Forensik Digital

Pertemuan 14

Forensik Cloud Computing

Mata Kuliah: Digital Forensic for Military Purposes | 3 SKS

🎯 Capaian Pembelajaran

Setelah pertemuan ini, mahasiswa mampu:

  1. Menjelaskan model layanan cloud (IaaS, PaaS, SaaS) dan implikasi forensiknya
  2. Mengidentifikasi tantangan forensik di lingkungan cloud
  3. Menganalisis artefak cloud storage (Dropbox, Google Drive, OneDrive)
  4. Melakukan forensik pada virtual machine dan disk image
  5. Memahami container forensics (Docker, Kubernetes)
  6. Menganalisis cloud logging dan monitoring services
  7. Menjelaskan isu jurisdiksi hukum dalam cloud forensics

📋 Agenda Hari Ini

Bagian 1

  • Pengantar Cloud Computing
  • Model Layanan Cloud
  • Tantangan Forensik Cloud
  • Isu Hukum & Jurisdiksi

Bagian 2

  • Cloud Storage Forensics
  • Virtual Machine Forensics
  • Container Forensics
  • Cloud Logging & Monitoring

☁️ Apa itu Cloud Computing?

Cloud Computing adalah model penyediaan layanan komputasi (server, storage, database, jaringan, software) melalui internet yang memungkinkan akses on-demand dengan skalabilitas fleksibel.

Mengubah paradigma penyimpanan data secara fundamental — bukti digital tidak lagi tersimpan di lokasi fisik yang dapat dikontrol langsung.

Komputasi Tradisional vs Cloud

Aspek Tradisional Cloud
Lokasi Data Server lokal, on-premise Data center tersebar global
Kontrol Fisik Penuh oleh organisasi Bergantung pada provider
Skalabilitas Terbatas kapasitas fisik Elastis dan on-demand
Forensik Akses langsung ke hardware Perlu kerjasama provider

📊 Model Layanan Cloud

🏗️ IaaS — Infrastructure as a Service
Server, storage, jaringan virtual | Contoh: AWS EC2, Azure VM, GCE
⚙️ PaaS — Platform as a Service
Platform pengembangan aplikasi | Contoh: Google App Engine, Heroku
📱 SaaS — Software as a Service
Aplikasi siap pakai via internet | Contoh: Google Workspace, Microsoft 365

🔍 Implikasi Forensik Per Model

Model Kontrol User Artefak Forensik Tantangan
IaaS OS, aplikasi, data VM image, memory, OS logs Akses hypervisor
PaaS Aplikasi, data App logs, database Akses terbatas ke OS
SaaS Data saja Activity logs, export data Bergantung provider

⚠️ Semakin tinggi abstraksi → semakin terbatas kemampuan forensik

🌐 Model Deployment Cloud

Public Cloud
Shared infrastructure, multi-tenant
Private Cloud
Eksklusif satu organisasi, kontrol penuh
Hybrid Cloud
Kombinasi public + private
Community Cloud
Dibagi organisasi sejenis (misal: GovCloud)

🎖️ Konteks militer: Private/Community Cloud → menjaga kedaulatan data pertahanan

⚡ Tantangan Forensik Cloud

Teknis, Hukum, dan Operasional

🔧 Tantangan Teknis

  • Multi-Tenancy: Data beberapa tenant di infrastruktur fisik sama — sulit mengisolasi bukti
  • Volatilitas & Elastisitas: VM dapat dibuat/dihancurkan dalam menit, auto-scaling menghapus instance otomatis
  • Distributed Architecture: Data tersebar di beberapa data center lintas negara
  • Encryption: Data at-rest dan in-transit terenkripsi, memerlukan key management access

🏢 Risiko Multi-Tenancy

Shared Storage
Data tenant berbeda di disk fisik sama
Memory Residue
RAM bekas tenant lain masih ada
Network Co-mingling
Traffic tercampur di infra yang sama
Cached Data
Cache dari tenant sebelumnya

🔑 Strategi: Verifikasi tenant ID pada setiap artefak, cross-reference timestamps

⚖️ Tantangan Hukum & Jurisdiksi

  • Cross-Border Data: Data mungkin tersimpan di negara berbeda dari lokasi investigasi
  • Regulasi Berbeda: GDPR (Eropa), UU PDP (Indonesia), dll.
  • MLAT: Mutual Legal Assistance Treaty — proses panjang untuk akses lintas batas
  • SLA & ToS: Kontrak provider menentukan hak akses data oleh penegak hukum

🇮🇩 Regulasi Indonesia

PP No. 71 Tahun 2019
Kewajiban penyelenggara sistem elektronik menyediakan akses data bagi penegak hukum

UU No. 27 Tahun 2022 (UU PDP)
Mengatur transfer data pribadi lintas batas

Permenhan Keamanan Informasi
Pengelolaan data pertahanan dan kedaulatan data

📂 Cloud Storage Forensics

Dropbox, Google Drive, OneDrive

📦 Artefak Dropbox di Windows

Artefak Lokasi
Database konfigurasi %APPDATA%\Dropbox\instance1\config.dbx
Sync history %APPDATA%\Dropbox\instance1\sync_history.db
File cache DB %APPDATA%\Dropbox\instance1\filecache.db
Deleted file cache %USERPROFILE%\Dropbox\.dropbox.cache\
Cache files %LOCALAPPDATA%\Dropbox\

📦 Informasi Forensik Dropbox

Database Dropbox mengandung:

  • Account Info: Email, display name, user ID
  • File Metadata: Nama, ukuran, hash, timestamps
  • Sync History: Riwayat sinkronisasi termasuk file terhapus
  • Shared Links: File yang dibagikan dan penerima
  • Device Info: Nama perangkat, OS, last connect

💡 .dropbox.cache menyimpan file terhapus beberapa hari sebelum purge otomatis

📁 Artefak Google Drive di Windows

Artefak Lokasi
Metadata database %LOCALAPPDATA%\Google\DriveFS\<hash>\metadata_sqlite_db
Content cache %LOCALAPPDATA%\Google\DriveFS\<hash>\content_cache\
Log files %LOCALAPPDATA%\Google\DriveFS\Logs\
Mirror folder %USERPROFILE%\My Drive\

📁 Google Drive: Stream vs Mirror

Aspek Stream Mirror
Penyimpanan File di cloud, download on-demand File penuh di lokal + cloud
Disk Usage Minimal (hanya cache) Sesuai ukuran semua file
Forensik Hanya file yang pernah dibuka Semua file tersedia lokal
Kelengkapan Bukti ⚠️ Tidak lengkap ✅ Lengkap

💼 Artefak OneDrive di Windows

Artefak Lokasi
Database utama %LOCALAPPDATA%\Microsoft\OneDrive\settings\
Sync logs %LOCALAPPDATA%\Microsoft\OneDrive\logs\
Sync folder %USERPROFILE%\OneDrive\
Files On-Demand NTFS reparse points (placeholder)

⚠️ Files On-Demand: file "online-only" tidak memiliki konten lokal saat forensic imaging!

💼 OneDrive Files On-Demand

Status file ditandai dengan ikon:

☁️ Cloud Only — Konten hanya di cloud, tidak tersimpan lokal

✅ Locally Available — File tersinkronisasi penuh ke lokal

🟢 Always Keep — File selalu tersedia di device

Forensic imaging standar hanya mengambil placeholder untuk file cloud-only

🖥️ Virtual Machine Forensics

VMDK, VHD, Snapshots, Hypervisor

💾 Format Disk Virtual Machine

Format Platform Ekstensi
VMDK VMware .vmdk
VHD/VHDX Microsoft Hyper-V .vhd, .vhdx
QCOW2 KVM/QEMU .qcow2
VDI VirtualBox .vdi
OVA/OVF Multi-platform .ova, .ovf

🔍 Analisis VMDK dengan FTK Imager

  1. Buka FTK Imager → File → Add Evidence Item
  2. Pilih "Image File" sebagai source type
  3. Browse ke lokasi file .vmdk
  4. Klik Finish — FTK Imager mount VMDK
  5. Analisis: browse file system, keyword search, file recovery

✅ FTK Imager mendukung VMDK, VHD, VHDX, dan E01

📸 VM Snapshots & Memory

Snapshot menyimpan state lengkap VM:

  • Disk State: Perubahan disk sejak snapshot (delta disk)
  • Memory State: Isi RAM VM → file .vmem atau .vsv
  • Configuration: Pengaturan hardware virtual
# Analisis memory snapshot VMware dengan Volatility 3
python3 vol.py -f snapshot.vmem windows.pslist
python3 vol.py -f snapshot.vmem windows.netscan
python3 vol.py -f snapshot.vmem windows.filescan

📁 Komponen File VMware

File Fungsi Info Forensik
.vmx Konfigurasi VM Hardware, network, nama VM
.vmdk Base disk image File system guest OS
-s00x.vmdk Delta / split disk Perubahan sejak snapshot
.vmsn Snapshot metadata Timestamp, description
.vmem Memory snapshot RAM: proses, koneksi, credentials

🏗️ Hypervisor Forensics

Hypervisor menyediakan informasi forensik tambahan:

  • Hypervisor Logs: Event creation, deletion, modification VM
  • Performance Metrics: Resource usage → deteksi anomali
  • Virtual Switch Logs: Traffic antar VM
  • Storage Controller: I/O operations pada virtual disk

📍 VMware ESXi: /var/log/vmkernel.log, /var/log/hostd.log

📍 Hyper-V: Windows Event Log → source "Hyper-V-*"

🐳 Container Forensics

Docker dan Kubernetes

🐳 Artefak Docker (Linux)

Artefak Lokasi
Container metadata & logs /var/lib/docker/containers/
Image layers (filesystem) /var/lib/docker/overlay2/
Persistent volumes /var/lib/docker/volumes/
Network config /var/lib/docker/network/
Container logs /var/lib/docker/containers/<id>/<id>-json.log

🐳 Docker Forensic Commands

# List semua container (termasuk stopped)
docker ps -a

# Inspect detail container
docker inspect <container_id>

# Export container filesystem
docker export <container_id> > evidence.tar

# Lihat perubahan dari base image
docker diff <container_id>

# Lihat logs container
docker logs <container_id>

# Copy file spesifik dari container
docker cp <container_id>:/path /local

🐳 Forensik Berdasarkan Status Container

Status Artefak Tersedia
Running Filesystem, logs, memory, network, proses aktif
Stopped Filesystem, logs, metadata (tanpa memory/network)
Deleted Residual di overlay2, volumes yang masih ada

⚡ Prioritas: Akuisisi SEGERA sebelum container dihapus!

☸️ Kubernetes Forensics

Artefak forensik pada Kubernetes cluster:

  • etcd database: Seluruh state cluster tersimpan di sini
  • Pod logs: Log dari setiap container dalam pod
  • Audit logs: Semua API request ke cluster
  • Events: Kejadian penting (create, delete, error)
  • ConfigMaps & Secrets: Konfigurasi dan credentials

📊 Cloud Logging & Monitoring

AWS CloudTrail, Azure Activity Log, GCP Audit Logs

🔶 AWS CloudTrail

Mencatat semua API calls dalam akun AWS:

{
  "eventTime": "2025-01-15T08:30:00Z",
  "eventName": "RunInstances",
  "sourceIPAddress": "203.0.113.50",
  "userIdentity": {
    "type": "IAMUser",
    "userName": "admin-user"
  },
  "requestParameters": {
    "instanceType": "t2.micro"
  }
}

Info forensik: siapa (userIdentity), apa (eventName), kapan (eventTime), dari mana (sourceIPAddress)

🔵 Azure & GCP Logging

Microsoft Azure

  • Activity Log — operasi resource
  • Sign-in Logs — autentikasi user
  • Audit Logs — perubahan Azure AD
  • Resource Logs — detail per-resource

Google Cloud

  • Admin Activity — config changes
  • Data Access — read/write data
  • System Event — aksi otomatis
  • Policy Denied — request ditolak

🔧 Analisis Log dengan jq

# Filter event berdasarkan nama
cat cloudtrail.json | jq '.Records[] | \
  select(.eventName == "CreateAccessKey")'

# Cari aktivitas dari IP tertentu
cat cloudtrail.json | jq '.Records[] | \
  select(.sourceIPAddress == "185.220.101.45")'

# List semua user dan event unik
cat cloudtrail.json | jq \
  '[.Records[] | {user: .userIdentity.userName, \
  event: .eventName}] | unique'

jq = command-line JSON processor → tool wajib untuk cloud log analysis

🎖️ Studi Kasus: Serangan pada Cloud Militer

Waktu Event CloudTrail Fase Serangan
08:00 ConsoleLogin (IP Indonesia) Initial Access
08:15 CreateUser "temp-admin" Persistence
08:16 AttachUserPolicy (AdminAccess) Privilege Escalation
23:45 ConsoleLogin (Tor exit node) Lateral Movement
23:55 GetObject (S3: classified-docs) Data Exfiltration
02:35 DeleteUser "temp-admin" Covering Tracks

📥 Akuisisi Data Cloud

Metode dan Chain of Custody

📥 Metode Akuisisi Cloud

Metode Deskripsi Kelengkapan
Snapshot-based Snapshot VM/disk ✅ Paling lengkap
API-based Ekstrak via API provider ⚠️ Terbatas pada API
Client-based Artefak pada client lokal ⚠️ Mungkin tidak lengkap
Provider-assisted Request data dari provider ⏳ Proses hukum panjang

📋 Chain of Custody untuk Cloud Evidence

Elemen tambahan dokumentasi:

  • Cloud Service Info: Provider, region, account ID
  • Acquisition Method: API, snapshot, atau client-side
  • Timestamp Sync: Verifikasi sinkronisasi waktu antar source
  • Hash Verification: Hash setiap file/snapshot yang diakuisisi
  • Access Logs: Siapa mengakses cloud account dan kapan

🎖️ Forensik Cloud dalam Konteks Militer

Pertimbangan khusus pertahanan Indonesia:

  • Kedaulatan Data: Data pertahanan harus di data center Indonesia
  • Klasifikasi Data: Data rahasia/sangat rahasia → infrastruktur terpisah
  • Shadow IT: Penggunaan cloud komersial tidak sah oleh personel
  • Insider Threat: Eksfiltrasi data via cloud storage pribadi

💻 Preview Praktikum

Kegiatan hands-on hari ini (150 menit):

  1. Analisis artefak Dropbox, Google Drive, OneDrive
  2. Parsing database cloud storage dengan DB Browser for SQLite
  3. Analisis virtual machine disk image (VMDK) dengan FTK Imager
  4. Analisis sample AWS CloudTrail logs dengan jq
  5. Dokumentasi chain of custody untuk cloud evidence

📝 Rangkuman

Topik Poin Kunci
Cloud Models IaaS → forensik terluas; SaaS → paling terbatas
Tantangan Multi-tenancy, volatilitas, jurisdiksi
Cloud Storage Dropbox, GDrive, OneDrive → artefak lokal bernilai
VM Forensics VMDK/VHD + FTK Imager; .vmem + Volatility
Container docker export, inspect, logs, diff
Cloud Logs CloudTrail, Activity Log, Audit Logs → sumber utama

📚 Referensi

  1. Casey, E. (2022). Digital Evidence and Computer Crime (4th Ed.). Chapter 15
  2. Johansen, G. (2020). Digital Forensics and Incident Response. Chapter 11
  3. NIST SP 800-144: Guidelines on Security and Privacy in Public Cloud Computing
  4. Cloud Security Alliance. (2020). Cloud Forensics Guidance
  5. Dykstra, J. & Sherman, A. (2012). "Acquiring forensic evidence from IaaS cloud computing"

Terima Kasih

🔍 Forensik Digital untuk Keperluan Militer

Pertemuan 14: Forensik Cloud Computing


Ada pertanyaan?