Anti Forensik

Istilah anti-forensik (AF) merupakan istilah baru yang dikenal dalam dunia digital forensik, meskipun secara konsptual bukanlah hal yang baru. Yang perlu kita ketahui bahwa tidak ada istilah baku yang mendefinisikan tentang anti-forensik. (Harris, 2006) dan Rogers (2006), seorang pendidik dan penyidik forensik digital, mendefinisikan Anti Forensik sebagai “upaya negatif untuk mempengaruhi eksistensi, jumlah, dan / atau kualitas bukti digital di TKP, atau membuat pemeriksaan barang bukti menjadi sulit atau tidak mungkin dilakukan.” Liu dan Brown (2006), yang melakukan praktek dan menciptakan metoda dan tools anti forensik menjelaskan definisi anti-forensik yakni “penerapan metode ilmiah ke media digital untuk menyangkal informasi faktual untuk judicial review.” Jadi bisa kita simpulkan bahwa anti-forensik merupakan teknik atau tools yang digunakan untuk mengacaukan tools forensics, proses investigasi dan investigator itu sendiri.

Dari definisi yang ada, kita bisa lihat bahwa tujuan dari anti forensik dapat dijabarkan sebagai berikut:

  • Menghindari supaya tidak terdeteksi
  • Mengganggu pengumpulan informasi
  • Memperlama waktu pemeriksaan
  • Memalsukan atau membuat keraguan pada laporan forensik atau kesaksian (Liu dan Brown, 2006)
  • Tidak meniggalkan bukti bahwa teknik anti-forensik telah dilakukan.

Menurut Rogers (2006), ada empat kategori metode anti forensik yang sering digunakan. Yaitu Data Hiding, Artefact Wiping, Trail Obfuscation, dan Attack Against The Computer Forensic Process or Tools

Data Hiding

Penyembunyian data dapat dilakukan dengan berbagai cara. Seperti teknik steganografi atau teknik menyembunyikan informasi pada sebuah objek yang sebelumnya telah ada selama lebih dari dua ribu tahun. Tools steganografi sendiri telah tersedia sejak pertengahan 1990-an dan tersedia hampir semua untuk sistem operasi komputer. Setiap bentuk informasi digital dapat disimpan di dalam berbagai jenis file pembawa, termasuk file gambar, audio, video, dan executable (StegoArchive.com, 2005).

Sebagai contoh, seseorang dapat menyembunyikan gambar, tabel, atau blok teks di bawah gambar dalam presentasi grafis PowerPoint atau Impress. Sebagai alternatif, sebuah blok teks putih di atas latar belakang putih dapat menyimpan pesan tersembunyi. Pesan kode atau sandi tertentu bisa disematkan dalam gambar.
Untuk jaringan komputer, saluran terselubung dalam protokol komunikasi data memungkinkan komunikasi tersembunyi melalui jaringan publik dan swasta. Protokol Transmission Control Protocol / Internet Protocol (TCP / IP), misalnya, memiliki beberapa kelemahan yang dapat dimanfaatkan untuk memungkinkan komunikasi terselubung. Konsep saluran rahasia dalam protokol jaringan berawal paling tidak 30 tahun (Ahsan, 2002; Rowland, 1996).

Selain itu juga cara yang dapat dilakukan untuk menyembunyikan data pada computer, diantaranya dapat menyembunyikannya ke dalam slack dan unallocated spaces dalam harddisk, atau disembunyikan ke dalam Master Boot Record, disisipkan didalam compact disk dan partisi yang tersembunyi bahkan terenkripsi juga sering digunakan sebagai tempat penyimpanan data rahasia.

Semua data yang disembunyikan tersebut masih dapat ditemukan dengan menggunakan software forensik dan kejelian penyidik, namun memang membutuhkan usaha yang lebih keras untuk menemukannya dan sulit untuk menjelaskannya kepada orang yang tidak mengerti teknisnya.

Tools yang biasa digunakan untuk menyembunyikan data ini berupa:

  • Cryptographic File Systems (EFS, TrueCrypt)
  • Encrypted Network Protocols (SSL, SSH, Onion Routing*)
  • Program Packers (PECompact, Burneye) & Rootkits
  • Steganography
  • Data Hiding in File System Structures
    Slacker — Hides data in slack space
    FragFS — Hides in NTFS Master File Table
    RuneFS — Stores data in “bad blocks”
    KY FS — Stores data in directories
    Data Mule FS — Stores in inode reserved space
    Host Protected Areas & Device Configuration Overlay

Artefact Wiping

Tools untuk Artefact Wiping sudah banyak tersedia beberapa tahun belakangan ini. Program Wiping seperti BC Wipe, Eraser, dan PGP Wipe akan menghancurkan file dengan cara menghapus dan menimpa file tersebut sehingga file tersebut tidak mungkin untuk diperbaiki.

Tools yang digunakan untuk artefact wiping membuat investigator forensik akan lebih sulit untuk menganalisisnya. Metode yang paling mudah untuk menghilangkan barang bukti adalah dengan menonaktifkan tool yang bisa membuat file barang bukti tersebut. Contohnya seperti: mengubah konfigurasi komputer dan registry. sistem operasi tidak akan merekam riwayat login dan aktivitas pengguna. Cara lainnya yaitu dengan mengubah konfigurasi group policy sistem operasi, yang akan mengakibatkan sistem tidak akan mencatat semua aktivitas website yang dikunjungi dan riwayat browser.

Metode berikutnya yang bisa digunakan adalah dengan membersihkan log dan disk. Metode ini akan melakukan proses penghapusan data dengan menggunakan tools khusus yang bisa menghapus seluruh jejak data di semua tempat yang ada pada hardisk. Ini harus mencakup semua entri pada HDD termasuk semua entri MFT dan atributnya, orphan file, dan sebagainya. kegiatan ini biasa disebut dengan disk wiping. Pada riset sebelumnya tentang metode ini, tidak semua program anti-forensik bisa menghapus semua jejak data. Banyak program yang masih meninggalkan jejak dari wiping yang dilakukannya dan tidak sesempurna seperti yang diiklankan oleh tool-tool ini.

Trail Obfuscation

Trail Obfuscation adalah teknik menyamar atau membuat jejak palsu. Contohnya yakni dengan membuat header email palsu yang dapat mengelabui investigator, atau menggunakan SSH Tunnel Server ketika melakukan akses ke dalam jaringan komputer, sehingga terlihat bahwa alamat yang digunakan bukanlah alamat asli dari pengakses, melainkan alamat SSH Tunnel Server nya, sehingga dapat membuat jejak palsu.

Selain itu, trail obfuscation ini juga dapat dilakukan dengan cara merubah log file server atau event file system atau mengubah tanggal yang ada di metadata file. Cara merubah log file server ini juga dapat mengaburkan jejak dan meninggalkan jejak palsu.

Attacks Against Computer Forensics Tools

Teknik ini merupakan teknik terbaru dalam anti-forensik. Tujuannya adalah untuk membuat reliability atau kepercayaan terhadap bukti digital dipertanyakan sehingga barang bukti tersebut menjadi tidak bernilai di pengadilan. Pada teknik ini, sering mempertanyakan masalah prosedur penanganan barang bukti dan mengenai apakah tools yang digunakan juga apakah bisa dipercaya atau tidak.

Dilihat dari tujuannya, pada teknik ini penyidik atau investigator harus dapat menafsirkan dan menjelaskan alat serta prosedur yang digunakannya dengan benar dan dapat dipahami oleh audience pengadilan. Jika pengadilan tidak percaya dengan penjelasan kita, maka seluruh hal yang dilakukan untuk menemukan dan menganalisis barang bukti digital akan menjadi sia-sia.

Penanggulanan terhadap Anti-Forensik

Adapun hal-hal yang bisa dilakukan untuk menanggulangi anti-forensik yakni sebagai berikut:

  • Melakukan improvement pada tools atau software forensik.
  • Melakukan penyimpanan data yang memungkinkan penyerang tidak bisa menemukannya seperti log host dan CD-R
  • Kembangkan tools atau software baru
  • Penggunaan keyloggers untuk sistem file terenkripsi
  • Memperbanyak sniffer jaringan dengan analisis lalu lintas komunikasi.

Namun sebenarnya sangat sulit untuk menjelaskan tentang metode apa yang digunakan untuk mengadopsi tingkat anonimitas tinggi dan membuat metode anti-forensik kita efektif. Pada penjelasan diatas mencakup secara umum teknik-teknik dan metode yang paling umum. Adapun beberapa teknik untuk menanggulangi anti-forensik dapat dikatakan efektif, namun terkadang malah membuat situasi semakin buruk jika tidak mengetahui tekniknya dengan baik.

Dalam pandangan umum, kita dapat melihat bahwa tingkat keamanan optimal (berkenaan dengan teknik anti-forensik) dan tingkat anonimitas yang baik dari Internet dicapai dengan menggunakan pendekatan berlapis, dengan menggunakan teknik perlindungan yang lebih banyak. Sehingga dapat disimpulkan bahwa dengan tingkat pengetahuan dan keahlian yang kita miliki merupakan perpaduan sempurna untuk menanggulangi anti-forensik ini.

Contoh kasus yang berkaitan dengan anti-forensik sebagai berikut:

Kasus penyadapan yang terkenal dengan sebutan “Greek Watergate”

Kasus yang juga terkenal dengan sebutan ”Greek Watergate” itu menyebutkan, setidaknya 100 ponsel para pejabat tinggi dan kepresidenan sudah disadap ”pihak tak dikenal”. Jaringan telepon yang umumnya dikuasai Vodafone itu diketahui mulai disadap pada Agustus 2004 hingga Maret 2005. Sejumlah petinggi Yunani yang menjadi korban sadap antara lain Wali Kota Athens, Menteri Pertahanan, Menteri Luar Negeri, Panglima Angkatan Laut, hingga Perdana Menteri Yunani, Kostas Karamanlis, beserta keluarganya. Pemerintah Yunani disebutkan segera mengambil tindakan untuk menyelesaikan kasus itu, tapi hingga kini tak menyebutkan pihak mana yang melakukannya. Namun pers dan gunjingan politik di sana menyebutkan, pihak itu tak lain adalah Amerika Serikat.

Penyidik ​​forensik dari Swedish Telecom Manufacturer Ericsson mengidentifikasi adanya sebuah rootkit yang telah dipasang dalam rangkaian switch di kantor pusat yang dikelola oleh Vodafone Greece, penyedia layanan telepon seluler terbesar di negara ini. Teknisi di Vodafone secara tidak sengaja menemukan perangkat lunak nakal tersebut setelah mekanisme pembaruan otomatisnya mencegah pengiriman pesan teks (yang menghasilkan jejak audit di log kesalahan sistem).
Memori rootkit ini bertahan lama karena menambal gambar runtime switch untuk menyembunyikan keberadaannya dan juga memodifikasi fasilitas pemeriksaan integritas asli dari sistem agar tidak terlihat seperti yang telah diubah.

Referensi:

  • Ryan Harris (2006) Arriving at an Anti-forensics Consensus: Examining How to Define and Control the Anti-forensics Problem
    https://www.dfrws.org/sites/default/files/session-files/paper-arriving_at_an_anti-forensics_consensus_-_examining_how_to_define_and_control_the_anti-forensics_problem.pdf
  • Gary C. Kessler (2007) Anti-Forensics and the Digital Investigator
  • http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.79.6341&rep=rep1&type=pdf
  • http://spectrum.ieee.org/telecom/security/the-athens-affair

Leave a Reply