Essential Cybersecurity Science

by Josiah Dykstra

BAB 8

Digital Forensics
By
Firma Purbantoro
 Digital Forensik
• Digital Forensik adalah salah satu cabang ilmu
forensik yang berkaitan dengan bukti legal
yang ditemui pada komputer dan media
penyimpanan digital. Forensik komputer
menjadi bidang ilmu baru yang
menggabungkan dua bidang keilmuan, hukum
dan komputer
 Contoh Percobaan Ilmiah dalam Forensik
Digital
• contoh instruktif yang menggambarkan
eksperimen ilmiah dalam pengembangan alat
forensik digital, dpaat dilihat pada abstarak
jurnal “Language translation for file paths”
oleh Rowe, Schwamm, and Garfinkel (2013)
• Makalah ini menyajikan suatu cara baru dan
evaluasi eksperimental terhadap
keakuratannya
 Abstract from a digital forensics experiment
Forensic examiners are frequently confronted with content in languages that they do not
understand, and they could benefit from machine translation into their native lan‐ guage. But
automated translation of file paths is a difficult problem because of the min‐ imal context for
translation and the frequent mixing of multiple languages within a path. This work developed a
prototype implementation of a file-path translator that first identifies the language for each
directory segment of a path, and then translates to English those that are not already English nor
artificial words. Brown’s LA-Strings util‐ ity for language identification was tried, but its
performance was found inadequate on short strings and it was supplemented with clues from
dictionary lookup, Unicode character distributions for languages, country of origin, and language-
related key‐ words. To provide better data for language inference, words used in each directory
over a large corpus were aggregated for analysis. The resulting directory-language probabilities
were combined with those for each path segment from dictionary lookup and character-type
distributions to infer the segment’s most likely language. Tests were done on a corpus of 50.1
million file paths looking for 35 different languages. Tests showed 90.4% accuracy on identifying
languages of directories and 93.7% accuracy on identifying languages of directory/file segments of
filepaths, even after excluding 44.4% of the paths as obviously English or untranslatable. Two of
seven proposed language clues were shown to impair directory-language identification.
Experiments also com‐ pared three translation methods: the Systran translation tool, Google
Translate, and word-for-word substitution using dictionaries. Google Translate usually performed
the best, but all still made errors with European languages and a significant number of errors with
Arabic and Chinese.
• Contoh diatas menggambarkan satu jenis
eksperimen ilmiah yang melibatkan alat
forensik digital. Eksperimen semacam itu bisa
dilakukan untuk cara / alat baru lainnya,
termasuk di luar forensik digital.
• Ada juga persyaratan unik untuk alat forensik
digital karena keterlibatannya dalam proses
hukum
 Keabsahan Ilmiah dan Hukum
• Bukti digital berperan dalam hampir setiap
kasus hukum saat ini. Bahkan ketika tersangka
tidak menyerang sistem komputer, dia
kemungkinan menggunakan ponsel, kamera,
email, situs web, atau media digital lainnya
yang berisi beberapa informasi yang berkaitan
dengan penyelidikan kejahatan.
 The Daubert stkitard
dari Daubert v. Merrell Dow Pharmaceuticals (1993)

• Daubert mengatakan bahwa pengetahuan

ilmiah harus "diturunkan dengan metode
ilmiah." Ini berlanjut dengan cara yang sama
seperti yang telah dibahas sebelumnya
dengan metode ilmiah, dengan mengatakan
bahwa "metodologi ilmiah saat ini didasarkan
pada menghasilkan hipotesis dan mengujinya
untuk melihat apakah bisa dipalsukan. "
• bukti ilmiah itu valid dan dapat diterima di
pengadilan saat bukti sesuai pengujian, peer
review, adanya tingkat kesalahan atau stkitar
pengendalian yang diketahui, dan penerimaan
umum komunitas ilmiah yang relevan.

• Ini penting untuk diingat oleh praktisi forensik

digital, pengembang aplikasi, atau peneliti
Contoh kasus penggunaan digital forensik di
indonesia
• Kasus jessica – penggunaan CCTV untuk
membuktikan bahwa racun ditaruh di gelas
kopi
• Kasus Rizieq shihab – Penggunaan Chat di
Applikasi whattApps
 Scientific Reproducibility & Repeatability
(dapat di-reproduksi & dapat diulang secara Ilmiah)

• Reproducibility adalah kemampuan untuk

membuat ulang eksperimen dengan
menggunakan kode dan data yang sama
dengan yang telah digunakan
• Repeatability adalah tentang pengulangan
misalnya menjalankan tes lagi dengan
menggunakan kode yang sama, data yang
sama, dan kondisi yang sama
 Studi Kasus: Perbandingan Ilmiah Alat
Forensik
• Misalnya untuk mengetahui apakah
pemrosesan berbasis forensik berbasis satelit
dengan menggunakan MapReduce dapat
meningkatkan kecepatan.
• Hipotesa-nya adalah Waktu yang dibutuhkan
untuk membangun garis waktu forensik digital
akan menjadi 75% lebih cepat menggunakan
cluster Hadoop daripada workstation forensik
tradisional.
• Variabel independen dalam hipotesis adalah
platform eksekusi, yaitu cloud dan desktop.
jika ingin secara eksperimental mengukur
waktu eksekusi pada kedua platform serta
memastikan semaksimal mungkin bahwa
variabel lain konsisten
• digunakan citra disk yang sama yaitu drive USB
500 MB
• spesifikasi mesin juga sebanding sehingga satu
tes tidak diuntungkan dengan perangkat keras
yang lebih baik
• Tabel 8-1 menunjukkan spesifikasi dasar
untuk workstation forensik tunggal dan 10
contoh Amazon EC2
• Setiap eksekusi (RUN) percobaan akan
mengukur waktu eksekusi yang diperlukan
untuk The Sleuth Kit untuk menyusun garis
waktu gambar drive input.
• persiapkan kedua lingkungan eksekusi,
menjalankan proses, dan mendapatkan hasilnya.
Karena eksekusi program individual tunduk pada
banyak variabel pada komputer host (mis.,
Proses latar belakang lainnya, dsb.), kemudian
ulangi penciptaan garis waktu lima kali supaya
meyakinkan pada Tabel 8-2
Hasil pada tabel 8-2 ini menunjukkan bahwa
MapReduce berjalan sekitar 33% lebih cepat pada
gambar disk 500 MB. Tidak ada outlier ekstrem,
memberikan kepercayaan diri terhadap data yang
didapat. Data sejauh ini menunjukkan bahwa kita
harus menolak hipotesis awal, meskipun
MapReduce terukur lebih cepat. kita sekarang
memutuskan untuk menguji apakah hasil ini
sesuai untuk ukuran gambar disk yang berbeda
• Dengan menggunakan Real Data Corpus, kita mendapatkan
satu gambar disk masing-masing berukuran 1 GB, 10 GB, 500
GB, dan 2 TB.
• jikakita mengulangi penciptaan timeline lima kali untuk setiap
ukuran gambar disk, dan grafik hasilnya seperti yang
ditunjukkan pada Gambar 8-1. Seperti sebelumnya,
tampaknya Hadoop secara konsisten lebih cepat daripada
workstation tunggal, namun tidak 75% lebih cepat saat kita
berhipotesis. Pada titik ini kita bisa mengubah hipotesis kita
untuk merefleksikan dan menerapkan pengetahuan baru kita.
kita juga bisa memperpanjang percobaan dengan hipotesis
baru dan membandingkan berbagai ukuran node Hadoop.
Mungkin rangkaian lima node bekerja sebaik 10 dalam kasus
ini, atau mungkin 20 node secara substansial lebih cepat
 Gambar 8-1. Contoh perbandingan waktu eksekusi pada workstation
versus MapReduce untuk berbagai ukuran disk image
Ada beberapa cara untuk menempatkan hasil kerja kita.
Sebaiknya kita mempertimbangkan untuk mempublikasikan
hasil kita secara online atau di kertas. Data awal ini mungkin
cukup meyakinkan bahkan untuk memulai usaha atau
membuat produk baru yang mengkhususkan diri pada
forensik sebagai layanan menggunakan MapReduce. Paling
tidak kita akan belajar sesuatu
• Penelitian diatas ditampilkan pada jurnal dan
konferensi cybersecurity, dan di tempat-
tempat khusus forensik termasuk Lokakarya
Penelitian Forensik Digital (DFRWS), Kelompok
Kerja IFIP 11.9 tentang Digital Forensics, dan
American Academy of Forensic Sciences.
Publikasi populer untuk kemajuan ilmiah
dalam forensik digital adalah jurnal Digital
Investigation
 Kesimpulan
• Bab ini membahas ilmu pengetahuan cybersecurity yang diterapkan pada
forensik digital dan investigasi forensik dan pemulihan data. Dengan sasaran
utama:
• Ilmuwan dan praktisi forensik digital harus memahami bagaimana sistem
hukumnya berhubungan dengan bukti ilmiah, dan persyaratan unik yang
diberikan undang-undang tentang pengembangan alat dan validitas ilmiah.
• Menurut Daubert, bukti ilmiah valid dan dapat diterima di pengadilan saat ia
mematuhi pengujian, peer review, adanya tingkat kesalahan atau stkitar
pengendalian yang diketahui, dan penerimaan umum masyarakat ilmiah yang
relevan.
• Reprodusibilitas adalah kemampuan orang lain untuk menciptakan kembali
eksperimen kita menggunakan kode dan data yang sama dengan yang kita
gunakan. Repeatability adalah kemampuan kita untuk menjalankan tes ulang,
menggunakan kode yang sama, data yang sama, dan kondisi yang sama.
• eksplorasi sebuah contoh percobaan untuk dipelajari jika pemrosesan forensik
berbasis cloud / awan dapat membuat forensik lebih cepat daripada metode
tradisional