The simplest answer is usually right
The modern KISS principle “Keep It Simple Stupid”
Don’t speculate
Let the data be the data
Jika dilihat dari pernyataan Occams Razor di atas, dapat disimpulkan bahwa dalam penanganan kasus digital forensik, buatlah analisa yang simpel namun sudah bisa menjawab dari kasus namun dengan pertimbangan tidak membuat spekulasi, semua harus berdasar pada data. Jadi jika menggunakan sebuah tool atau metode yang sering digunakan sudah bisa untuk menjawab maka tidak perlu tool metode lain yang mungkin akan membuat proses analisa semakin lama, “The simplest answer is usually right”. Dan untuk penerapan ini bisa menggunakan tool Wireshark
ALEXIOU PRINCIPLE
Documented by Mike Alexiou, VP, Engagement Services Terremark
− What question are you trying to answer?
− What data do you need to answer that question?
− How do you extract/analyze that data?
− What does the data tell you?
Kemudian dari pernyataan di atas, jika diimplementasikan dalam kasus “Ann’s Skip Bail” dari link “http://forensicscontest.com/2009/10/10/puzzle-2-ann-skips-bail” disana ada soal, You are the forensic investigator. Your mission is to figure out what Ann emailed, where she went, and recover evidence including:
1. What is Ann’s email address?
2. What is Ann’s email password?
3. What is Ann’s secret lover’s email address?
4. What two items did Ann tell her secret lover to bring?
5. What is the NAME of the attachment Ann sent to her secret lover?
6. What is the MD5sum of the attachment Ann sent to her secret lover?
7. In what CITY and COUNTRY is their rendez-vous point?
8. What is the MD5sum of the image embedded in the document?
Untuk menjawab itu maka metode Alexiou Principle dapat digunakan untuk menganalisa kasus ini.
What question are you trying to answer?
What is Ann’s email address?
What is Ann’s email password?
What is Ann’s secret lover’s email address?
What two items did Ann tell her secret lover to bring?
What is the NAME of the attachment Ann sent to her secret lover?
What is the MD5sum of the attachment Ann sent to her secret lover?
In what CITY and COUNTRY is their rendez-vous point?
What is the MD5sum of the image embedded in the document?
What data do you need to answer that question?
Seperti di link yang kami berikan sebelumnya disana ada file yang bisa digunakan untuk menganalisa yaitu “http://forensicscontest.com/contest02/evidence02.pcap”
How do you extract/analyze that data?
Untuk melakukan analisa dari data yang diperoleh, maka seperti yang disampaikan sebelumnya bahwa dalam penggunaan tool untuk analisa mnggunakan Wireshark. Dengan tool tersebut dapat untuk menganalisa karena ada filter dan analisa lain, seperti pada panduannya yang di link ini, https://www.wireshark.org/download/docs/user-guide-a4.pdf.
What does the data tell you?
Setelah dilakukan analisa terhadapat file yang ada, maka dapat menjawab pertanyaan di bawah ini
1. What is Ann’s email address? sneakyg33k@aol.com
2. What is Ann’s email password? 558r00lz
3. What is Ann’s secret lover’s email address? mistersecretx@aol.com
4. What two items did Ann tell her secret lover to bring? fake passport and a bathing suit
5. What is the NAME of the attachment Ann sent to her secret lover? secretrendezvous.docx
6. What is the MD5sum of the attachment Ann sent to her secret lover? 9e423e11db88f01bbff81172839e1923
7. In what CITY and COUNTRY is their rendez-vous point? Playa del Carmen, Mexico
8. What is the MD5sum of the image embedded in the document? aadeace50997b1ba24b09ac2ef1940b7
PENDEKATAN 5W 1H
Penggunaan pendekatan 5W1H untuk contoh soal di atas sangat mungkin dimana dari Who, What, Where, When, Why, dan How.
Who/Siapa
What/Apa
Where/Dimana
When/Kapan
Why/Mengapa
How/Bagaimana
Metode ini bisa untuk menjawab kasus pada link di atas, yang mana, untuk:
Who
Siapa yang ada dalam kasus ini adalah seperti gambar di bawah yaitu ada email dan alamat IP.
What
Kasus apa yang terjadi adalah perginya Ann Dercover, keberadaan Ann tidak diketahui. Namun, investigator kasus telah melakukan monitoring terhadap aktivitas network Ann dan dicurigai adanya komunikasi antara Ann dengan kekasihnya sebelum Ann pergi menghilang.
Where
Dimana kasus ini terjadi, adalah dari hasil analisa bahwa dia akan menemui kekasihnya di Playa del Carmen, Mexico.
When
Kapan terjadi ini seperti yang terekam dalam data yang ditemukan bahwa pada tanggal 10 Oktober 2009.
Why
Mengapa kasus ini perlu diungkap karena Ann tertangkap dan ditahan atas tuduhan pencurian dan penyelundupan data penting perusahan, kemudian dibebaskan dengan jaminan. Setelah itu, Ann pergi menghilang. Bebas dengan jaminan dapat disebut juga dengan penangguhan penahanan. Kepergian Ann ini dimungkinkan karena pada dasarnya bebas dengan jaminan maka terdakwa harus melakukan wajib lapor, atau tidak keluar rumah, atau tidak keluar kota. Selain itu, Ann juga tidak ingin kembali ditahan apabila kemudian dinyatakan bersalah oleh pengadilan, sehingga Ann memutuskan untuk “kabur”.
How
Bagaimana pelaku dalam kejahatannya adalah dengan merencanakan akan pergi dengan kekasihnya dan dia komunikasi menggnakan email.
Sumber :
Klik untuk mengakses 2-newell-spiderlabs-sniper-forensics.pdf
Klik untuk mengakses user-guide-a4.pdf
http://malwerewolf.com/2015/04/network-forensics-round-2-ann-skips-bail/
Catatan Kuliah Forensik Digital 