Analisa dan Perbandingan Performa Tools Forensik Digital pada Smartphone Android menggunakan Instant Messaging Whatsapp
Ilhami Algi Plianda, Rini Indrayani*
Fakultas Ilmu Komputer, Program Studi Teknik Komputer, Universitas AMIKOM Yogyakarta, Yogyakarta, Indonesia Email: 1[email protected], 2[email protected],
Email Penulis Korespondensi: [email protected]
Abstrak−Layanan teknologi saat ini berkembang dengan pesat, salah satunya perkembangan teknologi Instant messaging (IM) yang semakin canggih dan tidak bisa lepas dari kehidupan masyarakat. Namun pemanfaatan teknologi tersebut tidak selalu mengenai kegiatan yang berdampak baik, namun juga rentan digunakan sebagai media untuk melakukan hal-hal yang merugikan. Salah satu hal berdampak merugikan yang sering terjadi adalah kejahatan dunia maya atau biasa disebut cybercrime dengan memanfaatkan aplikasi Instant messaging (IM). Salah satu platform IM yang sering digunakan sebagi media cyercrime adalah WhatsApp. Fitur penghapusan pesan hingga penghapusan riwayat panggilan dapat menjadi salah satu fitur yang dimanfaatkan pelaku kejahatan untuk menyembunyikan bukti kejahatan. Oleh karena itu dibutuhkan protokol forensik digital yang dapat membantu pihak berwajib untuk mengungkap bukti kejahatan yang telah berusaha dihilangkan oleh pelaku kejahatan. Oleh karena itu, penelitian ini mengangkat isu forensik memanfaatkan platform Whatsapp menggunakan dua tools yaitu MOBILedit dan Oxygen Forensic. Hasil akhir dari penelitian ini adalah sebuah metode dan rekomendasi tool yang dapat menjadi alternatif terbaik untuk kebutuhan forensik digital.
Kata Kunci: Instan Messaging; Cybercrime; Whatsapp; MOBILedit, Oxygen Forensic
Abstract−Technology services are currently developing rapidly, one of the services that rapidly increased is the development of Instant messaging (IM) technology which is increasingly sophisticated and cannot be separated from people's lives. However, the use of this technology is not always about activities that have a good impact but are also vulnerable to being used as a medium to do harmful things. One of the things that have a detrimental impact that often occurs is cybercrime by utilizing Instant messaging (IM) applications. One of the IM platforms that is often used as a media for cybercrime is WhatsApp. The message deletion feature can be one of the feature that uses criminals to hide evidence of a crime. Therefore, a digital forensic protocol is needed that can help the authorities to uncover evidence of crimes that have been tried to eliminate by criminals.
Therefore, this study raises the issue of research utilizing the Whatsapp platform using two tools, namely MOBILedit and Oxygen Forensic. The final result of this research is a method and tool recommendation that can be the best alternative for digital forensics needs.
Keywords: Instan Messaging; Cybercrime; Whatsapp; MOBILedit, Oxygen Forensic
1. PENDAHULUAN
Layanan teknologi saat ini berkembang dengan pesat, salah satunya perkembangan teknologi Instant messaging (IM) yang semakin canggih dan tidak bisa lepas dari kehidupan masyarakat [1]. Namun pemanfaatan teknologi tersebut tidak selalu mengenai kegiatan yang berdampak baik, namun juga rentan digunakan sebagai media untuk melakukan hal-hal yang merugikan. Salah satu hal berdampak merugikan yang sering terjadi adalah kejahatan dunia maya atau biasa disebut cybercrime dengan memanfaatkan aplikasi Instant messaging (IM). Salah satu platform IM yang sering digunakan sebagi media cyercrime adalah WhatsApp [2]. Aplikasi WhatsApp adalah salah satu layanan Instant messaging (IM) yang penggunaannya sangat masif dan berkembang sangat pesat hingga saat ini. WhatsApp Messenger adalah layanan komunikasi pertukaran pesan di platform Android dan Desktop.
Fitur-fitur dalam aplikasi WhatsApp antara lain chat, dokumen, gambar, video, lokasi pengguna, dan pesan audio [3]. WhatsApp sangat potensial menjadi media kejahatan kriminal terutama kasus penipuan mengingat jumlah pengguna platform yang cukup besar dan tersebar. Kelengkapan fitur yang memaksimalkan pengalaman pemanfaatan teknologi bagi user secara umum dapat dimanfaatkan para pelaku kejahatan kriminal untuk memaksimalkan rencana kejahatan [4]. Fitur penghapusan pesan hingga penghapusan riwayat panggilan dapat menjadi salah satu fitur yang dimanfaatkan pelaku kejahatan untuk menyembunyikan bukti kejahatan [5]. Oleh karena itu dibutuhkan protokol tertentu yang dapat membantu pihak berwajib untuk mengungkap bukti kejahatan yang telah berusaha dihilangkan oleh pelaku kejahatan [6].
Forensik digital adalah salah satu bidang ilmu penggalian bukti digital yang dapat membantu pihak berwajib untuk mengungkap bukti kejahatan digital yang telah berusaha dihilangkan oleh pelaku kejahatan [7] [8].
Seiring dengan perkembangan teknologi, forensik digital mengalami perkembangan baik dari sisi protokol, metode, hingga teknologi yang digunakan [9].
Berbagai penelitian terkait penerapan forensik digital pada objek IM juga telah banyak dilakukan. Salah satu penelitan tersebut adalah mengenai analisis forensik pada smartphone Android menggunakan platform YouWave Virtualization [3]. Penelitian ini menggunakan platform emulator Android untuk menjalankan fungsi virtual sistem berdasarkan skenario yang ditentukan menggunakan Whatsapp sebagai objek penelitian. Hasil
penelitian ini menunjukkan bahwa dengan metode yang digunakan, artefak-artefak bukti digital berhasil diekstraksi kembali walaupun telah dihapus sebelumnya sesuai dengan skenario.
Penelitian lain mengenai forensik digital pada layanan IM yaitu mengenai analisis forensik pada platform IM Telegram X dan BBM-E pada Personal Computer (PC) dan Mobile [10]. Kedua platform IM tersebut menggunakan teknologi enkripsi SQLCipher. Oleh karena itu, penelitian ini melakukan upaya ekstraksi data dan dekripsi terhadap data-data hasil ekstraksi yang dikenakan prosedur enkripsi SQLCipher.
Platform IM lainnya yang menjadi objek penelitian sebelumnya adalah Wickr dan Private Text Messaging [11]. Penelitian ini melakukan proses dekripsi dari data-data hasil ekstraksi dimana data-data tersebut terenkripsi dengan metode SQLCipher. Hasil akhir dari penelitian ini adalah sebuah metode verifikasi password untuk proses dekripsi data hasil ekstraksi forensik digital.
Berbeda dengan penelitian-penelitian sebelumnya, penelitian ini menggunakan perbandingan performa dua tools forensik untuk proses investigasi forensik digital. Penelitian ini juga menggunakan platofrm IM sebagai objek penelitian. Platform Whatsapp yang merupakan salah satu layanan IM populer menjadi objek pada penelitian ini, diproses dengan dua tools forensik yaitu MOBILedit dan Oxygen Forensic. Hasil akhir yang diharapkan menjadi kontribusi ilmu adalah sebuah rekomendasi metode dan tools yang dapat memberikan performa terbaik dalam melakukan proses investigasi forensik digital.
2. METODOLOGI PENELITIAN
2.1 Tahapan Penelitian
Peneliti melakukan sebuah simulasi skenario sebagai acuan proses forensik, hal ini bermanfaat untuk mengkondisikan alur dan verifikasi hasil investigasi. Seluruh barang bukti yang dicari dalam proses investigasi disesuaikan dan dikoneksikan dengan skenario hingga memiliki status sah sebagai bukti digital dengan tujuan untuk mendapatkam keunikan situasi seperti pada kasus yang terjadi pada realita. Skenario kemudian diproses dengan metode metode NIST (National Institute of Standards and Technology). NIST merupakan salah satu standar resmi yang digunakan untuk proses investigasi forensik digital [12]. Adapun tahapan-tahapan proses investigasi forensik dengan metode NIST digambarkan pada Gambar 1.
Gambar 1. Tahapan-tahapan metode NIST
1. Collection merupakan tahapan pengumpulan barang bukti seperti bukti elektronik yang berpotensi memuat bukti digital [13][14]. Tahap ini disertai dokumentasi sebagai bagian dari prosedur untuk menjaga integritas dari barang bukti yang dikumpulkan. Penelitian ini menggunakan sebuah bukti elektronik berupa sebuah Smartphone dengan spesifikasi yang ditunjukkan pada gambar 2.
Gambar 2. Smartphone sebagai barang bukti elektronik
2. Imaging merupakan proses yang bertujuan untuk menyalin data dari barang bukti yang ditemukan pada proses collection atau biasa juga disebut sebagai proses akuisisi [15]. Data hasil akuisisi merupakan salinan yang memiliki tingkat kesamaan 100% dengan data-data yang ada pada bukti elektronik. Hal ini bertujuan agar
proses investigasi tidak merusak kondisi awal bukti elektronik sesuai dengan kondisi saat ditemukan pertama kali. Tingkat kemiripan data dibuktikan dengan proses pencocokan Hash. Setelah proses akuisisi, nilai hash data hasil akuisisi harus memiliki nilai yang sama dengan hasil hash data asli barang bukti elektronik. Proses akuisisi menggunakan aplikasi FTK Imager ditunjukkan pada gambar 3. Setelah proses imaging selesai, lalu data hasil imaging mengalami proses verifikasi kesamaan nilai hash dengan data awal pada barang bukti elektronik. Jika nilai hash keduanya sesuai , maka proses ekstraksi dapat dilanjutkan. Proses pencocokan hash ditunjukkan pada tabel 1.
Gambar 3. Proses Imaging menggunakan aplikasi FTK Imager Tabel 1. Verifikasi kesamaan nilai Hash
Nama WhatsApp001
Tipe Source Physical
Waktu Akuisisi Tue Mar 09 18:37:49 2021
Tue Mar 09 18:43:08 2021 Nilai Hash
Smartphone
f19be0f19d6e136f85fbee1096afa5a8 (MD5) a623326a17b0dc4f30df89843c92bd57ebc30e5c (SHA1) Nilai Hash Hasil
Imaging
f19be0f19d6e136f85fbee1096afa5a8 (MD5) a623326a17b0dc4f30df89843c92bd57ebc30e5c (SHA1)
Sector Count 7.741.440
Tools AccessData® FTK® Imager 3.1.2.0
3. Examination merupakan tahapan melakukan pemeriksaan pada data yang dikumpulkan dari proses Imaging.
Tahap ini bertujuan untuk melakukan ekstraksi dan memilah artefak penting yang relevan atau memiliki keterkaitan dengan kasus yang ditangani [16]. Pemilihan artefak sangat penting dilakukan mengingat terdapat banyak jenis artefak hasil ekstraksi seperti file log dan database yang bisa ditemukan pada folder com.whatsapp. Tahap ini juga memungkinkan terjadinya proses dekripsi apabila ditemukan data yang dikenakan teknologi enkripsi. Peneliti menyiapkan dua pilihan proses ekstraksi pada penelitian ini yaitu proses ekstraksi menggunakan tool MOBILedit dan proses ekstraksi menggunakan tool Oxygen Forensic. Proses ekstraksi menggunakan MOBILedit ditunjukkan pada gambar 4, sedangkan proses ekstraksi menggunakan Oxygen Forensic ditunjukkan pada gambar 5.
Gambar 4. Proses Ekstraksi Menggunakan MOBILedit
Gambar 5. Proses Ekstraksi menggunakan Oxygen Forensic
4. Analysis adalah tahap dimana data-data hasil ekstraksi pada tahap Examination dianalisis secara detail dan sesuai dengan prosedur yang ditetapkan [17]. Seluruh data yang ditemukan pada proses Examination dikoneksikan satu sama lain sesuai dengan skenario yang ditentukan sebelumnya untuk menetapkan data yang dapat menjadi barang bukti digital atas kasus tersebut. Proses analisis didominasi dengan proses pencocokan metadata [18], data yang memiliki relevansi dikumpulkan untuk dihubungkan satu sama lain. Proses pencocokan metadata pada tahap analisis ditunjukkan pada gambar 6. Kemudian artefak yang berhasil dikumpulkan dan memiliki relevansi dengan skenario yang ditetapkan ditunjukkan pada tabel 2.
Gambar 6. Proses pencocokan metadata
Tabel 2. Artefak Whatsapp yang relevan dengan skenario kasus
Row Content Directory File
1 Database Kontak /root/data/com.whatsapp/database Wa.db 2 Database Obrolan /root/data/com.whatsapp/database Msgstore.db 3 Backup dari
database obrolan
/sdcard/whatsapp/Database Msgstore.db.crypt Msgstore “data”crypt 4 Avatar dari kontak /root/data/com.whatsapp/file/avatar Berformat “J” dimana file tersebut merupakan
pengenal kontak 5 Salinan Avatar
kontak
/root/sdcard/whatsapp/ProfilePicture Berformat “J” diamana file tersebut merupakan
pengenal kontak 6 File log /root/data/com.whatsapp/file/Logs Whatsapp.log,
Whatsapp, tanggal, log 7 File yang diterima //sdcard/Whatsapp/media Shared File 8 File yang dikirim /sdcard/whatsapp/media/send Shared File 9 Pengaturan
pengguna dari referensi
/root/data/com.whatsapp/files Shared File
5. Reporting merupakan tahap pembuatan laporan hasil dari analisis data yang didapatkan [19]. Peneliti menggambarkan bukti apa saja yang didapatkan dalam proses analisis dan akuisisi data, serta aspek pendukung seperti metode pada digital forneisk dan rekomendasi tools yang digunakan sebagai prosedur forensik.
Rangkuman reporting ditunjukkan pada Tabel 3.
Tabel 3. Rangkuman Laporan Investigasi
Informasi Barang Bukti Keterangan
Samsung Galaxy Start Smartphone android Ditemukan
Nomor Hp 628570072xxxx Ditemukan
Nama Akun Algi Ditemukan
Penyimpanan Eksternal SD Card Ditemukan
Total Kontak 11 Ditemukan
Kontak Bloklist 1 Ditemukan
Percakapan Tidak dihapus 0 Ditemukan
Percakapan Sudah di Hapus 3 Ditemukan
Tahun Percakapan 2021 Ditemukan
Bulan Percakapan Febuari Ditemukan
Tanggal Percakapan 25 Ditemukan
Waktu Kejadian Percakapan 15:50:29 Ditemukan
Encrypted Database Crypted12 Ditemukan
Avatar 4 Ditemukan
WhatsApp Audio - Tidak ditemukan
WhatsApp Call 3 Ditemukan
WhatsApp Image 2 Ditemukan
WhatsApp Profile Kontak 4 Ditemukan
Photo Profil 1 Ditemukan
Informasi Barang Bukti Keterangan
WhatsApp Video 2 Ditemukan
WhatsApp Note - Tidak ditemukan
Tools Forensik AccessData FTK Imager, WhatsAPP Viwers, DB
Browser For SQLite
Ditemukan
Tools Backup Data Pada Smartphone
Odin, CWM Recovery, SuperSU
Ditemukan
3. HASIL DAN PEMBAHASAN
Proses investigasi forensik dalam menangani sebuah kasus cybercrime memerlukan upaya optimal dalam setiap tahapannya. Hal ini beertujuan untuk mendapatkan bukti digital sebanyak mungkin sebagai pertimbangan putusan terhadap kasus [20]. Oleh karena itu, setiap pilihan baik tools maupun metode yang dapat menjadi pilihan optimal perlu dipertimbangkan. Pertimbangan tersebut membuat peneliti menggunakan 2 tools dalam proses forensik yaitu MOBILedit dan Oxygen Forensic. Kedua tools tersebut dibandingkan dari segi performa untuk mendapatkan rekomendasi terbaik. Hasil proses forensik yang dilakukan menggunakan tool MOBILedit ditunjukkan pada tabel 4. Sedangkan Hasil proses forensik menggunakan tool Oxygen Forensic ditunjukkan pada tabel 5. Adapun rangkuman perbandingan dari kedua tools disajikan pada tabel 6.
Tabel 4. Hasil Proses Forensik pada MOBILedit
Bukti Potensial Data Hasil Ekstraksi Data Hasil Recovery
Profil 0 0
Kontak 0 0
Image 2 2
Video 1 1
Percakapan 0 0
Logs 2 2
Database 10 10
Tabel 5. Hasil Proses Forensik pada Oxygen Forensic
Bukti Potensial Data Hasil Ekstraksi Data Hasil Recovery
Profil 0 0
Kontak 10 6
Image 0 0
Video 1 0
Percakapan 20 0
Logs 1 0
Database 2 0
Tabel 6. Perbandingan Performa tools pada Proses Forensic
Kemampuan Tools MOBILedit Oxygen Forensic Imaging Storage Tidak ditemukan Tidak ditemukan
Infrormasi Metadata Ditemukan Ditemukan
Analisis file gambar Ditemukan Ditemukan
Analisi file video Tidak ditemukan Ditemukan
Ekstraksi Artefak Ditemukan Tidak ditemukan
Ekstraksi file txt dan Hash Tidak ditemukan Tidak ditemukan Ekstraksi Database Tidak ditemukan Tidak ditemukan Ekstraksi Messages Tidak ditemukan Tidak ditemukan
Informasi Logs Ditemukan Tidak ditemukan
Informasi detail perangkat Ditemukan Ditemukan Informasi intergritas barang bukti Ditemukan Ditemukan
4. KESIMPULAN
Berdasarkan hasil ekstraksi data yang dilakukan menggunakan MOBILedit maka didapatkan bukti digital berupa 2 gambar, 1 video, 1 voice note, 2 log dan 10 database dengan status semua data berhasil recovery. Sedangkan hasil ekstraksi data menggunakan Oxygen Forensik, didapatkan data yaitu 10 kontak, 1 video, 20 pesan percakapan, 1 panggilan, 21 event log, dan 2 data file, dengan status data yang berhasil recovery sebanyak 6
kontak. Hal ini menunjukkan keunggulan tool MOBILedit dibandingkan Oxygen Forensic dalam lingkup skenario yang ditetapkan dalam penelitian ini. Performa setiap tool dapat dipengaruhi oleh banyak faktor seperti jenis perangkat, spesifikasi perangkat yang digunakan, versi tool, hingga objek penelitian. Penelitian terkait perbandingan performa tools forensik dapat lebih dikembangkan di masa depan dengan memanfaatkan objek lain selain platform Whatsapp seperti yang digunakan pada penelitian ini. Oleh karena itu dapat disimpulkan bahwa tool MOBILedit menjadi rekomendasi tool untuk skema forensik digital dengan objek IM Whatsapp menggunakan perangkat smartphone berbasis Android pada penelitian ini.
REFERENCES
[1] G. Cornelis, R. Seelt, and N. Le-khac, “Forensic Science International : Digital Investigation Forensic analysis of Matrix protocol and Riot . im application,” Forensic Sci. Int. Digit. Investig., vol. 36, p. 301118, 2021.
[2] D. Wijnberg and N. Le-khac, “Forensic Science International : Digital Investigation Identifying interception possibilities for WhatsApp communication,” Forensic Sci. Int. Digit. Investig., vol. 38, p. 301132, 2021.
[3] C. Anglano, “Forensic analysis of whats app messenger on Android smartphones,” Digit. Investig., vol. 11, no. 3, pp.
201–213, 2014.
[4] S. J. Yang, J. H. Choi, K. B. Kim, R. Bhatia, B. Saltaformaggio, and D. Xu, “Live acquisition of main memory data from Android smartphones and smartwatches,” Digit. Investig., vol. 23, pp. 50–62, 2017.
[5] A. Fukami, R. Stoykova, and Z. Geradts, “A new model for forensic data extraction from encrypted mobile devices,”
Forensic Sci. Int. Digit. Investig., vol. 38, p. 301169, 2021.
[6] N. Dwi, W. Cahyani, D. Ph, K. R. Choo, and D. Ph, “DIGITAL & MULTIMEDIA SCIENCES An Evidence-based Forensic Taxonomy of Windows Phone Dating Apps,” no. 7, 2018.
[7] G. Humphries, R. Nordvik, H. Manifavas, P. Cobley, and M. Sorell, “Law Enforcement educational challenges for mobile forensics,” Digit. Investig., vol. 38, p. 301129, 2021.
[8] T. Holt and D. S. Dolliver, “Forensic Science International : Digital Investigation Exploring digital evidence recognition among front-line law enforcement of fi cers at fatal crash scenes,” Forensic Sci. Int. Digit. Investig., vol. 37, p. 301167, 2021.
[9] E. Gentry and M. Soltys, “SEAKER: A mobile digital forensics triage device,” Procedia Comput. Sci., vol. 159, pp.
1652–1661, 2019.
[10] G. Kim, M. Park, S. Lee, Y. Park, I. Lee, and J. Kim, “Forensic Science International : Digital Investigation A study on the decryption methods of telegram X and BBM-Enterprise databases in mobile and PC,” Forensic Sci. Int. Digit.
Investig., vol. 35, p. 300998, 2020.
[11] G. Kim, S. Kim, M. Park, Y. Park, I. Lee, and J. Kim, “Forensic Science International : Digital Investigation Forensic analysis of instant messaging apps : Decrypting Wickr and private text messaging data,” Forensic Sci. Int. Digit. Investig., vol. 37, p. 301138, 2021.
[12] I. Riadi, A. Yudhana, M. Caesar, and F. Putra, “Forensic Tool Comparison on Instagram Digital Evidence Based on Android with The NIST Method,” vol. 5, no. 2, pp. 235–247, 2018.
[13] N. Son, Y. Lee, D. Kim, J. I. James, S. Lee, and K. Lee, “A study of user data integrity during acquisition of android devices,” Proc. Digit. Forensic Res. Conf. DFRWS 2013 USA, vol. 10, pp. S3–S11, 2013.
[14] X. Lin, T. Chen, T. Zhu, K. Yang, and F. Wei, “Automated forensic analysis of mobile applications on Android devices,”
Digit. Investig., vol. 26, pp. S59–S66, 2018.
[15] G. Grispos, T. Storer, and W. B. Glisson, “A comparison of forensic evidence recovery techniques for a windows mobile smart phone,” Digit. Investig., vol. 8, no. 1, pp. 23–36, 2011.
[16] A. Fukami and K. Nishimura, “Forensic analysis of water damaged mobile devices,” Digit. Investig., vol. 29, pp. S71–
S79, 2019.
[17] M. Guido, J. Buttner, and J. Grover, “Rapid differential forensic imaging of mobile devices,” DFRWS 2016 USA - Proc.
16th Annu. USA Digit. Forensics Res. Conf., vol. 18, pp. S46–S54, 2016.
[18] P. Sharma, D. Arora, and T. Sakthivel, “Enhanced Forensic Process for Improving Mobile Cloud Traceability in Cloud- Based Mobile Applications,” Procedia Comput. Sci., vol. 167, no. 2019, pp. 907–917, 2020.
[19] J. Grover, “Android forensics: Automated data collection and reporting from a mobile device,” Proc. Digit. Forensic Res. Conf. DFRWS 2013 USA, vol. 10, pp. S12–S20, 2013.
[20] J. Park, Y. H. Jang, and Y. Park, “New flash memory acquisition methods based on firmware update protocols for LG Android smartphones,” Digit. Investig., vol. 25, pp. 42–54, 2018.
