Diterjemahkan dari bahasa Inggris ke bahasa Indonesia - www.onlinedoctranslator.
com
Investigasi Digital 25 (2018) 114e115
Daftar isi tersedia diScienceDirect
Investigasi Digital
halaman utama jurnal:www.elsevier.com/locate/diin
Catatan Kasus
Persistensi media sisi server WhatsApp
Angus M. Marshall
Universitas York, Inggris
Konteks kasus
Pada awal 2015, penulis didekati untuk membantu penyelidikan
kasus dugaan kepemilikan dan potensi distribusi gambar pelecehan
anak. Petugas investigasi telah menerima laporan bahwa seorang
pekerja telah menunjukkan klip video kepada penghuni panti jompo,
menggunakan ponsel. Dua pengadu telah memberikan bukti bahwa
mereka telah diperlihatkan klip video yang dipermasalahkan dan
mereka percaya bahwa itu ditampilkan melalui aplikasi perpesanan
WhatsApp.
Petugas telah menyita ponsel dan telah diproses oleh unit forensik
digital organisasinya. Mereka telah berhasil mengekstraksi data dari
handset, termasuk basis data langsung WhatsApp dan 5 cadangan
menggunakan alat komersial konvensional, dan telah mendekripsi
cadangan tersebut.
Pemeriksaan file data WhatsApp seputar tanggal & waktu yang
dimaksud tidak membuahkan hasil yang bermanfaat. Tidak ada klip
video dalam cache yang cocok dengan deskripsi dan tidak ada bingkai
pratinjau terkait dengan jenis video yang dijelaskan.
Tujuan investigasi/tantangan teknis
Petugas tetap yakin bahwa pengadu mengatakan yang sebenarnya
dan meminta bantuan eksternal untuk penyelidikan. Penulis dihubungi
dan diminta untuk melakukan pemeriksaan mandiri. Salinan data yang
diunduh dari handset, dengan semua data terkait dari alat standar,
telah tersedia.
Bukti digital terlibat
Meskipun media yang di-cache tidak berisi file yang cocok dengan
yang dijelaskan oleh pelapor, ada beberapa indikasi bahwa handset
telah menerima sejumlah kecil materi “dewasa” dan berpotensi
menyinggung/ilegal melalui WhatsApp. Pemrosesan laboratorium asli
telah memulihkan file cadangan terenkripsi WhatsApp dan basis data
WhatsApp langsung.
Alamat email:angus@n-gate.net.
https://doi.org/10.1016/j.diin.2018.04.005 1742-2876/©2018
Elsevier Ltd. Semua hak dilindungi undang-undang.
Proses dan/atau alat yang digunakan
WhatsApp versi 2.11.399 hadir di handset. Versi ini menggunakan
kunci umum untuk mengenkripsi semua cadangan untuk semua
pengguna (Ibrahim, 2014). Setelah mendekripsi cadangan
menggunakan metode Ibrahim (Ibrahim, 2014), penulis mengekstraksi
semua data dari database menggunakan alat WhatsApp Xtract (WAX)
Sangiacomo & Weidner versi 2.1 (Sangiacomo dan Weidner, 2012).
Tidak ada gambar yang ada di database yang cocok dengan
deskripsi yang diberikan oleh petugas, namun penulis mencatat bahwa
ada beberapa thumbnail yang mungkin mengindikasikan bahwa materi
cabul telah diterima dan dikirim oleh aplikasi. Juga dicatat bahwa ada
URL yang tampaknya merupakan tautan ke file video (yaitu diakhiri
dengan ekstensi .mp4, .mpg dan .avi).
Tes sederhana dijalankan, sesuai dengan rekomendasi penulis
sendiri (Marshall, 2003), untuk menentukan apakah URL ini akan
mengizinkan pengunduhan langsung file media dan meta-data yang
terkait. Ditemukan bahwa URL memungkinkan pengunduhan langsung
file tanpa intervensi yang jelas dari proxy atau pengalihan dan tidak
ada persyaratan yang jelas untuk otentikasi.
Oleh karena itu, data pesan yang dihasilkan diproses, menggunakan
skrip bash sederhana dengan wget, untuk mengambil semua dan semua file
media yang masih ada di URL yang ada di database.
Untuk mengurangi jumlah file media yang akan dinilai secara visual,
skrip lebih lanjut dijalankan untuk menentukan pesan mana dalam file
cadangan yang tidak lagi ada di database langsung, dan juga yang
mendahului waktu aktivitas yang merupakan subyek pengaduan.
Hasil
Pada saat penyelidikan awal, file video berhasil diunduh beberapa
bulan setelah pesan/sesi obrolan terkait telah dihapus dari basis data
WhatsApp pengguna dan ternyata dapat diakses, dalam format tidak
terenkripsi, melalui URL yang dapat diakses publik.
Umur file di server tampaknya jauh lebih lama daripada praktik
"housekeeping" sisi server yang normal. Oleh karena itu, hipotesis
penulis adalah bahwa pesan jenis ini cenderung diteruskan dari
pengguna ke pengguna, beredar di antara sekelompok pengguna
dengan minat yang sama. Akibatnya, setiap kali file diteruskan, server
dapat mengatur ulang jam yang ada
 AM Marshall / Investigasi Digital 25 (2018) 114e115
digunakan untuk menentukan file mana yang dapat dihapus selama aktivitas
pengumpulan sampah normal.
Hal ini selanjutnya didukung oleh fakta bahwa file media non-
ofensif dan legal lainnya, terutama yang bersifat humor atau politik,
juga diambil selama tahap pemrosesan.
Pelajaran yang dipelajari
Proses sebenarnya mengambil beberapa iterasi saat penulis
memulai dengan mengandalkan data yang di-cache dan gambar
thumbnail. Video yang dipermasalahkan diwakili oleh thumbnail di
dalam database cadangan, tetapi karena gambar thumbnail adalah
bingkai yang benar-benar hitam, itu diabaikan.
Setelah penyelidikan ini, penulis mengubah metodenya dari mengandalkan
thumbnail menjadi melakukan pengambilan media lengkap yang tepat
menggunakan skrip wget sederhana dan meninjau file video yang sebenarnya.
Meskipun ini menghasilkan waktu pemrosesan yang lebih lama, namun
menghasilkan hasil yang lebih lengkap.
Pengalaman tersebut berfungsi sebagai pengingat yang baik bahwa gambar
mini gambar diam yang dipilih dari file video mungkin bukan representasi konten
video yang paling berguna untuk ditinjau oleh penyelidik.
Pekerjaan masa depan
Tes yang lebih baru (November 2017) dilakukan menggunakan browser
web Chrome Google dengan ekstensi Pengembang, dan antarmuka Web
WhatsApp ke sistem mereka, memungkinkan URL lengkap untuk file media
diamati sebagai bagian dari lalu lintas jaringan normal. Saat ini, WhatsApp
tampaknya mengoperasikan skema serupa, di mana file video (dan file besar
lainnya) disimpan di server mereka.
115
server asli yang ditemukan dalam kasus ini tampaknya telah offline.
Sekali lagi, ditemukan bahwa tidak ada kebutuhan yang jelas untuk
otentikasi saat membuat permintaan HTTP GET untuk file tersebut,
tetapi perlu untuk menyetel User-Agent browser web yang dikenal di
pengambilan wget untuk mendapatkan file.
Namun, file terbaru dikirim dalam bentuk terenkripsi. Sifat pasti dari
kunci enkripsi tidak diketahui, tetapi tes sederhana menunjukkan
bahwa persistensi data yang sama terjadi di server, meskipun dengan
file terenkripsi. Ini diverifikasi dengan mengirimkan pesan percobaan
dan kemudian menghapusnya di pengirim dan penerima. Beberapa
hari setelah penghapusan, file media dapat diambil kembali.
Ini adalah area yang saat ini penulis jelajahi untuk menentukan
apakah perilaku persistensi masih ada dan apakah file media hanya
dienkripsi sekali (pada saat unggahan pertama) atau dienkripsi ulang
untuk setiap pengguna baru yang menerimanya. Diusulkan bahwa
penelitian ini akan diperluas ke aplikasi perpesanan umum dan media
sosial lainnya. Dalam upaya untuk menentukan faktor mana yang
memengaruhi persistensi media sisi server dan seberapa akurat klaim
vendor tentang kapan file media dapat dijamin telah dihapus dari
server mereka.
Referensi
Ibrahim, M., 16 Februari 2014. Cara Mendekripsi Pesan Basis Data WhatsApp.
https://stackpointer.io/security/decrypt-whatsapp-database-messages/261/.
(Terakhir diakses 15 Maret 2017).
Marshall, AM, 2003. Protokol yang ditingkatkan untuk pemeriksaan WWW nakal
situs. Sains. Keadilan 43 (4), 237e248. Masyarakat Ilmu Forensik, Harrogate, Inggris.
Sangiacomo, F., Weidner, M., 5 April 2012. WhatsApp Xtract.https://forum.xda-
developers.com/showthread.php?p¼24603294. (Terakhir diakses 15 Maret 2017).