Digital Forensics dan Matryoshka doll

BlackBull 🐂 CTF Kamsib merupakan seri video dari kamsib_id yang menjelaskan mengenai permainan Capture The Flag (CTF). Di sini kita akan belajar cyber security melalui permainan yang sangat menarik. Aritkel kali ini akan membahas mengenai Digital Forensics dan Matryoshka doll. Matryoshka ini adalah nama salah satu soal di PicoCTF.

PicoCTF dan CTF

Penjelasan mengenai CTF dan PicoCTF dapat dilihat di artikel sebelumnya. Langsung cekidot https://kamsib.id/capture-the-flag-ctf/picoctf/picoctf-reverse-engineering-transformation-tutorial-bahasa-indonesia/

Apa itu Forensik Digital?

Digital Forensics adalah cabang ilmu forensik yang berfokus pada pengidentifikasian, pengumpulan, analisis, dan pelaporan data digital yang berkaitan dengan suatu kejadian. Data digital dapat berupa apa saja, mulai dari data komputer, data seluler, data jaringan, hingga data cloud.

Tujuan utama digital forensics adalah untuk mengumpulkan bukti digital yang dapat digunakan untuk mendukung atau menyangkal suatu hipotesis dalam kasus hukum. Bukti digital dapat berupa data yang tersimpan di perangkat digital, seperti dokumen, email, file gambar, file video, atau data log. Beberapa contoh kasus yang dapat diinvestigasi menggunakan forensik digital antara lain:

  • Kejahatan siber, seperti pencurian data, penipuan online, atau peretasan.
  • Insiden keamanan, seperti serangan ransomware atau data breach.
  • Pelanggaran hukum, seperti korupsi atau pelanggaran hak kekayaan intelektual.

Forensik digital merupakan bidang yang berkembang pesat seiring dengan semakin meningkatnya penggunaan teknologi digital dalam kehidupan sehari-hari. Para ahli digital forensics harus memiliki pengetahuan dan keterampilan yang luas di bidang teknologi komputer, hukum, dan investigasi.

Laporan digital forensics biasanya berisi informasi berikut:

  • Ringkasan kasus
  • Data yang dikumpulkan
  • Analisis data
  • Kesimpulan

Laporan digital forensics dapat menjadi bukti yang kuat dalam kasus hukum. Oleh karena itu, penting untuk memastikan bahwa proses digital forensics dilakukan dengan cara yang profesional dan sesuai dengan standar yang berlaku.

Forensik Jaringan

Forensik jaringan adalah cabang ilmu forensik yang berfokus pada pengumpulan, analisis, dan pelaporan data jaringan yang berkaitan dengan suatu kejadian. Data jaringan dapat berupa apa saja, mulai dari data log, data traffic, hingga data metadata.

Forensik jaringan dapat didefinisikan sebagai penerapan metode ilmiah untuk mengidentifikasi, mengumpulkan, menganalisa, dan mempresentasikan bukti jaringan. Bukti jaringan dapat berupa data yang tersimpan di perangkat jaringan, seperti router, switch, firewall, atau server.

AspekForensik Komputer Forensik Jaringan
Objek penyelidikanPerangkat komputerJaringan komputer
Jenis data yang dikumpulkanData yang tersimpan di perangkat komputer, seperti dokumen, email, file gambar, file video, atau data logData jaringan, seperti data log, data traffic, hingga data metadata
Metode analisis dataAnalisis data komputerAnalisis data jaringan
TujuanUntuk mengumpulkan bukti digital yang dapat digunakan untuk mendukung atau menyangkal suatu hipotesis dalam kasus hukum Untuk mengumpulkan bukti jaringan yang dapat digunakan untuk mendukung atau menyangkal suatu hipotesis dalam kasus hukum
Perbedaan Forensik Komputer dan Forensik Jaringan

Forensik komputer dan forensik jaringan merupakan dua cabang ilmu forensik yang saling berkaitan. Kedua cabang ilmu ini dapat digunakan untuk mengumpulkan bukti digital yang dapat digunakan untuk mendukung atau menyangkal suatu hipotesis dalam kasus hukum.

Matryoshka doll

Deskripsi soal

Matryoshka dolls are a set of wooden dolls of decreasing size placed one inside another. What’s the final one? Image: this

Boneka Matryoshka adalah seperangkat boneka kayu yang ukurannya diperkecil dan ditempatkan satu di dalam yang lain. File apa yang terakhir di dalam gambar tersebut?

Kurang lebih begitulah isi deskripsi dari soal Matryoshka doll berkategori forensik dengan nilai 30 poin. Sepertinya kita diminta untuk mencari sebuah file di dalam sebuah gambar. Menarik, bukan?

Pengerjaan

Tantangannya memberi kita tautan untuk mengunduh gambar bernama dolls.jpg. Hint-nya adalah “Wait, you can hide files inside files? But how do you find them?”. Dari petunjuk tersebut, kita dapat berasumsi ada file tersembunyi di dalam file ini.

hints pada soal matryoshka doll

Binwalk

Binwalk adalah alat untuk mencari gambar biner (binary image) tertentu untuk file yang disematkan (embedded) dan kode yang dapat dieksekusi. Alat ini adalah alat Python bawaan (built-in) yang digunakan untuk menganalisis, merekayasa balik (reverse-engineer), dan mengekstrak gambar firmware. Banyak orang yang memainkan CTF menggunakan alat ini untuk menganalisis file yang mereka temukan. Alat ini menggunakan perpustakaan libmagic, sehingga kompatibel dengan tanda tangan ajaib yang dibuat untuk utilitas file Unix.

binwalk di kali linux

Binwalk juga menyertakan file tanda tangan ajaib khusus (custom magic signature) yang berisi tanda tangan yang ditingkatkan untuk file yang biasanya ditemukan dalam gambar firmware seperti file terkompresi/arsip, header firmware, kernel Linux, bootloader, sistem file, dll.

Installed size: 15 KB
How to install: sudo apt install binwalk

Lanjut Pengerjaan

Kita akan mengerjakan soal CTF ini menggunakan alat tempur kita, Kali Linux. Di dalamnya sudah ada tools dengan nama binwalk. Dengan binwalk, kita coba cari file tersembunyi yang ada di dalam boneka tersebut, ya sob!

Memastikan jenis dan metadata file dolls.jpg

Dari sini kita tahu bahwa file ini benar-benar adalah sebuah gambar. Kita bisa juga buka gambar tersebut dan memang gambarnya tidak rusak ketika dilihat. Maka dari itu, selanjutnya kita coba menggunakan binwalk untuk melihat file tersebunyi yang ada di dalam gambar.

binwalk -e dolls.jpg

Dari hasil binwalk tadi, kita memperoleh folder dengan nama _dolls.jpg.extracted. Di dalam folder ini berisikan semua file hasil proses ekstraksi dari file dolls.jpg tadi, sob!

Dari hasil ekstraksi, kita memperoleh file 4286C.zip dan folder base_images

Kita coba binwalk file arsip tersebut, ternyata tidak bisa. Setelah dicek, file tersebut benar adalah file arsip dan bukan merupakan file pengecoh. Ketika dilakukan unzip, akan mengeluarkan folder yang sama dengan nama “base_images”.

Ada gambar lagi di dalam folder base_images

Kita memperoleh gambar lagi, sob! Dengan nama file 2_c.jpg. Selanjutnya kita coba lagi lakukan binwalk terhadap file tersebut.

binwalk -e 2_c.jpg

Sama seperti proses binwalk sebelumnya, kita memperoleh sebuah folder dengan _2_c.jpg.extracted. Folder yang berisikan hasil ekstraksi binwalk pada sebuah file.

2DD3B.zip dan base_images

Semakin menarik. Kita memperoleh file gambar degan nama yang mirip. Namun kali ini, di dalam folder base_images, kita memperoleh file dengan nama 3_c.jpg. Lanjut saja kita ekstrak lagi.

Lanjut binwalk, jangan lelah!

1E2D6.zip dan base_images

Selanjutnya kita memperoleh file 4_c.jpg dari proses menjalankan perintah binwalk -e 3_c.jpg. File tersebut juga akan kita coba binwalk lagi.

136DA.zip dan tidak ada base_images lagi

Ternyata file 4_c.jpg ini tadi adalah file terakhir, sob. Sehingga di akhir ini, kita memperoleh sebuah file zip dan sebuah file txt dengan nama flag.txt. Ketika kita baca isi file nya, kita akan memperoleh flag yang dimaksud pada soal. Selamat!

Gimana, sob? Forensik digital ini asyik, bukan?!

Leave a Reply