السَّلاَمُ عَلَيْكُمْ وَرَحْمَةُ اللهِ وَبَرَكَاتُهُ
Alhamdulillah pada kesempatan kali ini kita masih diberikan Rizki oleh Allah SWT. yaitu Rizki penglihatan, pendengaran dan masih banyak lainnya yang mungkin belum kita sadari… Pada kesempatan kali ini penulis akan menulis sebuah laporan lengkap tentang investigasi suatu kasus yaitu masih kasus yang lama “Ann’ Skip Bail” yang pernah kita bahas sebelumnya.
Laporan Investigasi
2015
Laporan investigasi forensika digital terhadap kasus Ann’s Dercover “Ann’s Skip Bail”
Universitas Islam Indonesia
Pascasarjana Fakultas Teknologi Industri Magister Teknik Informatika
Kampus Terpadu UII Jl. Kaliurang Km. 14,5 – Yogyakarta (55584)
1). Identitas Kasus
⇒ Deskripsi Kasus
Ann Dercover adalah seorang karyawan sekaligus tersangka dalam kasus corporate spy yang mencuri data penting milik perusahaan Anarchy-R-Us, Inc. dan melakukan penyelundupan file kepada temannya di luar perusahaan.
Ann akhirnya ditangkap namun dibebaskan kembali dengan jaminan. Setelah dibebaskan dengan jaminan keberadaan Ann tidak diketahui. Untungnya, investigator kasus telah melakukan monitoring aktivitas network Ann sebelum meninggalkan kota dan dicurigai melakukan komunikasi antara Ann dengan kekasih rahasianya Mr. X, sebelum Ann pergi menghilang.
⇒ Ringkasan Kasus
| Pemohon | Bp. Yudha., M.Kom |
| Alamat Pemohon | Jl. Lingkar Utara Condong Catur, Depok, Sleman, Yogyakarta – 55283 |
| Pihak Penerima | Muhammad Innuddin |
| Waktu | Selasa, 4 Agustus 2015 15:30 WIB |
| No. Kasus | K007/MITK/2015 |
2). Deskripsi Permohonan Investigasi
- Diajukan barang bukti berupa sebuah file packet capture bernama “evidence02.pcap”.
- Awalnya investigator melakukan packet capture terhadap aktivitas Ann setelah dibebaskan dengan jaminan secara diam-diam, yang kemudian menghasilkan sebuah file yang selanjutnya dijadikan barang bukti digital dan diminta untuk diteliti dan dianalisa, sehingga didapat informasi sbb :
1. Alamat email milik Ann Dercover.
2. Password email milik Ann Dercover.
3. Alamat email milik kekasih gelapnya atau Mr. X Ann Dercover
4. Barang yang Ann Dercover minta kepada Mr. X untuk dibawa.
5. Nama file attachment yang dikirimkan Ann Dercover kepada Mr. X.
6. MD5sum dari file attachment tersebut.
7. Kota dan negara di mana Ann Dercover dan Mr. X akan bertemu.
8. MD5sum dari image yang ada di dalam file attachment tersebut.
3). Proses Penerimaan Barang Bukti
Barang bukti yang akan diuji dikirimkan oleh pemohon melalui sebuah pendrive dan ditujukan kepada Lab. Forensika Digital Teknik Informatika UII yang kemudian dilanjutkan pada penerima untuk diproses lebih lanjut. Pada pendrive yang diterima terdapat sebuah folder yang berisi 2 buah file, yaitu sebagai berikut :
- File evidence02.pcap
- File evidence.md5
- Kunci Hash
Barang bukti yang dikirim pemohon sebelumya sudah memiliki hash pada file evidence02.md5
4). Proses Eksaminasi Barang Bukti
- Prosedur
1. Memindahkan file bukti dari pendrive ke komputer Lab Forensika Digital Teknik Informatika UII.
2. Menyiapkan environment system untuk keperluan eksaminasi pada Lab. Forensika Digital Teknik Informatika yang berada pada area pusat pelatihan ITCentrum FTI UII.
3. Mengunakan sejumlah aplikasi untuk kepentingan melihat isi file serta informasi digital lainnya dari file packet traffic tersebut. Dalam hal ini aplikasi yang digunakan adalah : Wireshark, Notepad dan NetworkMiner.
4. Memeriksa dan menganalisis file evidence02.pcap kemudian melakukan screenshot
hasil temuan sesuai dengan target informasi yang diharapkan.
5. Melakukan expose hasil baik secara internal team maupun eksternal kepada pihak pemohon.
- Waktu dan Tempat
Proses eksaminasi barang bukti dilakukan pada:
• Waktu : Rabu, 5 Agustus 2015, pkl. 08.00 – 16.00 WIB
• Tempat : Laboratorium Forensika Digital UII (Pusat Pelatihan IT Centrum)
5). Hasil Eksaminasi
a. Langkah awal dengan membuka file evidence.pcap menggunakan wireshark, kemudian memeriksa frame-frame atau dengan melalui filter, dan mencari alamat email yang terlibat di dalam komunikasi melalui jaringan internet Ann Dercover. Hasilnya adalah sebagai berikut:
Nama File Hasil |
Alamat Email yang Ditemukan |
|---|---|
| 064.012.102.142.00587- 192.168.001.159.01036 |
N/A |
| 064.012.102.142.00587- 192.168.001.159.01038 |
N/A |
| 192.168.001.159.01036- 064.012.102.142.00587 |
sneakyg33k@aol.com sec558@gmail.comSorry– I can’t do lunch next week after all. Heading out of town. Another time! –Ann |
| 192.168.001.159.01038- 064.012.102.142.00587 |
sneakyg33k@aol.com misersecretx@aol.comHi sweetheart! Bring your fake passport and a bathing suit. Address attached. love, Ann |
Dari sekian percakapan yang ada Ann selalu melampirkan namanya diakhir kalimat…
b. Melakukan pencarian user dan passwor menggunakan NetworkMiner sehingga menghasilkan seperti berikut.
Berdasarkan gambar diatas maka dapat disimpulkan bahwa alamat emai Ann : sneakyg33k@aol.com dan
Password Ann : 558r00lz.
c. Ketika proses analisa sedang berlangsung ditemukan sebuah file “secretrendezvous.docx”.
d. Agar bisa membaca dan mendapatkan nilai MD5sum dari file “secretrendezvous.docx“, maka perlu dilakukan ekstraksi file tersebut dari file “evidence02.pcap“. Caranya adalah dengan memindahkan atau mengcopy isi documen yang ada pada layar wireshark kemudian menaruhnya di aplikasi Notepad++ dan memanfaatkan pasilitas MIME Tools → Base64 Decode yang ada pada Notepad++, supaya filenya bisa terbaca kemudian menyimpannya dengan akstensi .docx.
Kemudian melakukan proses generate nilai MD5 terhadap file “secretrendezvous.docx” dan menghasilkan nilai 9e423e11db88f01bbff81172839e1923.
e. Kemudian mencari informasi tentang keberadaan Ann dari file secretrendezvous.docx yang sudah didapatkan tadi. Terlihat seperti berikut.
dari gambar diatas terlihat jelas bahwa mereka akan melakukan pertemuan di kota Playa del Carmen, Mexico.
f. Dalam file .docx tersebut terdapat didalamnya sebuag gambar dan untuk mendapatkan md5sum dari gambar tersebut adalah dengan cara mengekstraknya. Caranya sebagai berikut yaitu dengan merubah type file “secretrendezvous.docx” menjadi “secretrendezvous.zip” kemudian mengekstraknya dari file .zip tersebut sehingga didapatkan file gambar seperti berikut.
md5sum :aadeace50997b1ba24b09ac2ef1940b7
Kesimpulan Akhir
- Hasil Analisa
Dari hasil analisis yang telah dilakukan sudah mampu menjawab pertanyaan mengenai informasi yang diinginkan oleh pihak pemohon.
- Kesimpulan
Berdasarkan hasil dari pemeriksaan dan analisis terhadap file “evidence02.pcap” menggunakan tool Wireshark, Notepad++ dan NetworkMiner, didapatkan beberapa informasi yang dibutuhkan oleh pemohon.
DIGITAL FORENSICS 