Image forensic-Pertemuan 8
JPEGSnoop
JPEGSnoop merupakan aplikasi gratis yang dapat mendeteksi apakah sebuah foto telah
dimanipulasi atau masih merupakan sebuah foto original. JPEGSnoop dapat mendeteksi
berbagai macam setting yang digunakan pada sebuah kamera digital (EXIF metadata, IPTC)
dan juga membandingkan sebuah foto dengan banyak parameter variasi kompresi.
Parameter ini bervariasi, tergantung kamera atau software yang digunakan. Hal ini bisa
dilakukan karena JPEGSnoop memiliki database internal yang menyimpan ribuan signature
kamera.
Contoh hasil JPGSnoop
gelap sedangkan objek yang kedua bayangan ke samping kanan, pantulan cahaya
lebih banyak, proposi badannya tidak sesuai dengan aslinya, dan sebagainya. Oleh
karena itu, dengan mudah kita bisa menduga bahwa gambar tersebut adalah hasil
manipulasi alias palsu
Pencahayaan dan bayangan
Pada foto asli, sumber cahaya datang dari satu arah dan berlaku pula untuk objekobjek lain dalam foto tersebut. Misalnya sama-sama cahaya matahari atau lampu.
Intensitas cahaya yang berbeda antar bagian juga menunjukan foto tersebut hasil
rekayasa. Untuk bayangan bisa dilihat dari arah sumber cahaya.
Mata tidak bisa berdusta/specular highlight
Untuk kasus foto dengan memotret benda yang memantulkan cahaya (salah satunya
adalah mata) juga bisa digunakan sebagai salah satu petunjuk untuk dijadikan
indikasi status sebuah foto apakah asli atau manipulasi. Pada bagian mata terdapat
titik kecil berwarna putih yang disebut specular highlight. Kalau dijelaskan specular
highlight adalah semacam titik putih yang berasal dari cahaya objek yang berkilauan
atau mengkilap.
Ketidaksesuaian Bentuk
Dalam mencermati apakah sebuah foto adalah hasil editing atau bukan, juga bisa
terlihat dari ketidaksesuaian bentuk atau inkonsistensi bentuk gambar. Hal ini
umumnya terjadi karena adanya pemasangan atau penggabungan dua buah gambar
dengan polesan yang tidak halus. Biasanya dalam pengeditan gambar metode yang
digunakan untuk memperhalus gambar adalah dengan menambahkan smoothing di
bagian tepi objek yang akan digabungkan sehingga gambar hasil seleksi atau
potongan tidak menampilkan tepi yang tajam.
Membandingkan Gambar
Dalam hal analisa visual ini, jika anda memiliki dua buah foto sekaligus dan salah
satu foto tersebut anda curigai sebagai foto palsu, maka anda perlu melakukan
perbandingan foto.
Error level analysis
Error level analysis atau di singkat ELA adalah salah satu usaha untuk menyingkap
gambar yang telah dimodifikasi oleh software pengolah gambar. ELA adalah sebuah
metode atau algoritma yang bisa menciptakan semacam heat map dari file gambar
seperti JPG dan dapat menampilkan titik tertinggi dari sebuah kompresi gambar.
Proses pendeteksiannya diindikasikan dengan perbedaan level brightness dan
beberapa informasi lainnya. ELA bekerja dengan menyimpan ulang file gambar lalu
menghitung perubahan yang terjadi.
ELA secara Online : fotoforensic.com
Error level Comparer
IT Forensic-Pertemuan 9
Steganograf
Steganografi adalah seni menyamarkan data. Jika kriptografi adalah ilmu untuk menjaga isi
data atau pesan agar tetap aman dengan cara menyandikan pesan, maka steganografi
lebih berfokus agar keberadaan pesan rahasia tersamar. Steganografi berasal dari kata
Yunani stagonos, yang berarti tertutup atau tercover, dan grafi yang artinya tulisan.
Steganografi adalah seni atau ilmu untuk menyamarkan sebuah pesan/data rahasia di
dalam data atau media yang tampaknya biasa saja, sehingga keberadaan pesan rahasia
sulit diketahui.
Steganografi pada masa lalu
Dahulu kala pesan bisa disamarkan dengan beragam cara;
Menyembunyikan pesan rahasia di dalam pesan biasa.
Menyembunyikan pesan rahasia dengan tinta rahasia.
Dengan tato di kepala
Menulis pesan rahasia dibalik perangko yang ditempelkan.
Steganografi dalam dunia digital
Ketika perkembangan dunia digital semakin pesat,teknik steganogrfi juga semakin canggih.
Misalnya saja data bisa disembunyikan dalam gambar, file suara, video dan sebagainya.
File pembawa atau carrier bisa bermacam-macam,seperti jpeg, bmp, wav, gif, mp3 dan
sebagainya.
Tool untuk melakukan steganografi juga banyak, misalnya;
Invisible secrets
Steganos
S-tools
Camouflage
Hiderman
Steghide
Mp3stegz
steganographX
Hermetic stego
Dll
Meskipun banyak pendapat yang mengatakan bahwa enskripsi kriptografi dan steganografi
adalah pencipta mimpi buruk bagi investigator atau bidang komputer forensik, tapi pada
kenyataanya masing-masing bidang berkembang cukup pesat.
Sekarang ini semakin dikembangkan software-software yang lebih canggih untuk melacak
keberadaaan data tersembunyi termasuk pelacakan steganografi.
Contoh salah satut tool untuk pelacak steganografi adalah stagsecret di
stegsecret.sourceforge.net
Video Forensic-pertemuan 10
salah satu jenis barang bukti yang diterima untuk dianalisis lebih lanjut secara digital forensic
adalah barang bukti berupa rekaman video.
Biasanya yang diminta dari barang bukti rekaman video tersbut adalah mengenai keaslian
rekaman.
Dipastikan asli atau tidaknya rekamanan tersebut sangat membantu investigator dalam
mengembangkan investigasi mereka terhadap pelakuu yang merekam video tersebut.
Disamping itu sering juga rekaman dari video, investogator meminta untuk dilakukan pembesaran
terhadap satu atau beberapa objek.tertentu dalam rekaman video tersebut.
Analisa hash
Dalam dunia digital forensic, istilah aslimengacu pada suatu file yang dibandingkan
dengan file yng dianggap sumbernya, yang kemudian dilakukan hasing terhdap kedua file
tersebut untuk melihat nilai hash dari masing-masing file.
Jika nilai hash sama maka kedua file tersebut identik,dan sebaliknya.
Hash merupakan suatu deret digit bilangan hexadecimal yang bersifat unik dan khas hasil
dari pembacan header dan isi dari suatu file dengan menggunakan algoritma tertentu.,
seperti MD5, MD4, SHA 1, SHA 256, SHA 256, SHA 384, SHA 512,RIPEMD160,CRC32 dan
lain-lain.
Analisis metadata
Metadata juga didefinisikan sebagai data mengenai data artinya data kecil yang
diencoded sedemikian rupa yang berisikan data besar yang lengkap tentang sesuatu.
Untuk rekaman video metdata dapat berupa data-data tentang:
1. Informasi umum: berisi data-data tentang tanggal/waktu kapan dibuatnya rekaman
video tersebut, ukuran file, format file, durasi dan lain-lain
2. Codec video: berisi format codec, panjang x lebar resolusi, frame rate, ukuran stream
dan lain-lain.
3. Codec audio: berisikan format codec,channel (yang menentukan mono atau stereo
suatu rekaman audio dimana jika channelnya menunjukkan mono, sedangkan
channelnya dua menunjukan stereo),ukuran stream dan lain-lain.
Analisis frame
Analisis frame yang biasa dilakukan untukmemastikan ada tidaknya proses editing yang
menyebabkan frame-frame tersebut terlihat tidak normal (tidak alamiah).
Suatu rekaman video pada hakikatnya merupakan susunan frame dalam jumlah banyak
yang menyusun rekaman tersebut mulai dari frame pertama hingga akhir sehingga jadilah
rekaman video yang berisikan objek-objek yang bergerak ( moving object)
Maka selanjutnya frame-frame ini dapat dianalisis untuk melihat tingkat alamiah/wajar dari
moving object yang ada di rekaman video tersebut.
Jika terdapat frame-frame yang menunjukan ketidakwajaran gerakan moving object maka
dapat disimpulkan bahwa file rekaman video tersebut telah melalui proses editing
sebelumnya.
Mobile forenisc
: pemeriksaan forensic-Pertemuan11a
Pemeriksaan forensik
Sama seperti komputer, handphone butuh sistem operasi untuk menjalankan fungsi
(service) dan aplikasi dengan benar.
Contoh sistem operasi misalnya Symbian,windows mobile, blackberry, android, linux, palm,
iOS dan lain sebagainya. Oleh karenanya maka banyak dikembangkan aplikasi-aplikasi
forensik.
Untuk melakukan pemeriksaan forensik tersebut, ada juga pengembang yang juga
menyediakan hardware (yang juga dilengkapi dengan kabel-kabel data yang bervariasi)
disamping software seperti, UFED dari Cellebrite, dan XRY dari micro system.
Hal ini akan mempermudah analis untuk melakukan kegiatan forensik, misalnya analis dan
investigator tidak perlu melakukan setting komputer mereka untuk proses instalasi software
berikut sinkronisasinya.
Disamping sistem operasi permasalahan yang sering muncul adalah konektivitas tool kit
dan atau software terhadap handphone keluaran terbaru
Sebaiknya dilakukan update secara rutin baik kepada tool kit ataupun aplikasi/software
yang digunakan dalam melakukan mobile forensic.
Sehingga akan memudahkan analis dan investigator untuk sewaktu-waktu melakukan
pemeriksaan barang bukti handphone dengan merek dan model yang sama.
Sebelum melakukan pemeriksaan barang bukti handphone berikut simcardnya secara
forensik dengan menggunakan tool kit dan atau aplikasinya analis dan investigator
sebaiknya sudah memahami prosedur yang semestinya dilakukan terhadap barang bukti
handphone tersebut.
Handphone Dalam keadaan menyala (on)
1. Jangan dimatikan biarkan dalam keadaan menyala
2. Dokumentasikan handphone tersebut dengan fotografi forensik
3. Bangun area tanpa sinyal, bisa dengan menggunakan kantung Faraday (suatu kantong
yang terbuat dari bahan tertentu untuk meminimalisasi sinyal frekuensi radio handphone)
atau jammer ( suatu peralatan untuk mengacak sinyal frekuensi radio)
4. Akses nomor IMEI handhone tersebut dengan mengetikan *#06#, catat dan foto nomor
IMEI yang ada dilayar.
5. Akses handphone dengan analysis workstation, dengan menggunakan kabel ata, bluetooth
atau infrared. Disarankan menggunakan port USB yang sudah terproteksi akses penulisan
(write-protect)
6. Setelah proses konektifitas dan sinkronisasi memalui instalasi driver handphone selesai,
handphone sudah dapat dikenal oleh analysis workstation. Misalnya menggunakan aplikasi
forensik MOBIedit Forensic atau Oxygen Forensic. Dalam proses pengaksesan bisa di buat
file backup dari proses dumping yang sudah dilakukan agar memudahkan pencarian data
data yang berkaitan dengan investigasi tanpa perlu mengakses handphone lagi.
7. Dimatikan cek model, merek dan cocokan imei, cek sim card dengan sim card reader
(misalnya menggunakan aplikasi SIM Manager dari Dekart)
8. Untuk memory external (jika ada) cabut memori tersebut kemudian masukan ke card
reader dan lakukan forensic imaging.
9. Setelah selesai maka simc card dan memory external dimasukskan kembali dalam slot
masing-masing sebagai barang bukti. Jangan pernah menhidupkan kembali handphone
berupa simcar dan memeory eksternal kecuali di area tanpa sinyal
10. Hasil berbagai pemeriksaan diatas diberikan kepada investigator baik dalam bentuk
softcopy ataupun hardcopy.
11.Untuk handphone yagn loww battery sebaiknya carikan charger dan diisi baterainya..
Handphone dalam keadaan OFF
1. Untuk pemeriksaan awal jangan menghidupkan kembali handphone.
Phonebook
Calllogs
Sms
MMS
File-file audio
File-file gambar digital
Kalender
Notes
Data-data penggunaan internet, termasuk e-mails
Aplikasi-aplikasi tambahan termasuk games
File file data user yang lain.
5. memory Eksternal (external memory)
Memory eksternal menyimpan banyak data, antara lain;
File-file gambar digital
File-file audio
File-file video
File,file office
Notes
Aplikasi games
File-file data user yang lain.
Disampling data tersebut diatas, juga terdapat data-data yang tersimpan di jaringan
provider atau yang disebut juga dengan istilah network data. Berikut cakupan network data
o Call data Record (CDR)
o VoiceMail
o Mobile Subsriber Integrated Service digital network (MSISDN)
IT Forensik-Pertemuan 12
PENDAHULUAN
Audio forensik memiliki sejarah panjang dengan militer Amerika Serikat dan
pemerintah. Dalam Perang Dunia II, teknologi ini digunakan untuk mengidentifikasi suarasuara musuh yang ditargetkan yang terdengar di atas radio dan telepon. Penggunaan sp
ektrograf suara, yang diplot pola frekuensi suara dan amplitudo, membantu analisis
mengidentifikasi orang-orang yang menarik. Dalam beberapa tahun terakhir, forensik audio
digunakan untuk menganalisis pesan yang dibuat oleh teroris untuk membantu menentukan
lokasi mereka, waktu pembuatan audio dan faktor-faktor yang berasal lainnya.
Beberapa hal yang umumnya dievaluasi dalam klip audio untuk menentukan
keasliannya adalah latar belakang suara, perubahan frekuensi suara, suara yang berasal dari
rekaman peralatan dan berhenti, mulai dan jeda. Setiap sinyal diskontinuitas di daerah ini akan
dianalisa untuk membuktikan bahwa rekaman tersebut tidak otentik atau telah
dikompromikan.
Salah satu teknik yang paling populer digunakan selama analisis adalah membandingkan
satu suara yang tidak diketahui dengan suara yang dikenal untuk
mengidentifikasi.
Rekaman suara pembicaraan yang merupakan barang bukti digital pada kasus tertentu
memiliki peran penting untuk mengungkap keterlibatan seseorang.
Dari rekaman suara,orang-orang yang melakukan percakapan dapat diketahui identitasnya
melalui pemeriksaan audio forensik untuk voice recognition dengan metode komparasi,
yaitu membandingkan suara di rekaman barang bukti (unknown samples) dengan suara
yang direkam sebagai pembanding (Known samples).
Jika hasil voice recognition menunjukan bahwa suara unknown samples identik dengan
known samples maka suara percakapan dalam rekaman barang bukti dapat disimpulkan
berasal dari pemilik suara pembanding.
Audio Forensic
Audio Forensik adalah ilmu forensik yang berkaitan dengan akuisisi, analisis, dan evaluasi
rekaman suara yang pada akhirnya dapat disajikan sebagai bukti yang dapat diterima di
pengadilan atau tempat resmi lainnya.
Menurut Zabri (2006), Audio Forensik dapat didefinisikan sebagai penggunaan audio dan
penerapan ilmu pengetahuan yang terkait dengannya untuk menyelidiki dan membangun
fakta-fakta di persidangan. Pada Audio Forensik, digunakan potongan dari rekaman suara
yang akan dianalisis melalui parameter pitch, Formant dan spectogram untuk menunjukkan
adanya kecocokan. Hasil dari pemeriksaan rekaman audio dapat digunakan sebagai barang
bukti yang kuat setelah melalui beberapa proses hingga laporan siap dilampirkan untuk
persidangan.
Terdapat empat langkah dasar untuk aktivitas audio forensic menurut Maher (2009), yaitu:
Teori
perlawanan. Jika LR > 1, maka hal ini akan mendukung p (E|Hp), sebaliknya jika LR < 1, maka p
(E|Hd) yang didukung. Untuk itu, haruslah nilai p (E|Hp) > 0.5 untuk menyimpulkan bahwa suara
barang bukti (unknown) dan suara subjek (known) berasal dari orang yang sama (IDENTIK).
Analisis Sebaran Grafs (Graphical Distribution)
Analisis Sebaran Grafis (Graphical Distribution) Analisa ini digunakan untuk melihat dari gambaran
bentuk grafis dari nilai formant yang menggambarkan pola distribusi yang menunjukkan sebaran
terhadap nilai msing-masing formant yang dianalisis dengan mengoreksi dari perhitungan nilai
statistik Anova berupa gambaran dalam bentuk pola- pola yang terdistribusi dalam menunjukkan
ke- INDENTIKA-kan (Lucy, 2006).
Analisis Spectrogram
Analisis ini digunakan untuk melihat pola umum yang khas diucapkan pada kata dan pola khusus
yang khas pada masing-masing formant dan tingkatan energi suku kata yang dianalisis. Jika polapola khas tersebut untuk pengucapan kata-kata tertentu dari suara suspect dan suara subjek
tidak menunjukkan perbedaan yang signifikan, maka dapat disimpulkan bahwa kedua suara
tersebut untuk pengucapan pada kata-kata tersebut adalah IDENTIK (memiliki kesamaan
spectrogram) (Rose, 2003).
IT Forensik-Pertemuan12b
Network Forensik
Merupakan kegiatan untuk melakukan pencarian data yang berhubungan dengan kejahatan
lingkungan jaringan komputer.
Kegiatan network forensik paling sering dilakukan ketika kegiatan kejahatan pada jaringan
komputer telah terjadi. Namun demikian kegiatan analisis network forensik juga dapat
dilakukan untuk menangkal atau mendeteksi kegiatan yang mungkin akan terjadi pada
jaringan komputer.
Network forensik bukanlah sebuah produk,namun proses yang cukup kompleks dimana kita
dapat mengumpulkan dan menganalisanya dan kemudian melakukan investigasi sesuai
kebutuhan.
Ilmu network forensik berfokus pada analisis dan investigasi data yang berasal dari paket
jaringan.
Mengapa perlu network forensik
Kebutuhan bisnis dan aktivitas yang cukup banyak membuat hampir sebagian besar
operasional dilakukan secara online.
Kegiatan-kegiatan yang bertujuan jahat melalui jaringan ataupun internet juga meningkat.
Network forensik begitu penting ketika efek yang ditimbulkan oleh kejahatan jaringan
internetnya besar. Dengan mengetahui apa yang telah terjadi kita dapat mengambil
keputusan terhadap kejadian tersebut, bahkan mungkin dapat menangkap pelakunya.
Proses forensik jaringan terdiri dari beberapa tahap, yakni :
Akuisisi dan pengintaian (reconnaissance)
Analisa
Yaitu proses menganalisa data yang diperoleh dari proses sebelumnya, meliputi
analisa real-time dari data volatil, analisa log-file, korelasi data dari berbagai divais
pada jaringan yang dilalui serangan dan pembuatan time-lining dari informasi yang
diperoleh.
Recovery
Yaitu proses untuk mendapatkan/memulihkan kembali data yang telah hilang akibat adanya
intrusi, khususnya informasi pada disk yang berupa file atau direktori.
Tools untuk Network Forensik
Tools network forensik adalah aplikasi yang digunakan untuk oleh ahli forensik yang
digunakan untuk melakukan hal-hal yang berhubungan dengan forensik seperti melakukan
pemantauan dan audit pada jaringan. Tool kit untuk pengujian forensik memungkinkan
untuk mengumpulkan dan analisis data seperti E-Detective, NetFlow v5/9, NetCat,
NetDetector, TCPdump, Wireshark/Ethereal, Argus, NFR, tcpwrapper, sniffer, nstat, dan
tripwire. Dalam pengelompokannya untuk tools itu dibagi menjadi 2 yaitu GUI dan
Command Line.
Dibawah ini beberapa penjelasan tools network forensik yang berbasis GUI :
Wireshark/ethereal merupakan penganalisis dan monitoring network yang populer
NetCat merupakan sebuah utiliti tool yang digunakan untuk berbagai hal yang berkaitan
dengan protokol TCP atau UDP. Yang dapat membuka koneksi TCP, mengirimkan paketpaket
UDP, listen pada port port TCP dan UDP, melakukan scanning port, dan sesuai dengan IPV4
dan IPV6. Biasanya netcat ini digunakan oleh para hacker atau peretas untuk melakukan
connect back pada sistem target agar hacker mendapatkan akses root melalui port yg telah
di tentukan oleh hacker tersebut.
E-Detective adalah sebuah sistem yang melakukan proses intersepsi internet secara realtime, monitoring, dan sistem forensik yang menangkap, membaca kode ( dengan
menguraikan isi sandi / kode ), dan memulihkan kembali beberapa tipe-tipe lalu lintas
internet.
Xplico memiliki fungsi utama untuk isi data yang dikirim melalui jaringan dari suatu
aplikasi. Xplico dapat menangkap email yang dikirip menggunakan protokol POP dan SMTP.
Xplico juga dapat menangkap semua data yang dikirim menggunakan protokol HTTP.