JURUS-JURUS ANTI FORENSIK

Perusahaan A melakukan upgrade dengan cara menukar komputer lama dengan komputer baru pada
suatu jasa upgrade komputer. Tanpa adanya perlakuan khusus pada komputer lama dari pihak
perusahaan, seseorang dapat mengambil data-data yang pernah tersimpan pada harddisk di komputer
tersebut. Data-data berupa dokumen pribadi maupun isi email pun dimungkinkan untuk didapatkan
dengan cara yang sederhana.

Dalam kehidupan personal, komputer forensik dapat digunakan untuk mengungkap skandal pada suatu
hubungan. Baik di dalam percintaaan, komitmen maupun keluarga. Sebagai contoh, seorang istri
menduga suaminya melakukan perselingkuhan, namun ia tidak memiliki bukti. Dengan memeriksa
aktifitas browser, mencari file tersembunyi bahkan foto-foto yang telah dihapus, affair ini berhasil
terungkap. Ilmu ini disebut komputer forensik, bagaimana menghindarinya?

Komputer Forensik

Pencarian suatu objek digital untuk dijadikan bukti merupakan tujuan dari komputer forensik. Memory
card yang telah diformat pada handphone pun masih dapat dijadikan media untuk melakukan rutin
komputer forensik (mengenai komputer forensik telah dibahas pada PC Media 09/2010).

Anti Forensik

Kebalikan dari komputer forensik, anti forensik merupakan ilmu yang bertujuan untuk meminimalisir
tujuan dari komputer forensik untuk mencari bukti digital.

Teknik Anti Forensik

 Enkripsi

Enkripsi pada suatu data merupakan teknik klasik untuk mengurangi usaha dari tujuan komputer
forensik. Meskipun klasik, teknik ini cukup ampuh jika menggunakan metode yang baik dalam proses
pengenkripsian. Data-data yang dapat dienkripsi berupa files baik foto, video, dokumen dan yang
lainnya. Untuk melakukan enkripsi ini dapat dilakukan dengan berbagai macam program, salah satunya
yaitu TrueCrypt (http://www.truecrypt.org/). Email pun dapat dienkripsi dengan menggunakan PGP
(http://www.pgpi.org/).

Pada saat mengakses jaringan, anti forensik pun dapat diimplementasikan untuk mencegah data agar
tidak terintip oleh sniffer seperti Wireshark (http://www.wireshark.org/). Untuk menghindari data
terbaca dengan mudah, SSL (https) dan Virtual Private Networking (VPN) dapat digunakan untuk
mengantisipasi hal ini.
 Steganografi

Seni untuk menyembunyikan data dalam bentuk lain adalah steganografi. Data berupa pesan atau file
disembunyikan agar orang lain tidak mengenalinya. Sebagai contoh, suatu foto disembunyikan ke dalam
file mp3. Orang hanya akan mengira file mp3 tersebut adalah file mp3 biasa, dikarenakan file tersebut
dapat dijalankan untuk didengarkan (mengenai steganografi telah dibahas pada PC Media 08/2010).
Program yang dapat digunakan untuk melakukan steganografi yaitu Steghide
(http://steghide.sourceforge.net/).

 Penghapusan informasi file

Pada suatu file, misalnya foto, ada informasi yang dapat diambil untuk menentukan kapan dan oleh siapa
foto tersebut diambil. Sebagai contoh, berikut isi foto yang dibuka menggunakan program bertipe hex
editor :
....HEExif..II*........... ...................................................................
(...........1...........2.......................i...................2...T...OLYMPUS DIGITAL
CAMERA .OLYMPUS IMAGING CORP....FE180/X745..............H..... .......Version
1.0.....................2009:08:02 13:48:59.PrintIM.0300..%

Tampak teks menampilkan merk kamera yang digunakan dan tanggal beserta jam dari waktu
pemotretan. Informasi (metadata) ini merupakan bukti digital. Umumnya pengguna tidak pernah
merisaukan informasi ini, terutama saat menyimpan data-data yang ingin disembunyikan atau bersifat
pribadi.

Untuk membaca, mengedit atau menghapus informasi pada file dapat dilakukan dengan mudah oleh
program tertentu seperti jhead (http://www.sentex.ca/~mwandel/jhead/).

Image1. Tampilan informasi pada file foto.

Untuk file biasa pun, dapat diubah informasi file tersebut dibuat atau dimodifikasi, yaitu dengan
menggunakan program seperti eXpress TimeStamp Toucher (http://irnis.net/soft/xtst/).

Image2. Tampilan eXpress TimeStamp Toucher untuk mengubah timestamp.

 Penghapusan file

File yang telah terhapus sekalipun recycle bin yang telah dikosongkan pun masih dapat dikembalikan.
Recovery file bertujuan untuk mendapatkan data yang telah terhapus. Recovery file ini dapat diterapkan
pada media hard disk maupun removable disk seperti flash disk atau memory card. Oleh karena itu, jika
data yang terdapat pada hard disk bersifat personal, melakukan penghapusan data secara aman sangat
dianjurkan saat menjual komputer ke pihak lain. Meminjamkan flashdisk atau melaukan servis
handphone pun sebaiknya mengantisipasi adanya kegiatan recovery data ini. Untuk melakukan
penghapusan data yang aman, program seperti Eraser dapat digunakan
(http://sourceforge.net/projects/eraser/).
 Penyembunyian file

Agar data-data rahasia tidak dapat diakses oleh orang lain, penyembunyian data merupakan salah satu
dari solusi yang dapat digunakan. Ada banyak program seperti Lock Folder, Folder Lock atau Hide Folder
dan sebagainya yang menawarkan kemampuan untuk menyembunyikan file. Namun, ada yang perlu
diperhatikan dalam pemakaian program ini. Pastikan program yang digunakan tidak hanya mampu
menyembunyikan file saja, tetapi juga memiliki fasilitas enkripsi. Namun, jika data yang ingin
disembunyikan tidak bersifat “top secret”, fitur enkripsi merupakan opsional. Fitur enkripsi diperlukan
dikarenakan ada beberapa cara membuka folder yang tersembunyi, misalnya via safe mode atau Linux.

Selain memakai bantuan program, ada teknik yang dapat diwujudkan secara manual untuk
menyembunyikan file, salah satunya menggunakan Alternate Data Stream (ADS). ADS hanya dapat
diterapkan pada file system bertipe NTFS. Saat ini, semua file system nyaris didominasi oleh NTFS.
Berikut cara menyembunyikan file dengan ADS menggunakan CMD:

- Misalkan ada dua file yaitu mp3 dan txt :

C:\New Folder\New Folder>dir

Volume in drive C has no label.

Volume Serial Number is XXXX-XXXX

Directory of C:\New Folder\New Folder

08/19/2010 02:23 PM <DIR> .

08/19/2010 02:23 PM <DIR> ..

07/28/2010 05:29 PM 6,490,552 Sarah McLachlan - Angel.mp3

08/19/2010 02:23 PM 6,191 secret.txt

2 File(s) 6,496,743 bytes

2 Dir(s) 16,243,019,776 bytes free

- Ketikan perintah “Type” untuk membuat ADS. File txt merupakan file yang ingin disembunyikan
ke dalam file mp3.

C:\New Folder\New Folder>type secret.txt > "Sarah McLachlan - Angel .mp3":secret.txt

- Sekarang, hapus file secret.txt dengan perintah “Del”. Ketikan perintah “Dir” untuk menampilkan
isi folder. File yang tersisa yaitu hanya file mp3 dan dengan ukuran yang sama!
- Untuk mendapatkan kembali file secret.txt, digunakan perintah “”More”
C:\New Folder\New Folder>dir

Volume in drive C has no label.

 Volume Serial Number is XXXX-XXXX

Directory of C:\New Folder\New Folder

08/19/2010 02:26 PM <DIR> .

08/19/2010 02:26 PM <DIR> ..

07/28/2010 05:29 PM 6,490,552 Sarah McLachlan - Angel.mp3

08/19/2010 02:26 PM 6,193 secret.txt

2 File(s) 6,496,745 bytes

2 Dir(s) 16,243,011,584 bytes free

Cukup mudah bukan untuk menyembunyikan file menggunakan ADS? Selain ADS, biasanya perintah
yang digunakan adalah “Copy /b”. Cara ini akan menambah ukuran file asli, karena file yang
disembunyikan dimasukan ke dalam file asli. Cara ini cenderung tergolong masuk ke teknik
steganografi.

 Hash Collision

Hash digunakan sebagai identitas suatu file. Algoritma hash yang umum digunakan yaitu MD5. Dalam
komputer forensik, hash dipakai sebagai integritas dari suatu file yaitu sebagai pembanding file asli
dengan file asli yang telah dimodifikasi.

Pada Maret 2005, Xiaoyun Wang dan Hongbo Yu dari Shandong University berhasil membuat dua file
berbeda dengan hash MD5 yang sama. Dengan adanya penemuan ini, ilmu komputer forensik pun akan
semaki sulit untuk menentukan data yang original.

 Process dump

Salah satu cara yang dipakai oleh malware untuk mencegah komputer forensik yaitu dengan bermain
aman di memory tanpa menyentuh ranah hard disk. Sebagai contoh Remote Code Execution (RCE). RCE
yaitu menjalankan kode/program secara remote. Dengan hanya menjalankan kode/program di memory
dan tanpa aktifitas di disk, tentunya tidak akan menyisakan bukti digital, karena data pada memory akan
hilang saat komputer dimatikan.

Untuk mempersulit suatu proses atau data diperoleh dari memory, teknik rootkit digunakan untuk
mencegah teknik process dump.

 Database rootkit

Salah satu cara untuk melakukan komputer forensik yaitu dengan mengaudit event pada sistem. Audit
biasanya dilakukan dengan membaca isi dari log file yang umumnya berupa trigger pada database. Untuk
mencegah aksi komputer forensik pada suatu sistem database, perlu digunakan exploit/rootkit untuk
mengeksloitasi sistem. Baik dengan menggabungkan installer database dengan rootkit, maupun
mamanfaatkan komponen luar yang digunakan sistem database tersebut.

 Penyembunyian jejak aktifitas Internet

Ketika pelaku pengunggah tertangkap akibat melakukan upload video vulgar diduga mirip artis,
bagaimana pihak berwajib menyelusurinya? Disinilah aksi forensik dimulai. Ada beberapa cara yang
dapat dipakai untuk menyelusuri siapa pengunggah video tersebut, yaitu dengan melacak alamat IP dari
pelaku. Untuk melacak alamat IP ini, bekerja sama dengan Internet Service Provider (ISP) merupakan
suatu keuntungan. Setelah mendapatkan IP dari ISP, pihak berwajib pun menyelusuri warnet tempat
pelaku melakukan aksinya. Dengan melihat log pada billing, ruang lingkup tersangkah pengunggah pun
semakin kecil. Di momen inilah pihak berwajib menyelusuri secara fisik hingga akhirnya menemukan
siapa pelaku pengunggah. Setelah mendapatkan tersangka, penerapan komputer forensik pun dilakukan
kembali untuk memeriksa data-data pada komputer atau flashdisk milih tersangka.

Jika pelaku tidak pandai menyembunyikan informasi diri dan data yang dimiliki, proses komputer forensik
dapat dilakukan secara mulus. Namun, jika dari awal pelaku memahami teknik anti forensik, maka hal
pertama yang dilakukan pengunggah adalah melindungi alamat IP. Alamat IP merupakan alamat unik
pada komputer yang digunakan saat berinternet. Dari alamat IP inilah, lokasi komputer dapat
ditemukan.

Untuk mencegah tindakan forensik yaitu pelacakan alamat IP, dalam melakukan akses Internet dapat
dilakukan melalui karta pra bayar. Dengan begini, IP yang digunakan tidak ada relasi dengan informasi
pengguna IP. Apakah sudah aman? Belum. Hapuslah aktifitas browser agar tidak ada informasi yang
tersimpan. Pada Internet Explorer, Firefox dan browser lainnya mempunyai fasilitas private browsing,
fitur ini pun dapat digunakan selain menghapus browser history.

Kolaborasi Virtual Machine seperti VMware dan kartu pra bayar merupakan strategi yang baik dalam
menyembunyikan dan menghapus jejak.

 Penghapusan log events pada sistem operasi

Umumnya dalam melakukan komputer forensik, aktifitas pada sistem operasi merupakan bagian penting
yang akan ditelusuri. Bagian-bagian apa saja yang dianalisa dalam komputer forensik?

- Memory pada sistem untuk menentukan proses apa yang sedang berjalan.
- Registry pada sistem untuk mendapatkan informasi startups, services dan konfigurasi lainnya.
- Log events pada sistem untuk menentukan pengguna yang telah login dan aktiftas pada progran,
file dan folder.
- Log events pada Antivirus untuk menentukan jika sistem pernah terinfeksi.

Dengan menghapus empat hal ini, tindakan komputer forensik akan sangat sedikit membuahkan
hasil. Untuk menghapus log events, dapat dilakukan melalui Control Panel – Administrative Tools –
Event Viewer. Pilih Clear Log untuk menghapus event yang dipilih.
 Selain itu, jika Anda mengaktifkan fitur hibernate, state pada sistem akan disimpan di hiberfil.sys, file
ini pun merupakan salah satu media penelitian oleh komputer forensik.

Image4. Log yang melacak aktifitas pengguna mengakses Windows.

 Penghapusan logs USB media

Anda bekerja pada suatu kantor yang melarang pegawainya untuk mencolokan flashdisk ke komputer,
dengan tujuan agar tidak ada pegawai yang bisa mengkopi data di komputer tersebut. Setelah
memantau situasi dan memastikan tidak ada orang disekitar, Anda mulai membuka Task Manager untuk
mencari proses Radmin atau VNC. Dengan cukup berbekal kemampuan DOS, Anda dapat mematikan
proses program remote viewer tersebut. Sekarang keadaan yaitu tidak ada orang disekitar dan tidak ada
program pengintip layar monitor Anda. Anda merasa aman saat mencolok flashdisk ke USB port. Anda
pun telah memastikan tidak ada aktifitas lain selain mengkopi data ke flashdisk. Pertanyaannya, apakah
yang dilakukan Anda benar-benar aman?

Saat Anda mencolok flashdisk, Windows akan mengenali hardware apa yang sedang dicolok. Prinsip plug
and play membuat hidup praktis bukan? Informasi flashdisk akan tersimpan pada registry di
HKLM/System/CurrentControlSet/Enum/USBSTOR.

Image3. Informasi flashdisk di USBTOR.

Selain itu, Windows akan menginstall driver untuk flashdisk dan menaruh informasinya di file
setupapi.log atau setupapi.dev.log pada %windir%\ atau %windir%\inf. Pada dua area inilah diperlukan
sedikit konsentrasi untuk menemukan data yang ingin dihapus, terkecuali jika Anda ingin menghapus
semua data yang terdapat pada area tersebut.

 SMS

SMS merupakan data yang akan dibutuhkan jika diperlukan pada analisa forensik. Berbeda dengan data
percakapan, data SMS ini cenderung selalu disimpan oleh pihak operator. SMS merupakan layanan dari
operator seluler dan tidak ada hubungan dengan merk hanphone. Umumnya pesan SMS tidak
terenkripsi sehingga besar kemungkinan pesan dibaca oleh orang lain. Program untuk mengenkripsi SMS
merupakan metode efektif untuk mencegah suatu pesan dibaca oleh pihak yang tidak diinginkan.
Umumnya, cara kerja dari program enkripsi ini yaitu pengirim SMS dan penerima SMS sama-sama
nmenginstall program enkripsi tersebut. Pada sistem operasi Android, aplikasi ParandroidMessaging
(http://wiki.github.com/erikwt) dapat dipakai untuk melakukan proses pengenkripsian pesan SMS.

 Google History

Saat Anda signin di akun Google, dalam melalukan pencarian menggunakan Google maka kata pencarian
yang Anda ketik disimpan otomatis oleh Google. Catatan pencarian di Google ini merupakan senjata
ampuh bagi ahli forensik dalam menganalisa kegiatan yang dilakukan seseorang atau bahkan hingga
mempelajari kepribadian seseorang. Sebagai contoh, tidak sedikit seorang suami yang hanya menghapus
email pribadi agar tidak terbaca oleh istri, namun tidak menghapus log pencarian pada Google. Kasus
lain, misalnya pemerintah yang mengajukan permintaan data kepada Google terhadap akun seseorang
yang diduga sebagai teroris. Jika terdapat catatan yang berpihak kepada perbuatannya, maka Google
History merupakan bukti digital. Anda dapat menggunakan dan memodifikasi fitur Google History ini
melalui https://www.google.com/history/.

Image5.Web History pada Google yang mencatat aktifitas penyelusuran.

Kesimpulan

Anti forensik merupakan ilmu untuk meminimalisir upaya dari rutin komputer forensik. Teknik di dalam
anti forensik dapat diterapkan pada kehidupan sehari-hari, misalnya penghapusan data penting secara
aman terutama data perusahaan agar tidak terjadi kebocoran data.

Ilmu anti forensik pun sering digunakan untuk tujuan yang negatif, mulai dari menyembunyikan
eksistensi malware hingga penghilangan barang bukti. Anti forensik merupakan mimpi buruk bagi pelaku
komputer forensik. Bagaimana pun juga penyalahgunaan ilmu anti forensik merupakan hal yang tidak
patut diterapkan.

Wife : “I know what you did on your computer last night?!"

Lebih Lanjut:

- http://en.wikipedia.org/wiki/Anti-computer_forensics
- http://www.mscs.dal.ca/~selinger/md5collision/
- www.blackhat.com/presentations/bh-federal-06/BH-Fed-06-Burdach/bh-fed-06-burdach-up.pdf
- www.red-database-security.com/wp/db_rootkits_us.pdf

Ilustrasi : Teknik ampuh untuk menangkal analisa komputer forensik.

Ilustrasi.jpg