Analisis Crime Occam Razor Alexiou Case Dark
Analisis Crime : Penerapan Occam’s Razor and Alexiou Principle & 5W+1H dalam Case Study Ann’s Dark Tangent (DEFCON 2010)
Kasus Ann Dercover merupakan pencurian data-dat penting dari suatu perusahaan dan menjual informasi perusahaan kepada lainnya. Namun kegiatan memata-matai tersebut terekam dalam jaringan yang dilalui data yang dicuri tersebut. Dari itu kegiatan forensik Digital dilakukan guna membuka semua data pengambilan yang dilakukan. Dengan penambahan 5W+1H, maka akan dicari tahu dari :
- What (Apa)
- When (Kapan)
- Where (Di mana)
- Who (Siapa)
- Why (Mengapa)
- How (Bagaimana)
Kemudian dengan penerapan prinsip OCCAM’S RAZOR
Occam’s Razor dijelaskan sebagai:
“The simplest answer is most often correct“.
“Jawaban yang paling sederhana adalah jawaban yang paling sering benar“. Perlu diperhatikan Occam’s Razor ini adalah ia tidak termasuk dalam proses penalaran (reasoning process).
Dengan menjawab pertanyaan sesederhana mungkin, berarti tidak menambah sulit dalam dalam mencari jawaban. Apabila dengan alat yang sederhana sudah terjawab tidak perlu memakai alat yang sulit untuk menemukan suatu jwaban dari pertanyaan tersebut. Apalagi sampai harus memakai perlengkapan, tool yang lebih dari sedikit.
ALEXIOU PRINCIPLE
Alexiou Principle adalah prinsip investigasi yang dikemukakan oleh Michael Alexiou, Chief Operating Officer CyTech Services, Inc, Washington D.C., Amerika Serikat.
- What question are you trying to answer?
- What data do you need to answer that question?
- How do you extract that data?
- What does that data tell you?
Proses investigasi, investigator harus tahu arah investigasinya, yaitu apa yang harus dijawab dari hasil investigasi, ke mana mencari data, bagaimana caranya dan apakah hasil investigasi sudah dapat menjawab pertanyaan.
Alexiou Principle diterapkan dalam analisis kasus :
- What question are you trying to answer?
- Hasil Hash MD5 ?
- Bagaimana membuka jaringan tanpa kabel, wifi ?
- Dimana tempatnya ?
- Hasil Isi file yang dikirim ?
- What data do you need to answer that question?
Data yang dibutuhkan untuk menjawab pertanyaan? Data berupa file packet capture aktivitas network Ann yaitu bukti-defcon2010.pcap“.
- How do you extract that data?
Bagaimana mengekstrak data ? Dengan memanfaatkan tool Wireshark dan command seperti tcpflow, cat, echo, base64, vi, sed, tr, unzip, md5sum, smtpdum, aircrack-ng, airdecap-ng, dengan OS Backtrack 5 R3.
- What does that data tell you?
Apa hasil ekstraksi data tersebut? dapat menjawab pertanyaan. Jawaban tersebut adalah sebagai berikut:
a. Hasil Hash MD5 ? 7c416421a626600f86e3702df0cac8ef
Membongkar keamanan jaringan Wifi. Berikut file hasil dari perekaman yang didapat dari dokumentasi, bisa di ambil melalui alamat : https://onedrive.live.com/embed?cid=04D2F55D70B62D95&resid=4D2F55D70B62D95%21268&authkey=ALdfqzvKQD2ce0k
Periksa Hash MD5:
$ Md5sum bukti-defcon2010.pcap
7c416421a626600f86e3702df0cac8ef bukti-defcon2010.pcap
b. Bagaimana membuka paksa jaringan tanpa kabel, wifi ?
Jika memeriksa capture paket, akan melihat bahwa berisi lalu lintas nirkabel WEP-dienkripsi.
Buka kunci WEP. Dapat melakukannya dengan menggunakan aircrack-ng dalam waktu yang cepat :
–> $ Aircrack-ng bukti-defcon2010.pcap
–> Membuka bukti-defcon2010.pcap
–> Baca 426.642 paket.
–> # BSSID ESSID Enkripsi
–> 1 00: 1C: 10: B3: CC: F0 w00t WEP (98923 infus)
–> Memilih jaringan pertama sebagai sasaran.
–> Membuka bukti-defcon2010.pcap
Setelah memiliki kunci WEP, gunakan untuk mendekripsi lalu lintas:
–> $ Airdecap-ng -w 4A: 7D: B5: 08: CD bukti-defcon2010.pcap
–> Total jumlah paket baca 426.642
–> Total jumlah paket data WEP 187.650
–> Total jumlah WPA paket data 0
–> Jumlah paket data plaintext 0
–> Jumlah didekripsi paket WEP 187.650
–> Jumlah rusak paket WEP 0
–> Jumlah didekripsi paket WPA 0
c. Isi email yang dikirimkan ?
Jika menjalankan string pada capture paket (atau melihatnya di Wireshark), akan melihat IMAP dan SMTP lalu lintas, termasuk email dengan lampiran. Lampiran email ini adalah kunci untuk seluruh teka-teki.
–> Gelap Tangent,
–> Aku tahu kau telah menonton saya. Anda harus dapat mengetahui =
–> lokasi titik pertemuan kami dari lalu lintas saya. Hubungi saya pertama dengan=
–> nama kota di mana kita akan bertemu, dan Anda menang 🙂 saya akan mengirimkan =
–> rincian lebih lanjut setelah itu. = 20
–> Ann
d. Lihat lampiran untuk petunjuk.
Mengukir lampiran email. Anda dapat melakukannya secara manual, atau gunakan smtpdump alat oleh Franck GUA © nichot.
Ada lima baris pada gambar, yang dibaca (dari atas ke bawah):
–> App Store – Nama aplikasi
–> Podcast Judul
–> YouTube Video Judul
–> Nama Google Earth City
–> AIM Buddy Nama
Jika melalui capture paket, akan menemukan bahwa Ann menggunakan iPad-nya untuk:
- Unduh aplikasi iPad yang disebut â € œSolitaireâ €
- Download dan menonton Onion podcast called “Onion Radio News for Kidsâ€
- Lihat video YouTube yang disebut “Cry for Help – Rick Astleyâ€
- Cari di Google Earth untuk “Hacker Valley, West Virginiaâ€
- IM teman nya, â € œinter0pt1câ €
Baris semua jawaban di atas, seperti yang ditunjukkan pada gambar GIF, dan baca bawah kolom pertama:
- Solitaire
- Onion Radio News for Kids
- Cry for Help
- Hacker Valley
- inter0pt1c
- Dimana tempatnya ?
Jawabannya adalah “Sochi”, sebuah kota resor di Rusia di mana Olimpiade musim dingin akan digelar.
KESIMPULAN
Dari uraian yang jelaskan tersebut ::
- Pendekatan 5W1H akan sangat membantu dalam menjelaskan kasus.
- Investigator dapat menggunakan prinsip Occam’s Razor dan Alexiou Principle salah satu prinsip untuk menemukan jawaban dari daftar pertanyaan dari suatu kasus.
Referensi :
http://forensicscontest.com/2011/07/31/puzzle-7-anns-dark-tangent-defcon-2010
https://explorable.com/occams-razor
https://en.wikipedia.org/wiki/Occam’s_razor
https://digital-forensics.sans.org/summit-archives/2010/2-newell-spiderlabs-sniper-forensics.pdf
https://www.thierfreund.de/basics-on-problem-solving-investigations/
Welcome to Emmun Site 