Ekstraksi Pesan Rahasia dari File Capture (PCAP) Menggunakan Analisis Forensik Jaringan

Sebuah investigasi dilakukan terhadap sebuah file network capture bernama Evidence01.pcap yang diduga berisi komunikasi mencurigakan antara dua pihak. Informasi awal menyebutkan bahwa terdapat pesan rahasia sepanjang ±50 karakter yang disisipkan di dalam aliran data jaringan. Tim forensik ditugaskan untuk mengekstrak pesan tersebut dan memastikan apakah komunikasi tersebut memang memuat informasi tersembunyi yang relevan dengan penyelidikan.

 

Tujuan Investigasi

·       Mengidentifikasi adanya komunikasi mencurigakan dalam file capture.

·       Mengekstrak dan membaca pesan tersembunyi yang disisipkan dalam paket jaringan.

·       Menentukan protokol, pola komunikasi, dan teknik penyembunyian yang digunakan.

·       Menghasilkan bukti forensik berupa hasil analisis paket, stream data, dan pesan hasil decoding.

 

Alat yang Digunakan

Wireshark – untuk membuka file pcap, menelusuri paket, dan merekonstruksi stream komunikasi.

Decoder tools (misalnya Base64 decoder) – untuk mengubah data yang disandikan menjadi teks asli.

PC/laptop analisis forensik – sebagai lingkungan kerja untuk memproses file pcap.

 

Metode Kerja Singkat

File Evidence01.pcap dibuka menggunakan Wireshark untuk melihat keseluruhan lalu lintas yang terekam.

 

Identifikasi flow komunikasi TCP yang menunjukkan pertukaran data non-standar atau payload yang tampak tidak biasa.

Pada paket yang mencurigakan, digunakan fitur Follow → TCP Stream untuk menyusun kembali seluruh percakapan dalam satu alur.

Dari stream tersebut ditemukan potongan data yang tampak tersandikan (misalnya dalam format Base64).

Data tersebut diekstrak kemudian dilakukan proses decoding untuk mengubahnya menjadi teks terbaca.

Hasil decoding dianalisis untuk memeriksa apakah isi pesan sesuai dengan dugaan awal, yaitu sebuah pesan rahasia sepanjang sekitar 50 karakter.

Gemastik2022{balapan_first_bl00d_is_real_f580c176

 

Analisis & Dampak

Analisis menunjukkan bahwa pesan tersembunyi memang disisipkan dalam komunikasi TCP, menggunakan metode encoding sederhana agar tidak langsung terbaca dalam payload mentah. Dengan hanya bermodalkan file pcap, tim berhasil merekonstruksi komunikasi, menemukan pola penyembunyian, lalu mengekstrak pesannya.

 

Dampak dari temuan seperti ini cukup signifikan:

Teknik penyembunyian pesan dalam lalu lintas jaringan dapat digunakan untuk mengirim instruksi rahasia antar pelaku dengan memanfaatkan protokol umum.

Jika serangan dilakukan di dunia nyata, pesan tersembunyi dapat berisi perintah, data hasil pencurian, atau informasi sensitif lainnya.

Hal ini menegaskan pentingnya monitoring jaringan dan inspeksi paket dalam investigasi digital forensik maupun keamanan jaringan.

Kesimpulan

Dari hasil investigasi, terbukti bahwa file jaringan yang tampak biasa dapat menyimpan pesan tersembunyi yang hanya dapat diungkap melalui analisis paket dan decoding. Proses forensik menggunakan Wireshark dan teknik analisis stream berhasil memulihkan pesan tersebut secara utuh. Studi kasus ini menunjukkan pentingnya network forensics dalam mengidentifikasi komunikasi rahasia serta menjadi bukti kuat bahwa data jaringan dapat dimanipulasi untuk menyembunyikan informasi sensitif.

Sniffing Jaringan untuk melihat Username dan Password menggunakan Wireshark

Sebuah percobaan login pada web mengirimkan kredensial dalam bentuk teks biasa (plaintext). Dengan menggunakan Wireshark, tim berhasil menangkap paket yang berisi request login dan menampilkan username/password yang diketik pada browser. 

Tujuan Investigasi 

1. Memverifikasi apakah username dan password dapat tertangkap pada jaringan menggunakan Wireshark. 

2. Mengidentifikasi mekanisme (protokol) dan titik lemah yang memungkinkan kebocoran kredensial. 

3. Menyusun bukti forensik (screenshot, log) dan rekomendasi mitigasi. 

4. 
   

Alat yang digunakan: 

• Wireshark (packet capture & analysis) 

• 

• Browser (melakukan login ke situs uji) 

• 
  

Metode kerja singkat: 

1. Jalankan Wireshark pada interface yang relevan.

2. 
   
   
   

2. Lakukan aktivitas login ke web/FTP test. (Contoh credential: User: abc, Pass: 123 — dibuat untuk percobaan).  

3. 

   

   
   
4. 
   

3. Stop capture setelah percobaan selesai. 

4. 
   
   

4. Terapkan filter Wireshark untuk menampilkan request terkait (http.request.method == "POST" untuk HTTP form-post; untuk FTP lihat protokol ftp / ftp-data).  

5. 
   
   

5. Klik paket login → Follow → TCP Stream untuk merekonstruksi isi request dan melihat payload (kredensial). 

6. 
   
   
   
   

7. 
   

Analisis & Dampak 

• Karena kredensial dikirim tanpa enkripsi, maka setiap perangkat atau aktor yang dapat meng-capture traffic pada segmen jaringan tersebut (misalnya attacker di jaringan Wi-Fi publik) dapat membaca username/password. 

• Dampak nyata: kebocoran akun, akses tak sah ke sistem internal, potensi eksfiltrasi data lebih lanjut jika pelaku berhasil masuk. 

• 
  

Kesimpulan 

Dari hasil praktik dan analisis capture, terbukti bahwa kredensial login yang dikirim melalui protokol tidak terenkripsi dapat ditangkap dan dibaca menggunakan Wireshark. Kasus ini menegaskan pentingnya penggunaan protokol terenkripsi (HTTPS, SFTP/FTPS) pada layanan yang menangani data sensitif. Rekomendasi pencegahan perlu segera diadopsi untuk mengurangi risiko kebocoran kredensial di lingkungan nyata.