengan mengatas namakan privasi terkadang memiliki perbedaan tipis dengan suatu usaha mencegah persetujuan pengadilan.

KATEGORI METODE ANTI FORENSIK

Roger (2006), mengemukakan ada empat kategori dasar AF :Menyembunyikan Data, Menghapus Data, pengalihan jejak, Serangan terhadap proses komputer atau alat forensik.

1. Data Hiding (Menyembunyikan)

Menyembunyikan data dapat dilakukan berbagai cara. Steganography, steganography telah ada selama lebih dari dua millennium. Steganography adalah seni dan ilmu untuk menyembunyikan pesan dalam sebuah pesan. Setiap bentuk informasi digital dapat disimpan dalam banyak jenis file pembawa, termasuk gambar, audio, video, dan file (.exe) (StegoArchive.com,2005).

2. Wiping (Mengganti atau menghilangkan data)

Yaitu menghapus file-file temporary yang tidak dibutuhkan, mengacau kan pencarian pada hard drive dalam pencarian bukti eliminator, membersihkan historis dan chance browser file, menghapus file tertentu dalam sistem operasi, dan menghapus ruang slack dan tidak terisi.

3. Trail Obfuscation (Pengalihan Jejak)

Yaitu dengan cara melakukan peng-track-kan dari jalur yang akan dilewati, seperti menggunakan IP palsu, email anonymous maupun jalur data acak.

Tujuan dari pengalihan jejak adalah untuk membingungkan, mengelirukan dan mengalihkan proses pemeriksaan forensik. Pengalihan Jejak meliputi berbagai teknik dan alat-alat yang termasuk "membersihkan log, spoofing, Informasi palsu, Tracking backbone, rekening zombie, perintah trojan."

4. Attack Tools forensik (menyerang proses penanganan forensik dari semua level penangan barang bukti)

Ini merupakan tipe baru dalam serangan langsung pada proses komputer forensik dan memiliki potensi paling mengancam.(Palmer,2001). Menggambarkan enam tahapan yang rentan dalam serangan forensik digital.

a. Identifikasi : mengacu pada metode menutupi insiden tersebut atau menyembunyikan hubungan barang bukti (bukti digital dengan) dengan insiden tersebut.

b. Preservation (Pelestarian) yaitu menjelaskan tahapan dimana integritas barang bukti. Fase ini dapat dirusak dengan mengganggu tahapan penelitian sehingga integritas barang bukti diragukan di pengadilan.

c. Collection adalah mengumpulkan / memperoleh barang bukti. Fase ini dapat dirusak dengan membatasi kelengkapan data yang dikumpulkan atau dengan mempertanyakan perangkat keras, perangkat lunak kebijakan dan prosedur-prosedur pengumpulan barang bukti.

d. Examination (Pemeriksaan) : fase ini dapat dirusak dengan menunjukkan bahwa barang bukti yang diperiksa tidak valid secara ilmiah.

e. Analisis : fase ini bergantung pada tool forensik, keahlian investigator dan dari barang bukti yang ditemukan. Analisis barang bukti merupakan tahapan yang paling rentan untuk diserang.

f. Reporting (Presentasi ): fase ini akan diserang dengan memanfaatkan celah pada investigator seperti keahlian/kecakapan/latar belakang pendidikan investigator serta ketelitian dari pemeriksa laporan.

Attack Tools forensik, lebih kepada serangan hubungan prosedural secara resmi yang mungkin saja terjadi selama investigasi hingga sidang pengadilan. Menurut Daubert hakim dapat diterimanya bukti ilmiah berdasarkan empat faktor:

1. Testing: Apakah Prosedur telah diuji?

2. Error Rate: Apakah memiliki pengetahuan akan tingkat kesalahan?

3. Publication: Apakah prosedur telah diterbitkan dan memiliki peer-review?

4. Acceptance: Apakah prosedur yang berlaku telah digunakan oleh komunitas ilmiah?

Prosedur AF akan menyerang kehandalan bukti digital, jika serangan ini berhasil tentunya bukti digital akan dipertanyakan, dan tidak berharga di pengadilan hukum.

Serangan AF terhadap tool forensic juga gencar dilakukan, beberapa yang serangan yang sukses terhadap tool-tool besar forensic yaitu seperti EnCase, FTK, iLook, SleuthKi dan WinHex. Sebuah laporan (2007 US Konferensi Black Hat) yang memperlihatkan ketenggangan antara komunitas AF dan penyedia perangkat lunak yang kemudian mempresentasikan hasil penerapan berapa eksploitasi pada sejumlah tools forensic.

1. Vendor perangkat lunak forensik tidak merancang produk mereka dalam kondisi yang tidak bersahabat (keadaan darurat), yaitu vendor tidak membuat perangkat lunak dapat memperoleh bukti dari alat/mesin yang diduga dapat menjadi bukti, jika alat atau mesin tersebut dikonfigurasi untuk menahan atau memalsukan bukti pada saat akuisisi dengan tool forensik yang dikenal.

2. Vendor perangkat lunak tidak membuat produk mereka benar-benar terlindungi terhadap kekurangan seperti stack overflows, ke tidak tepatan manajemen memori, dan keamanan dalam kesalahan penggunaan.

3. perangkat lunak forensik tidak menerapkan kriteria yang kuat dalam mengevaluasi produk yang mereka beli. Ini berdampak, banyak laboratorium komputer forensik membeli perangkat lunak yang “juga digunakan orang” tanpa melakukan tes kehandalan, ketelitian, integritas secara independent, yang mungkin karena perangkat lunak ini baru dirilis

dalam analisis akhir, jika AF bertujuan untuk meragukan hasil investigasi bukti digital agar tidak diterima di mata hukum, maka sudah jelas ini akan berdampak buruk pada seluruh investigator forensik.

KRIPTOGRAFI

Kriptografi dalam beberapa hal adalah alat utama dari AF, tentu bukan lah hal baru jika kriptografi digunakan untuk penyelidikan forensik menjadi sulit dan mungkin tidak dapat dilakukan.

Perlindungan kriptografi telah hadir hampir keseluruhan aplikasi berbasis komunikasi, baik pesan, audio, video dll, selain itu bisa dipastikan seluruh perangkat aplikasi dokumen dan lalu lintas data di internet juga memanfaatkan nya. Namun dalam perihal enkripsi yang sederhana biasanya dapat dengan mudah ditembus oleh tools forensic.

PENGGUNA

Asumsi yang dibangun adalah setiap pengguna akan menggunakan tools AF untuk menyulitkan proses investigasi. Secara umum, terdapat hubungan linier antara kesulitan dalam menggunakan alat dan dalam menyembunyikan AF. Seperti :

· Tidak setiap pengguna akan menginstal AF

· Tidak setiap pengguna yang menginstal AF akan menggunakan secara konsisten sehingga meninggalkan informasi yang dapat digunakan.

· Tidak setiap pengguna yang menggunakan alat AF akan menggunakannya dengan benar, yang akan meninggalkan informasi yang dapat digunakan

· Tidak semua alat AF bekerja sebagai sempurna seperti yang diiklankan, sehingga meninggalkan sisa-sisa dan jejak.

Tujuan lain dari AF adalah untuk melindungi data-data tertentu hingga diperdebatkan. Daripada sekedar mencegah proses analisis forensik, hingga menggagalkan pembuktian, dan hilang nya nilai-nilai integritas dan keabsahan.

 

Sebuah Ringkasan Paper oleh :Gary C. Kessler, Universitas Champlain Burlington, VT, USA . Edith Cowan University Mount Lawley, WA, Australia

CYBERCRIME BLACK MARKET

Di saat kebanyakan orang menganggap hacking dan serangan cyber adalah sebuah karya komputer yang jenius, kenyataannya adalah banyak orang yang kini mampu ikut serta dalam aktifitas cybercrime hanya dengan membeli sebuah perangkat lunak ilegal yang dapat membantu mereka mengacak-acak sebuah keamanan jaringan. Seperti yang sering dikatakan oleh beberapa aktivis komputer yaitu seorang pemula (hacker wannabe) sekarang dapat membeli “senjata” dari penjahat yang lebih berkompeten, sehingga memudahkan mereka dengan pengetahuan teknis yang sedikit untuk mengakses komputer korban dan rekening Bank. Semua perangkat lunak yang dianggap “senjata” untuk merusak ini, bisa ditemukan dengan mudah di sebuah tempat yang biasa disebut dengan Cybercrime Black Market.

Menangkap orang yang bertanggungjawab dalam memfasilitasi hacker, sama saja dengan mengungkap penjualan senjata ilegal. Ini merupakan kalimat yang bisa jadi benar, aksi tertutup, keamanan dan rapi nya manajemen yang dilakukan dalam beroperasi membuat kasus ini sulit diungkap.

Saat kita berbicara tentang Black Market (Pasar Gelap) kita selalu menggambarkan aktivitas tersebut dengan sebuah mata-mata dan gangster yang bertindak terorganisir dan sadis yang semua itu ada pada dunia nyata. Namun bagaimana jika pasar gelap ini berada di dunia maya? Bagaimana cara kerjanya? Siapa yang mengorganisir nya? Apa yang terjadi jika virus, Trojan, dll selesai dibuat? Bagaimana mendapatkan uang dan di “money laundry”?

Menurut FBI posisi paling umum / spesialisasi dari organisasi black market adalah

Organisasi kejahatan cyber selalu memiliki struktur hirarki dimana setiap posisi ditangani oleh orang-orang yang expert di bidangnya. Bisa saja mereka tersebut berada pada negara yang berbeda dan tidak pernah bertatap muka.

Langkah pertama : Menciptakan Malware dan Menemukan Korban

Pemimpin dari organisasi kriminal memulai aksinya dengan mulai mengontrak programmer dan hacker, bersama dengan beberapa teknisi lainnya untuk memuluskan aksinya. Terkadang mereka (programmer / hacker) beroperasi secara sendiri-sendiri dan waktu lain secara terkoordinasi, setiap orang memiliki perannya masing-masing. Tugas mereka menciptakan, phishing, bots, spam, halaman web palsu untuk diindeks di search engine, dll. Media sosial kemudian dimanfaatkan untuk mengelabui korban melalui vendor promosi terkenal, email merupakan salah satu yang paling sering digunakan.

AKSI BLACK MARKET

Kebebasan dalam berinternet yang bersifat internasional memberikan kontribusi dalam beberapa cara pembagian tugas :

· Malware dapat dibuat hanya dalam waktu beberapa menit berkat perangkat lunak pembuat malware, dan didistribusikan di situs-situs populer seperti pembelian online dengan penambahan kata-kata iklan yang direkayasa.

· Ancaman dapat dibuat dalam berbagai bahasa atau bahasa Inggris sebagai bahasa internasional.

Target terbesar adalah komputer berbasis OS Windows, karena memiliki pengguna terbesar yang mengakses situs terbesar, seperti bank, toko, platform berbayar. Namun platform Apple kini menjadi lebih menarik dikarenakan dengan peluncuran produk-produk apple yang mulai banyak mencuri minat pembeli. Setelah korban telah terjebak dalam perangkap dan bank atau rincian kartu kredit mereka, dicuri, informasi ini disimpan di server yang hacker dapat mengakses, dan sejak saat itu, mereka dapat memasukkan account pengguna atau menggunakan kartu tanpa sepengetahuan mereka.

Langkah kedua : Penjualan Data dan Pencucian Uang

Sebagian besar data akan berakhir ke pasar gelap atau diatribusikan kepada pengguna “end-user”. Alasannya sederhana: Pertama, yaitu hal ini mengurangi resiko untuk bisnis ini dari pada pencurian langsung. Kedua, sangat sering kejahatan dilakukan di negara yang berbeda yang mana pemasukan akan berakhir. Ketiga, semakin panjang rantai perantaraan, semakin sulit pula usaha untuk melacak penjahat.

Setelah informasi tersebut berada di pasaran, data tersebut dijual , yang menarik jalur ini merupakan jalur yang sama dimana hacker tersebut dikontrak untuk membuat, malware, Trojan, bot, atau malware kit.

Penawaran di posting melalui pembicaraan personal dan penjahat yang berpotensial yang ingin menggunakan informasi ini, untuk mengkloning kartu yang kemudian dapat digunakan di ATM, untuk mencuri uang secara langsung, melalui transfer atau hanya untuk berbelanja, menggunakan serangkaian metode rahasia untuk menghubungi penjual dan membeli barang.

Biasa nya mereka memerlukan orang yang nantinya di iming-imingi upah agar mau sebagai perantara/hanya untuk penerima pengiriman. Kebanyakan korban tidak mengetahui bahwa mereka dimanfaatkan dalam aktifitas kejahatan.

ZEUS TROJAN HORSE (Bagian 1)

Zeus adalah Trojan Horse yang mencuri data / informasi perbankan melalui teknik keystroke, Man-in-the-browser, Form Grabing. Zeus merupakan ancaman yang mengerikan menyebar terutama melalui skema Drive-by-download dan Phishing.

masing-masing teknik ini mempunyai pengertian.

keystroke Yaitu : tindakan perekaman tekanan pada tombol keyboard seperti fungsi dari software keyloggers,

Man-in-the-browser yaitu : proxy Trojan horse yang menginfeksi browser web dengan mengambil keuntungan dari kerentanan keamanan browser untuk memodifikasi halaman web, konten transaksi atau memasukkan transaksi tambahan, dengan cara yang tak terlihat,

Form Grabbing Yaitu : lanjutan dari keystroke, yaitu menangkap Data Form dari web browser dengan metode penyadapan, yaitu mengirimkan API ke dalam browser dan mengumpulkan data dari web sebelum melewati internet.

Zeus pertama kali diidentifikasi pada bulan Juli 2007 ketika digunakan untuk mencuri informasi dari Amerika Serikat Departemen Perhubungan [Jim Finkle (17 Juli 2007)] , dan semakin luas pada Maret 2009. Pada bulan Juni 2009, perusahaan keamanan Prevx menemukan bahwa Zeus diestimasi kan telah terdapat lebih dari 74.000 akun FTP pada website perusahaan seperti Bank of America , NASA , Monster.com , ABC , Oracle , Play.com, Cisco , Amazon , dan BusinessWeek [Steve Ragan (29 Juni 2009)].

Berbagai botnet ZEUS (Botnet : kumpulan program internet yang tersambung dan berkomunikasi dengan program sejenis lainnya atau yang telah terinfeksi zombie, dalam rangka untuk melakukan tugas-tugas. seperti menjaga kontrol dari IRC channel, mengirim email spam atau berpartisipasi dalam serangan DDoS) di perkirakan mencakup jutaan komputer, diestimasi kan sekitar 3.6 juta di Amerika serikat [The Hindu (Chennai, India). 27 Juli 2009], Pada 28 Oktober 2009 lebih dari 1,5 juta pesan phishing dikirim pada Facebook dengan tujuan menyebarkan Zeus trojan. Kata botnet berasal dari dua kata Robot and Network.

Mesin Zeus dikendalikan berada di 196 negara, termasuk negara-negara terpencil seperti Korea Utara . Kelima negara dengan contoh yang paling signifikan dari mesin yang terinfeksi adalah Mesir , yang Amerika Serikat , Meksiko , Arab Saudi , dan Turki . Secara keseluruhan, 2.411 perusahaan dan organisasi yang dikatakan telah dipengaruhi oleh operasi kriminal menjalankan botnet [Christopher Null (18 Februari 2010)].

Zeus menargetkan mesin Microsoft Windows, Zeus tidak bekerja pada Mac OS atau LINUX. Dan pada 2012 ditemukan zeus telah memiliki 5 varian baru yang dapat menginfeksi Blackberry dan Android [Kaspersky Lab].

Penyebaran Zeus Trojan Horse dapat dilihat di situs Zeus Tracker https://zeustracker.abuse.ch/index.php.  Zeus Tracker trek Zeus Command & Kontrol server (host) di seluruh dunia dan menyediakan domain-dan IP-blocklist.
Pada screen shots  dibawah,  terlihat Indonesia merupakan salah satu negara penyebaran ZEUS TROJAN HORSE.

 

(Im) Membuktikan Chain of Custody dan Integritas Barang Bukti Digital dengan Time Stamp

Jasmin osi and Miroslav Ba a

IT Section of Police Administration
Ministry of Interior of Una-sana canton

502.V.bbr br.2, Bihac, B&H

Phone: +387 61 790 484 E-mail: jascosic@bih.net.ba;
Faculty of Organization and Informatics
University of Zagreb

Pavlinska 2, Varazdin, RH

Phone: +385 98 552 235 E-mail: miroslav.baca@foi.hr

 

Abstaksi

Integritas (keadaan yang menunjukkan kesatuan yang utuh) dari barang bukti digital memainkan peran penting dalam proses investigasi forensik digital. Chain od Custody mesti mencakup informasi tentang bagaimana bukti-bukti dikumpulkan (collected), diangkut (transported), dianalisis (analyzed), diawetkan (preserved), dan ditangani. Ada beberapa metode yang disesuaikan untuk penandaan barang bukti digital agar integritas nya terjaga. Sangat banyak tool forensik dan aplikasi menggunakan jenis algoritma hashing tertentu untuk memungkinkan peneliti memverifikasi integritas dari disk / gambar. Pada proses ini masalah terkait ke-integritas-an meningkat, baik identitas serta tanggal dan waktu akses terhadap barang bukti.

Dalam paper ini penulis akan mempersembahkan sebuah metode Time Stamp sebagai penandaan sah sebuah bukti digital dalam keseluruahan tahapan penyidikan. Time stamp diperoleh dari pihak ketiga (Otoritas Time Stamp). ini akan digunakan untuk membuktikan ketika staff mengakses barang bukti digital pada setiap tahapan investigasi forensik.

I. Pendahuluan

Chain of custody dan integritas barang bukti digital memainkan peran penting dalam aturan proses investigasi forensik, karena fakta dari setiap tahapan forensik seorang investigator mesti mengerti benar bagaimana bukti digital ditemukan, dikumpulkan, ditangani, dalam berhubungan dengan barang bukti. Penanganan Chain of custody mesti menyertakan jawaban atas semua pertanyaan terkait integritas. Jika satu pertanyaan belum terjawab, chain of custody dapat dipertanyakan dan validasi nya dapat terganggu. Dalam hal ini ketika menyajikan barang bukti di pengadilan, jika satu aturan/hubungan hilang maka pengadilan akan menerima barang bukti yang tidak relevan seluruh proses investigasi akan sia-sia. Pertanyaan paling umum dalam presentasi bukti digital adalah “siapa, kapan, dimana dan alasan melakukan kontak/hubungan dengan bukti digital?”. Variable yang paling sensitif adalah “waktu melakukan kontak/hubungan” dengan bukti digital. Bukti digital bisa saja sebuah file dengan atau tanpa ekstensi, beberapa file, sebuah partisi pada hardisk atau keseluruhan isi hardisk, flash disk, CD/DVD/BlueRay Disk dan media penyimpanan lainnya.

Bagaimanapun pada investigasi forensik mengacu pada media penyimpanan atau hardisk dengan tujuan penyelidikan adalah perangkat komputer. Investigator mesti membuat identitas lengkap “bit to bit” dalam salinan file yang asli ketika bukti digital yang asli ber-sirkulasi melalui tahapan-tahapan investigasi, atau ketika melewati keseluruhan tahapan dari investigasi bukti digital, staf yang menangani barak bukti akan selalu berganti, oleh sebab itu dokumentasi tidak hanya pada perubahan tapi juga orang yang melakukan kontak/hubungan.

II. Chain of custody dan Live circle dari bukti digital.

Chain of Custody dapat didefinisikan sebagai "Sebuah peta jalan yang

menunjukkan bagaimana bukti-bukti dikumpulkan, dianalisis, dandiawetkan dalam rangka untuk disajikan sebagai bukti di pengadilan ". (John Vacca, P-154) [1]. Chain of custody memegang peranan yang sangat peranan penting dalam proses penyidikan digital. Ini adalah frase yang mengacu pada audit yang akurat dan kontrol barang bukti asli yang berpotensi dapat digunakan untuk tujuan hukum. Tidak cukup hanya mengetahui lokasi saat ini, namun harus ada juga log (sejarah akses) yang akurat dalam melacak setiap saat pergerakan dan kepemilikan barang bukti Penyidik ​​harus tahu bagaimana untuk menjawab pertanyaan-pertanyaan tertentu dalam penyelidikan forensik keseluruhan proses:

1. Apa barang bukti digital ?

2. Dimana bukti digital ditemukan, dikumpulkan, ditangani dan/atau diperiksa?

3. Siapa saja yang berhubungan dengan barang bukti, menangani, menemukan?

4. Kapan barang bukti digital ditemukan, diakses, diperiksa atau dipindahkan (transfer).

5. Bagaimana barang bukti digital digunakan.

Chain of custody harus mencakup dokumentasi bagai mana data dikumpulkan, diangkut, dianalisis, diawetkan dan ditangani (dengan membayar lisensi, misalnya bukti Internasional).

Informasi ini penting dalam memverifikasi data elektronik agar melakukan pencegahan bila data diubah. Mempertahankan Chain of custody adalah penting untuk orang yang melindungi data, serta otoritas dalam hukum [1]. Mengadopsi Chain of custody akan membantu penyidik ​​untuk membuktikan bahwa bukti yang memberatkan tidak hancur atau bukti terkontaminasi.

III. Integritas Barang Bukti Digital

Menurut Vastone [3], Integritas digital “properti dimana data digital belum diubah secara tidak sah sejak dibuat, ditransmisikan, atau disimpan oleh sumber resmi”. Integritas bukti digital memastikan bahwa informasi disajikan lengkap dan tidak berubah dari waktu memperoleh disposisi hingga akhir. Ada beberapa metode yang disesuaikan untuk bukti penandatanganan digital untuk (im) membuktikan integritasnya. Saat ini sebagian besar

alat forensik dan aplikasi mengimplementasikan beberapa jenis checksum atau hashing algoritma untuk memungkinkan peneliti kemudian untuk memverifikasi integritas disk atau gambar [4]. Sebuah fungsi hashing kriptografi atau algoritma memiliki karakteristik teknis sebagai berikut [Tabel 1].

IV. Menggunakan Time Stamp Untuk Menandai Bukti Digital

Ada banyak definisi terkait Time Stamp (trjmh: Cap Waktu). Dalam dunia nyata sebuah Time Stamp dapat di representasikan beberapa moment waktu, didunia komputer (dunia digital), time stamp di representasikan sebuah moment waktu dalam format digital. Time stamp dan Digital time memainkan peran penting dalam forensika digital, karena adanya kebutuhan untuk mengetahui waktu-waktu saat tertentu pada proses investigasi.

Hal ini sangat penting untuk mengetahui jawaban atas pertanyaan diruang sidang. Kapan barang bukti diakses, berapa lama seorang staff berhubungan dengan barang bukti? Pertanyaan berikutnya dapat berupa: Berapa lama bukti digital dapat dibuktikan integritasnya saat ditandai.[7]

Waktu adalah faktor penting dalam menentukan pertanyaan. Kita harus membuktikan integritas digital bukti. Kita perlu tahu waktu yang tepat saat bukti digital diakses. Masalah besar lainnya adalah kepercayaan sumber waktu, karena fakta bahwa dalam dunia nyata dan digital waktu selalu tergantung pada pengaturan jam . Sebagai contoh, jika kita menggunakan komputer pribadi yang jam salah, kita akan mendapatkan cap waktu yang salah. Karena itu, waktu tidak bisa sepenuhnya diandalkan. Dalam kasus ini Time Stamp tidak dapat menjadi sebagai faktor vital untuk merekonstruksi peristiwa di digital forensik.

Masalah Time stamp telah menjadi subyek dari penelitian. Hosmer [7] menekankan penggunaan waktu untuk membuktikan integritas dari bukti digital, dan 3 langkah besar yang harus kita lakukan agar dapat secara efektif menggunakan bukti digital untuk membuktikan motif, kesempatan dan sarana kejahatan dunia maya:

Langkah 1: Lacak keabsahan Sumber waktu

Langkah 2: Distribusi Waktu

Langkah 3: Sumber Digital Time Stamp

Weil[2002] dan Boyd [2004] menganjurkan penggunaan metode korelasi untuk penyimpanan Time Stamp yang tersimpan di komputer yang dibuat oleh Jam lain (misalnya Time Stamp dalam Halaman web yang dihasilkan secara dinamis)[8]. Dalam penelitian sinkronisasi jam jaringan komputer mereka, Mohay and Clark [9] Menunjukkan bahwa jam/waktu dapat dikurangi dengan menghubungkan Rime Stamp yang tersimpan dalam chance web dari halaman web dengan record yang tersimpan di web server.

A. Validitas Time Stamp

Menurut RFC 3161 standar [10], sebuah

Time Stamp valid adalah Time Stamp yang dikeluarkan oleh pihak ketiga yang terpercaya (trusted third party (TTP)) bertindak sebagai otoritas stamping waktu (time stamping authority (TSA)). Hal ini digunakan untuk membuktikan adanya data tertentu sebelum titik tertentu (misalnya kontak dengan bukti digital) tanpa kemungkinan bahwa pemilik dapat backdate Time Stamp. di beberapa negara kita dapat menggunakan jasa TSA dalam kewenangan untuk membuktikan konsistensi dan integritas bukti digital dalam setiap tahap keberadaannya. Hal ini sangat penting dalam standar internasional

pertukaran bukti digital dan Investigasi digital internasional. Ketika sebuah Time Stamp Authority (TSA), yang kami hubungi untuk mendapatkan Time Stamp, melanjutkan permintaan kami, ada beberapa "Auditor eksternal" bertindak sebagai saksi. Dalam beberapa hal ada satu, dalam beberapa dua auditor [12] mana bukti chain document.

Proses mendapatkan Time stamo dari TSA, yang akan membuktikan keberadaan dan kontak dengan bukti digital oleh semua staf di setiap saat, terdiri dari beberapa langkah dibagi dalam dua bagian yang terpisah:

Pada sisi klien:

· Proses pembuatan pengenal unik, sidik jari (menciptakan hash) bukti digital (SHA-256,MD5, dll)

· Proses kewenangan pengiriman sidik jari untuk Time Stamp

· Proses verifikasi dengan Public Key dan lokal menyimpan

Di sisi TSA:

· Proses mendapatkan waktu resmi dari server

· Proses menambahkan Time stanmp untuk sidik jari

· Proses melindungi (penandatanganan) dengan Private Key

· Proses pengiriman tanda tangan digital untuk klien

Proses ini diilustrasikan dalam gambar 1. pertama, peneliti (atau staf lain yang menangani bukti digital) harus menghasilkan sebuah identifikasi unik - sidik jari bukti digital. Dalam proses ini beberapa metode sebelumnya, fungsi hash atau, untuk keamanan yang lebih baik, beberapa hash fungsi dapat digunakan. Hal ini diusulkan untuk menggunakan- SHA / MD algoritma. Setelah menghasilkan hash bukti digital, ini "beberapa bit" dikirim ke "pihak ketiga" – TSA. Hal ini penting untuk menyebutkan bahwa hanya sidik jari (hash) adalah ditransmisikan ke TSA, pernah file asli. TSA tidak dapat melihat dokumen yang sebenarnya (tidak file apapun). Selanjutnya apa yang terjadi adalah bahwa TSA menerima hash dengan menambahkan Time stamp, menghitung hash baru dan digital menandatangani berkas dengan kunci penandatanganan dilindungi. Tujuan dari dokumen ini adalah untuk menunjukkan sebuah metode Time stamp yang sah untuk menandatangani bukti digital dalam setiap tahapan proses penyidikan.

TSA kemudian mengirimkan file ini kembali ke klien (penyidik​​), yang memiliki sepasang kunci penandatanganan. Pada tahap berikutnya dari penyelidikan forensik persis proses yang sama terjadi. Pada cara ini kita bisa membuktikan waktu membawa bukti digital pada setiap tahap penyelidikan forensik.

I. Kesimpulan dan Penelitian lebih lanjut

Karena perkembangan TIK yang luas, khususnya internet dan komunikasi digital, membawa bukti lebih besar dari sebelumnya. Seperti bukti digital ke dalam bentuk bit/byte. Salah satu hal yang sangat penting dalam proses forensik adalah pemeliharaan dari chain of custody bukti digital.

Penelitian lebih lanjut akan difokuskan pada masalah lanjutan dari chain of custody-pada proses bukti digital, dan bagaimana dapat dikembangkan keamanan “ Framework manajemen bukti Digital ” Itu akan membantu peneliti untuk aman menangani bukti, dan menyimpan hash file dalam bentuk digital, serta biometric tanda tangan, cap waktu, dan karakteristik tempat di mana semua bukti diakses.

REFERENCES

[1] M.G.Nagaraya, „Investigators chain of custody in digital

[2] R. Yeager,, „Criminal Computer Forensics Management“, InfoSecCD, ACM, Kennesaw, USA, 2006

[3] S.Vanstone, P. Van Oorschot,, & A. Menezes, „Handbook of Applied Criptografy“, CRC Press, 1997

[4] C. Brown, „Digital evidence: Collecting and Preservation“, 2006

[5] Cryptographic hash function, http://en.wikipedia.org/wiki/ Cryptographic_hash_function#cite_note-13, (accessed: 04.12.2010)

[6] J. osi , M.Ba a, „Steganography and its implication on forensic investigation“, INFOTEH 2010, Jahorina, B&H, in press

[7] C. Hosmer, „Proving the Integrity of Digital Evidence with Time“ , International Journal of Digital Evidence, Spring 2002, Vol.1, Issue 1

[8] S. Willassen, „Hypothesis based investigation of Digital Time stamps“, IFIP, Advances in Digital Forensic IV, pp.75-86, 2008

[9] B. Schatz, G. Mohay, A. Clark, „ A correlation method for establishing the provenance of time stamps in digital evidence“ , Digital Investigation, vol 3, 98-107,2006

[10] Internet X.509 PKI, Time Stamp Protocol (TSP), http://tools.ietf.org/html/rfc3161 accessed: 01.01.2010

[11] Financial Agency of Croatia, http://www.fina.hr/ accessed: 31.12.2009

[12] E-TimeStamp, An Internet Notary, http://www.digistamp.com/evidence.htm, accessed: 02.01.2010

[13] M. Ba a, Introduction in computer security, Narodne novine, Zagreb, 2004, (on Croatian)

 

DI RINGKAS DAN DITERJEMAHKAN OLEH MITRA UNIK, Dokument asli dapat di unduh disini, dan Dokument terjemahan bahasa (+62) dapat diunduh disini,

DAUBERT CRITERIA

Disertasi yang ditulis oleh Diomaris E. Jurecka dalam syarat mengambil gelar doktornya,  tentang “Competence to Stand Trial: Special Challenges for the Population Diagnosed With Intellectual Disabilities and Borderline Intellectual Functioning” dituliskan,  Kriteria Daubert secara eksplisit mensyaratkan bahwa bukti empiris yang mengandung pengujian, mesti dapat diterima oleh sebagian besar komunitas pada bidang ilmiah yang sama, yang diterbitkan dalam jurnal artikel dan memiliki pengetahuan kesalahan-kesalahan yang mungkin terjadi. Standar Daubert telah dimodifikasi dan di perjelas pada tahun 1999 di KUMHO TIRE Company V Patrik Carmichael . Kasus KUMOHO membuka pintu gerbang konsep peradilan bukti validitas secara ilmiah dan diperluas dengan mencakup observasi dan pengetahuan yang diperoleh melalui keterampilan. Standar ini didasarkan pada peraturan Bukti Federal yang mencakup “ilmiah, teknis atau pengetahuan khusus lain”

Standar Daubert menyediakan aturan bukti mengenai diterima nya kesaksian ahli saksi. Dalam  standar Daubert terdapat trilogi  yang menjadi acuan kasus di Mahkamah Agung Amerika Serikat yang mengartikulasikan standard Daubert, bahwa Peraturan 702 dari Federal Rules of Evidencetidak memasukkan Frye test "penerimaan umum" sebagai dasar untuk menilai diterima nya kesaksian ahli ilmiah, tetapi bahwa aturan menggabungkan kehandalan fleksibel standar sebaliknya;

General Electric Co ay Joiner, [1] yang menyatakan bahwa seorang hakim pengadilan distrik mungkin mengecualikan kesaksian ahli ketika ada kesenjangan antara bukti yang dibutuhkan oleh seorang ahli dan kesimpulan, dan bahwa standar penyalahgunaan-of-kebijaksanaan review adalah standar yang tepat untuk pengadilan banding untuk digunakan dalam meninjau keputusan sidang pengadilan tentang apakah harus mengakui kesaksian ahli;

Kumho Tire Co v Carmichael, [2] yang diselenggarakan pada tahun 1999 bahwa fungsi penjaga gerbang hakim diidentifikasi dalam Daubert berlaku untuk semua kesaksian ahli, termasuk yang non-ilmiah.

Sumber:

• En.wikipedia.org/wik/daubert_standart
• Diomaris E. Jurecska, (2010).  Competence to Stand Trial: Special Challenges for the Population Diagnosed With Intellectual Disabilities and Borderline Intellectual Functioning. (Disertasi). Newberg, Oregon, Graduate Department of Clinical Psychology George Fox University

Blogger Labels: Daubert,Criteria Daubert,Kriteria Daubert,KUMHO,Patrik,Carmichael,Bukti Digital,Evidence

Integritas Data , Ontologies dan Chain OF Custody pada Barang Bukti Digital

Agarwal & Gupta (2011), Forensika digital adalah penggunaan ilmu dan metode untuk menemukan, mengumpulkan, mengamankan, menganalisis, menginterpretasi dan mempresentasikan barang bukti digital yang terkait dengan kasus yang terjadi untuk kepentingan rekonstruksi kejadian serta keabsahan proses keadilan.

Faktor penting dalam forensika digital adalah Barang bukti. Menurut Turner (2005), Barang Bukti adalah information stored or transmitted in binary form that may be relied upon in court. Menurut Matthew Braid dalam (Richter & Kuntze, 2010), agar setiap barang bukti dapat digunakan dan mendukung proses hukum, maka harus memenuhi lima kriteria yaitu : admissible, authentic, complete, reliable dan believable. Sementara Schatz (2007) menyebutkan dua aspek dasar untuk kriteria lain agar barang bukti dapat mendukung proses hukum, yaitu aspek hukum dengan kriteria: authentic, accurate, complete, serta aspek teknis dengan kriteria : chain of evidence, transparent, explainable, accurate. Berbeda dengan barang bukti fisik pada umumnya, barang bukti digital akan sangat bergantung dari proses interpretasi terhadap kontennya.

Keberadaan barang bukti digital sangat penting dalam investigasi kasus-kasus computer crime maupun computer-related crime, karena dengan barang bukti inilah investigator dan forensic analyst dapat mengungkap kasus-kasus tersebut dengan kronologis yang lengkap, untuk kemudian melacak keberadaan pelaku dan menangkapnya. 

•  Barang bukti elektronik, yang bersifat fisik dan dapat dikenali secara visual, seperti computer PC, laptop/notebook, netbook, tablet, Handphone, smartphone, Flashdisk dll.
• Barang bukti digital, yang diekstrak atau di-recover dari barang bukti elektronik, seperti logical file, delete file, lost file, log file, User ID dan password, SMS (Short Message Service), dll.

Karena itu, integritas dari barang bukti serta kemampuan dari expert dalam menginterpretasikannya akan berpengaruh terhadap pemilahan dokumen-dokumen digital yang tersedia untuk dijadikan sebagai barang bukti (Schatz, 2007). Aspek penting dalam penanganan barang bukti adalah apa yang disebut dengan chain of custody, yaitu kronologis pendokumentasian barang bukti.

Konsep ini juga tertuang pada empat prinsip barang bukti digital berbasis Komputer, oleh Association of Chief Police Officers’ (ACPO).

Four principles are involved:

Principle 1: No action taken by law enforcement agencies or their agents should change data held on a computer or storage media which may subsequently be relied upon in court.

Principle 2: In circumstances where a person fnds it necessary to access original data held on a computer or on storage media, that person must be competent to do so and be able to give evidence explaining the relevance and the implications of their actions.

Principle 3: An audit trail or other record of all processes applied to computer-based electronic evidence should be created and preserved. An independent third party should be able to examine those processes and achieve the same result.

Principle 4: The person in charge of the investigation (the case offcer) has overall responsibility for ensuring that the law and these principles are adhered to.

Cosic et al (2011), chain of custody adalah bagian penting dari proses investigasi yang akan menjamin suatu barang bukti dapat diterima dalam proses persidangan. Chain of custody mendokumentasikan hal terkait dengan konsep 5W1H dari pengguna barang bukti pada setiap proses investigasi. Vanstode dalam (cosic & baca 2010) digital integrity (Integritas Digital) adalah sebuah property dimana digital tidak mengalami perubahan oleh pihak yang tidak memiliki wewenang otoritas melakukan perubahan.

Hal penting yang perlu dilakukan investigator untuk melindungi bukti adalah the chain of custody, yaitu pemeliharan barang bukti dengan meminimalisir kerusakan yang diakibatkan karena investigator.

Tujuan dari the chain of custody adalah :

1. Bukti itu benar-benar masih asli/orisinil

2. Pada saat persidangan, bukti masih bisa dikatakan seperti pada saat ditemukan.

Beberapa pertanyaan yang dapat membantu adalah :

1. Siapa yang mengumpulkan bukti ?

2. Bagaimana dan di mana ?

3. Siapa yang memiliki bukti tersebut ?

4. Bagaimana penyimpanan dan pemeliharaan selama penyimpanan bukti itu ?

5. Siapa yang mengambil dari penyimpanan dan mengapa ?

Penerapan konsep digital chain of custody adalah salah satu solusi mengatasi kebutuhan tools untuk mendukung proses investigasi. Konsep digital chain of custody adalah sebuah solusi tool untuk mendukung aktifitas proses investigasi melalui pendekatan evidence Oriented design. Model pengimplementasi (Garfinkel, 2009) melalui kombinasi teknik Kriptografi pada ekstensi AFF (Advance Forensic Format) versi 3 yang dikembangkan sebelumnya sebagai model untuk digital chain of custody. ONTOLOGY secara sederhana dapat dimaknai, Specification Of Conceptualization (kota, 2012).

Ontologies umumnya digunakan pada berbagai domain pengetahuan secara formal merepresentasikan keilmuan dari domain tersebut. Giova (2011), Memodelkan Proses interaksi chain of custody meliputi 5 pelaku yang berbeda 

CoDe = f { fingerprint _of _file, //what 

biometrics_characteristic, //who 

time_stamp, //when 

gps_location, //where 

reason, //why 

set_of_procedures}; //how

Model ontologi yang dikemukakan oleh Cosic (2011) dapat dikembangkan lebih lanjut pada beberapa aspek. Antara lain adalah dengan melakukan sejumlah perluasan terhadap 5 hal yang menjadi dasar dari pembangunan ontologi oleh Cosic (2011), yaitu : Characteristics, Dynamics, Factors, Institutions dan Integrity.

--------------------------------------------------------------

STUDY KASUS PENANGANAN INVESTIGASI PEMBUNUHAN