LAPORAN INVESTIGASI
Laporan Investigasi Forensik Digital
Kasus Ann Dercover
IDENTITAS KASUS
Deskripsi Kasus
Perusahaan Anarchy-R-Us, Inc.
Mencurigai seorang karyawan yang bernama Ann Dercover, dia dicurigai
sebagai mata – mata perusahaan yang bekerja untuk kompetitor
mereka. Ann telah mengakses aset berharga milik peusahaan, yaitu
sebuah resep rahasia. Staff keamanan khawatir Ann akan membocorkan
rahasia tersebut sehingga dilakukan monitoring terhadap aktivitas
lalu lintas internet Ann Dercover. Namun, pihak keamanan belum
menemukan apapun, tapi pada capture traffic terlihat bahwa IP
yang di pakai oleh Ann adalah 192.168.1.158 yang dipakai untuk
mengirim sebuah IM menggunakan jaringan wirelesspada laptop, namun
setelah itu laptop yang dipakai oleh Ann Dercover hilang.
Staff keamanan melapor ke kantor Polda
DIY dengan membawa barang bukti berupa packet capture, dengan
bukti yang ada, Investigator dari polda DIY meminta kepada ahli
forensik di Laboratorium Forensika Digital Universitas Islam
Indonesia untuk melakukan analisis barang bukti dan menemukan jawaban
atas pertanyaan – pertanyaan yang ditujukan oleh pihak staff
keamanan dari perusahaan Anarchy-R-Us, Inc
Tujuan
Menetapkan tersangka kasus pencurian
data rahasia dengan menghadirkan bukti – bukti digital yang akurat.
Kasus Kejahatan
Pencurian data secara ilegal
Yang Menagani
Polda DIY
Tempat Pemeriksaan
Laboratorium Forensik Digital
Universitas Islam Indonesia
Tools yang digunakan
FTK Imager, Wireshark, Kali Linux
Memorandum untuk:
Kantor Polda DIY
Investigator ...
Jl. Kaliurang KM 14,5 Ngemplak, Sleman
Daerah Istimewah Yogyakarta
Subjek
Laporan Investigasi Forensika Digital
Subjek: Ann Dercover
Nomor Kasus :
RINGKASAN KASUS
Pemohon : Mahon
Subjek : Ann Dercover
Nomor Kasus :
RINGKASAN KASUS
Pemohon :
Alamat Pemohon : Jalan Babarsari No 1B
Depok, Sleman, Yogyakarta
Pihak Penerima : Afrillah Andi Aries
Waktu : Jum’at, 21 Agustus 2015,
Pukul. 10.00 WIB
No Kasus :
DESKRIPSI PERMOHONAN
INVESTIGASI
Deskripsi Barang Bukti
Barang bukti yang didapat adalah berupa
file paket capture traffic network dari aktivitas yang
dilakukan oleh Ann Dercorver. File tersebut bernama “evidance01.pcap”
Informasi yang diinginka
Dari barang bukti yang diajukan, ada
beberapa pertanyaan yang diajukan oleh investigator untuk membuktikan
keterlibatan Ann Dercover dalam pencurian data rahasia milik
perusahaan tersbut meiputi:
- Apa nama IM buddy Ann ?
- Percakapan apa yang pertama kali terekam di IM ?
- Apa nama file yang dikirim oleh Ann ?
- Apa resep rahasia tersebut ?
PROSES PENERIMAAN
BARANG BUKTI
Penerimaan barang bukti
Barang bukti yang
diterima sebuah flashdisk merk kingstone 16GB berisi file packet
capture yang diserahkan perusahaan Anarchy-R-Us, Inc kepada
investigator Polda DIY, kemudian barang bukti tersebut diterima oleh
Laboratorium Digital Universitas Islam Indonesia.
Terdapat dua file yang
diajukan sebagai barang bukti, yaitu : file evidance01.pcap
dan file evidance05.md5
PROSES PEMERIKSAAN
BARANG BUKTI
Prosedur
Prosedur yang dilakukan dalam
pemeriksaan barang bukti adalah :
- Ahli forensik digital meninjau dokumentasi yang diberikan oleh penyidik meliputi :
- Memiliki kewenangan hukum yang dibuktikan engan surat perintah dari institusi yang berwenang untuk melakukan pemeriksaan di Laboratorium.
- Memeriksa Chain Of Custody dalam proses penerimaan barang bukti hingga barang bukti sampai di Laboratorium.
- Meminta ringkasan informasi erkait dengan tersangka dan kasus yang ingin diselidiki
- Mencatat nama kasus yang sedang ditangani dan memberi no kasus serta mencatatnama pemeriksa dari Laboratorium.
- Menyiapkan segala keperluan untuk dokumentasi selam proses pemeriksaan berlangsung.
- Menyiapkan komputer dengan OS Windows 8 yang telah terinstal FTK Imagr, Wireshark, kali Linux
- Menduplikasi file packet capture yang bernama evidance01.pcap dan evdance01.md5 menggunakan FTK Imager
- Memastikan bahwa file duplikasi identik dengan file asli dibuktikan dengan nilai hash yang terdapat pada file evidance01.md5.
- Melakukan pemeriksaan dan analisis pada file hasil dari duplikasi menggunakan tools Wireshark dan OS Kali Linux, sedangkan file asli disimpan dan diamankan sebagai barng bukti dipengadilan.
- Bukti traffic yang diteukan di screenshot untuk di dokumentasikan dan di jadikan laporan.
- Membuat laporan dari hasil invesigasi yang dilakukan di Laboratorium dan kemudian diserahkan kepada penyidik.
- Wktu dan Tempat
Proses
pemeriksaan barang bukti dilakukan pada
Waktu : jum’at
21 Agustus 2015, pukul 13.30 WIB
Tempat :
Laboratorium Foresik Digital Universitas Islam Indonesia
- Hasil Pemeriksaan
File hasil
duplikasi yang digunakan unutuk analisis adalah identik dengan file
asli yang dibuktikan dengan nilai hash yang sama dengan nilai hash
yang file asli.
Nilai
hash md5 dari file evidance01.pcap yang tersimpan dalam file
evidene01.md5Gambar
Hasil
pemeriksaan dan analisis menggunakan wireshark adalah sebagai berikut
:
- Terdapat 240 frme komunikasi packet capture dari magnet yang digunakan Ann Dercover
- IP Address yang digunakan Ann Dercover adalah 192.168.1.158
- Terdapat alamat IM buddy yang digunakan oleh Ann Dercover yang bernama sec558user1
- Terdapat percakapan antara Ann Dercover dengan rekannya yang menyatakan bahwa “Here’s the secret rcipe.. i just doenloaded it from the file server. Just copy to a thumb drive and you’re good to go >: “ dan terdapat sebuah file yang ditranfer oleh Ann. File tersebut bernama recipe.docx
- Setelah mengekstrak file recipe.docx terdapat tulisan yang menjabarkan tentang resep rahasia perusahaan yang isinya “Recipe for disaster : 1 serving Ingredients :4 cups sugar, 2cup water. In a medium saucepan, bring the water to a boil. Add sugar. Stir gently over low heat until sugar is fully dissolved. Removed the saucepan from heat. Allow to cool completely. Pour into gas tank. Repeat as necessary”
DOKUMENTASI
Berikut ini adalah
screetshot dari proses analisi file pocket capture menggunakan
wireshark. Dari analis tersebut di temukan bahwa Ann Dercover
berkomunikasi menggunakan IM buddy dengan akun buddy name : ...
Gambar
Penemuan
selanjutnya adalah ercakapan yang dilakukan oleh Ann Decover mengenai
komplotan pencurian resep rahasis yang berbunyi “Here’s the
secret recipe.. i just downloaded it from the file server. Just copy
to a thumb drive and yaou’re good to go >: “
Gambar
Ditemukan pula
file yang ditranfer oleh Ann Dercover yaitu file yang bernama
recipe.docx
Gambar
Brikut isi file recipe.docx setelah
di ekstrak
Gambar
KESIMPULAN
Setelah
menganalisa data di temukan beberapa file percakapan yang dilakukan
oleh Ann Dercover dan dapat di simpulkan bahwa telah terjadi
pencurian data perusahaan secara ilegal. Hasil temuan data percakapan
hasil investigasi dapat digunakan sebagai bukti di pengadilan.
Anarchy-R-Us, Inc. suspects that one of their employees, Ann Dercover, is really a secret agent working for their competitor.
Ann has access to the company’s prize asset, the secret recipe. Security staff are worried that Ann may try to leak the company’s secret recipe.
Security staff have been monitoring Ann’s activity for some time, but haven’t found anything suspicious– until now. Today an unexpected laptop briefly appeared on the company wireless network. Staff hypothesize it may have been someone in the parking lot, because no strangers were seen in the building. Ann’s computer, (192.168.1.158) sent IMs over the wireless network to this computer. The rogue laptop disappeared shortly thereafter.
“We have a packet capture of the activity,” said security staff, “but we can’t figure out what’s going on. Can you help?”
You are the forensic investigator. Your mission is to figure out who Ann was IM-ing, what she sent, and recover evidence including:
1. What is the name of Ann's IM buddy?
2. What was the first comment in the captured IM conversation?
3. What is the name of the file Ann transferred?
4. What is the magic number of the file you want to extract (first four bytes)?
5. What was the MD5sum of the file?
6. What is the secret recipe?
Ilustrasi kasus dengan 5W (what, why, where, when, who) dan 1 H (how):
What :
Pada kasus diatas dapat diketahui bahwa perusahaan Anarchy-R-Us Inc mencurigai salah satu karyawannya yaitu Ann Dercover sebagai mata-mata dan membocorkan rahasia perusahaan kepada perusahaan pesaingnya.
Why:
Masih tahap prediksi: bahwa Ann dibayar mahal oleh perusaan lainnya agar Ann mau membocorkan rahasia perusahaanya, dalam hal ini berupa resep makanan.
Where:
Di Anarchy-R-Us, Inc salah satu perusahaan di US
When:
Diketahui dari kasus diatas bahwa waktu saat Ann melakukan chating yaitu 8-12-2009 : 10:57:15 PM
Who:
Pelaku yaitu Ann Dercover
How:
Dengan menggunakan Instant Messanger, melalui jaringan Nirkabel yang ada pada perusahaan Ann.
You are the forensic investigator. Your mission is to figure out who Ann was IM-ing, what she sent, and recover evidence including:
1. What is the name of Ann's IM buddy?
2. What was the first comment in the captured IM conversation?
3. What is the name of the file Ann transferred?
4. What is the magic number of the file you want to extract (first four bytes)?
5. What was the MD5sum of the file?
6. What is the secret recipe?
Ilustrasi kasus dengan 5W (what, why, where, when, who) dan 1 H (how):
What :
Pada kasus diatas dapat diketahui bahwa perusahaan Anarchy-R-Us Inc mencurigai salah satu karyawannya yaitu Ann Dercover sebagai mata-mata dan membocorkan rahasia perusahaan kepada perusahaan pesaingnya.
Why:
Masih tahap prediksi: bahwa Ann dibayar mahal oleh perusaan lainnya agar Ann mau membocorkan rahasia perusahaanya, dalam hal ini berupa resep makanan.
Where:
Di Anarchy-R-Us, Inc salah satu perusahaan di US
When:
Diketahui dari kasus diatas bahwa waktu saat Ann melakukan chating yaitu 8-12-2009 : 10:57:15 PM
Who:
Pelaku yaitu Ann Dercover
How:
Dengan menggunakan Instant Messanger, melalui jaringan Nirkabel yang ada pada perusahaan Ann.
Tidak ada komentar:
Posting Komentar