1
ANALISIS MOBILE FORENSIC DENGAN MENGGUNAKAN METODE HYBRID
EVIDENCE INVESTIGATION PADA SMARTPHONE
Sucilawati Permatasari, Acep Irham Gufroni, dan Nur Widiyasono Teknil Informatika, Fakultas Teknik Universitas Siliwangi Tasikmalaya
Email: suci.permatasari13@gmail.com
ABSTRACT
Advances in technology and the development of smartphone Smartphones has led to the increasing use and reliance on the smartphone. The explosion of its use has caused problems such as fraud, crime, theft, drugs and other crimes that continuously evolve and cause the need for a mobile forensics analysis. Since digital and physical evidence coexist on the scene, there must be existence of a method to conduct the investigation. In this research, a model to investigate the crime scene by using Hybrid Evidence Investigation. This investigative model is to unify the procedures related to the collection of digital evidence-gathering and physical evidence. This model also can be applied in other cases that only digital or just no physical evidence that found in the place of accident. This research aims to analyze how a hybrid method can be used in the investigation, as well as for the acquisition of the data on digital evidence found. Results from these studies is a report of the results of the research conducted in the investigation in order to obtained a data expected.
Keywords: Digital Forensics, Mobile Forensics, Hybrid Evidence Investigation
ABSTRAK
Kemajuan teknologi smartphone dan pengembangan smartphone telah menyebabkan peningkatan penggunaan dan ketergantungan pada smartphone. Ledakan penggunaannya telah menyebabkan masalah seperti penipuan, kriminal, pencurian, narkoba dan kejahatan lainnya yang terus menerus berevolusi dan menyebabkan perlunya analisis forensik mobile. Semenjak bukti digital dan bukti fisik hidup berdampingan di tempat kejadian perkara, harus adanya metode untuk melakukan penyelidikan tersebut. Dalam penelitian ini, sebuah model untuk menyelidiki adegan kejahatan tersebut dengan menggunakan Hybrid Evidence Investigation. Model investigasi ini menyatukan prosedur yang terkait dengan pengumpulan-pengumpulan bukti digital dan bukti fisik. Model ini juga dapat di terapkan dalam kasus lainya yang ditempat kejadian perkara hanya ditemukan bukti digital atau bukti fisik. Penelitian ini bertujuan untuk menganalisis bagaimana sebuah metode hibrida dapat digunakan dalam penyelidikan, serta untuk melakukan akuisisi data pada bukti digital yang ditemukan. Hasil dari penelitian ini merupakan sebuah laporan dari hasil penelitian yang dilakukan dalam penyelidikan agar didapatkan sebuah data yang diharapkan.
Kata Kunci: Forensika Digital, Ponsel Forensika, Hybrid Evidence Investigation
I. Pendahuluan
Penggunaan smartphone di masyarakat saat ini sangat luas dimana hampir di setiap tempat, penggunaan alat komunikasi seperti smartphone telah menjadi salah satu kebutuhan karena smartphone dapat mendukung komunikasi antar masyarakat, seperti yang diketahui dimana komunikasi selalu dilakukan dalam kehidupan sehari - hari.
J.E Saheteapy menyatakan dalam tulisannya, bahwa kejahatan erat kaitannya dengan perkembangan masyarakat. Semakin tinggi tingkat budaya masyarakat maka semakin tinggi juga tingkat kejahatan. Hal itu berarti bahwa semakin tinggi tingkat budaya maka semakin modern pula kejahatan itu dalam bentuk, sifat, dan cara pelaksanaanya.
Semakin meningkatnya kejahatan berbasis teknologi dalam berbagai modus sebagaimana disebutkan diatas, maka di perlukan suatu mekanisme ilmiah untuk menganalisa dan menelusuri bukti – bukti yang ada baik yang disimpan maupun yang ditransmisikan melalui smartphone atau perangkat digital lainnya.
Menangani masalah tersebut maka diperlukan metode ilmiah yang dapat menuntun proses pembuktian yang prosedural dan menjaga proses tersebut dari kontaminasi barang bukti sehingga dapat dibuktikan di depan persidangan.
Penelitian ini menggunakan metode Hybrid Evidance Investigation karena model ini merupakan kombinasi dua atau lebih teknik/ metode yang bertujuan menggabungkan kekuatan masing-masing teknik/metode tersebut dan meminimalkan kekurangannya, sehingga dapat menjadi alternatif atau solusi untuk mengoptimalkan benar atau tidaknya suatu data yang terkumpul untuk dijadikan bahan dalam proses persidangan.
Manfaat dari penelitian ini yaitu agar dapat membantu untuk mengungkapkan informasi yang berguna dalam pemeriksaan forensik dari perangkat Smartphone sebagai bukti digital sehingga dapat dihadapkan di meja persidangan.
Tujuan dari penelitian ini yaitu untuk melakukan analisis terhadap smartphone untuk mengungkapkan informasi yang ada pada smartphone tersebut agar
2
dapat menjadi sebuah informasi yang berguna dalam sebuah penyelidikan, serta mengimplementasikan metode Hybrid Evidence Investigation untuk proses pencarian informasi yang ada dalam smartphone supaya informasi tersebut dapat segera diketahui.
Batasan masalah dari penelitian ini diantaranya: a. berfokus untuk menganalisis data yang berada
dalam smartphone berbasis android.
b. Metode yang digunakan adalah Hybrid Evidence Investigation
c. Data yang dihasilkan berupa log dan file yang berada pada smartphone tersebut.
d. Tools yang digunakan dalam penelitian ini menggunakan MobileEdit Forensic.
e. Penelitian tidak membahas mengenai jenis barang bukti digital yang lain selain isi log dan file yang terdapat pada smartphone.
II. Dasar Teori 2.1 Digital Forensics
Forensika digital (Digital Forensics) merupakan aplikasi ilmu pengetahuan dan teknologi komputer untuk melakukan pemeriksaan dan analisis terhadap barang bukti elektronika dan barang bukti digital dalam melihat keterkaitannya dengan kejahatan (Al-Azhar, 2012). Menurut ECCouncil (2006) forensika digital merupakan aplikasi ilmu komputer untuk pencarian kepastian hukum bagi perbuatan criminal dan sejenisnya.
2.2 Digital Forensics Investigation Framework (DFIF)
Kerangka kerja forensika digital menurut
National Institute of Standards and Technology (NIST) merupakan proses yang harus dilakukan yang mencakup, Identifikasi (Identification), Persiapan (Preparation), Strategi Pendekatan (Approach Strategy), Pengawetan (Preservation), Koleksi (Collection), Pemeriksaan (Examination), Analisa (Analysis), Persentasi (Presentation), Pengembalian Barang Bukti (Returning evidence).
2.3 Investigasi Forensika
Cabang ilmu forensika yang ada saat ini begitu luas sesuai perkembangan bidang ilmu pengetahuan. Ilmu forensika saat ini merupakan bidang yang sedang berkembang terutama terkait dengan teknologi informasi. Forensika itu sendiri adalah salah satu proses ilmiah dalam mengumpulkan suatu proses ilmiah dalam mengumpulkan, menganalisis, dan menghadirkan berbagai barang bukti dalam sidang pengadilan terkait adanya suatu kasus hukum. Bidang forensika tersebut juga berkembang terhadap komputer. Forensika komputer adalah suatu proses mengidentifikasi, memelihara, menganalisis, dan menggunakan bukti digital menurut hukum yang berlaku. Ruang lingkup dari komputer forensik merupakan aktivitas yang berhubungan dengan pemeliharaan, identifikasi, pengambilan, penyaringan dan dokumentasi bukti komputer dalam kejahatan komputer. Proses-proses tersebut dapat dilakukan
analisis dan penyelidikan untuk menentukan potensi bukti-bukti yang legal.
2.4 Mobile Forensics
Mobile forensik merupakan cabang dari forensik digital yang berkaitan dengan pemulihan bukti digital atau data dari perangkat mobile di bawah forensik kondisi suara. Perangkat selular frase biasanya merujuk ke ponsel, namun juga dapat berhubungan dengan perangkat digital yang memiliki baik memori internal dan komunikasi kemampuan.
Proses investigasi biasanya difokuskan pada data yang sederhana seperti data panggilan, dan komunikasi seperti email atau sms, dan juga data yang sudah terhapus dari media penyimpanan mobile device. Mobile devices biasanya juga bisa digunakan untuk menemukan informasi mengenai lokasi, yaitu mengunakan GPS atau alat pencari lokasi atau melalui cell site logs, yang melacak perangkat yang masuk di dalam range nya.
Informasi yang diambil dari perangkat mobile dapat berguna dalam berbagai masalah hukum, administratif dan investigasi seperti:
1. Pencurian Kekayaan Intelektual Perusahaan Penipuan
2. Penyalahgunaan Properti
3. Perceraian & Hukum Keluarga
4. Geo-Lokasi Kontroversi
2.5 Barang Bukti
Barang bukti merupakan bagian yang sangat penting dalam sebuah kasus kejahatan. Dari barang bukti ini tim investigasi dan analisis forensic dapat mengungkap kasis dengan kronologis yang lengkap. Menurut Al-azhar (2012) barang bukti diklasifikasikan menjadi 2 bagian:
1. Barang bukti elektronik 2. Barang bukti digital
Menurut Kelompok kerja ilmiah Bukti Digital SWGDE (2006), Bukti digital adalah informasi nilai pembuktian yang disimpan atau ditransmisikan dalam biner. Berdasarkan definisi ini, bukti digital termasuk bukti pada perangkat digital apapun seperti portable media player, kamera digital atau perangkat telekomunikasi dan bukan hanya terbatas pada yang ditemukan pada komputer. Selain itu bukti digital dapat ditemukan dan digunakan sebagai bukti, tidak dibatasi hanya untuk komputer tradisional kejahatan seperti hacking dan intruksi.
Bukti digital dapat disalin dengan tak terbatas keragaman, dapat dimodifikasi dengan mudah dan tidak bisa dipahami secara langsung tanpa proses teknis. Ada 5 (lima) sifat bukti yang harus dimiliki agar dapat berguna, yaitu: Keaslian, Kelengkapan, Keandalan, Kepercayaan, dan dapat diterima.
2.6 Hybrid Evidence Investigation
Bukti hybrid mengacu pada bukti fisik dan digital dan menambahkan kemungkinan bukti fisik tersebut dapat memiliki bukti digital yang tersembunyi, karakteristik ini harus dipertimbangkan
3
dalam penyelidikan kejahatan. Contohnya, jam atau pena yang berisi kamera mikro atau mikrofon untuk merekam video dan suara, atau bisa juga selembar kertas memiliki chip RFID yang berisi informasi pelacakan. Model ini dapat digunakan dalam penyelidikan dimana hanya bukti fisik atau bukti digital yang ada.
Model Hybrid Evidence Investigation ini memiliki 4 fase utama dan 12 fase sekunder, yaitu : HEI = { Preparation Crime Scene Investigation
Laboratory Examination Conclusion } Dimana,
- Preparation = {Notification Authorization Preparation }
- Crime Scene Investigation = {Preservation Identification Collection Examination Transportation}
- Laboratory Examination = {Examination Storage Report}
- Conclusion = {Reconstruction Dissemination}
Keterangan :
- Preparation adalah tahapan persiapan investigasi terkait hak akses dan tool yang akan digunakan - Crime Scene Investigation adalah tahapan olah
TKP dan menggali fakta dalamTKP
- Laboratory Examination adalah proses menggali fakta pada barang bukti yang diperoleh
- Conclusion adalah tahapan dokumentasi dan evaluasi seluruh proses investigasi
III. Metodologi
Metodologi penelitian yang digunakan dalam memecahkan kasus ini adalah sebagai berikut :
Gambar 3.1 Model Hybrid Evidence Investigation
3.1.1. Preparation Phase (Tahap Persiapan)
Fase persiapan ini, meliputi kedalam beberapa tahapan, yaitu:
a. Pemberitahuan
Pemberitahuan bahwa kejahatan telah terjadi, seperti halnya dengan menggunakan nomor darurat (112) melaporkan sebuah kejahatan. Kemudian lembaga penegak hukum bertanggung jawab untuk melakukan penyelidikan. Instansi yang bertanggung jawab dapat ditentukan dengan kriteria georafis atau insiden kejahatan tersebut. Proses pemberitahuan ini
sangat penting karena dapat digunakan untuk langkah selanjutnya.
b. Otorisasi
Otorisasi ini diperoleh dari beberapa lembaga yang bertugas untuk melakukan penyelidikan. Bentuk dan rincian otorisasi tergantung pada jenis kejahatan dan hukum acara dari Negara mana yang berkomitmen. Biasanya setelah kejahatan ditemukan, petugas yang ditugaskan dapat melakukan penyelidikan sekaligus memberi informasi kepada pengacara yang bertugas segera mungkin.
c. Persiapan
Tahapan persiapan ini meliputi meyiapkan persiapan ketersediaan alat yang diperlukan, peralatan dan personil yang mampu melakukan penyelidikannya.
3.1.2. Crime Scene Investigation Phase (Investigasi Adegan Kejahatan)
Pada tahapan ini terdapat beberapa proses, diantanya:
a. Pelestarian
Investigasi dalam tahapan ini merupakan pengamanan sebuah tempat kejadian perkara (TKP) dari orang-orang yang tidak berwenang untuk mendekati, selain itu juga mungkin sumber bukti fisik dan digital juga harus diakui dan dijamin
b. Identifikasi
Tahapan identifikasi ini merupakan tugas khusus yang sebaiknya dilakukan oleh ahli investigasi kejahatan. Tugas mereka adalah untuk mengidentifikasi kemungkinan bukti, secara fisik atau digital terkait dengan item di tempat kejadian perkara (TKP). Dalam kejahatan serius, investigasi dapat dilakukan oleh sejumlah teknisi khusus dalam bidang yang berbeda. Mereka bekerja sama dengan tingkat pemahaman mereka masing-masing. Tahapan identifikasi juga mencakup dengan dokumentasi, sketsa da pemetaan TKP juga mengambil catatan barang atau orang yang hadir di tempat kejadian tersebut.
c. Koleksi
Tahapan ini, pemeriksaan merupakan salah satu sub fase yang paling penting dari tahapan-tahapan yang ada daam model ini. Penyidik harus mengumpulkan sidik jari, item yang berkaitan dengan kejahatan, bahan biologis dan bukti fisik lainnya. Apabila terdapat bukti digital maka penyidik harus terlebih dahulu mencari data volatile. Koleksi atau penyimpanan barang bukti ini kerja sama antara ahli digital dan fisik sangat penting karena pengumpulan bukti fisik dapat menghancurkan bukti digital dan begitu juga sebaliknya. Tahapan ini juga mengandung pemeriksaan, namun pemeriksaan ini belum dilakukan di laboratorium secara langsung. Namun, terkadang sangat penting untuk mendapatkan informasi sebanyak-banyak nya secepat mungkin. Misalnya dalam penyelidikan kejahatan serius hal ini sangat mendesak untuk penyidik untuk mencari ponsel korban misalnya melihat panggilan terakhir
4
atau pesan computer pribadi untuk email atau posting terbaru di jaringan social
d. Transportasi
Transportasi bukti biasanya dianggap sebagai prosedur sekunder, selama transportasi langkah-langkah khusus harus diambil untuk menghindari kerusakan bukti. Penyelidik harus hati-hati dengan kemasan, kelembaban dan suhu harus dipertimbangakan untuk menghindari kerusakan bukti fisik atau bukti digital.
3.1.3. Laboratory Examination Phase (Pemeriksaan Laboratorium)
Ditahapan ini, terdapat beberapa sub fase, diantaranya:
a. Pemeriksaan
Tahapan pemeriksaan bukti dalam lingkungan laboratorium penting untuk penyelidikan karena dapat memberikan penyidik dengan bukti yang terkait dengan kasus ini. Sementara di TKP hanya bagian yang dikumpulkan yang dapat diperiksa, dalam fase ini semua bukti yang benar-benar diperiksa dan dianalisis sesuai dengan sifat dari bukti dan spesifikasi masing-masing kasus.
b. Penyimpanan
Tahapan penyimpanan ini dilakukan apabila tahapan pemeriksaan telah selesai dilakukan, untuk itu bukti harus disimpan dengan baik dalam terkunci ruang bukti dengan kontrol akses yang ketat. Bukti harus diberi label dan dipisahkan untuk menghindari kontaminasi silang, untuk menghindari kerusakan dan untuk memungkinkan kembali pemeriksaan jika dibutuhkan kembali untuk dipengadilan atau langkah lain dari penyelidikan.
c. Laporan
Tahapan ini, yaitu untuk menentukan hasil dari pemeriksaan dilaboratorium. Laporan dari laboratorium adalah salah satu dokumen yang paling penting untuk penyidik dan semua pihak yang terlibat dalam kasus (penentuan dan pertahanan).
3.1.4. Conclusion Phase (Kesimpulan)
a. Rekonstruksi
Rekonstruksi dalam tahapan ini merupakan tanggung jawab utama dari penyidik yang mengevaluasi bukti yang dikumpulkan dan diperiksa dan mewakili fakta seperti yang didefinisikan oleh analisis bukti. Langkah ini hanya dari nilai jika sebelumnya langkah ini telah diikuti forensic sehingga siapapun yang mengikuti metode yang sama akan mendapatkan hasil yang sama.
b. Diseminasi
Diseminasi ini merupakan langkah terakhir dari model. Sebuah tinjauan yang menyeluruh dalam penyelidikan dalam langkah ini untuk melestarikan pengetahuan yang didapat dan mengidentifikasi bidang perbaikan. Pelajaran harus dicatat secara hatihati dan disebarluaskan kepada pihak lain untuk melakukan investigasi yang serupa.
IV. Hasil dan Pembahasan
Berdasarkan hasil yang dilakukan dalam penelitian ini, dilakukan proses akuisisi pada sebuah smartphone berbasis android.
Proses Akuisisi
Gambar 4.2 Pembacaan File yang ada di smartphone
Gambar 4.3 Proses backup/copy data dari smartphone ke flashdisk
Gambar 4.4 Laporan hasil dari Akuisisi File dari smartphone
5
Gambar 4.6 Hasil Akuisisi Pada Smartphone Android
Barang bukti digital yang terdapat dalam smartphone saat sudah di akuisisi, proses selanjutnya adalah melakukan pemeriksaan nilai hash dengan menggunakan aplikasi AccessData FTK Imager:
Gambar 4.8 Nilai Hashing MD5
Proses Pemeriksaan
Proses pemeriksaan yang dilakukan dengan aplikasi AccessData FTK imager versi 3.1.1.8 dan aplikasi winhex versi 18.5 adalah dengan menggunakan teknik manual browsing yaitu dengan cara memeriksa tipe dara dari isi barang bukti digital melalui nilai hexadecimal yang menunjukan tipe data. Apabila salah satu huruf atau angka dari nilai hexadecimal tersebut berubah, maka isi dari file tersebut sudah berubah atau dimodifikasi. Berikut hasil pemeriksaan isi file dari smartphone:
Gambar 4.9 Hasil Pemeriksaan dengan FTK Imager
Gambar 4.10 Hasil Pemeriksaan File Image Dengan WinHex
Pemeriksaan diatas menggunakan aplikasi AccessData FTK Imager dan Winhex diperoleh bahwa dalam hasil akuisisi data tersebut terdapat SMS yang dikirim dari pengirim.
Proses Analisis
Dengan menggunakan data recovery ini kita dapat mengetahui apa yang telah terjadi, rekaman data, korespondensi dan petunjuk lainnya. Proses recovery data ini menggunakan aplikasi WinHex versi 18.9 dengan memanfaatkan salah satu kelebihan yang dimiliki aplikasi tersebut yaitu menyatukan dan memisahkan file.
Tahapan selanjutnya setelah proses recovery adalah analisis metadata file yang didapat dari barang bukti digital yang ditemukan.
Berikut metadata file yang telah di recovery:
Gambar 4.11 Metadata File
Berdasarkan metadata dari masing-masing file, barang bukti digital yang ditemukan tidak mengalami perubahan. Itu ditunjukkan dengan keterangan data created dan data modified. Barang bukti digital yang sudah mengelami perubahan/modifikasi, keterangan data modified-nya akan menunjukkan waktu saat data tersebut dimodifikasi terakhir kali oleh pelaku. Hasil dari data modified ini kemudian diberikan kepada investigator guna penyelidikan lebih lanjut terhadap pelaku.
6
V. Kesimpulan5.1 Kesimpulan
Berdasarkan hasil penelitian serta pengujian yang telah dilakukan menggunakan Metode Hybrid Evidence Investigation, maka dapat diambil kesimpulan. Adapun kesimpulan pada tugas akhir ini adalah:
1. Hasil analisis terhadap smartphone yang dilakukan menghasilkan beberapa data yaitu SMS, Call Logs, Phone Book, file image, calendar dan catatan, juga mengambil semua informasi telepon, seperti IMEI, sistem operasi, firmware termasuk rincian SIM (IMSI), ICCID dan yang terakhir digunakan BTS. Membuat laporan bersertifikat dengan data tersangka termasuk panggilan, pesan dan file dalam MS Word, XLS, atau XML.
2. Melakukan akuisis data pada penelitian ini melalui beberapa tahapan, yaitu: menghubungan smartphone berbasis android tersebut ke PC (Personal Computer) atau Laptop. Setelah tehubung pada PC atau Laptop, koneksikan dengan aplikasi Mobiledit Forensic agar dapat dilakukan akuisisi data. Pemilihan data yang akan di copy-kan ke PC atau Laptop untuk dilihat data apa saja yang dianggap perlu pada smartphone tersebut. Sebelum pembuatan laporan tersebut, ada baiknya melakukan pengecekan keaslian data mengguanakan FTK Imager dan Winhex. Dokumentasi yang baik dari segala sesuatu yang telah dikerjakan. Pembuatan laporan dari hasil yang analisis data tersebut. 3. Metode hybrid ini dapat diimplementasikan pada
proses penyelidikan, karena dengan menggunakan metode ini, bukti fisik dan bukti digital dapat dilakukan secara bersamaan, tanpa harus mengganggu bukti yang lainnya.
5.2 Saran
Saran – saran yang dapat diberikan sebagai bahan penelitian lebih lanjut adalah sebagai berikut: 1. Model investigasi ini harus di uji coba dan di
evaluasi di lingkungan penyelidikan yang nyata agar dapat dikembangkan menjadi lebih baik lagi untuk masa depan.
2. Agar hasil dalam penyelidikan lebih maksimal, coba menggunakan aplikasi yang full license.
3. Dalam penelitian ini tidak dijelaskan algoritma enkripsi yang digunakan terhadap file barang bukti. Untuk penelitian selanjutnya diharapkan dapar menjelaskan algoritma enkripsi yang digunakan sehingga mempermudah pemahaman pembaca mengenai file enkripsi.
DAFTAR PUSTAKA
Ayers, R., Jansen, W., Cilleros, N., & Daniellou, R. (2007). Cell Phone Forensic Tools: An Overview and Analysis, URL http://csrc.nist.gov/publications/nistir/nistir-7250.pdf
Elsevier. 2006. Digital Investigation. Hongkong, China.
Ghosh, A. (2004). Guidelines for the Management of IT Evidence,URL http://unpan1.un.org/intradoc/groups/public/do cuments/APCITY/UNPAN016411.pdf Helplinelaw (2007). Pramod Mahajan Murder
Trial:SMS cannot be valid evidence, says defence.
URL,http://news.helplinelaw.com/1207/echo1 2.php
Rizwan A. 2008. Mobile Forensics: an Overview, Tools, Future trends and Challenges from Law Enforcement perspective.
K. Vlachopoulos, E. Magkos and V. Chrissikopoulos, 2012. A Model for Hybrid Evidence Investigation. Department of Informatics, Ionian University.
Yeni, Yudi. 2014. Membangun Integrated Digital Forensics Investigation Framework (Idfif) Menggunakan Metode Sequential Logic. Yogyakarta.
Tri, Yudi. 2013. Model Digital Forensic Readiness Index (Difri) Untuk Mengukur Tigkat Kesiapan Institusi Dalam Menanggulangi Aktivitas Cyber Crime. Yogyakarta.
Widiyasono, Nur. 2014. Analisa File Signatures and Fungsi Hash. Yogyakarta: Universitas Islam Indonesia
Tarjianto, Ahmad. 2009. Hash File dan Multiring File. Probolinggo: Sekolah Tinggi Nurul Jahid
