ANTI FORENSIK DAN INVESTIGATOR DIGITAL
PENDAHULUAN ANTI-FORENSIK
Istilah anti forensik (AF) baru-baru ini menjadi istilah dasar bagi peneliti digital. Meskipun secara konseptual istilah ini tidak lah baru, namun belum memiliki perangkat definisi yang jelas (Harris, 2006). Roger (2006), seorang praktisi forensik digital dan peneliti, mendefinisikan AF sebagai upaya untuk mengaburkan (negatively affect) terkait keberadaan, jumlah, dan/ atau kualitas bukti di TKP, atau membuat pemeriksaan barang bukti menjadi sulit dan / atau tidak mungkin untuk dilakukan. Liu dan Brown (2006) pencipta metode dan alat-alat AF, menawarkan sebuah definisi berbeda, yaitu : penerapan sebuah metode ilmiah untuk media digital untuk membatalkan informasi yang faktual di pengadilan.
Forensik adalah sebuah analisis ilmiah yang spesifik dari prilaku AF sebagai bukti yang dihadirkan di pengadilan. Sedangkan Anti Forensik adalah berbagai tool, metode dan proses untuk menghambat analisis tersebut (forensik).
AF tidak semata-mata hanya untuk tindakan pidana, namun bisa saja AF digunakan untuk melindungi privasi seseorang. Penggunaan AF dalam menyembunyikan sesuatu dengan mengatas namakan privasi terkadang memiliki perbedaan tipis dengan suatu usaha mencegah persetujuan pengadilan.
KATEGORI METODE ANTI FORENSIK
Roger (2006), mengemukakan ada empat kategori dasar AF :Menyembunyikan Data, Menghapus Data, pengalihan jejak, Serangan terhadap proses komputer atau alat forensik.
1. Data Hiding (Menyembunyikan)
Menyembunyikan data dapat dilakukan berbagai cara. Steganography, steganography telah ada selama lebih dari dua millennium. Steganography adalah seni dan ilmu untuk menyembunyikan pesan dalam sebuah pesan. Setiap bentuk informasi digital dapat disimpan dalam banyak jenis file pembawa, termasuk gambar, audio, video, dan file (.exe) (StegoArchive.com,2005).
2. Wiping (Mengganti atau menghilangkan data)
Yaitu menghapus file-file temporary yang tidak dibutuhkan, mengacau kan pencarian pada hard drive dalam pencarian bukti eliminator, membersihkan historis dan chance browser file, menghapus file tertentu dalam sistem operasi, dan menghapus ruang slack dan tidak terisi.
3. Trail Obfuscation (Pengalihan Jejak)
Yaitu dengan cara melakukan peng-track-kan dari jalur yang akan dilewati, seperti menggunakan IP palsu, email anonymous maupun jalur data acak.
Tujuan dari pengalihan jejak adalah untuk membingungkan, mengelirukan dan mengalihkan proses pemeriksaan forensik. Pengalihan Jejak meliputi berbagai teknik dan alat-alat yang termasuk "membersihkan log, spoofing, Informasi palsu, Tracking backbone, rekening zombie, perintah trojan."
4. Attack Tools forensik (menyerang proses penanganan forensik dari semua level penangan barang bukti)
Ini merupakan tipe baru dalam serangan langsung pada proses komputer forensik dan memiliki potensi paling mengancam.(Palmer,2001). Menggambarkan enam tahapan yang rentan dalam serangan forensik digital.
a. Identifikasi : mengacu pada metode menutupi insiden tersebut atau menyembunyikan hubungan barang bukti (bukti digital dengan) dengan insiden tersebut.
b. Preservation (Pelestarian) yaitu menjelaskan tahapan dimana integritas barang bukti. Fase ini dapat dirusak dengan mengganggu tahapan penelitian sehingga integritas barang bukti diragukan di pengadilan.
c. Collection adalah mengumpulkan / memperoleh barang bukti. Fase ini dapat dirusak dengan membatasi kelengkapan data yang dikumpulkan atau dengan mempertanyakan perangkat keras, perangkat lunak kebijakan dan prosedur-prosedur pengumpulan barang bukti.
d. Examination (Pemeriksaan) : fase ini dapat dirusak dengan menunjukkan bahwa barang bukti yang diperiksa tidak valid secara ilmiah.
e. Analisis : fase ini bergantung pada tool forensik, keahlian investigator dan dari barang bukti yang ditemukan. Analisis barang bukti merupakan tahapan yang paling rentan untuk diserang.
f. Reporting (Presentasi ): fase ini akan diserang dengan memanfaatkan celah pada investigator seperti keahlian/kecakapan/latar belakang pendidikan investigator serta ketelitian dari pemeriksa laporan.
Attack Tools forensik, lebih kepada serangan hubungan prosedural secara resmi yang mungkin saja terjadi selama investigasi hingga sidang pengadilan. Menurut Daubert hakim dapat diterimanya bukti ilmiah berdasarkan empat faktor:
1. Testing: Apakah Prosedur telah diuji?
2. Error Rate: Apakah memiliki pengetahuan akan tingkat kesalahan?
3. Publication: Apakah prosedur telah diterbitkan dan memiliki peer-review?
4. Acceptance: Apakah prosedur yang berlaku telah digunakan oleh komunitas ilmiah?
Prosedur AF akan menyerang kehandalan bukti digital, jika serangan ini berhasil tentunya bukti digital akan dipertanyakan, dan tidak berharga di pengadilan hukum.
Serangan AF terhadap tool forensic juga gencar dilakukan, beberapa yang serangan yang sukses terhadap tool-tool besar forensic yaitu seperti EnCase, FTK, iLook, SleuthKi dan WinHex. Sebuah laporan (2007 US Konferensi Black Hat) yang memperlihatkan ketenggangan antara komunitas AF dan penyedia perangkat lunak yang kemudian mempresentasikan hasil penerapan berapa eksploitasi pada sejumlah tools forensic.
1. Vendor perangkat lunak forensik tidak merancang produk mereka dalam kondisi yang tidak bersahabat (keadaan darurat), yaitu vendor tidak membuat perangkat lunak dapat memperoleh bukti dari alat/mesin yang diduga dapat menjadi bukti, jika alat atau mesin tersebut dikonfigurasi untuk menahan atau memalsukan bukti pada saat akuisisi dengan tool forensik yang dikenal.
2. Vendor perangkat lunak tidak membuat produk mereka benar-benar terlindungi terhadap kekurangan seperti stack overflows, ke tidak tepatan manajemen memori, dan keamanan dalam kesalahan penggunaan.
3. perangkat lunak forensik tidak menerapkan kriteria yang kuat dalam mengevaluasi produk yang mereka beli. Ini berdampak, banyak laboratorium komputer forensik membeli perangkat lunak yang “juga digunakan orang” tanpa melakukan tes kehandalan, ketelitian, integritas secara independent, yang mungkin karena perangkat lunak ini baru dirilis
dalam analisis akhir, jika AF bertujuan untuk meragukan hasil investigasi bukti digital agar tidak diterima di mata hukum, maka sudah jelas ini akan berdampak buruk pada seluruh investigator forensik.
KRIPTOGRAFI
Kriptografi dalam beberapa hal adalah alat utama dari AF, tentu bukan lah hal baru jika kriptografi digunakan untuk penyelidikan forensik menjadi sulit dan mungkin tidak dapat dilakukan.
Perlindungan kriptografi telah hadir hampir keseluruhan aplikasi berbasis komunikasi, baik pesan, audio, video dll, selain itu bisa dipastikan seluruh perangkat aplikasi dokumen dan lalu lintas data di internet juga memanfaatkan nya. Namun dalam perihal enkripsi yang sederhana biasanya dapat dengan mudah ditembus oleh tools forensic.
PENGGUNA
Asumsi yang dibangun adalah setiap pengguna akan menggunakan tools AF untuk menyulitkan proses investigasi. Secara umum, terdapat hubungan linier antara kesulitan dalam menggunakan alat dan dalam menyembunyikan AF. Seperti :
· Tidak setiap pengguna akan menginstal AF
· Tidak setiap pengguna yang menginstal AF akan menggunakan secara konsisten sehingga meninggalkan informasi yang dapat digunakan.
· Tidak setiap pengguna yang menggunakan alat AF akan menggunakannya dengan benar, yang akan meninggalkan informasi yang dapat digunakan
· Tidak semua alat AF bekerja sebagai sempurna seperti yang diiklankan, sehingga meninggalkan sisa-sisa dan jejak.
Tujuan lain dari AF adalah untuk melindungi data-data tertentu hingga diperdebatkan. Daripada sekedar mencegah proses analisis forensik, hingga menggagalkan pembuktian, dan hilang nya nilai-nilai integritas dan keabsahan.
Sebuah Ringkasan Paper oleh :Gary C. Kessler, Universitas Champlain Burlington, VT, USA . Edith Cowan University Mount Lawley, WA, Australia
.jpg)
silahkan miliki seluruh informasi yang ada didalam blog ini dengan tanpa membayar "sepersenpun", namun dimohonkan untuk melampirkan sumber tulisan serta alamat blog ini..
ReplyDeleteBerbagi dan tetap menghargai karya intelektual..
(handle on life of BLOGGER)