Empat Buku untuk Liburan Akhir Tahun

Salah satu tantangan terbesar dalam profesi Digital Forensics adalah pengembangan kompetensi teknis dari sisi teori (akademis).  Beberapa kali saya menjumpai para newbie di dunia digital forensics yang merasa sudah ‘mumpuni’ dengan pertimbangan telah memiliki kompetensi berupa menggunakan tools.  Hal yang sama terjadi pada saya pada saat menjejakkan kaki di dunia tersebut.  Awalnya saya memilih jalur sertifikasi dari vendor tools.  Pelatihan yang diberikan berupa teori dasar memang cukup mendukung bagi kita dalam memahami beberapa pengetahuan mendasar terutama yang dibutuhkan bagi penggunaan tools terkait.

Pada dasarnya, seorang digital forensic examiner selain menjadi tenaga teknis di bidang digital forensics yang bertugas untuk memperoleh dan menganalisis bukti digital yang relevan dengan satu kasus, dia juga diharapkan untuk menjadi seorang ahli (expert witness) di depan pengadilan.  Pada tahapan inilah, kemampuan teoritis seorang examiner akan diuji.  Hakim dan pihak terkait pasti akan sulit mempercayai kredibilitas seorang examiner ketika dia ditanya: “bagaimana anda mendapatkan data berupa phonebook dari smartphone tersebut?” lalu sebagai ahli kita hanya menjawab: …dari tools Cellebrite yang saya gunakan?! Tanpa adanya penjelasan yang lebih detil dan rinci.  Memang saat ini, banyak mobile phone forensics examiner yang mengandalkan 100% pekerjaannya dengan Cellebrite, Oxygen, XRY dan lain sebagainya.  Namun itu bukan berarti kita tidak perlu memahami seluruh aspek teknis terkait smartphone dan aplikasinya.  Setidaknya-misalnya-kita harus paham bahwa semua aplikasi mobile memiliki SQLite database yang berisi data dari satu aplikasi.

Untuk itu, jika kita ingin mendalami bidang digital forensics, kita tidak boleh berhenti mengembangkan pengetahuan kita yang salah satu sumbernya adalah melalui buku.  Sebagai hadiah akhir tahun, tidak ada salahnya kita membeli empat buah buku yang menurut saya sangat mendukung kompetensi seorang mobile phone forensics examiner yaitu:

Happy reading and happy new year!

Mendapatkan Data Cell Site/Cell Tower untuk Lokasi Pengguna

Pasal 41 UU Undang-undang Nomor 36 Tahun 1999 tentang Telekomunikasi mengatur kewajiban perekaman data atas pengguna jasa telekomunikasi yang terdiri atas 2 (dua) jenis perekaman yaitu:

  1. Perekaman Pemakaian Fasilitas Telekomunikasi yaitu perekaman yang dilakukan penyelenggara jasa telekomunikasi yang bersifat wajib (mandatory) untuk keperluan pengguna jasa telekomunikasi itu sendiri, seperti perekaman rincian data tagihan (billing) dan lain-lain.
  2. Perekaman Informasi yaitu perekaman informasi tertentu yang diatur sesuai peraturan perundang-undangan, seperti rekaman percakapan antarpihak yang bertelekomunikasi.

Selanjutnya catatan/rekaman berupa rincian jasa pemakaian tersebut wajib disimpan oleh operator seluler sekurang-kurangnya 3 (bulan) sesuai dengan ketentuan Pasal 17 ayat 1 PP 52/2000.  Sesuai dengan ketentuan tersebut, catatan/rekaman terdiri atas:

  1. Data Pemakaian; data yang berisi rincian panggilan keluar (outgoing) pengguna jasa selama pemakaian jasa telekomunikasi.
  2. Data Rekaman; data yang berisi rincian panggilan masuk (incoming) pengguna jasa dan rekaman rincian pemakaian berupa rekaman pembicaraan dan rekaman teks pesan masuk dan keluar pengguna jasa.

Data pemakaian yang ada dalam sistem milik provider lebih dikenal sebagai Call Detail Record (CDR).  Data tersebut bersifat rahasia sesuai ayat 1 pasal 42 UU Telekomunikasi yang menyebutkan bahwa penyelenggara jasa telekomunikasi wajib merahasiakan informasi yang dikirim dan atau diterima oleh pelanggan jasa telekomunikasi melalui jaringan telekomunikasi dan atau jasa telekomunikasi yang diselenggarakannya. Pelanggaran terhadap ketentuan tersebut diatur pada pasal 57 dengan ancaman pidana penjara paling lama 2 (dua) tahun dan atau denda paling banyak Rp 200.000.000 (dua ratus juga rupiah).

Pengecualian kerahasiaan informasi milik pengguna jasa telekomunikasi diatur pada ayat 2 pasal 42 yaitu untuk keperluan proses peradilan pidana dengan ketentuan sebagai berikut:

  1. permintaan tertulis Jaksa Agung dan atau Kepala Kepolisian Republik Indonesia untuk tindak pidana tertentu;
  2. permintaan penyidik untuk tindak pidana tertentu sesuai dengan Undang-undang yang berlaku.

Aturan lebih rinci dari ketentuan tersebut di atas terdapat pada Peraturan Pemerintah Nomor 52 Tahun 2000 yaitu pada Pasal 87, Pasal 88 dan Pasal 89 dengan simpulan sebagai berikut:

  • Ada permintaan tertulis dari Jaksa Agung dan/atau Kapolri;
  • Permintaan tertulis tersebut ditembuskan kepada Menteri Komunikasi dan Informatika;
  • Rekaman harus merinci obyek yang direkam, masa rekaman, dan waktu laporan;
  • Hasil rekaman disampaikan secara tertulis kepada Jaksa Agung dan/atau Kapolri atau penyidik secara rahasia.

Belum ada format baku untuk pengajuan surat kepada provider terkait kebutuhan CDR terutama terkait data lokasi.  Namun, para pembaca bisa menggunakan template sebagai berikut:

To Custodian of Records (provider),

This is not a request for call detail records, but for the locations of cell towers only. Provide the following information regarding cell tower locations for the following areas containing cell towers actively in service between August 1, 2014 and August 31, 2014. For a 15 mile radius of downtown Atlanta, Georgia.

Include the below cell tower information:

  • LAC or NEID/ REPOLL/ SWITCH;
  • LAC/ NEID/ REPOLL/ SWITCH NAME or ID;
  • Tower number;
  • Sector number;
  • Latitude;
  • Longitude;
  • Sector azimuth;
  • Horizontal beam width if known.

Records to be provided on CD or via email in Microsoft Excel format or as comma delimited text files (. txt) as well as paper or printed format for certification purposes.

Please send the email response to this attorney at: youremail@ someemailaddress.com.

 

Call Detail Records (CDR) dan Fungsinya Dalam Penentuan Lokasi User

Call Detail Records (CDR) yang tersimpan dalam sistem milik provider telekomunikasi sebetulnya memiliki fungsi finansial dan bisnis yang sangat berguna bagi perusahaan telekomunikasi (baca: provider) disamping fungsi teknis.  Fungsi utama tentunya adalah fungsi billing yaitu sebagai bukti bagi para pelanggan mengenai detil tagihan dari seluruh jasa baik suara (voice call), message (SMS) dan data.  Fungsi kedua adalah untuk keperluan akuntansi keuangan (Financial Accounting) yaitu keperluan analisis keuangan dan juga analisis beban jaringan untuk keperluan penentuan Cell Site (BTS) yang baru di masa mendatang.  Catatan CDR juga dapat digunakan untuk penghitungan roaming antar provider.  Fungsi lainnya adalah fungsi teknikal misalnya beban penggunaan di masing-masing Cell Site, channel yang digunakan dan lain sebagainya yang berguna bagi teknisi.

Data apa saja yang tersimpan dalam CDR?

Satu hal yang harus diingat adalah masing-masing provider memiliki kebijakan yang berbeda terkait jenis dan jumlah data (masa retensi) data dalam CDR.  Secara umum data yang tersimpan adalah IMEI yaitu identifikasi dari handset (mobile phone), IMSI yaitu identifikasi dari akun pelanggan (bukan nomor handphone), tanggal dan waktu dari penggunaan, data transmission dan SMS. Data berupa lama penggunaan voice call, transaksi dengan jaringan juga akan tercatat.  Selain itu terdapat data berupa fitur yang digunakan seperti voice mail, 3-way calling, call forwarding dan lain-lain.  Dalam CDR juga terdapat data berupa switch NEID (network equipment identifier) atau disebut juga LAC (location area code) yang diiringi dengan identifikasi dari Cell Tower yang digunakan oleh pengguna.

Untuk teknologi GSM, pada umumnya data yang tersimpan tampak seperti dalam gambar di bawah ini dan sekali lagi patut diingat bahwa tiap provider memiliki kebijakan yang berbeda.

Secara umum, CDR dalam jaringan GSM akan berisi identifikasi Switch (MSC), latitude dan longitude dari Cell Tower, terkadang azimuth atau arah dari radio set (sector) dari antenna Cell Site juga tersimpan.  Dalam gambar tersebut (dari provider AT&T) terlihat data starting Cell Site dan juga Cell Site yang digunakan oleh pelanggan.  Perlu diketahui bahwa Cell Site pertama dalam CDR adalah cell site yang dipilih oleh handset pada saat idle mode.  Pada saat handpone terhubung dengan satu Cell Site untuk penggunaan voice call, maka jaringan yang akan menentukan cell site mana yang akan digunakan.  Oleh karena itu, data cell site yang tersaji dalam CDR bukan berarti bahwa Cell site digunakan oleh pengguna untuk kemudian dijadikan dasar dalam penentuan lokasi.

Referensi: Cell Phone Location Evidence for Legal Professionals (Larry Daniel)

 

 

Satori + Wireshark = Akurasi Proses Analysis Platform Fingerprinting

Salah satu tahapan dalam melakukan Pentesting atas Mobile Phone-terutama terkait Network-adalah melakukan fingerprinting atas semua client yang terhubung dengan satu Access Point.  Terdapat 2 (dua) tools yang dapat digunakan yaitu Wireshark dan Satori.

Untuk melakukan fingerprinting ini, tentunya analyst harus melakukan capturing data packet.  Untuk kasus ini, saya menggunakan mobile-traffic.pcap untuk bahan analisis.  Selanjutnya dengan menggunakan Wireshark, diperoleh hasil sebagai berikut:

Picture 2016-09-04 18_00_28

Tampak host name berupa Blackberry-C17C.  Untuk lebih mudahnya, kita bisa menggunakan tools yaitu Satori.  Untuk proses analisis platform, penggunaan Satori lebih straightforward ketimbang penggunaan Wireshark.  Hasilnya adalah sebagai berikut:

Picture 2016-09-04 17_56_17

 

 

Mobile Phone Forensics Tools

Tool Komersial

  1. IEF Mobile; Mendukung untuk pengumpulan data terkait penggunaan Internet dan perolehan data aplikasi dari pihak ketiga. Aplikasi ini juga dikenal sangat baik untuk memperoleh data dari iOS app.
  2. Cellebrite – UFED Physical Analyzer; Saat ini merupakan tools yang terbaik untuk melakukan analisis atas smartphone. Walaupun tidak dapat memperoleh data seutuhnya, tetapi tools tersebut mampu mendukung examiner untuk melakukan manual carving dan hex searches.  Tools ini juga dikenal sangat baik untuk melakukan proses searching pada data dalam bentuk raw hex.
  3. MSAB XRY/XACT; Dikenal kemampuannya dalam memberikan akses atas file raw selama proses ekstraksi secara secara lojik. Akses atas data raw sangat menunjang perolehan data yang telah dihapus.
  4. Lantern; Sangat baik untuk perolehan data terkait Facebook app. Juga sangat baik dalam perolehan data pada handset iOS tertentu.
  5. Blacklight; Berjalan hanya Mac, sehingga sangat sesuai untuk pemrosesan atas handset iOS;
  6. Mobilyze; Tool yang sangat baik untuk triaging handset iOS dan Android.
  7. MPE+; SQLite builder yang terdapat dalam tool ini sangat baik untuk melakukan analisis database dari aplikasi pihak ketiga secara manual.
  8. Oxygen; Merupakan tool yang sangat baik untuk penanganan Blackberry. Alat tersebut dapat memperoleh Event Log serta menghasilkan file BB backup secara aman.

Open Source and Other Solutions

  1. Andriller; Tool ini dapat digunakan untuk men-crack passcodes yang digunakan dalam handset dan dapat memperoleh data (parser) data aplikasi pihak ketiga dalam handset iOS, Android dan Windows Mobile Phone. This is one of my new favorites. Aparat penegak hukum dapat memperoleh alat ini secara gratis. Sedangkan untuk pihak lainnya harus membayar fee.
  2. Now Secure CE (dahulu dikenal sebagai ViaExtract CE); Now Secure memberikan secara gratis aplikasi ini. Terdapat fitur untuk proses ekstraksi dan parsing (https://www.nowsecure.com/forensics/community/).
  3. Sanderson Forensics tools; Sangat baik untuk proses SQLite yaitu melakukan proses pemulihan data yang telah terhapus di dalam database dan data konversi untuk timestamps (http://www.sandersonforensics.com/forum/content.php).
  4. Beberapa peneliti seperti Mari DeGrazia (http://az4n6.blogspot.com/) dan Adrian Leong (http://cheeky4n6monkey.blogspot.com/) mengembangkan scripts untuk komunitas digital dan mobile phone forensics.
  5. Autopsy v3; Modul Android Analyzer mendukung perolehan data yang dihapus dalam handset Tool ini juga memberikan akses atas File System directory tree lebih cepat dibandingkan dengan tool komersial yang ada (http://sleuthkit.org/autopsy/).