Contoh Pengisian Report - Removeable Media Worksheet
Contoh kasus:
Friday, July 4, 2014
Thursday, July 3, 2014
Black Market
Sejak pertengahan tahun 2000, komunitas hacker secara stabil tumbuh dan berkembang, dan telah mempunyai “pasar” sendiri yang disebut Pasar Gelap atau Black Market. Sama seperti dengan pasar tradisional lainnya, Black Market juga melakukan kegiatan ekonomi. Hanya saja, transaksi yang dilakukan adalah transaksi ekonomi ilegal, yang bahkan bisa lebih menguntungkan daripada penjualan obat terlarang, narkoba, dan lainnya.
Kegiatan ekonomi yang terjadi di dalam Black Market di luar jalur yang diakui pemerintah. Transaksi pasar gelap biasanya terjadi "di bawah meja" sehingga penggunanya dapat menghindari kontrol harga dari pemerintah atau pajak. Pasar gelap juga merupakan tempat di mana zat-zat atau produk seperti obat-obatan dan senjata api diperdagangkan secara ilegal dengan pengendalian yang sangat ketat. Pasar gelap bergerak seperti di jalan bebas hambatan diperekonomian, karena mereka adalah pasar bayangan di mana kegiatan ekonomi tidak tercatat dan pajak tidak dibayar. Beberapa orang mungkin menghindari pasar gelap karena mereka menganggap itu sesuatu yang buruk, namun tidak sedikit juga yang memanfaatkan “wadah ini”
Barang atau jasa yang diperjual-belikan bisa ilegal atau tidak baik untuk dimiliki atau diperdagangkan melalui jalur-jalur yang legal. Transaksi Black Market tidak diperbolehkan untuk beroperasi di dalam perekonomian formal, meskipun begitu Black Market mempunyai dukungan dari kekuatan tertentu untuk menyokong kegiatan ilegal tersebut. Tujuan dari Black Market adalah untuk melakukan perdagangan barang selundupan, menghindari pajak, atau mengendalikan harga.
Menurut FBI, organisasi kejahatan cyber beroperasi seperti perusahaan, dengan para ahli khusus di setiap daerah dan posisi. Namun tidak seperti kebanyakan perusahaan, mereka tidak memiliki jadwal, hari libur atau akhir pekan. Berikut adalah beberapa posisi yang berada di balik Black Market (sumber: Panda Security Report-The Cyber-Crime Black Market: Uncovered):
- Programmers, orang yang mengembangkan dan mengekploitasi malware yang digunakan untuk cyber-crime.
- Distributors, orang yang memperdagangkan dan menjual data hasil curian serta sebagai penjamin barang-barang yang disediakan oleh orang yang ahli dibidangnya.
- Tech experts, orang yang menjaga infrastruktur perusahaan kriminal IT tersebut, termasuk server, eknripsi, teknologi, database, dan lain-lain
- Hackers, orang yang bertugas untuk mencari dan menyebarkan kelemahan-kelemahan aplikasi, sistem, dan jaringan
- Fraudsters, orang yang bertugas membuat dan mengirimkan berbagai skema teknik sosial seperti phising dan spam.
- Hosted systems providers, orang yang menawarkan hosting yang aman dari server dan situs yang mempunyai konten illegal
- Cashiers, orang yang mengatur akun serta bertindak sebagai penyedia nama dan akun untuk pelaku tindak kejahatan lain dengan imbal berupa bayaran
- Money mules, orang yang menuntaskan transfers antara akun bank. Posisi ini kadang menggunakan visa pelajar atau bekerja ke Amerika Serikat untuk membuka rekening bank.
- Tellers, orang yang bertugas untuk melakukan transfer dan pencucian uang secara sah dengan layanan digital currency dan mata uang negara lain.
- Organization Leaders, orang yang mempunyai skill teknis yang mumpuni untuk mengumpulkan tim dan memilih target-target mereka.
Barang dan Jasa yang diperdagangkan di dalam Black Market, antara lain (sumber: http://en.wikipedia.org/wiki/Black_market):
- Sexual exploitation and forced labor
- Illegal drugs
- Prostitution
- Weapons
- Illegally logged timber
- Animals and animal products
- Alcohol
- Tobacco
- Biological organs
- Racketeering
- Transportation providers
- Counterfeit medicine, essential aircraft and automobile parts
- Copyrighted media
- Currency
- Fuel
Social Network Forensic - Kasus Black Campaign Menggunakan Jejaring Sosial Twitter
Belakangan ini masyarakat dihebohkan dengan akun twitter yang melakukan black campaign ke pasangan calon presiden dan wakil presiden. Beberapa pihak menuntut akan memperkarakan akun tersebut, namun menkominfo memberikan pernyataan bahwa hal ini tidak dapat diusut dengan alasan server penyedia layanan twitter ada di luar negeri yang notabene aturan hukumnya berbeda. Kejadian yang mirip seperti ini sebenarnya sudah banyak namun tidak pernah ada tindakan dari pemerintah. (dikutip dari soal Tugas Social Network Forensics).
Selama beberapa tahun ini, media sosial telah tumbuh dan berkembang menjadi sarana yang menghubungkan hampir semua orang yang ada di dunia. Sebagai mana internet yang menjadi pedang bermata dua, jejaring sosial pun bisa menjadi hal yang positif ataupun negatif. Terlepas dari banyaknya keuntungan dari social network, perlu juga dipahami akan dampak kerugian dari media sosial.
Indonesia baru saja menelurkan Undang Undang No 11 Tahun 2008, yang walaupun masih perlu disempurnakan namun menjadi awal bagi penegakan hukum terhadap tindak kejahatan di internet. Salah satu kekurangan dalam Undang Undang No 11 Tahun 2008 adalah masalah yuridiksi, karena terkait dengan jejaring sosial yang marak digunakan oleh masyarakat Indonesia, penyedia layanan (server) berada di luar ranah kedaulatan Indonesia. Tentu saja akan semakin sulit apabila pelaku ataupun server berada di daerah yang tidak mempunyai hukum yang sama tentang cybercrime atau cyber-related-crime.
Hal ini harus menjadi sebuah brainstorming bagi departemen-departemen yang terkait di Indonesia, serta penegak hukum untuk lebih menelaah tentang kejahatan yang terjadi dengan menggunakan media social network. Terkait dengan kebebasan untuk berbicara, media sosial memang salah satu tempat bagi kebanyakan orang untuk mengekspresikan “ucapan” mereka. Tidak jarang bahkan mengundang opini public yang mengarah pada ketidakharmonisan dalam bersosial, salah satunya adalah Black Campaign.
Kasus Black Campaign dengan menggunakan jejaring sosial (dalam kasus ini Twitter) bisa dikategorikan sebagai kasus pencemaran nama baik, dan atau sebagai penyebaran berita bohong, dan atau menyebarkan informasi yang ditujukan untuk menimbulkan rasa kebencian atau permusuhan individu dan/atau kelompok masyarakat tertentu (SARA). Hal ini sudah diatur di dalam Undang Undang ITE No 11 Tahun 2008 pada Pasal 27 ayat (3), dan Pasal 28 ayat (1) dan (2).
Pada UU ITE No. 11 Tahun 2008 sudah mencakup beberapa hal yang diacu pada definisi kebebasan berbicara “First Amendment of the Constitution of the United States of America”, yang mengecualikan beberapa hal sebagai bentuk kebebasan berbicara, yaitu:
- Publikasi pernyataan yang salah/menyesatkan yang bisa menganggu reputasi orang lain
- Menyebabkan kepanikan
- Perkataan yang bisa menyebabkan/memprovokasi hilangnya kedamaian
- Memaksa seseorang untuk melakukan kejahatan
- Melakukan pembelaan terhadap pihak yang melawan pemerintahan atau menggulingkan pemerintahan
- Vulgar
- Mencampuradukkan antara entitas negara dengan prinsip agama tertentu.
Kejahatan dengan menggunakan jejaring sosial sudah semakin marak. Perlu ada upaya lebih dari penegak hukum dan departemen-departemen yang terkait untuk berkewajiban mengatasinya. Keterbatasan dalam hal yuridiksi dikarenakan penyedia layanan yang berada di luar negeri sebenarnya bisa diminimalisir dengan mengatur beberapa kebijakan-kebijakan. Berikut beberapa rumusan yang bisa digunakan untuk membantu kasus yang menggunakan jejaring sosial.
- Melacak akun tersangka/pelaku pada jejaring sosial, mengakusisi beberapa data yang bisa menjadi panduan seperti email, lokasi, no. telpon, foto, dan waktu posting. Akan lebih baik jika penyidik juga mempunyai akun di jejaring yang sama.
- Melakukan screen-capture terhadap hal yang dianggap berkaitan dengan kasus. Tidak cukup itu saja, akan lebih baik jika dilakukan penyalinan secara proper ke dalam media penyimpanan DVD/Hardisk dengan menggunakan software seperti HTTrack, WebCrawl, dan banyak lagi.
- Investigasi pada jejaring sosial, contoh pada kasus ini adalah Twitter.
- Mengumpulkan bukti digital pada internet terutama jejaring sosial tidak mudah, apalagi jika konten sudah dihapus oleh pemilik akun. Perlu adanya kerjasama antara pemerintah Indonesia dengan beberapa penyedia layanan yang sering digunakan di Indonesia untuk membuat regulasi tentang konten yang bertentangan dengan Undang-Undang. Selain itu perlu juga kerja sama antara pihak penegak hukum dengan beberapa pihak ketiga, terutama yang secara ekplisit bersedia membantu terkait dengan adanya kasus pada jejaring sosial terkait dengan pengumpulan bukti digital.
- Perlu adanya edukasi yang lebih tentang bagaimana cara berbicara di media sosial.
Profile
Untuk mengetahui akun
tersebut dimiliki oleh siapa, berada di mana, pendidikan, akun dibuat
kapan, website, blog, dan lainnya (terlepas dari itu adalah akun palsu
atau asli)
Tweet/Tweet and Replies
Untuk
mengetahui sudah pernah melakukan tweet apa saja, dan melakukan balasan
apa saja terkait dengan konten pada kasus Black Campaign atau yang bisa
dijadikan sebagai petunjuk.
c. Retweet
Untuk mengetahui apakah pemilik akun adalah pembuat tweet/konten, atau hanya sebagai penyebar dari konten milik orang lain.
d. Following
Untuk mengetahui jejaring pertemanan pemilik akun berdasarkan pemilik akun sendiri
e. Followers
Untuk mengetahui jejaring pertemanan pemilik berdasarkan orang lain.
f. Foto/Video
Untuk mengetahui foto dan video yang pernah di unggah oleh pemilik akun
g. Favorites
Untuk mengetahui tweet/konten yang menjadi kegemaran pemilik akun
h. List
Kumpulan daftar grup/komunitas/minat dari pemilik akun.Kejahatan dengan menggunakan jejaring sosial sudah semakin marak. Perlu ada upaya lebih dari penegak hukum dan departemen-departemen yang terkait untuk berkewajiban mengatasinya. Kasus Black Campaign dengan menggunakan jejaring sosial (dalam kasus ini Twitter) bisa dikategorikan sebagai kasus pencemaran nama baik, dan atau sebagai penyebaran berita bohong, dan atau menyebarkan informasi yang ditujukan untuk menimbulkan rasa kebencian atau permusuhan individu dan/atau kelompok masyarakat tertentu (SARA).
Investigasi terhadap jejearing sosial, dengan melakukan sreen-capture terhadap akun tersangka dan segala aktifitasnya, serta menyalin website yang terkait merupakan salah satu cara untuk mendapatkan bukti digital apabila penyedia layanan tidak berada dalam ranah hukum yang sama ataupun tidak adanya otoritas untuk melakukan warrant terhadap penyedia layanan (Twitter).
Referensi
Bill of Rights Transcript Text. (n.d.). National Archives and Records Administration. Di akses 3 Juni 2014, dari http://www.archives.gov/exhibits/charters/bill_of_rights_transcript.html
EC-Council, Module XLVIII Investigating Social Networking Websites for Evidence: MySpace, Facebook, and Orkut.
EC-Council, Module XLVIII Investigating Social Networking Websites for Evidence: MySpace, Facebook, and Orkut.
Kasus Cybercrime di Indonesia
Berikut adalah contoh beberapa kasus cyber-crime terbaru di Indonesia yang sudah terungkap:
Penipuan Melalui Jejaring Sosial Facebook
Penipuan dilakukan melalui media internet dengan modus menawarkan barang-barang elektronik seperti handphone berbagai merk, kamera, laptop berbagai merk dengan harga murah di jejaring sosial facebook.
Pelaku membuat akun facebook baru atau membobol akun facebook milik orang lain kemudian menambah pertemanan hingga ribuan orang. Kemudian pelaku menawarkan barang-barang elektronik dengan harga murah. Untuk meyakinkan korbannya, pelaku mengaku sebagai bagian marketing dan berusaha meyakinkan bahwa barang akan dikirim melalui TIKI JNE apabila DP surah dikirim ke rekening pelaku. Setelah DP dikirim, seolah-olah ada yang menelepon korban mengaku sebagai bagian pengiriman barang dan mengatakan bahwa barang sudah dikirim. Untuk meyakinkan korbannya, pelaku mengirimkan resi pengiriman. Keesokan harinya korban mendapat telepon mengaku bagian pengiriman dan menginformasikan bahwa telah terjadi kelebihan jumlah ítem yang dikirimkan dan mengharuskan korban untuk membayar saja kelebihan barang yang dikirimkan tersebut dengan iming-iming diberikan diskon karena hal tersebut adalah kesalahan bagian pengiriman. Korban pun banyak yang tergiur dengan penawaran pelaku kemudian dengan mudahnya mentransfer uang ke rekening pelaku.
Pelaku membuat akun facebook baru atau membobol akun facebook milik orang lain kemudian menambah pertemanan hingga ribuan orang. Kemudian pelaku menawarkan barang-barang elektronik dengan harga murah. Untuk meyakinkan korbannya, pelaku mengaku sebagai bagian marketing dan berusaha meyakinkan bahwa barang akan dikirim melalui TIKI JNE apabila DP surah dikirim ke rekening pelaku. Setelah DP dikirim, seolah-olah ada yang menelepon korban mengaku sebagai bagian pengiriman barang dan mengatakan bahwa barang sudah dikirim. Untuk meyakinkan korbannya, pelaku mengirimkan resi pengiriman. Keesokan harinya korban mendapat telepon mengaku bagian pengiriman dan menginformasikan bahwa telah terjadi kelebihan jumlah ítem yang dikirimkan dan mengharuskan korban untuk membayar saja kelebihan barang yang dikirimkan tersebut dengan iming-iming diberikan diskon karena hal tersebut adalah kesalahan bagian pengiriman. Korban pun banyak yang tergiur dengan penawaran pelaku kemudian dengan mudahnya mentransfer uang ke rekening pelaku.
BISNIS PROSTITUSI ONLINE
Praktek prostitusi melalui media internet dengan cara menawarkan wanita wanita usia 18 sampai 26 tahun dengan membuka akun jejaring sosial friendster dan akun di komunitas bluefame kemudian memasang foto-foto wanita-wanita tersebut serta memasang nomor handphone dan email dengan maksud apabila ada lelaki hidung belang yang tertarik supaya menghubungi nomor atau email tersebut. Selanjutnya setelah terjadi kesepakatan harga, mucikari mengantar wanita yang dipesan ke tempat pemesan menginap.
JUDI ONLINE
Dari situ diketahui terdapat beberapa website yang menyelenggarakan judi bola online seperti pada website www.rumahbola.com dan www.maniakbola.com. Dua website itu merupakan agen dari situs judi besar di dunia, antara lain: www.sbobet.com, www.ibcbet.com., 338a, guvinta, dan lainnya. calon pemain melakukan registrasi sebagai member di rumahbola.com dan maniakbola.com, termasuk menyetor uang ke rekening di Bank BCA.
Wednesday, July 2, 2014
Analisa 5W + 1H dalam Digital Forensic
5W + 1H adalah singkatan dari “what, who, when, where, why, how,” yang biasa digunakan dalam sebuah artikel atau berita. Lebih luas lagi, 5W + 1H dapat pula diaplikasikan pada hal yang lain. Dengan aplikasi pertanyaan yang benar akan menghasilkan analisis permasalahan yang lengkap sehingga solusi bisa dicapai dengan efektif dan efisien.
Dalam dunia forensika digital, saat melakukan ektraksi barang bukti digital dari barang bukti elektronik, 5W + 1H bisa diterapkan untuk menemukan titik terang, bukti yang kuat, atau petunjuk terhadap bukti selanjutnya. Misal pada kasus Jimmy Jungle (fiktif) yang bisa dilihat pada Case 1 dan Case 2 seperti berikut ini:
Who
Dua orang tersangka yaitu, Joe Jacob sebagai pembeli, Jimmy Jungle sebagai supplier, dan John Smith sebagai bandar narkoba
What
Sebuah disket yang berisikan informasi tentang transaksi narkoba
When
15 April 2002 pukul 14.42
Where
Why
motif tidak bisa ditemukan dalam barang bukti
How
agar tidak mudah terlacak oleh polisi, pelaku melakukan penghilangan atau penggunaan anti-forensik (steganografi)
Dalam dunia forensika digital, saat melakukan ektraksi barang bukti digital dari barang bukti elektronik, 5W + 1H bisa diterapkan untuk menemukan titik terang, bukti yang kuat, atau petunjuk terhadap bukti selanjutnya. Misal pada kasus Jimmy Jungle (fiktif) yang bisa dilihat pada Case 1 dan Case 2 seperti berikut ini:
Who
Dua orang tersangka yaitu, Joe Jacob sebagai pembeli, Jimmy Jungle sebagai supplier, dan John Smith sebagai bandar narkoba
What
Sebuah disket yang berisikan informasi tentang transaksi narkoba
When
15 April 2002 pukul 14.42
Where
- Smith Hill High School
- Key High School
- Leetch High School
- Birard High School
- Richter High School
- Hull High School
- 1212 Main Street Jones, FL 00001
- Danny's Pier 12 Boat Lunch
- 22 Jones Ave
Why
motif tidak bisa ditemukan dalam barang bukti
How
agar tidak mudah terlacak oleh polisi, pelaku melakukan penghilangan atau penggunaan anti-forensik (steganografi)
Sunday, June 29, 2014
Fungsi Hash
Fungsi hash biasa digunakan untuk menghasilkan output data dengan panjang yang tetap yang berfungsi sebagai referensi versi singkat dari data asli. Hash sangat banyak digunakan sebagai bagian dari kriptografi. Tipe fungsi hash sangat beragam, dengan sifat keamanan yang bervariasi juga.
Fungsi hash dapat digunakan untuk menentukan kesamaan dua objek. Penggunaan umum lainnya dari fungsi hash adalah checksum terhadap sejumlah besar data (misalnya, cyclic redundancy check [CRC]) dan menemukan entri dalam database dengan nilai kunci. The UNIX c-shell (csh) menggunakan tabel hash untuk menyimpan lokasi program-program yang bisa dieksekusi.
Fungsi Hash sering juga disebut fungsi enkripsi satu arah. Hash bisa digunakan untuk menjamin otentikasi dan integritas suatu teks atau file. Suatu fungsi hash h memetakan bit-bit string dengan panjang sembarang ke sebuah string dengan panjang tertentu misal n.
Prinsip utama dari hash adalah bahwa suatu nilai hash berlaku sebagai representasi dari data secara sederhana (juga message-diggest, imprint, digital finger-print) dari suatu input string, dan dapat digunakan hanya jika nilai hash tersebut dapat diidentifikasi secara unik dengan input string tersebut. Fungsi hash many-to-one memungkinkan terjadinya pasangan input dengan output sama : collision (tabrakan).
Fungsi hash yang banyak dipakai di dalam kriptografi adalah MD5 dan SHA. MD5 dan SHA1 adalah dua algoritma yang dipakai untuk mengenkripsi data, biasanya dua algoritma ini digunakan untuk mengacak password menjadi barisan code-code acak yang tidak dapat dibaca.
MD5 (Message-Digest algortihm 5)
MD5 ini merupakan kriptografik yang digunakan secara luas dengan hash value 128-bit. Maksudnya adalah Input algoritma ini adalah sebuah berita dengan panjang yang bervariasi dan menghasilkan output sebuah 128-bit message digest. MD5 ini telah digunakan pada berbagai macam aplikasi keamanan.
MD5 mengambil pesan dengan panjang sembarang dan menghasilkan message digest yang panjangnya 128 bit dimana waktu pemrosesan lebih cepat dibandingkan performance SHA tetapi lebih lemah dibandingkan SHA. Pada MD5 pesan diproses dalam blok 512 bit dengan empat round berbeda. Masing-masing round terdiri dari 16 operasi. F merupakan fungsi nonlinear, satu fungsi digunakan pada setiap ronde. MI menunjukkan blok data input 32 bit dan Ki menunjukkan konstanta 32 bit yang berbeda setiap operasi.
SHA (Secure Hash Algorithm)
SHA merupakan salah satu hash function yang cukup banyak digunakan. Keluarga SHA yang paling banyak digunakan adalah SHA-1. SHA-1 memetakan inputan string dengan panjang sembarang menjadi suatu nilai hash dengan panjang tetap yaitu 160 bit. Ukuran internal state pada SHA-1 adalah 160 bit, sedangkan ukuran bloknya adalah 64 bytes.
Algoritma SHA mengambil pesan yang panjangnya kurang dari 264 bit dan menghasilkan message digest 160-bit . Algoritma ini lebih lambat daripada MD5, namun message digest yang lebih besar membuatnya semakin aman dari bruteforce collision dan serangan inversi.
SHA-1 merupakan hasil rekonstruksi dari MD4 dan memperbaiki kekurangann yang ada di MD4 itu sendiri. SHA-1 merupakan algoritma hash yang banyak diaplikasikan dalam keamanan protokol menggunakan SSL (Secure Sockets Layer), PGP (Pretty Good Privacy), XML Signature, dan beberapa aplikasi lainnya.
Referensi:
Fungsi hash dapat digunakan untuk menentukan kesamaan dua objek. Penggunaan umum lainnya dari fungsi hash adalah checksum terhadap sejumlah besar data (misalnya, cyclic redundancy check [CRC]) dan menemukan entri dalam database dengan nilai kunci. The UNIX c-shell (csh) menggunakan tabel hash untuk menyimpan lokasi program-program yang bisa dieksekusi.
Fungsi Hash sering juga disebut fungsi enkripsi satu arah. Hash bisa digunakan untuk menjamin otentikasi dan integritas suatu teks atau file. Suatu fungsi hash h memetakan bit-bit string dengan panjang sembarang ke sebuah string dengan panjang tertentu misal n.
Prinsip utama dari hash adalah bahwa suatu nilai hash berlaku sebagai representasi dari data secara sederhana (juga message-diggest, imprint, digital finger-print) dari suatu input string, dan dapat digunakan hanya jika nilai hash tersebut dapat diidentifikasi secara unik dengan input string tersebut. Fungsi hash many-to-one memungkinkan terjadinya pasangan input dengan output sama : collision (tabrakan).
Fungsi hash yang banyak dipakai di dalam kriptografi adalah MD5 dan SHA. MD5 dan SHA1 adalah dua algoritma yang dipakai untuk mengenkripsi data, biasanya dua algoritma ini digunakan untuk mengacak password menjadi barisan code-code acak yang tidak dapat dibaca.
MD5 (Message-Digest algortihm 5)
MD5 ini merupakan kriptografik yang digunakan secara luas dengan hash value 128-bit. Maksudnya adalah Input algoritma ini adalah sebuah berita dengan panjang yang bervariasi dan menghasilkan output sebuah 128-bit message digest. MD5 ini telah digunakan pada berbagai macam aplikasi keamanan.
MD5 mengambil pesan dengan panjang sembarang dan menghasilkan message digest yang panjangnya 128 bit dimana waktu pemrosesan lebih cepat dibandingkan performance SHA tetapi lebih lemah dibandingkan SHA. Pada MD5 pesan diproses dalam blok 512 bit dengan empat round berbeda. Masing-masing round terdiri dari 16 operasi. F merupakan fungsi nonlinear, satu fungsi digunakan pada setiap ronde. MI menunjukkan blok data input 32 bit dan Ki menunjukkan konstanta 32 bit yang berbeda setiap operasi.
SHA (Secure Hash Algorithm)
SHA merupakan salah satu hash function yang cukup banyak digunakan. Keluarga SHA yang paling banyak digunakan adalah SHA-1. SHA-1 memetakan inputan string dengan panjang sembarang menjadi suatu nilai hash dengan panjang tetap yaitu 160 bit. Ukuran internal state pada SHA-1 adalah 160 bit, sedangkan ukuran bloknya adalah 64 bytes.
Algoritma SHA mengambil pesan yang panjangnya kurang dari 264 bit dan menghasilkan message digest 160-bit . Algoritma ini lebih lambat daripada MD5, namun message digest yang lebih besar membuatnya semakin aman dari bruteforce collision dan serangan inversi.
SHA-1 merupakan hasil rekonstruksi dari MD4 dan memperbaiki kekurangann yang ada di MD4 itu sendiri. SHA-1 merupakan algoritma hash yang banyak diaplikasikan dalam keamanan protokol menggunakan SSL (Secure Sockets Layer), PGP (Pretty Good Privacy), XML Signature, dan beberapa aplikasi lainnya.
Referensi:
Framework untuk Forensika Digital
Ada pepatah lama yang mengatakan bahwa pencegahan lebih baik daripada mengobati. Ketika diterapkan pada kerangka forensik ini akan tampaknya menyiratkan bahwa persiapan adalah kunci untuk melakukan penyelidikan forensik yang sukses. Meskipun persiapan sangat penting, tidak mungkin harus siap untuk semua jenis perilaku. Sebuah basis suara pengetahuan dan pengalaman sebelumnya akan selalu membantu, tapi saran atau kasus didokumentasikan bukanlah resolusi lengkap untuk memecahkan masalah. Jumlah model forensik yang telah diusulkan mengungkapkan kompleksitas
Proses forensik komputer. Sebagian besar fokus di kedua investigasi sendiri atau menekankan tahap tertentu dari penyelidikan. Kruse dan Heiser mengacu pada metodologi penyelidikan forensik komputer dengan tiga komponen dasar. Mereka: memperoleh bukti-bukti; otentikasi bukti, dan menganalisis data. Komponen-komponen ini fokus pada mempertahankan integritas bukti selama penyelidikan. Amerika Serikat Departemen Kehakiman Amerika mengusulkan model proses untuk forensik. Model ini disarikan dari teknologi. Model ini memiliki empat fase: koleksi; pemeriksaan; analisis, dan pelaporan. Ada korelasi antara 'memperoleh bukti' tahap diidentifikasi oleh Kruse dan Heiser dan 'koleksi' panggung diusulkan di sini. "Menganalisis data 'dan' analisis 'adalah sama di kedua kerangka kerja. Kruse, bagaimanapun, lupa menyertakan komponen penting: pelaporan. Ini termasuk oleh Departemen Kehakiman framework.
The Scientific Crime Scene Investigation Model yang diusulkan oleh Lee terdiri dari empat langkah. Mereka adalah: pengakuan; identifikasi; individualisasi, dan rekonstruksi. ini langkah hanya merujuk pada bagian dari proses penyelidikan forensik. Langkah-langkah ini semua jelas jatuh dalam tahap 'investigasi' dari proses; tak ada satu 'persiapan' atau 'Presentasi' tahap kedua sisi.
Casey mengusulkan kerangka kerja yang mirip dengan Lee. Kerangka kerja ini berfokus pada pengolahan dan memeriksa bukti-bukti digital. Langkah-langkah termasuk adalah: pengakuan; pengawetan; klasifikasi, dan rekonstruksi. Dalam kedua Lee dan model Casey, yang pertama dan terakhir Langkah-langkah yang identik. Casey juga menempatkan fokus dari proses forensik pada investigasi sendiri.
The Forensik Kelompok Kerja Digital Research (DFRW) mengembangkan kerangka kerja dengan langkah-langkah berikut: Identifikasi; pengawetan; koleksi; pemeriksaan; analisis; presentasi, dan keputusan. Kerangka kerja ini menempatkan di tempat landasan yang penting untuk pekerjaan di masa depan dan mencakup dua tahap penting dari penyelidikan. Komponen dari sebuah tahap penyelidikan serta tahap presentasi yang hadir.
Reith mengusulkan kerangka kerja yang mencakup sejumlah komponen yang tidak disebutkan dalam kerangka di atas. Komponen terdaftar penuh adalah: identifikasi; persiapan; pendekatan; strategi; pengawetan; koleksi; pemeriksaan; analisis; presentasi, dan bukti. Proses yang komprehensif ini menawarkan sejumlah keuntungan, seperti yang tercantum oleh penulis. Sebagai contoh, sejumlah komponen dapat termasuk dalam tahap lain dari investigasi, seperti akan ditunjukkan kemudian.
Model yang diusulkan oleh Ciardhuáin mungkin yang paling lengkap untuk saat ini. Langkah-langkah atau fase juga disebut 'kegiatan'. Model ini mencakup kegiatan-kegiatan berikut: kesadaran; otorisasi; perencanaan; pemberitahuan; mencari dan mengidentifikasi bukti; koleksi; transportasi; penyimpanan; pemeriksaan; hipotesis; presentasi; bukti / pertahanan, dan diseminasi. Langkah-langkah yang dibahas secara mendalam oleh penulis kertas.
Dari kerangka yang diusulkan tersebut di atas, berikut ini dapat terlihat cukup jelas:
- Masing-masing model yang diusulkan dibangun di atas pengalaman sebelumnya;
- Beberapa model memiliki pendekatan serupa;
- Beberapa model fokus pada berbagai bidang penyelidikan.
Mungkin cara terbaik untuk menyeimbangkan proses ini adalah untuk memastikan fokus tetap pada pencapaian tujuan utama: untuk menghasilkan bukti konkret cocok untuk presentasi di pengadilan hukum.
Yusof, & Sahib (2008) diringkas bahwa ada forensik digital
Framework (lihat Tabel) dapat memetakan ke lima fase umum, yaitu:
- Phase 1 - Preparation,
- Phase 2- Collection and Preservation,
- Phase 3 - Examination and Analysis,
- Phase 4 - Presentation and Reporting, and
- Phase 5 - Disseminating the case.
Systematic Digital Investigasi Forensik Model (SRDFIM)
- Phase 1 – Preparation
- Phase 2 - Securing the Scene
- Phase 3 - Survey and Recognition
- Phase 4 - Documenting the Scene
- Phase 5 - Communication Shielding
- Phase 6 - Evidence Collection (Volatile Evidence Collection, dan Non-volatile Evidence Collection)
- Phase 7 : Preservation
- Phase 8 : Examination
- Phase 9 : Analysis
- Phase 10 : Presentation
- Phase 11 - Result & Review
Friday, June 27, 2014
Chain of Custody
Bukti digital sangat berkaitan dengan digital forensik. Para ahli atau pakar dalam bidang forensik, khususnya forensika digital mempunyai standar dalam proses penanganan barang bukti. Hal tersebut digunakan supaya dalam proses penyidikan, data-data yang didapatkan berasal dari sumber asli, sehingga tidak ada manipulasi bentuk, isi, dan kualitas data digital. Proses penanganan barang bukti hingga presentasi data dalam digital forensik diantaranya:
Matthew Braid dalam (Richter & Kuntze, 2010), berpendapat bahwa barang bukti harus memenuhi lima kriteria yaitu : admissible, authentic, complete, reliable dan believable. Schatz (2007) mengatakan dua aspek dasar untuk kriteria lain agar barang bukti dapat mendukung proses hukum, adalah aspek hukum (authentic, accurate, complete), dan aspek teknis (chain of evidence, transparent, explainable, accurate). Tidak sama dengan barang bukti fisik pada umumnya, barang bukti digital akan sangat bergantung dari proses interpretasi terhadap kontennya.
Integritas dari barang bukti serta kemampuan dari expert dalam menginterpretasikannya akan berpengaruh terhadap pemilahan dokumen-dokumen digital yang tersedia untuk dijadikan sebagai barang bukti (Schatz, 2007). Dari aspek hukum, setiap negara memiliki ketentuan tersendiri terhadap jenis, karakter dan prosedur terhadap barang bukti digital agar bisa diterima untuk persidangan. Oleh karena itu setiap digital investigator/forensics analyst harus memahami dengan baik peraturan hukum dan undang-undang yang terkait dengan barang bukti digital serta proses-proses hukum yang melibatkan barang bukti digital. (Boddington, Hobbs, & Mann, 2008).
Di Indonesia, barang bukti digital telah diatur dalam Undang-Undang No. 11 tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE). Aspek penting dalam penanganan barang bukti adalah apa yang disebut dengan chain of custody, yaitu rantaian pendokumentasian barang bukti agar terjaga integritas tingkat keasliannya sesuai dengan kondisi ketika pertama kali ditemukan hingga kemudian nantinya dipresentasikan dalam proses persidangan.
Menurut Cosic et al. (2011), Chain of custody adalah bagian penting dari proses investigasi yang akan menjaminkan suatu barang bukti dapat diterima dalam proses persidangan. Chain of custody akan mendokumentasikan hal terkait dengan where, when, why, who, how dari penggunaan barang bukti pada setiap tahap proses investigasi.
Matthew Braid dalam (Richter & Kuntze, 2010), berpendapat bahwa barang bukti harus memenuhi lima kriteria yaitu : admissible, authentic, complete, reliable dan believable. Schatz (2007) mengatakan dua aspek dasar untuk kriteria lain agar barang bukti dapat mendukung proses hukum, adalah aspek hukum (authentic, accurate, complete), dan aspek teknis (chain of evidence, transparent, explainable, accurate). Tidak sama dengan barang bukti fisik pada umumnya, barang bukti digital akan sangat bergantung dari proses interpretasi terhadap kontennya.
Integritas dari barang bukti serta kemampuan dari expert dalam menginterpretasikannya akan berpengaruh terhadap pemilahan dokumen-dokumen digital yang tersedia untuk dijadikan sebagai barang bukti (Schatz, 2007). Dari aspek hukum, setiap negara memiliki ketentuan tersendiri terhadap jenis, karakter dan prosedur terhadap barang bukti digital agar bisa diterima untuk persidangan. Oleh karena itu setiap digital investigator/forensics analyst harus memahami dengan baik peraturan hukum dan undang-undang yang terkait dengan barang bukti digital serta proses-proses hukum yang melibatkan barang bukti digital. (Boddington, Hobbs, & Mann, 2008).
Di Indonesia, barang bukti digital telah diatur dalam Undang-Undang No. 11 tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE). Aspek penting dalam penanganan barang bukti adalah apa yang disebut dengan chain of custody, yaitu rantaian pendokumentasian barang bukti agar terjaga integritas tingkat keasliannya sesuai dengan kondisi ketika pertama kali ditemukan hingga kemudian nantinya dipresentasikan dalam proses persidangan.
Menurut Cosic et al. (2011), Chain of custody adalah bagian penting dari proses investigasi yang akan menjaminkan suatu barang bukti dapat diterima dalam proses persidangan. Chain of custody akan mendokumentasikan hal terkait dengan where, when, why, who, how dari penggunaan barang bukti pada setiap tahap proses investigasi.
Monday, June 16, 2014
Resume The Global Cybercrime Industry - Chapter 5
Pertumbuhan perusahaan kriminal di dunia cyber telah menjadi masalah menekan perhatian masyarakat kita. Konsep dan teori bangunan yang kurang pada lembaga dari sudut pandang kewirausahaan pidana di dunia digital. Dalam upaya untuk mengisi kekosongan ini, kerangka kerja untuk mengidentifikasi konteks yang jelas dan mekanisme petugas terkait dengan bagaimana lembaga-lembaga memiliki berinteraksi dengan kejahatan dunia maya. Gagasan yang mendasari dalam bab ini adalah bahwa aturan permainan yang ditawarkan oleh lembaga-lembaga formal dan informal telah disukai kejahatan dunia maya lebih dari kebanyakan kejahatan konvensional. Tingkat mendukung kelembagaan, yang pengusaha-cybercrime terkait dinikmati sebelumnya,namun, menurun.
Hacking dan cybercrime akan melalui fase transisi cepat. Dalam dua dekade terakhir, sebagian besar negara-negara industri telah memberlakukan banyak undang-undang untuk menangani kejahatan dunia maya dan telah mengembangkan infrastruktur peraturan lainnya. Namun, terlepas dari prestasi di bagian depan regulatif, lembaga normatif dan kognitif yang terkait dengan cybercrime telah relatif lambat untuk berubah. Lembaga informal yang diwarisi dari masa lalu telah membantu pertumbuhan industri ini. Sebagai contoh, secara tradisional cybercrime korban stigma dan cyber-penjahat dihormati. Sebuah titik yang terkait adalah bahwa sementara hacker berbagi hal-hal yang mereka temukan, korban serangan malu untuk mempublikasikan kerentanan dan ketakutan bahwa hal itu akan membantu penyerang lain (Paller, 1998) mereka. Sehingga mereka cenderung menyembunyikan informasi tersebut. Bagaimanapun, ada beberapa indikasi bahwa situasi ini berubah.
Regulator di negara-negara industri memiliki banyak angin di layar mereka. karena inersia kelembagaan, keseriusan kejahatan dunia maya dan pengaruh mereka jauh tampaknya underrecognized dalam community.Well politik terkoordinasi, baik kampanye yang didanai dengan demikian diperlukan untuk memerangi kejahatan dunia maya. Dengan terkoordinasi dengan baik, secara internasional, lembaga antar-pemerintah yang lebih baik, dan bisnis-pemerintah kolaborasi dan koordinasi untuk melawan kejahatan dunia maya. Hal ini juga diperlukan untuk meningkatkan sumber daya dan dana untuk memerangi kejahatan dunia maya secara proporsional dengan dampak tersebut kejahatan.
Efek baru hacking diperkirakan menurun dengan tingkat yang lebih tinggi cybercrime dalam masyarakat dan lebih lama pengalaman publik dengan Internet (Coates & Humphreys, 2008). Demikian juga, kode anti-cybercrime, kebijakan, prinsip-prinsip, standar, dan prosedur yang mungkin untuk mengembangkan dari waktu ke waktu. Contoh pembajakan membantu menjelaskan proses yang mendasari pengembangan secara bertahap dari anticybercrime lembaga kognitif. Perlu dicatat bahwa berbagi perangkat lunak adalah lebih umum di Amerika Serikat ketika komputer langka dan kebanyakan ditemukan di perguruan tinggi (Gallaway & Kinnear, 2004). Saat ini, kesadaran masyarakat terhadap perlindungan kekayaan intelektual telah meningkat. Singkatnya, anti-cybercrime normatif dan lembaga kognitif cenderung lebih kuat dalam masyarakat yang memiliki lebih berpengalaman konsumen dan bisnis dibandingkan satu dengan yang kurang berpengalaman dan konsumen bisnis.
Beberapa analis, percaya bahwa guncangan eksternal belum cukup besar untuk menyebabkan pengembangan lembaga anti-kejahatan cyber yang kuat. Pada tahun 2003, Mike McConnell, mantan Direktur Badan Keamanan Nasional AS, mencatat bahwa sampai "ada cyber 9/11," atau "tanpa sesuatu yang berfungsi sebagai isu memaksa," pemerintah dan swasta sektor tidak akan siap untuk serangan (Cant, 2003). Akhirnya, di beberapa negara berkembang, upaya untuk mengembangkan lembaga-lembaga regulatif telah terutama diarahkan untuk melindungi kepentingan penguasa rezim bukan menjamin keamanan negara dan warga negaranya. Di Pakistan, misalnya, Kementerian Dalam Negeri mengumumkan pada bulan Juli 2009 yang bertindak seperti mengejek presiden melalui pesan teks, e-mail, atau blog mungkin menghadapi hukuman penjara hingga 14 tahun bawah Cybercrimes Act baru (Ahmed, 2009). Demikian juga, di Cina, sekitar 30.000 - 40.000 maya polisi "patroli" Internet termasuk chat room dan weblog, yang juga menyediakan sudut pandang yang menguntungkan bagi Partai Komunis China (CPC) (Cannici, 2009; Kshetri, 2008).
Hacking dan cybercrime akan melalui fase transisi cepat. Dalam dua dekade terakhir, sebagian besar negara-negara industri telah memberlakukan banyak undang-undang untuk menangani kejahatan dunia maya dan telah mengembangkan infrastruktur peraturan lainnya. Namun, terlepas dari prestasi di bagian depan regulatif, lembaga normatif dan kognitif yang terkait dengan cybercrime telah relatif lambat untuk berubah. Lembaga informal yang diwarisi dari masa lalu telah membantu pertumbuhan industri ini. Sebagai contoh, secara tradisional cybercrime korban stigma dan cyber-penjahat dihormati. Sebuah titik yang terkait adalah bahwa sementara hacker berbagi hal-hal yang mereka temukan, korban serangan malu untuk mempublikasikan kerentanan dan ketakutan bahwa hal itu akan membantu penyerang lain (Paller, 1998) mereka. Sehingga mereka cenderung menyembunyikan informasi tersebut. Bagaimanapun, ada beberapa indikasi bahwa situasi ini berubah.
Regulator di negara-negara industri memiliki banyak angin di layar mereka. karena inersia kelembagaan, keseriusan kejahatan dunia maya dan pengaruh mereka jauh tampaknya underrecognized dalam community.Well politik terkoordinasi, baik kampanye yang didanai dengan demikian diperlukan untuk memerangi kejahatan dunia maya. Dengan terkoordinasi dengan baik, secara internasional, lembaga antar-pemerintah yang lebih baik, dan bisnis-pemerintah kolaborasi dan koordinasi untuk melawan kejahatan dunia maya. Hal ini juga diperlukan untuk meningkatkan sumber daya dan dana untuk memerangi kejahatan dunia maya secara proporsional dengan dampak tersebut kejahatan.
Efek baru hacking diperkirakan menurun dengan tingkat yang lebih tinggi cybercrime dalam masyarakat dan lebih lama pengalaman publik dengan Internet (Coates & Humphreys, 2008). Demikian juga, kode anti-cybercrime, kebijakan, prinsip-prinsip, standar, dan prosedur yang mungkin untuk mengembangkan dari waktu ke waktu. Contoh pembajakan membantu menjelaskan proses yang mendasari pengembangan secara bertahap dari anticybercrime lembaga kognitif. Perlu dicatat bahwa berbagi perangkat lunak adalah lebih umum di Amerika Serikat ketika komputer langka dan kebanyakan ditemukan di perguruan tinggi (Gallaway & Kinnear, 2004). Saat ini, kesadaran masyarakat terhadap perlindungan kekayaan intelektual telah meningkat. Singkatnya, anti-cybercrime normatif dan lembaga kognitif cenderung lebih kuat dalam masyarakat yang memiliki lebih berpengalaman konsumen dan bisnis dibandingkan satu dengan yang kurang berpengalaman dan konsumen bisnis.
Beberapa analis, percaya bahwa guncangan eksternal belum cukup besar untuk menyebabkan pengembangan lembaga anti-kejahatan cyber yang kuat. Pada tahun 2003, Mike McConnell, mantan Direktur Badan Keamanan Nasional AS, mencatat bahwa sampai "ada cyber 9/11," atau "tanpa sesuatu yang berfungsi sebagai isu memaksa," pemerintah dan swasta sektor tidak akan siap untuk serangan (Cant, 2003). Akhirnya, di beberapa negara berkembang, upaya untuk mengembangkan lembaga-lembaga regulatif telah terutama diarahkan untuk melindungi kepentingan penguasa rezim bukan menjamin keamanan negara dan warga negaranya. Di Pakistan, misalnya, Kementerian Dalam Negeri mengumumkan pada bulan Juli 2009 yang bertindak seperti mengejek presiden melalui pesan teks, e-mail, atau blog mungkin menghadapi hukuman penjara hingga 14 tahun bawah Cybercrimes Act baru (Ahmed, 2009). Demikian juga, di Cina, sekitar 30.000 - 40.000 maya polisi "patroli" Internet termasuk chat room dan weblog, yang juga menyediakan sudut pandang yang menguntungkan bagi Partai Komunis China (CPC) (Cannici, 2009; Kshetri, 2008).
Friday, May 16, 2014
History of Forensic, Locard Exchange Principle, FRYE Standard, dan Daubert Standard
History of Forensic
Menilik sejarah dari ilmu forensik, beberapa dokumentasi tentang ilmu forensik sudah ditemukan sejak ribuan tahun yang lalu. Dua ratus tahun sebelum masehi, Archimedes menggunakan metode apung untuk menentukan sebuah mahkota yang terbuat dari emas adalah benar terbuat dari emas murni (tanpa campuran) atau sudah bercampur dengan perak dengan membandingkan terhadap emas padat. Catatan lain yang menggunakan obat-obatan dan entomology untuk mengungkapkan kasus-kasus criminal ditemukan ada sebuah buku berjudul Xi Yuan Lu, di Cina pada masa Dinasti Song (1248) oleh Song Ci. Cina juga pertama kali menggunakan sidik jari sebagai salah satu otentikasi dokumen bisnis.
Perkembangan terus berlanjut, ilmu forensik mulai digunakan untuk mengungkapkan kasus-kasus kriminal. Sir Francis Galton pada tahun 1892 mendirikan sistem pertama untuk mengklasifikasikan sidik jari. Pada tahun 1896, Sir Edward Henry, mengembangkan system berdasarkan arah, aliran, pola dan karakteristik lain yang terdapat pada sidik jari. Klasifikasi “The Henry” menjadi standar untuk teknik penyelidikan sidik jari pada kriminal di seluruh dunia.
Di tahun 1835, Henry Goddard menjadi orang pertama yang melakukan analisa secara fisik untuk menghubungkan peluru dengan senjata si pembunuh. Perkembangan penyelidikan terhadap peluru menjadi semakin tepat setelah Calvin Goddard membuat mikroskop perbandingan untuk menafsirkan peluru keluar dari selonsong yang mana. Di tahun 1970, tim ilmuwan dari Aerospace Corporation mengembangkan meotde untuk mendekteksi residu bubuk mesiu dengan menggunakan mikroskop elektron.
James Marsh, di tahun 1836, mengembangkan tes kimia untuk mendeteksi arsenik, yang digunakan pada percobaan pembunuhan. Pada tahun 1930, ilmuwan Karl Landsteiner mengklasifikasikan darah manusia ke dalam berbagai kelompok. Penemuan ini membuka jalan bagi penggunaan darah dalam investigasi kriminal. Pengembangan terus dilanjutkan, di pertengahan 1900-an ditemukan cara untuk menganalisa air liur, air mani dan cairan tubuh lainnya serta untuk membuat tes darah yang lebih akurat.
Edmond Locard, seorang profesor di University of Lyons, mendirikan laboratorium kriminal polisi pertama di Perancis pada tahun 1910. Untuk kepeloporannya dalam kriminologi forensik, Locard dikenal sebagai “Sherlock Holmes Perancis”. Sementara itu di Los Angeles pada tahun 1924, Agustus Vollmer mendirikan laboratorium kriminal polisi Amerika. Pada akhir abad ke-20, ilmuwan forensik memiliki banyak alat berteknologi tinggi yang mereka miliki untuk menganalisis bukti dari reaksi berantai polimerase (PCR) untuk analisis DNA, teknik sidik jari dengan kemampuan pencarian dengan komputer.
Ilmu Forensik sekarang tidak lagi hanya berhubungan dengan pembunuhan ataupun bidang kedokteran. Saat ini, ilmu forensik semakin luas, di antaranya adalah:
- Art Forensic
- Computational Forensic
- Digital Forensic
- Forensic Accounting
- Forensic Chemistry
- Forensic DNA Analysis
- Forensic Pathology
- Forensic Video Analysis
- Mobile Device Forensics
- Blood Spatter Analysis
- Forensic Investigation
- Dan sebagainya.
Locard Exchange
Dr. Edmond Locard, yang dikenal sebagai “Sherlock Holmes Perancis”. Dalam ilmu forensik, menyatakan bahwa pelaku kejahatan akan membawa sesuatu ke tempat kejadian perkara dan pergi membawa sesuatu dari situ, dan bahwa keduanya dapat digunakan sebagai bukti forensik. Dia merumuskan bahwa setiap kontak akan meninggalkan jejak. Teori ini kemudian dikenal sebagai prinsip Locard Exchange.
“Wherever he steps, whatever he touches, whatever he leaves, even unconsciously, will serve as a silent witness against him. Not only his fingerprints or his footprints, but his hair, the fibers from his clothes, the glass he breaks, the tool mark he leaves, the paint he scratches, the blood or semen he deposits or collects. All of these and more, bear mute witness against him. This is evidence that does not forget. It is not confused by the excitement of the moment. It is not absent because human witnesses are. It is factual evidence. Physical evidence cannot be wrong, it cannot perjure itself, it cannot be wholly absent. Only human failure to find it, study and understand it, can diminish its value.” Dr. Edmon Locard.
Locard meyakini bahwa tidak peduli kemana pelaku kejahatan pergi atau apa yang sudah dua lakukan, pelaku akan meninggalkan sesuatu di tempat kejadian perkara dan di saat yang bersamaan, ia juga akan mengambil sesuatu kembali bersamanya. Sesuatu yang ditinggalkan dapat berupa sidik jari, jejak kaki, rambut, kulit, darah, cairan tubuh, potong pakaian dan banyak lagi yang bisa dijadikan sebagai barang bukti. Dengan melakukan kontak dengan hal – hal yang ada di tempat kejadian perkara, penjahat juga mengambil bagian dari keadaan itu, apakah itu kotoran, rambut atau segala jenis jejak.
“Wherever he steps, whatever he touches, whatever he leaves, even unconsciously, will serve as a silent witness against him. Not only his fingerprints or his footprints, but his hair, the fibers from his clothes, the glass he breaks, the tool mark he leaves, the paint he scratches, the blood or semen he deposits or collects. All of these and more, bear mute witness against him. This is evidence that does not forget. It is not confused by the excitement of the moment. It is not absent because human witnesses are. It is factual evidence. Physical evidence cannot be wrong, it cannot perjure itself, it cannot be wholly absent. Only human failure to find it, study and understand it, can diminish its value.” Dr. Edmon Locard.
Locard meyakini bahwa tidak peduli kemana pelaku kejahatan pergi atau apa yang sudah dua lakukan, pelaku akan meninggalkan sesuatu di tempat kejadian perkara dan di saat yang bersamaan, ia juga akan mengambil sesuatu kembali bersamanya. Sesuatu yang ditinggalkan dapat berupa sidik jari, jejak kaki, rambut, kulit, darah, cairan tubuh, potong pakaian dan banyak lagi yang bisa dijadikan sebagai barang bukti. Dengan melakukan kontak dengan hal – hal yang ada di tempat kejadian perkara, penjahat juga mengambil bagian dari keadaan itu, apakah itu kotoran, rambut atau segala jenis jejak.
FRYE Standard
Frye Standard adalah sebuah tes yang dilakukan oleh pengadilan untuk menguji apakah bukti ilmiah dapat digunakan di dalam pengadilan apabila barang bukti tersebut diterima oleh para ahli yang sesuai dengan bidang terkait barang bukti tersebut. Pengujian ini terkait dengan prosedur, prinsip dan teknik yang dapat diajukan dalam sidang kasus di pengadilan. Dalam penerapan Frye Standard harus menyediakan sejumlah pakar / ahli untuk memberi keterangan kepada hakim.
Frye Standard lebih menekankan kepada hakim pengadilan apakah kesaksian tersebut telah berlaku umum dan telah digunakan secara relevan oleh komunitas ilmiah atau tidak. Selain itu, Frye Standard lebih terletak pada kesaksian ahli yang terbatas pada kesaksian ilmiah saja, dengan mengecualikan testimoni dari saksi ahli seperti testimoni dari ahli kesehatan atau medis.
Frye Standard lebih menekankan kepada hakim pengadilan apakah kesaksian tersebut telah berlaku umum dan telah digunakan secara relevan oleh komunitas ilmiah atau tidak. Selain itu, Frye Standard lebih terletak pada kesaksian ahli yang terbatas pada kesaksian ilmiah saja, dengan mengecualikan testimoni dari saksi ahli seperti testimoni dari ahli kesehatan atau medis.
Daubert Standard
Daubert Standard mengacu pada hukum legal yang ditetapkan oleh Mahkamah Agung Amerika Serikat pada tahun 1993 yang mendefinisikan kriteria untuk diterimanya kesaksian ahli di Pengadilan Federal. Kriteria Daubert secara eksplisit mensyaratkan bahwa bukti empiris yang mengandung pengujian, mesti dapat diterima oleh sebagian besar komunitas pada bidang ilmiah yang sama, yang diterbitkan dalam jurnal artikel dan memiliki pengetahuan kesalahan-kesalahan yang mungkin terjadi. Peraturan Daubert menggantikan standar Frye lama (ditetapkan pada tahun 1923) untuk keterangan ahli. Kriteria yang ditetapkan oleh Daubert adalah dua arah, yaitu:
- Relevan : apakah bukti ahli berhubungan atau tidak dengan fakta yang terdapat dalam kasus tersebut
- Reliable:
1. Apakah metode yang di gunakan pada kesaksian berdasarkan pada hipotesis yang sudah teruji.
2. Tingkat potensi kegagalan yang mungkin di dapatkan dengan metode ini.
3. Apakah metode ini telah dikenal di antara sesama saksi ahli, dan
4. Apakah metode tersebut telah diterima di komunitas ilmiah yang relevan.
- Relevan : apakah bukti ahli berhubungan atau tidak dengan fakta yang terdapat dalam kasus tersebut
- Reliable:
1. Apakah metode yang di gunakan pada kesaksian berdasarkan pada hipotesis yang sudah teruji.
2. Tingkat potensi kegagalan yang mungkin di dapatkan dengan metode ini.
3. Apakah metode ini telah dikenal di antara sesama saksi ahli, dan
4. Apakah metode tersebut telah diterima di komunitas ilmiah yang relevan.
Referensi:
http://www.beasleyallen.com/webfiles/From Frye to Daubert.pdf
http://en.wikipedia.org/wiki/Digital_forensics
http://en.wikipedia.org/wiki/Forensic_science
http://science.howstuffworks.com/forensic-lab-technique1.htm
http://science.howstuffworks.com/locards-exchange-principle.htm
http://science.howstuffworks.com/locards-exchange-principle2.htm
https://viaforensics.com/computer-forensic-ediscovery-glossary/what-is-daubert.html
http://www.forensics-research.com/index.php/computer-forensics/computer-forensics-history/
http://www.law.cornell.edu/wex/daubert_standard
http://www.law.cornell.edu/wex/frye_standard
http://www.law.ua.edu/pubs/lrarticles/Volume 51/Issue 2/McLeod.pdf
http://www.wisegeek.com/what-is-the-frye-standard.htm
http://en.wikipedia.org/wiki/Digital_forensics
http://en.wikipedia.org/wiki/Forensic_science
http://science.howstuffworks.com/forensic-lab-technique1.htm
http://science.howstuffworks.com/locards-exchange-principle.htm
http://science.howstuffworks.com/locards-exchange-principle2.htm
https://viaforensics.com/computer-forensic-ediscovery-glossary/what-is-daubert.html
http://www.forensics-research.com/index.php/computer-forensics/computer-forensics-history/
http://www.law.cornell.edu/wex/daubert_standard
http://www.law.cornell.edu/wex/frye_standard
http://www.law.ua.edu/pubs/lrarticles/Volume 51/Issue 2/McLeod.pdf
http://www.wisegeek.com/what-is-the-frye-standard.htm
Friday, May 2, 2014
Etika Profesionalisme dan Standar Perilaku Profesional sebagai Ahli Forensika Digital
Pihak yang berhak untuk mengakses keterangan (bukan mengakses barang bukti), antara lain adalah Hakim, Jaksa Penuntut, Supervisor (dalam hal ini penyidik), serta Pihak Kepolisian yang mempunyai pangkat lebih tinggi dari penyidik. Pihak yang berhak berhak untuk melakukan pemeriksaan terhadap barang bukti atau yang qualified sebagai ahi forensic adalah orang/pihak yang berkompeten secara akademik formal (akademik atau berijazah) atau orang/pihak memiliki kompetensi yang seperti lisensi atau sertifikasi international sebagai Digital Forensic Analyst: Computer Hacking Forensic Investigator (CHFI). Selain itu, juga diperbolehkan (jika kedua pilihan sebelumnya tidak bisa dipenuhi), orang/pihak yang sudah berpengalaman lebih dari dua tahun di bidang computer forensic/digital forensic.
Standar perilaku profesional yang harus dimiliki oleh seorang ahli forensik digital dengan sistem penyidikan dan pengadilan seperti di Indonesia harus mengacu pada standar yang bersifat internasional, karena digital forensics berasal dari dunia internasional. Beberapa hal yang harus dipatuhi menurut Association of Chief Police (ACPO), antara lain:
Peran asosiasi atau perhimpunan profesi bagi digital forensik di Indonesia sangat dibutuhkan dalam hal membantu menegakkan regulasi dan eksistensi profesi. Hal ini dikarenakan cybercrime dan digital forensik di Indonesia masih berumur sangat muda, sehingga masih rentan celah, keambiguan, serta acuan yang pasti dalam melakukan suatu tindakan digital forensik. Dengan adanya asosiasi/perhimpunan profesi digital forensik maka diharapkan agar dapat menjadi tuntunan dalam membuat SOP, serta menjaga kredibilitas/etika ahli forensik digital.
Standar perilaku profesional yang harus dimiliki oleh seorang ahli forensik digital dengan sistem penyidikan dan pengadilan seperti di Indonesia harus mengacu pada standar yang bersifat internasional, karena digital forensics berasal dari dunia internasional. Beberapa hal yang harus dipatuhi menurut Association of Chief Police (ACPO), antara lain:
- No action by law enforcement agencies or their agents should change data held on a computer or storage media which may subsequently be relied upon in court;
- In circumstances where a person finds it necessary to access original data held on a computer or an storage media, that person must be competent to do so and be able to give evidence explaining the relevance and the implications of their actions;
- An audit trail or the record of all processes applied to computer-based electronic evidence should be created and preserved. An independent third party should be able to examine those processes and achieve the same result;
- The person in charge of the investigation (the case officer) has overall responsibility for ensuring that the law and these principles are adhered to.
Peran asosiasi atau perhimpunan profesi bagi digital forensik di Indonesia sangat dibutuhkan dalam hal membantu menegakkan regulasi dan eksistensi profesi. Hal ini dikarenakan cybercrime dan digital forensik di Indonesia masih berumur sangat muda, sehingga masih rentan celah, keambiguan, serta acuan yang pasti dalam melakukan suatu tindakan digital forensik. Dengan adanya asosiasi/perhimpunan profesi digital forensik maka diharapkan agar dapat menjadi tuntunan dalam membuat SOP, serta menjaga kredibilitas/etika ahli forensik digital.
Sunday, April 13, 2014
FEDA Challenge 2
Menganalisis floppy pulih dari komputer pemasok narkoba
MD5 (scan26) = e9c7d0c87ab0ecce09bf90362b830a74
MD5 (scan26.zip) = c8e2454b970538de26a0fa887017109b
MD5 (scan26) = e9c7d0c87ab0ecce09bf90362b830a74
MD5 (scan26.zip) = c8e2454b970538de26a0fa887017109b
Questions
You can find all judging criteria at the SotM main Page.- Who is the probable supplier of drugs to Jimmy Jungle?
- What is the mailing address of Jimmy Jungle's probable drug supplier?
- What is the exact location in which Jimmy Jungle received the drugs?
- Where is Jimmy Jungle currently hiding?
- What kind of car is Jimmy Jungle driving?
- Bonus Question: Explain the process that was performed so that there were no entries in the root directory and File Allocation Table (FAT), yet the contents of each file remained in the data area?
Answer:
(using foremost, and strings)
Who is the probable supplier of drugs to Jimmy Jungle?
According to John.doc (which was hidden in the JPEG file stored in the floppy disk image at and also password protected. The string "pw=help" found in the unallocated disk space of the floppy unlocked the file), John Smith is Jimmy Jungle's most probable supplier of drugs.What is the mailing address of Jimmy Jungle's probable drug supplier?
1212 Main Street Jones, FL 00001
What is the exact location in which Jimmy Jungle received the drugs?
Where is Jimmy Jungle currently hiding?
What kind of car is Jimmy Jungle driving?
Found Jimmy.wav
"This is Jimmy, meet me at the pier tomorrow. I drive a blue 1978 Mustang with Ontario license plates".
"This is Jimmy, meet me at the pier tomorrow. I drive a blue 1978 Mustang with Ontario license plates".
John.DOC
Dear John Smith:
My biggest dealer (Joe Jacobs) got busted. The day of our
scheduled meeting, he never showed up. I called a couple of his friends and
they told me he was brought in by the police for questioning. I’m not sure what
to do. Please understand that I cannot accept another shipment from you without
his business. I was forced to turn away the delivery boat that arrived at
Danny’s because I didn’t have the money to pay the driver. I will pay you back
for the driver’s time and gas. In the future, we may have to find another
delivery point because Danny is starting to get nervous.
Without Joe, I can’t pay any of my bills. I have 10 other
dealers who combined do not total Joe’s sales volume.
I need some assistance. I would like to get away until things
quiet down up here. I need to talk to you about reorganizing. Do you still have
the condo in Aruba? Would you be willing to meet me down there? If so, when?
Also, please take a look at the map to see where I am currently hiding out.
Thanks for your understanding and sorry for any
inconvenience.
Sincerely,
Jimmy Jungle
Monday, April 7, 2014
FEDA Challenge 1
1. Who is Joe Jacob's supplier of marijuana and what is the address listed for the supplier?
The file Jimmy Jungle.doc has been recovered from the disk image. It’s a letter from ‘joe’ to:
Jimmy Jungle
626 Jungle Ave Apt 2
Jungle, NY 11111
From the of the letter it appears that Joe’s supplier is “Jimmy Jungle”.
(Jimmy Jungle.doc)
2. What crucial data is available within the coverpage.jpg file and why is this data crucial?
Cover page.jpg had additional data after the End of Image (FF D9). The file coverpage.jpg, contains the string “pw=goodtimes” which appears to be a password as shown on Figure 1.
3. What (if any) other high schools besides Smith Hill does Joe Jacobs frequent?
From Scheduled Visits.xls file that has been recovered, found in Scheduled Visits.exe (password protected zip file//pw=goodtimes), these are the names of High Schools besides Smith Hill High School:
a) Key High School
b) Leetch High School
c) Birard High School
d) Richter High School
e) Hull High School
4. For each file, what processes were taken by the suspect to mask them from others?
Three files were recovered from the disk image. Each one was hidden or masked using a different method.
a) Schedule.exe: Zip file was renamed as an executable (.exe). File length in the root directory was changed from 2420 to 1000 bytes.
b) Cover page.jpg: file name was edited. Cover Page.jpg was masked through misdirection. The file pointer in the FAT lead to a blank area on the disk.
c) Jimmy jungle.doc: File was deleted. The first character of the file in the directory entries was changed to E5h which is how DOS denotes a deleted file. The data space that the file took up is simply marked as available, but the data was still there.
d) Scheduled Visits.xls: File was hidden in a password protected zip file.
5. What processes did you (the investigator) use to successfully examine the entire contents of each file?
a) Download the IMAGE.ZIP file (From Mr. Hamid, forwarded by Mr. Dedy Haryadi via DropBox)
Verified the MD5 hash from image.zip with WinMD5. The result is match.
b) Mount image.zip with AccessData FTK Imager 3.1.2.0 as Drive L
c) Mount image on Drive L with AccessData FTK Imager 3.1.2.0 as Drive M, as shown on Figure 4.
d) Analyzing the Disk with FTK, as shown on Figure 5
e) Analyzing using WinHex, as shown on Figure 6.
There are three files that are contained on the disk:
a. Jimmy Jungle.doc
b. Cover Page.jpgc
c. Sched~1.exe
f) Jimmy Jungle.doc: File was deleted. The first character of the file in the directory entries was changed to E5h which is how DOS denotes a deleted file. The data space that the file took up is simply marked as available, but the data was still there.
g) Recovered Jimmy Jungle.doc file by using the R-UNDELETE tool. Jimmy Jungle.doc has succesfully recovered.
h) JPEG files start with a header of: FF D8 FF E0 00 10 4A 46 49 46 00
i) To recovered Cover Page.jpg, search the image for the header and found it at offset 9200h. Apparently the suspect had used some program to find the file in a different place than the FAT said they should be.
JPEG files end with an End of Image (EOI) marker of FF D9 which is found at offset CEDFh. All the data between the header and the EOI marker (9200h - CEDFh) are copied into a new file (Cover Page.jpg)
j) According to FAT, the Schedu~1.exe was at offset D000h - D3E7h. At first copied the sectors from D000h - D96Fh to a new file, the Scheduled.exe was corrupt. After a few search on the web for documentation on the Zip format file, there is reference for decoding the header information in the Zip file. The End of Zip file is four bytes of 00h. Next, all the data from D000h - D973h copied to a new file as scheduled.exe.
k) Opened the scheduled.exe file with WinZIP using the password found in the slackspace of the Cover Page.jpg file, and found a file named Scheduled Visits.xls.
(Appendix B: Scheduled Visits)
6. Bonus Question:
What Microsoft program was used to create the Cover Page file. What is your proof (Proof is the key to getting this question right, not just making a guess).
A several tested on Microsoft Paint and then compared the headers of these files to cover page.jpg’s header. The Microsoft Paint on Windows XP produce an identical header to the cover page header.
The file Jimmy Jungle.doc has been recovered from the disk image. It’s a letter from ‘joe’ to:
Jimmy Jungle
626 Jungle Ave Apt 2
Jungle, NY 11111
From the of the letter it appears that Joe’s supplier is “Jimmy Jungle”.
(Jimmy Jungle.doc)
2. What crucial data is available within the coverpage.jpg file and why is this data crucial?
Cover page.jpg had additional data after the End of Image (FF D9). The file coverpage.jpg, contains the string “pw=goodtimes” which appears to be a password as shown on Figure 1.
 |
| Figure 1. Additional data on Cover Page |
 |
| Figure 2. Cover Page.jpg |
3. What (if any) other high schools besides Smith Hill does Joe Jacobs frequent?
From Scheduled Visits.xls file that has been recovered, found in Scheduled Visits.exe (password protected zip file//pw=goodtimes), these are the names of High Schools besides Smith Hill High School:
a) Key High School
b) Leetch High School
c) Birard High School
d) Richter High School
e) Hull High School
4. For each file, what processes were taken by the suspect to mask them from others?
Three files were recovered from the disk image. Each one was hidden or masked using a different method.
a) Schedule.exe: Zip file was renamed as an executable (.exe). File length in the root directory was changed from 2420 to 1000 bytes.
b) Cover page.jpg: file name was edited. Cover Page.jpg was masked through misdirection. The file pointer in the FAT lead to a blank area on the disk.
c) Jimmy jungle.doc: File was deleted. The first character of the file in the directory entries was changed to E5h which is how DOS denotes a deleted file. The data space that the file took up is simply marked as available, but the data was still there.
d) Scheduled Visits.xls: File was hidden in a password protected zip file.
5. What processes did you (the investigator) use to successfully examine the entire contents of each file?
a) Download the IMAGE.ZIP file (From Mr. Hamid, forwarded by Mr. Dedy Haryadi via DropBox)
Verified the MD5 hash from image.zip with WinMD5. The result is match.
 |
| Figure 3. MD5 checksum of image.zip |
 |
| Figure 4 Result MD5 Checksum |
b) Mount image.zip with AccessData FTK Imager 3.1.2.0 as Drive L
c) Mount image on Drive L with AccessData FTK Imager 3.1.2.0 as Drive M, as shown on Figure 4.
 |
| Figure 5. Image Mounting |
d) Analyzing the Disk with FTK, as shown on Figure 5
 |
| Figure 6. Evidence 1 Data |
e) Analyzing using WinHex, as shown on Figure 6.
There are three files that are contained on the disk:
a. Jimmy Jungle.doc
b. Cover Page.jpgc
c. Sched~1.exe
 |
| Figure 7. Analyzing Evidence 1 with WinHex |
f) Jimmy Jungle.doc: File was deleted. The first character of the file in the directory entries was changed to E5h which is how DOS denotes a deleted file. The data space that the file took up is simply marked as available, but the data was still there.
 |
| Figure 8. Analyzing Jimmy Jungle Directories Entry with WinHex |
g) Recovered Jimmy Jungle.doc file by using the R-UNDELETE tool. Jimmy Jungle.doc has succesfully recovered.
 |
| Figure 9. Jimmy Jungle.doc recovered using R-UNDELETE. |
h) JPEG files start with a header of: FF D8 FF E0 00 10 4A 46 49 46 00
i) To recovered Cover Page.jpg, search the image for the header and found it at offset 9200h. Apparently the suspect had used some program to find the file in a different place than the FAT said they should be.
JPEG files end with an End of Image (EOI) marker of FF D9 which is found at offset CEDFh. All the data between the header and the EOI marker (9200h - CEDFh) are copied into a new file (Cover Page.jpg)
j) According to FAT, the Schedu~1.exe was at offset D000h - D3E7h. At first copied the sectors from D000h - D96Fh to a new file, the Scheduled.exe was corrupt. After a few search on the web for documentation on the Zip format file, there is reference for decoding the header information in the Zip file. The End of Zip file is four bytes of 00h. Next, all the data from D000h - D973h copied to a new file as scheduled.exe.
k) Opened the scheduled.exe file with WinZIP using the password found in the slackspace of the Cover Page.jpg file, and found a file named Scheduled Visits.xls.
(Appendix B: Scheduled Visits)
 |
| Figure 10. Extracted files from Evidence 1 |
6. Bonus Question:
What Microsoft program was used to create the Cover Page file. What is your proof (Proof is the key to getting this question right, not just making a guess).
A several tested on Microsoft Paint and then compared the headers of these files to cover page.jpg’s header. The Microsoft Paint on Windows XP produce an identical header to the cover page header.
 |
| Figure 11 Cover Page.jpg Header |
 |
| Figure 12. Example 2 Image Header |
 |
Figure 13 Example Image Header |
Jimmy Jungle.DOC
Jimmy Jungle
626 Jungle Ave
Apt 2
Jungle, NY 11111
Jimmy:
Dude, your pot must be the best – it made the cover of High
Times Magazine! Thanks for sending me the Cover Page. What do you put in your
soil when you plant the marijuana seeds? At least I know your growing it and
not some guy in Columbia.
These kids, they tell me marijuana isn’t addictive, but they
don’t stop buying from me. Man, I’m sure glad you told me about targeting the
high school students. You must have some experience. It’s like a guaranteed
paycheck. Their parents give them money for lunch and they spend it on my
stuff. I’m an entrepreneur. Am I only one you sell to? Maybe I can become
distributor of the year!
I emailed you the schedule that I am using. I think it helps
me cover myself and not be predictive. Tell me what you think. To open it, use the
same password that you sent me before with that file. Talk to you later.
Thanks,
Joe
Subscribe to:
Posts (Atom)