Pedoman Forensik Divais Bergerak

Avinanta Tarigan

Pusat Studi Kriptografi dan Keamanan Sistem

Universitas Gunadarma

June 13, 2014

Avinanta Tarigan Pedoman Forensik Divais Bergerak

Tentang Saya
Avinanta Tarigan
Dosen & Kepala Pusat Studi Kriptografi dan Keamanan
Sistem, UG
Research Interest :
Protokol Kriptografi, Formal Methods, PKI &
Implementasinya, Network Security, Digital Forensics,
Sosio-Technical System
Pendidikan :
1997 - ST, Teknik Informatika, Universitas Gunadarma
2007 - Dr.rer.nat, Computer Science, Universitaet Bielefeld
Beberapa pengalaman yang relevan:
Membangun sistem Certification Authority untuk PT. Telkom
(2001)
Mengembangkan Why Because Analysis sebagai tools
analisis dalam insiden keamanan
Investigator dalam beberapa insiden keamanan
mylogo
Auditor TI untuk beberapa perusahaan baik privat maupun
pemerintah
Avinanta Tarigan Pedoman Forensik Divais Bergerak
Ponsel Sebagai Alat Bukti

Pertumbuhan pengguna ponsel yang terus meningkat. 270

juta pengguna - Q1 2014
Penggunaan ponsel dari alat komunikasi (sms & voice)
sampai kepada smartphone ( messaging, cams, apps,
GPS, alat pembayaran )
Potensi penggunaan ponsel dalam tindakan kejahatan
meningkat
Pengguna ponsel :
Pelaku Kejahatan ( computer related crime / computer
crime )
Korban Kejahatan ( cyberbullying, cyberspying, cybertheft,
etc )
Ponsel adalah sistem tertanam, sehingga memerlukan
PSO khusus mylogo

Avinanta Tarigan Pedoman Forensik Divais Bergerak

Alat Bukti Elektronik I

Problem :
Perkembangan TIK membutuhkan pengembangan tools
dan metode forensik yang baru dan relevan
Intangible → tidak mudah dipahami oleh orang yang
non-teknologi
Persyaratan :
Didapat dengan legal
Relevan → berisi informasi yang cukup untuk membuktikan
suatu perkara
Lengkap → baik informasi yang mendakwa dan yang
membebaskan
Handal → terjaga integritasnya
Otentik → dapat dihubungkan secara fisik dengan subyek
Akurasi → proses akuisisi dan analisis tidak meragukan
Dapat dipercaya → dapat dimengerti dan meyakinkan
dalam persidangan mylogo

Avinanta Tarigan Pedoman Forensik Divais Bergerak

PSO dalam Digital Forensic

“The use of scientifically derived and proven methods

toward the preservation, collection, validation,
identification, analysis, interpretation, documentation, and
presentation of digital evidence ... ” (DFRW, 2001)
Dengan digunakannya metode tersebut akan terjadi
konsistensi hasil jika dilakukan ulang oleh pihak ketiga
Metode tersebut sudah diterima oleh komunitas ilmiah
Diperlukan Prosedur Standar Operasi yang memenuhi
persyaratan di atas
Diujicobakan dalam situasi yang berbeda-beda
Tingkat kesalahan yang kecil
Telah dipublikasikan dan dikaji oleh peer
Diterima oleh komunitas yang relevan
mylogo

Avinanta Tarigan Pedoman Forensik Divais Bergerak

Tantangan Pada Forensik Divais Mobile I

Embedded System, platform bervariasi dan sebagian

besar propietary
Pengembangan OS / Hardware bersifat tertutup, sering
terjadi perubahan
OS yang bervariasi ( WP, WCE, Palm, Nokia S40,
Kyiocera, Maemo, WebOS, Bada, Android, Symbian, IOS,
BB, Tizen, dll)
Kapasitas memory dan penyimpanan terus bertambah
seiring dg murahnya fabrikasi
Dari Cellphone to Smartphone, berbagai macam aplikasi
Perkembangan sensor :
GPS, CMOS Image sensor, Accelerometer, Gyroscope,
Electronic Compass, Pressure Sensor, ALS & Proximity
Sensor, Silicone Microphone, Microdisplay mylogo

Avinanta Tarigan Pedoman Forensik Divais Bergerak

Tantangan Pada Forensik Divais Mobile II

Karakteristik flash memory yang digunakan “mengganggu”

pembuktian integritas alat bukti
Pada beberapa kasus, ponsel perlu dihidupkan sehingga
ada potensi kerusakan alat bukti
Membuktikan identitas pemilik menjadi kendala, karena
proses verifikasi pada penjualan nomor pra-bayar yang
belum sempurna.
Mobile digital forensics terus diteliti untuk mendapatkan
metode, prosedur, dan tools yang tertepat

mylogo

Avinanta Tarigan Pedoman Forensik Divais Bergerak

Jenis Data / Bukti Yang Dapat Ditemukan I

Informasi Dasar
IMEI
H/W & S/W Revision
Informasi Jaringan
Log
Panggilan masuk / keluar
Pesan masuk / keluar
GPRS & WiFI session
SIM Card
IMSI
Kontak, SMS, Cells Information
Smartphone :
Calendar, Tasks, Notes mylogo

Avinanta Tarigan Pedoman Forensik Divais Bergerak

Jenis Data / Bukti Yang Dapat Ditemukan II

Messenger (SMS, MMS, Email & attachment, vCard,

Deleted Messages)
GPS (history, routes, last coordinates, saved maps, last
displayed map, favourites map)
Webs (Cache, Bookmarks, History, Cookies)
IM Clients (IP, Login UID - Password, Contact, Chat History,
Call History)
OS Apps (Snapshots, Video, Voice Records, Sound &
Podcast, WiFI Network List, Paired Bluetooth List, Activated
SIM Card, VPN, BB Enterprise, etc )
Apps lainnya (office document, logs & data)
Lokasi :
Last Cell Information dari SIM card
History of Last Cell Info dari SIM Card
GeoTagging dari ExiF metadata file foto atau video
mylogo

Avinanta Tarigan Pedoman Forensik Divais Bergerak

Tahapan Forensik I

Penerimaan Bukti
Dokumentasi & Pengembangan arah pemeriksaan untuk
tujuan yang spesifik
Misalnya jika dibutuhkan data tertentu karena urgensi
kasus, atau mobile phone sudah dirusak dan dibutuhkan
penanganan khusus
Identifikasi
Jenis ponsel, merk, model, serial number
Jenis penyimpanan dan Jenis jaringan cellular yang
digunakan dan SIM Card
ESN, MEID, MIN, MDN, IMEI, ICCD, MSISDN
Persiapan
Mendapatkan informasi mengenai tools dan teknik yang
spesifik untuk obyek yang diperiksa
Mempersiapankan tools baik h/w maupun s/w mylogo

Avinanta Tarigan Pedoman Forensik Divais Bergerak

Tahapan Forensik II

Isolasi
Menonaktifkan Jaringan
Faraday Bag
Jamming
Akuisisi
Non volatile dan volatile memory baik internal maupun
eksternal
Verifikasi dan Analisis
Dokumentasi dan Pelaporan
Presentasi
Pengarsipan

mylogo

Avinanta Tarigan Pedoman Forensik Divais Bergerak

Prosedur Lain Yang Diusulkan I

mylogo

Avinanta Tarigan Pedoman Forensik Divais Bergerak

Prosedur Lain Yang Diusulkan II

mylogo

Avinanta Tarigan Pedoman Forensik Divais Bergerak

Pengamanan Awal I

Isolasi
Disable network (Cell / WiFI / Bluetooth / IRDA / NFC /
GPS)
Airplane Mode
Faraday Box & Faraday Bag
Memerlukan Sumber daya (PowerBanks / Charger)
Jamming
Matikan Divais

mylogo

Avinanta Tarigan Pedoman Forensik Divais Bergerak

Pengamanan Awal II

Pencegahan terhadap
Advanced Security : Remote Wipe
Malware
Geo Fencing
Anti - Tampering
Alarm

mylogo

Avinanta Tarigan Pedoman Forensik Divais Bergerak

Prosedur Generik I
A. Pada Tempat Kejadian Perkara :
1 Dokumentasi TKP dan Obyek
2 Isolasi
1 Divais dalam keadaan mati : letakkan dalam kantong bukti
2 Divais dalam keadaan hidup :
1 Jika memerlukan data yang urgensinya tinggi, lakukan
isolasi, sediakan catu daya cadangan, lakukan akuisisi data
2 Jika tidak, lakukan isolasi, sediakan catu daya, segera bawa
ke laboratorium
3 Ambil bukti forensik lain misalnya DNA atau sidik jari pada
obyek

B. Laboratorium
1 Isolasi obyek terhadap signal RF
mylogo
2 SIM cloning dan ekstraksi data dari SIM
Avinanta Tarigan Pedoman Forensik Divais Bergerak
Prosedur Generik II

3 Ekstraksi data dari Internal Storage (Flash NOR / NAND)

dan External Storage (SD/MMC/CF)
4 Data Carving
5 Chain of Events & Analisis

C. Dokumentasi dan Pelaporan

D. Presentasi / Persidangan

mylogo

Avinanta Tarigan Pedoman Forensik Divais Bergerak

Prosedur Generik III

mylogo

Avinanta Tarigan Pedoman Forensik Divais Bergerak

Karakteristik Memory Pada Ponsel I

non volatile : RAM ( dimuatnya proses, temporary data )

volatile internal : NAND dan NOR
volatile external : SD, MMC, etc
UICC / SIM (Smartcard : V & NV Memory): uid dan key
GSM encryption
PC/SC Reader
Flash Memory dg dasar gerbang NOR mempunyai
batasan penulisan (write), digunakan untuk data yang
sifatnya semi-permanen seperti BIOS atau Writable ROM
dan BootLoader
Flash Memory dg dasar gerbang NAND dapat ditulis /
dibaca berkali2, digunakan untuk menyimpan OS, Apps,
Data
mylogo

Avinanta Tarigan Pedoman Forensik Divais Bergerak

Karakteristik Memory Pada Ponsel II

Wear Leveling :
Untuk memperpanjang umur memory
Memindahkan blok data yang tidak sering diakses ke
tempat yang sering diakses
Garbage collection
Hasil HASH tidak akan sama pada hasil data imaging

mylogo

Avinanta Tarigan Pedoman Forensik Divais Bergerak

Langkah Akuisisi / Ekstraksi Data I

Ekstraksi Secara Manual

Mencari dan menampilkan informasi melewati menu
Menangkap (capture) informasi dari layar
Ekstraksi Logikal
mylogo

Avinanta Tarigan Pedoman Forensik Divais Bergerak

Langkah Akuisisi / Ekstraksi Data II
PC-to-Mobile (AT Commands, OBEX, SyncML, Nokia
FBUS)
Media : Kabel, Bluetooth, IRDA
Ekstraksi Fisikal
Hex-Dumping
direct memory reading dengan memanfaatkan flasher box
JTAG (Joint Test Action Group)
Mengakses memory secara langsung dg processor debug
mode
Chip-Off
Melepaskan memory chip dari PCB
Membaca memory tersebut dg chip reader
Micro Read
Melihat state 0/1 dari cell memory dg mikroskop
mylogo

Avinanta Tarigan Pedoman Forensik Divais Bergerak

Langkah Akuisisi / Ekstraksi Data III

Ekstraksi Logikal :
Sedikit informasi yang bisa diakuisisi
Mudah untuk dilakukan
Mudah untuk dianalisa mylogo

Avinanta Tarigan Pedoman Forensik Divais Bergerak

Langkah Akuisisi / Ekstraksi Data IV
Menggunakan perangkat lunak / kabel yang relatif tidak
mahal
Ekstraksi Fisikal :
Semua informasi dapat diakuisisi
Tidak mudah untuk dilakukan
Memerlukan HW / SW serta keahlian khusus
Tidak mudah untuk dianalisa

mylogo

Avinanta Tarigan Pedoman Forensik Divais Bergerak

Langkah Akuisisi / Ekstraksi Data V

Alternatif lain dengan menggunakan MIAT

MIAT (Mobile Internatl Acquisition Tools) adalah software
agent yang diinstall pada ponsel untuk membaca memory
Resiko : integritas data belum dapat dijamin
Harus ada pengujian terhadap MIAT sebelum digunakan

mylogo

Avinanta Tarigan Pedoman Forensik Divais Bergerak

Langkah Akuisisi / Ekstraksi Data VI

mylogo

Avinanta Tarigan Pedoman Forensik Divais Bergerak

Standard Kualitas Digital Forensik I

“All organizations conducting investigations that may require

the use of digital forensics must ensure the investigation can be
supported by forensically sound and legally sufficient digital
forensic examinations” (Inspector General on Integrity and
Efficiency, 2012)

Hal ini berarti :

Adanya Otoritas Legal
Adanya perlindungan Integritas Barang Bukti (Baik dalam
proses pengamanan / akuisisi, analisis, maupun dalam
penyimpanan / archiving)
Dokumentasi yang detail dan akurat serta akuntabilitas
proses forensik yang tinggi
Selain itu, harus ada tata kelola yang baik sehingga timbul
keyakinan bahwa metodologi dan laporan forensik yang
dihasilkan berkualitas tinggi mylogo

Avinanta Tarigan Pedoman Forensik Divais Bergerak

Standard Kualitas Digital Forensik II

Adanya PSO yang mendukung hal-hal di atas dan dapat

beradaptasi dengan perkembangan teknologi
Adanya prosedur administrasi yang telah diperiksa dan
diselaraskan dengan instansi terkait lainnya
Adanya pemeriksaan teknis laporan oleh tenaga ahli
forensik lainnya (pemeriksaan silang)
Adanya validasi akan infrastruktur dan tools yang
digunakaan dalam proses forensik
Adanya pemilahan tugas pemeriksa sesuai dengan fungsi
dan keahliannya

mylogo

Avinanta Tarigan Pedoman Forensik Divais Bergerak

Saran Dalam Pengembangan PSO I

Perlu dijelaskan siapa target pengguna PSO dan

Kompetensinya
Mengingat banyaknya jenis ponsel / OS / Apps. Perlu
dibuat prosedur umum yang berlaku untuk semua jenis
ponsel, dan prosedur khusus untuk setiap chipset, OS,
dan Aplikasi
Penggunaan beberapa tools untuk verifikasi hasil
Tugas dan tanggungjawab setiap personil dalam tim, baik
pada tahap akuisisi barang bukti elektronik, maupun
analisis di laboratorium
Perlu dijelaskan waktu yang diperlukan untuk penyelesaian
setiap tahap / module
Perlu adanya aturan tentang pengamanan laboratorium,
misalnya dengan sangkar faraday, preservasi dan
mylogo
penyimpanan barang bukti, dan integritas laporan
Avinanta Tarigan Pedoman Forensik Divais Bergerak
Saran Dalam Pengembangan PSO II

Perlu diujicobakan dan latihan (bukan hanya pelatihan)

bagi para penyidik
Prosedur deteksi, identifikasi, dan strategi penanganan
anti-forensic
Perlu memasukkan metode validasi data / bukti dan
relevan akibat adanya anti-forensic (Shanmugam, 2011)
Vulnerability Tree / Attack Tree / Attack Pattern
Why Because Analysis ( digunakan oleh BSI - Jerman )
Multi Linear Events Sequencing (MES)

mylogo

Avinanta Tarigan Pedoman Forensik Divais Bergerak

Referensi I

Council of the Inspector General on Integrity and Efficiency,

“Quality Standards for Digital Forensics”, November, 2012
The Fraud and Forensic Investigation Forum. URL:
http://www.forensicfraud.com
ACPO, 7Safe, “Good Practice Guide for Computer-Based
Electronic Evidence”, UK ACPO and 7Safe, 2008
BSI, “Leitfaden IT-Forensic”, Bundesamnt fuer Sicherheit in
der Informationstechnik, Maret, 2011
David Watson, Andrew Jones, “Digital Forensics
Processing and Procedures”, Syngress Media, 2013
Karthikeyan Shanmugam, “Validating Digital Forensic
Evidence”, Doctoral Thesis, School of Engineering, Design
and Technology, Brunnel University, UK (2011) mylogo

Avinanta Tarigan Pedoman Forensik Divais Bergerak

Referensi II

Breeuwsma, et.al., “Forensic Data Recovery From Flash

Memory ”, Small Scale Digital Forensic Journal, vol. 1, no.
1, Juni, 2007
Ayers, Brothers, Jansen, “Guidelines on Mobile Device
Forensics”, NIST Special Publication 800-101 Rev 1, May
2014.
Scientific Working Group for Digital Evidence, “SWGDE
Best Practice for Mobile Phone”, Februari 2013
Goel et.al., “Smartphone Forensic Investigation Process
Model”, International Journal of Computer Science and
Security Vol. 6 Issue 5, 2012.

mylogo

Avinanta Tarigan Pedoman Forensik Divais Bergerak

 TERIMAKASIH

mylogo

Avinanta Tarigan Pedoman Forensik Divais Bergerak