BAB I. PENDAHULUAN. Gambar 1.1 Trend kejahatan internet (IC3, 2015)

Transkripsi

1 BAB I. PENDAHULUAN 1.1. Latar Belakang Kejahatan Internet adalah aktivitas online ilegal yang dilakukan pada layanan internet seperti WWW, chat rooms, FTP dan (Robert & Chen, 2015). Gambar 1.1 menunjukkan trend kejahatan internet menurut Internet Crime Complaint Center (IC3) periode tahun 2000 sampai tahun Jumlah pengaduan kejahatan internet pada tahun 2013 sebanyak kasus, total kerugian mencapai $ Pada tahun 2012, jumlah pengaduan menurun 9 % dari menjadi kasus, namun kerugian naik 48,8 % dari $ 581,441,110 (2012) menjadi $781,841,611 (2013). Tahun 2014 jumlah kejahatan internet mencapai 269,422 kasus, dengan total kerugian mencapai $ 800,492,0731. Gambar 1.1 Trend kejahatan internet (IC3, 2015) Dari trend kejahatan internet periode , kejahatan internet dipetakan berdasarkan wilayah demografi yang meliputi United State, Canada, United Kingdom, India dan Australia. Modus kejahatan yang paling tinggi dilaporkan pada lembaga ini adalah kategori auto auction fraud atau sering disebut non delivery payment merchandise, dengan total laporan kasus. Modus kejahatan ini dengan 1

2 2 menawarkan barang, kendaraan dan sejenisnya yang dijual online, namun setelah terjadi transaksi, barang yang dibeli tidak diterima oleh pembeli. Untuk wilayah demografi Indonesia, menurut laporan tahunan dari APCERT (Asia Pasific Computer Emergency Response Team) Tahun 2014, dimana salah satu anggotanya adalah ID-CERT (Indonesian Computer Emergency Response Team) melaporkan jumlah komplain yang diterima lembaga ini pada Tahun 2014 sebanyak komplain. Gambar 1.2 menunjukkan persentase jenis serangan kejahatan internet pada wilayah Indonesia. Jenis serangan Spam mendapat proporsi terbesar sebanyak 52% disusul dengan intellectual property right 24 %. Network incident 7% Spam complaint 7% Malware Spoofing 4% 5% complaint respond 1% Spam 52% Intellectual property right 24% Gambar 1.2 Persentase jenis kejahatan internet (IDCERT, 2015) Kasus kejahatan internet dilaporkan ID-CERT seperti pada Gambar 1.3. Periode empat tahun terakhir ( ) dilaporkan jumlah insiden kejahatan internet tertinggi pada tahun 2011 mencapai kasus. Pada tahun 2014 cenderung turun secara signifikan mencapai kasus.

3 3 Gambar 1.3 Insiden kejahatan internet (IDCERT, 2015) Kejahatan internet yang semakin tinggi menyebabkan proses rekonstruksi menjadi sangat penting. Rekonstruksi kejahatan internet adalah proses mengurutkan peristiwa atas tindakan ilegal pada jaringan komputer (Steven, Benjamin, & Mourad, 2015). Hasil rekonstruksi diharapkan memenuhi bukti yang kuat untuk dapat diteruskan ke pengadilan. Kegiatan analisa barang bukti digital dikenal dengan istilah digital forensic. Digital forensic adalah kegiatan investigasi menggunakan metode ilmiah (scientific) dengan bantuan teknologi untuk mengungkap sebuah kebenaran (Jeff, 2015). Permasalahan yang terjadi pada digital forensic meliputi lima hal yakni complexity problem, diversity problem, consistency and correlation, quantity or volume problem dan unified time-lining problem (Raghavan, 2013). Permasalahan quantity or volume menjadi fokus dalam penelitian ini, dimana dengan semakin tingginya tren kejahatan internet maka semakin tinggi pula kapasitas media penyimpanan yang dibutuhkan. Tantangan terbesar pada network forensic adalah volume of evidence. Penangkapan trafik pada 300 unit terminal rata-rata 1300 flow/second, dalam satu hari dibutuhkan 10 GB dan satu bulan dibutuhkan 300GB. Pada skala WAN dibutuhkan media penyimpanan sebanyak 1 TB/hari (Giura & Memon, 2011). Kebutuhan media penyimpanan yang begitu besar disebabkan karena pada fase penangkapan trafik, semua trafik baik normal maupun abnormal direkam untuk kebutuhan investigasi. Apabila kondisi ini dipertahankan, tentu sangat tidak efisien baik dari sisi waktu maupun dari sisi media penyimpanan, sehingga perlu dikembangkan sebuah metode yang dapat memberi solusi terhadap kelemahan ini.

4 4 Filterisasi trafik merupakan salah satu teknik dalam mengurangi kapasitas volume of evidence. Penerapan Intrusion Detection System (IDS) yang hanya menangkap trafik tidak normal saja sesuai dengan pola atau aturan yang berlaku. Penggunaan IDS juga masih membutuhkan ruang penyimpanan yang besar. Hal ini disebabkan karena setiap trafik yang ditangkap oleh IDS menyimpan dua bagian penting yaitu header dan payload. Kebutuhan memori dalam menyimpan sebuah alert pada datalink layer adalah 1500 byte. Selain itu salah satu kekurangan IDS adalah terdapat trafik komunikasi yang sebenarnya tidak melanggar rule tapi dianggap melakukan tindakan illegal (false alarm). Contoh jenis kejahatan ini adalah kategori auto auction fraud. Metode yang dikembangkan untuk mengatasi permasalahan volume of evidence adalah metode payload attribution. Menurut Ponec dkk. (2010) payload attribution merupakan suatu metode yang hanya mengambil kutipan (excerpt) dari sebuah payload. Secara umum metode payload attribution dapat dibagi tiga yakni Hirarki Bloom Filter (HBF), Rabin Fingerprinting dan Winnowing. Hasil modifikasi Bloom Filter dengan menggunakan Winnowing Multihashing (WMH) disebut metode Payload Attribution Winnowing Mutihashing (PAWMH). Metode ini membagi payload menjadi dua bagian yakni payload digest dan payload reference. Hasil ekstraksi payload reference dengan PAWMH menghasilkan payload fingerprinting. Payload fingerprinting digunakan sebagai antemortem dalam proses identifikasi. Rekonstruksi kejahatan internet menggunakan metode PAWMH memberikan analisa informasi lebih akurat karena menggabungkan informasi header dan payload namun juga memperhatikan masalah volume of evidence Rumusan Masalah Permasalahan utama dalam network forensic adalah volume of evidence yakni besarnya kapasitas yang dibutuhkan jika menyimpan seluruh trafik jaringan, sehingga tidak efisien. Permasalahan yang kedua adalah belum mengikutsertakan analisa payload pada aktivitas network forensic, sehingga kesimpulan hasil investigasi kurang lengkap masih terbatas pada informasi header saja.

5 Ruang Lingkup Penelitian Ruang lingkup penelitian menggunakan metode PAWMH dan Jaccard Similarity seperti pada Gambar 1.4. Penelitian yang dilakukan Raghavan (2013) menyatakan terdapat lima masalah pada digital forensic yakni (1) complexity problem, kesulitan dalam memahami format raw binary data, (2) diversity problem, perbedaan alat penangkap trafik pada setiap layer, (3) consistency and correlation, tidak adanya korelasi dan konsistensi barang bukti pada multiple sources dan log, (4) quantity or volume problem, besarnya media penyimpanan pada semua trafik yang ditangkap, (5) unified time lining problem adalah masalah time zone yang berbeda pada setiap device dalam menangkap trafik.

6 Gambar 1.4 Kerangka berpikir penelitian 6

7 Batasan Masalah Berdasarkan kerangka berpikir penelitian pada Gambar 1.5, maka yang menjadi batasan masalah dalam penelitian ini adalah : 1. Penelitian ini fokus pada payload sebagai sumber informasi utama dalam proses rekonstruksi kejahatan internet. Proses penelusuran informasi pada jenis serangan dimulai dari datalink layer sampai application layer, namun informasi yang didapat pada penelitian terbatas bersumber pada IDS Snort. 2. Penelitian ini tidak membandingkan secara komprehensif dengan teknik HBF, indexing pada xiraf architecture. 3. Penelitian ini tidak melakukan pengujian secara mendalam pada originalitas dan integritas barang bukti Manfaat Penelitian Manfaat model rekonstruksi dengan PAWMH memberikan solusi terhadap salah satu masalah network forensic yakni volume of evidence. Manfaat lain adalah informasi yang didapat dari hasil rekonstruksi menjadi lebih komprehensif, analisa setiap layer pada OSI layer dan gabungan informasi antara header dan payload menjadikan laporan investigasi menjadi lebih lengkap namun tetap efisien Tujuan Penelitian Tujuan yang hendak dicapai dalam penelitian ini adalah sebagai berikut: 1. Membuat sebuah model atau prototype mesin rekonstruksi kejahatan internet menggunakan metode PAWMH. Hasil laporan rekonstruksi kejahatan internet dengan metode ini memberikan hasil analisa informasi yang lebih lengkap meliputi analisa header dan payload. 2. Penerapan model rekonstruksi PAWMH memberikan jawaban atas permasalahan penyimpanan trafik jaringan komputer yang besar (volume of evidence).

8 Kontribusi Penelitian Kontribusi dalam penelitian adalah membuat model mesin rekonstruksi menggunakan metode PAWMH pada identifikasi pelaku kejahatan internet pada datalink layer. Model ini memberi solusi pada quantity or volume problem dan memberikan laporan hasil rekonstruksi yang lebih komprehensif dengan melakukan analisa header dan payload. Model ini merupakan hasil modifikasi network forensic generic seperti Gambar 1.5 (Yusoft dkk, 2011). Hasil modifikasi model network forensic generic pada penelitian ini terlihat pada Gambar 1.6 (Sembiring dkk, 2014). Tahap preparation dan detection merupakan identifikasi sebuah informasi yang dapat dijadikan barang bukti. Collection dan preservation merupakan pengumpulan barang bukti trafik jaringan serta bagaimana mempertahankan barang bukti tersebut. Fase berikutnya adalah fase examination, analysis dan investigation. Teknik WMH ini menambah proses tahapan network forensic pada fase evidence acquisition and preservation. Dari keempat luaran penelitian bidang digital forensic seperti Gambar 1.6, penelitian ini mempunyai dua keluaran yakni (1) evidence acquisition, identifikasi yang memberi informasi lengkap terhadap header dan payload, (2) digital forensic analysis, hasil proses rekonstruksi secara lengkap. Preparation Detection Incident Response Area Penelitian Collection New Payload Attribution Using WMH Techique Preservation Examination Anaysis Investigation Presentation Gambar 1.5 Model network forensic generic (Yusoft dkk., 2011) Gambar 1.6 Model Network forensic PAWMH (Sembiring dkk.,2014)

9 9 Penelitian ini menggunakan tambahan class fingerprinting dan report pada IDS Snort. Payload fingerprint yang diekstrak kemudian disimpan dalam tabel fingerprinting. Proses pelaporan melibatkan fingerprinting sebagai keyword sebuah alert. Payload digest disimpan untuk dijadikan sebagai ciri terhadap sebuah alert. Hasil Analisa melibatkan profil serangan dari header dan data aktual. Payload fingerprinting digunakan sebagai penanda dalam merujuk payload reference sebagai master payload Sistematika Penulisan Penulisan disertasi ini dibagi menjadi tujuh bab, terdiri dari Bab I Pendahuluan, Bab II Tinjauan Pustaka, Bab III Landasan Teori, Bab IV Metodologi Penelitian, Bab V Rekonstruksi Kejahatan Internet dengan Payload attribution Winnowing multihashing, Bab VI Hasil dan Pembahasan serta Bab VII Kesimpulan dan Saran. Masing masing bab diuraikan sebagai berikut: Bab I Pendahuluan, membahas tentang latar belakang, rumusan masalah, ruang lingkup penelitian, manfaat penelitian, tujuan penelitian, kontribusi penelitian, sistematika penulisan dan publikasi penelitian. Bab II Tinjauan Pustaka, membahas tentang penelitian terkait dengan payload attribution (hierarchical bloom filter, rabin fingerprinting, Winnowing fingerprinting) dan penelitian terkait dengan network forensic. Bab III Landasan Teori, membahas tentang IPV4 format datagram, konsep Ethernet Frame, kejahatan internet, IDS, traceback, digital forensic, network forensic, payload attribution, konsep dasar metode Winnowing multihashing, konsep pengukuran false positive dan kompresi data pada lapisan jaringan komputer. Bab IV Metodologi Penelitian, menerangkan cara, bahan dan bagaimana pengujian dilakukan dengan menggunakan metode PAWMH. Bab V Payload attribution Menggunakan Metode PAWMH, membahas tentang network trafik anomali, cara kerja PAWMH dalam melakukan rekonstruksi kejahatan internet. Bab VI Hasil dan Pembahasan, membahas tentang proses rekonstruksi kejahatan internet, rekonstruksi kejahatan internet sebelum menggunakan payload attribution dan rekonstruksi kejahatan internet setelah menggunakan payload attribution. Pengujian Penghematan Menggunakan Payload attribution dengan Winnowing multihashing, membahas pengukuran

10 10 penghematan yang didapatkan dengan payload attribution. Pembahasan mencakup volume network trafik, deteksi kemiripan payload attribution, payload reference unik. Bab VII Kesimpulan dan Saran, bab ini membahas tentang kesimpulan penerapan WMH pada payload attribution dalam melakukan rekonstruski kejahatan internet, serta saran yang diperlukan dalam pengembangan penelitian ini.