Setelah pada postingan sebelumnya membahas mengenai Analisis File .PCAP, maka pada postingan kali ini akan membahas mengenai rekonstruksi data pada analisis file .pcap tersebut dengan pendekatan 5W1H berikut juga penerapan Occam’s Razor dan Alexiou Principle dalam analisis kasus tersebut.
Pada postingan sebelumnya telah dijelaskan bahwa terdapat sebuah kasus di mana seseorang bernama Ann Dercover adalah corporate spy yang mencuri data penting perusahaan dan menyelundupkannya kepada rekannya di luar perusahaan. Kemudian Ann pun tertangkap dan ditahan namun bebas kembali dengan jaminan. Setelah bebas, Ann menghilang. Namun untungnya, investigator kasus tersebut memonitor aktivitas network Ann dan meng-capture-nya. Dari packet capture aktivitas network Ann tersebut, akhirnya dapat terungkap ke mana Ann pergi. Analisis file hasil capture juga telah dibahas dalam postingan sebelumnya.
Pada postingan kali ini, akan dibahas mengenai rekonstruksi data dengan pendekatan pertanyaan 5W1H, yaitu:
- What (Apa)
- When (Kapan)
- Where (Di mana)
- Who (Siapa)
- Why (Mengapa)
- How (Bagaimana)
WHAT?
Kasus apa yang terjadi? Kasus yang terjadi adalah mengenai perginya Ann Dercover, seorang corporate spy yang telah tertangkap namun bebas kembali setelah ada jaminan. Keberadaan Ann tidak diketahui. Namun, investigator kasus telah melakukan monitoring terhadap aktivitas network Ann dan dicurigai adanya komunikasi antara Ann dengan kekasihnya sebelum Ann pergi menghilang.
WHEN?
Kapan terjadinya kasus ini? Dari hasil pemeriksaan terhadap file packet capture, diketahui bahwa kasus ini terjadi sekitar tanggal 10 Oktober 2009. Packet capture dilakukan antara pukul 20:34:08 sampai dengan pukul 20:38:22 dengan durasi 4 menit 14 detik.
WHERE?
Di mana Ann berada? Tidak dijelaskan di mana Ann berada, namun setelah file packet capture tersebut dianalisis, dapat diketahui bahwa Ann akan bertemu kekasihnya di kota Playa del Carmen, Mexico.
WHO?
Siapa saja yang terlibat di dalam kasus ini? Di dalam file packet capture, terdapat 3 alamat email, yaitu:
- [email protected] –> alamat email Ann
- [email protected] –> alamat email rekan Ann
- [email protected] –> alamat email kekasih Ann
Dan terdapat 2 IP address sebagai berikut:
- 192.168.1.159 –> IP address Ann
- 64.12.102.142 –> IP address AOL (penyedia layanan email)
WHY?
Mengapa sampai terjadi kasus tersebut? Ann tertangkap dan ditahan atas tuduhan pencurian dan penyelundupan data penting perusahan, kemudian dibebaskan dengan jaminan. Setelah itu, Ann pergi menghilang. Bebas dengan jaminan dapat disebut juga dengan penangguhan penahanan. Kepergian Ann ini dimungkinkan karena pada dasarnya bebas dengan jaminan maka terdakwa harus melakukan wajib lapor, atau tidak keluar rumah, atau tidak keluar kota. Selain itu, Ann juga tidak ingin kembali ditahan apabila kemudian dinyatakan bersalah oleh pengadilan, sehingga Ann memutuskan untuk “kabur”.
HOW?
Bagaimana Ann merencanakan untuk kabur? Ann menghubungi kekasihnya via email dengan mengatakan kepada kekasihnya untuk membawa paspor palsu dan baju renang, kemudian melampirkan sebuah file yang berisi tempat pertemuan dengan kekasihnya tersebut.
Bagaimana cara untuk mengetahui rencana Ann? Caranya adalah dengan melakukan analisis terhadap file packet capture dengan memanfaatkan tool dan command yang ada pada OS Kali Linux. Untuk hal ini, telah dibahas pada postingan sebelumnya.
Setelah menjawab keenam pertanyaan dalam 5W1H tersebut, maka akan dilanjutkan dengan penerapan Occam’s Razor dan Alexiou Principle dalam analisis kasus ini.
OCCAM’S RAZOR
Occam’s Razor merupakan prinsip yang dikembangkan oleh seorang biarawan dan filsuf Inggris, William of Occam atau dapat ditulis William of Ockham. Ockham merupakan sebuah desa kecil yang terletak di Surrey.
Occam’s Razor dapat dijelaskan sebagai:
“The simplest answer is most often correct“.
“Jawaban yang paling sederhana adalah jawaban yang paling sering benar“. Maksud dari kata “benar” di sini adalah entitas seharusnya tidak dibuat rumit jika memang tidak perlu. Occam’s Razor adalah proses menyelidiki informasi sehingga dapat menemukan kebenaran dengan lebih mudah.
Jika dihubungkan dengan bidang keilmuan, maka Occam’s Razor digunakan untuk mengeliminasi semua asumsi yang tidak menimbulkan perbedaan pada prediksi hipotesis. Maksudnya adalah jika kita memiliki beberapa hipotesis yang dapat menjelaskan sebuah pengamatan, maka biasanya hal terbaik adalah memulai dengan hipotesis yang paling sederhana.
Hal yang perlu diperhatikan dari Occam’s Razor ini adalah ia tidak termasuk dalam proses penalaran (reasoning process). Dalam reasoning process, semakin kompleks prediksi hipotesisnya, maka akan semakin dapat ditemukan kebenarannya.
Dalam analisis kasus ini, dapat diterapkan prinsip Occam’s Razor yaitu dengan memanfaatkan tool dan command sederhana yang telah tersedia dalam OS Kali Linux. Tool yang berupa Wireshark dan command seperti tcpflow, cat, echo, base64, vi, sed, tr, unzip, md5sum sudah dapat menjawab pertanyaan (challenge) dari kasus tersebut.
Jika penggunaan tool dan command yang sederhana sudah dapat menjawab pertanyaan yang diberikan, maka tidak perlu mencari tool lain yang mungkin akan lebih merepotkan karena misalnya, perlu download dan install aplikasi atau lebih rumit cara penggunaannya.
ALEXIOU PRINCIPLE
Alexiou Principle adalah prinsip investigasi yang dikemukakan oleh Michael Alexiou, Chief Operating Officer CyTech Services, Inc, Washington D.C., Amerika Serikat. Ada 4 prinsip yang dikemukakan dan dapat dijadikan panduan dalam proses investigasi. Keempat prinsip tersebut adalah:
- What question are you trying to answer?
- What data do you need to answer that question?
- How do you extract that data?
- What does that data tell you?
Dalam sebuah proses investigasi, investigator harus tahu arah investigasinya, yaitu apa saja pertanyaan yang harus dijawab dari hasil investigasi tersebut, ke mana harus mencari data atau informasi dari pertanyaan investigasi, bagaimana caranya, dan apakah hasil investigasi tersebut sudah dapat menjawab pertanyaan yang telah dirancang sebelumnya. Jadi, bukan hanya perkara menangkap pelaku kejahatan saja, tetapi juga harus memahami jalannya investigasi agar tidak simpang siur.
Alexiou Principle dapat diterapkan ke dalam analisis kasus ini.
1. What question are you trying to answer?
Pertanyaan apa sajakah yang harus dijawab? Pertanyaan dari kasus ini ada 8 buah dan telah disampaikan pada postingan Analisis File .PCAP, yaitu:
- Apa alamat email milik Ann?
- Apa password email milik Ann?
- Apa alamat email milik kekasih Ann (Mr. X)?
- Barang apa sajakah (2 item) yang Ann minta kepada kekasihnya untuk dibawa?
- Apa nama file attachment yang dikirimkan Ann kepada kekasihnya?
- Berapa MD5sum dari file attachment pada no.5?
- Di kota dan negara manakah Ann dan kekasihnya akan bertemu?
- Berapa MD5sum dari image yang ada di dalam file attachment tersebut?
2. What data do you need to answer that question?
Data apakah yang dibutuhkan untuk menjawab pertanyaan tersebut? Data yang dibutuhkan adalah berupa file packet capture aktivitas network Ann yang pada postingan Analisis File .PCAP telah disebutkan, yaitu sebuah file bernama “evidence02.pcap“.
3. How do you extract that data?
Bagaimana caranya mengekstrak data tersebut? Cara yang digunakan untuk mengekstrak data atau file “evidence02.pcap” seperti telah disebutkan sebelumnya, adalah dengan memanfaatkan tool Wireshark dan command seperti tcpflow, cat, echo, base64, vi, sed, tr, unzip, md5sum yang tersedia di OS Kali Linux.
Untuk detail ekstraksi dan analisis telah dibahas pada postingan Analisis File .PCAP.
4. What does that data tell you?
Apa yang dapat dijelaskan dari hasil ekstraksi data tersebut? Hasil ekstraksi data telah dapat menjawab kedelapan pertanyaan (challenge) yang diajukan. Jawaban tersebut adalah sebagai berikut:
- Apa alamat email milik Ann? [email protected]
- Apa password email milik Ann? 558r00lz
- Apa alamat email milik kekasih Ann (Mr. X)? [email protected]
- Barang apa sajakah (2 item) yang Ann minta kepada kekasihnya untuk dibawa? paspor
palsu dan baju renang - Apa nama file attachment yang dikirimkan Ann kepada kekasihnya? secretrendezvous.docx
- Berapa MD5sum dari file attachment pada no.5? 9e423e11db88f01bbff81172839e1923
- Di kota dan negara manakah Ann dan kekasihnya akan bertemu? Playa del Carmen, Mexico
- Berapa MD5sum dari image yang ada di dalam file attachment tersebut? aadeace50997b1ba24b09ac2ef1940b7
KESIMPULAN
Kesimpulan dari postingan ini adalah:
1. Rekonstruksi data dengan pendekatan 5W1H akan sangat membantu dalam menjelaskan terjadinya sebuah kasus.
2. Investigator forensik dapat menggunakan prinsip Occam’s Razor dan Alexiou Principle sebagai panduan dalam menjalankan proses investigasi.
- Occam’s Razor digunakan untuk menjalankan proses investigasi dengan cara-cara yang
sederhana namun harus dapat menjawab semua pertanyaan investigasi yang telah dirancang. - Alexiou Principle digunakan sebagai panduan dalam melakukan proses investigasi agar tahu arah investigasinya: pertanyaan apa saja yang perlu dijawab, data atau informasi apa saja yang dibutuhkan, bagaimana caranya, dan jawaban apa yang diperoleh dari hasil investigasi (apakah sudah menjawab pertanyaan investigasi ataukah belum).
SUMBER
- Alexiou, M. (n.d.). Michael alexiou | linkedIn. Retrieved August 6, 2015, from https://www.linkedin.com/in/alexioump
- Hermaduanti, N. (2015, August 5). Praktikum: analisis file .pcap | senenkliwon [Web log post]. Retrieved from http://www.senenkliwon.com/praktikum-analisis-file-pcap-2740.html
- Pangaribuan, R. (2011, November 17). Syarat-syarat penangguhan penahanan – hukumonline.com. Retrieved August 6, 2015, from http://www.hukumonline.com/klinik/detail/cl4982/syarat-syarat-penangguhan-penahanan
- Shuttleworth, M. (2008, July 26). Occam’s razor – the simplest answer is usually correct. Retrieved August 6, 2015, from https://explorable.com/occams-razor
- The digital standard: The alexiou principle [Web log post]. (2009, June 27). Retrieved from http://thedigitalstandard.blogspot.com/2009/06/alexiou-principle.html
- Wikipedia. (n.d.). Occam’s razor – wikipedia, the free encyclopedia. Retrieved August 6, 2015, from https://en.wikipedia.org/wiki/Occam%27s_razor
- Wikipedia. (n.d.). William of ockham – wikipedia, the free encyclopedia. Retrieved August 6, 2015, from https://en.wikipedia.org/wiki/William_of_Ockham