Analisis Jaringan Antarsitus Mencurigakan

Dalam edisi ini, kami akan mencontohkan cara menggunakan SpyOnWeb, DNSlytics, VirusTotal, dan SpiderFoot HX. Keempat perangkat tersebut bisa dipakai untuk memetakan dan melakukan analisis jaringan terhadap situs web dengan tetap menjaga privasi Anda.

Sebagai awalan, kami akan menunjukkan menggunakan tag Google Analytics (yang disematkan di source code sebuah situs web) sebagai penanda untuk membantu melakukan analisis jaringan situs web. Cara ini bisa membantu menemukan hubungan antarsitus yang tampak berbeda, tetapi sebenarnya terhubung.

Dengan menggunakan situs GIJN sebagai contoh, mari kita buka source code di balik halaman web untuk melihat apakah ada tag Google Analytics di dalamnya. Pertama, masukkan alamat ini ke kolom pencarian di Chrome:

 view-source:https://www.gijn.org/contact 

Langkah tersebut akan menghasilkan source code semacam ini:

Selanjutnya, lakukan pencarian di halaman untuk “UA-“. UA singkatan dari universal analytics, dan tag inilah yang digunakan Google Analytics untuk mengidentifikasi situs GIJN dan domain apapun yang terkait dengan akun Google Analytics. Anda dapat menelusuri source code untuk tag “Pub-” yang terhubung ke produk AdSense Google dan untuk tag “G-” (format GA4 baru yang diluncurkan Google untuk produk Analytics-nya). Penting untuk memahami berbagai tag tersebut agar Anda dapat mencari dan menjalankannya melalui alat yang akan kami bahas. Untuk saat ini, mari melakukan pencarian di halaman untuk “UA-“:

Dari pencarian tersebut ditemukan:  UA-25037912-1 

Mari salin dan tempel UA-25037912-1 ke situs web bernama SpyOnWeb, yang menelusuri “situs web yang mungkin dimiliki oleh pemilik yang sama”. Hasil dari pencarian tersebut adalah:

Perhatikan bahwa tag UA GIJN hanya dikaitkan dengan domain yang mengarah ke situs web gijn.org. Metode serupa untuk melacak tag UA yang sama (ataupun tag Pub dan tag G) bisa digunakan untuk memetakan kesalingterhubungan antarsitus jika mereka berbagi tag yang sama. Apabila temuan itu didapatkan, penyelidikan lebih lanjut untuk melihat apakah ada sumber pendanaan atau orang ataupun organisasi tertentu di belakang mereka bisa dilakukan.

Mari coba contoh lain. Dengan menggunakan reverse search tools dari DNSlytics, kita dapat melihat alamat IP lain atau tag Google Analytics yang terhubung ke sebuah situs web. Kali ini, kami menggunakan situs web kelompok media sayap kanan Breitbart, yang berbasis di Amerika Serikat.

Langkah pertama tentunya adalah mengambil source code-nya dengan mengarahkan browser kita ke:

 view-source:https://www.breitbart.com/ 

Selanjutnya, lakukan penelusuran “UA-” di halaman.

Mari gunakan DNSlytics untuk menelisik tag  UA-715222-1 .

DNSlytics menemukan 19 domain dengan tag UA yang sama. Namun, karena tak memiliki akun premium, tak semuanya bisa dilihat. Ketika memeriksanya dnegan SpyOnWeb, ditemukan tujuh domain.

Untuk memeriksanya lebih lanjut, mari coba memasukkan tag Pub ke SpyOnWeb. Hasil pencarian tag Pub di source code situs Breitbart adalah:

Ketika memasukkan tag  pub-9229289037503472  hasil yang didapat adalah:

SpyOnWeb menemukan 17 domain menggunakan tag Pub yang sama dengan breitbart.com. Sementara itu, DNSlytics menemukan sekitar 30 domain menggunakan tag Pub yang sama. Namun, saya tidak dapat melihatnya tanpa akun premium. Beberapa domain ini tumpang tindih dengan domain yang kami temukan dengan reverse search tag UA milik Breitbart, contohnya: biggovernment.com, bigpeace.com, breitbartchildrenstrust.com, bigjournalism.com, breitbart.tv, dan breitbart.com.

Saya ingin meneliti domain ini lebih lanjut, tetapi tidak ingin membahayakan diri saya dengan membuka situs web yang tidak dikenal ini. Pertama, saya belum tahu siapa di balik situs web tersebut dan tentunya tidak ingin memberitahu siapapun bahwa saya sedang memeriksa situs web mereka. Selain itu, jika saya tidak menggunakan VPN (virtual private network), pengelola situs web dapat melihat lokasi geografis yang terkait dengan alamat IP (internet protocol) saya, serta informasi lain yang mungkin ingin saya rahasiakan. (Kami menyarankan Anda menggunakan VPN saat melakukan investigasi daring. Untuk informasi lebih lanjut tentang VPN, lihat artikel GIJN: 4 Tips Keamanan Digital Yang Perlu Diketahui Setiap Jurnalis dan Bacaan Penting: Cheat Sheet untuk Opsi Keamanan Digital Sumber Terbuka).

Selain beberapa hal di atas, saya juga tidak tahu apakah ada malware atau perangkat lunak pelacak dipasang di situs web ini. Untuk memeriksa apakah situs web aman untuk dikunjungi, Anda bisa mengunakan VirusTotal. Laman ini mencari malware yang tertanam dalam situs-situs web. Manfaat tambahan dari VirusTotal adalah Anda dapat melihat ke domain mana URL pada akhirnya dialihkan. Misalnya, jika membuka biggovernment.com, sebetulnya Anda tidak masuk ke biggovernment.com. Hal tersebut diketahui dengan menganalisa URL melalui VirusTotal dan dari langkah itu didapati hasil:

Ketika Anda membuka biggovernment.com, sebenarnya pencarian akan diarahkan ke halaman politik breitbart.com. Breitbart memang memiliki sejumlah besar perangkat lunak pelacakan di situs webnya (menurut Blacklight, Website Privacy Inspector dari berita nirlaba The Markup yang mengidentifikasi aplikasi pelacak di web). Namun, berdasarkan analisis VirusTotal, tidak ada malware yang disematkan di dalamnya situs web tersebut. Sebagai bonus tambahan, laman ini juga mengumpulkan semua informasi pelacakan yang kami temukan sebelumnya, seperti tag UA dan Pub:

VirusTotal juga memiliki fungsi grafik jaringan yang membantu melihat hubungan antara domain, URL, alamat IP, dan banyak lagi. Berbagai hal tersebut sangat berguna dalam analisis jaringan. Berikut adalah grafik jaringan yang dihasilkan untuk salah satu situs bigpeace.com, salah satu situs yang terhubung dengan breitbart.com.

Apakah Anda melihat ikon huruf B dengan kotak berwarna oranye di sekelilingnya? Dengan menggunakan fungsi grafik jaringan bisa dilihat bahwa bigpeace.com sebenarnya diwakili oleh favicon domain (atau ikon) dari breitbart.com. Ini berguna untuk memeriksa latar belakang situs web tanpa harus membukanya. Manfaat lain dari VirusTotal adalah kemampuannya melihat alamat IP historis dan catatan Whois, serta semua tautan keluar yang terkait dengan URL tertentu. Berikut adalah tautan keluar dari http://www.bigpeace.com, yang mengarah ke halaman keamanan nasional breitbart.com.

Terima kasih untuk Jane Lytvynenko dan Craig Silverman dari BuzzFeed News karena memberi tahu kami konsep ini pada sesi pelatihan tentang investigasi digital di konferensi IRE tahun ini. Alat serupa yang dapat Anda coba adalah: DomainBigData, Whoisology, DomainTools, dan BuiltWith.

 

Analisis Jaringan dengan SpiderFoot HX

Untuk melakukan analisis jaringan, SpiderFoot HX versi 6 juga bisa digunakan. Aplikasi daring ini menawarkan banyak fungsi dalam fitur berbayar, tetapi ada juga fungsi yang gratis. Mari ambil contoh situs berita palsu Now8News. Semua orang tahu dengan jelas bahwa ini adalah situs berita palsu. Namun, apakah ia terhubung ke jaringan situs berita palsu lainnya? Mari mencari tahu.

Sekarang, mari lihat apakah ada jaringan situs yang terhubung dengannya. Langkah-langkahnya adalah:

  • Klik pada fungsi “Investigate” di bagian atas SpiderFoot HX.

  • Namai proyek ini dengan apapun yang Anda inginkan, dalam contoh ini, kami menamainya now8news.com-invest. Seetelah itu, masukkan now8news.com di kotak penelusuran dan klik “Start Investigation”.

SpiderFoot HX akan secara otomatis menghasilkan grafik seperti yang terlihat di bawah ini:

  • Anda memiliki tiga simpul: simpul akar (dengan gambar laba-laba di atasnya), simpul nama domain, dan simpul nama internet. Klik kanan pada node nama domain. Kemudian tahan mouse Anda di atas “Investigate…” diikuti dengan “Passive DNS”, dan klik “Mnemonic PassiveDNS”. Ini akan menjalankan modul Mnemonic PassiveDNS, yang merupakan salah satu dari banyak “modul” atau alat yang disertakan dalam perangkat lunak SpiderFoot HX. Modul ini secara pasif mengumpulkan permintaan DNS dan bisa melihat domain yang terhubung ke situs web yang sedang ditelisik. Modul ini membutuhkan waktu beberapa menit untuk dijalankan, tergantung pada jumlah koneksi yang ditemukan. Setelah selesai, lanjutkan ke langkah berikutnya.

  • Selanjutnya, klik “Browse by…” dan pilih “Data Type” lalu pilih “Co-Hosted Site”.

  • Langkah tersebut akan memberi Anda daftar semua situs yang dihosting bersama now8news.com. Sebaiknya Anda mempersempit target Anda dengan mengeklik kotak centang di sebelah kiri situs yang diminati dan memilih tombol bintang di kanan atas.

  • Kemudian klik “Starred” untuk melihat semua situs yang Anda pilih.

  • Setelah Anda memiliki daftar item minat yang ditandai, pilih tombol “Toggle View”.

  • Pilih “Node graph”. Langkah tersebut secara otomatis akan menghasilkan grafik jaringan berdasarkan situs yang dihosting bersama dan Anda beri bintang. Ini grafik yang didapatkan:

  • Perhatikan bahwa semua node ini, seperti www.news4ktla.com dan www.abc4la.com, berpusat di sekitar alamat IP untuk now8news.com, yaitu 67.227.229.104. Artinya, semuanya dihosting di alamat IP yang sama. Hal itu bisa dikonfirmasi dengan menjalankan now8news.com melalui alat IP balik DNSlytics.

Ada lebih banyak modul di SpiderFoot HX untuk dicoba untuk melakukan analisis jaringan. Untuk saat ini, lihat tutorial oleh penyelidik open source yang menggunakan nama NixIntel tentang penggunaan SpiderFoot HX untuk menyelidiki penipuan cryptocurrency di mana perusahaan yang terdaftar di Inggris meminta orang untuk menyerahkan uang tunai. NixIntel menggunakan SpiderFoot HX dengan cara yang kami jelaskan di atas (menggunakan nama domain, alamat IP, dan tag Google Analytics) untuk menggambar peta jaringan situs web penipuan mata uang kripto. Kunjungi situs web SpiderFoot dan saluran YouTube untuk mempelajari lebih lanjut. (Brian Perlman/ Penerjemah: Okky Mabruri)


Brian Perlman adalah Assistant Editor di GIJN. Beberapa bidang yang menjadi keahliannya yakni riset pelanggaran HAM dengan menggunakan forensik digital, data science, dan teknik sumber terbuka. Ia lulus dari UC Berkeley Graduate School of Journalism dan sempat bekerja untuk Human Right Center di Berkeley Law.

Tulisan ini pertama kali dipublikasikan oleh Global Investigative Journalism Network (GIJN) dan ditajuki GIJN Toolbox: SpyOnWeb, VirusTotal, and SpiderFoot HX. Penyebarluasan tulisan ini berada di bawah lisensi Creative Commons Attribution-NonCommercial 4.0 International.

Alih bahasa ini disponsori oleh dana hibah dari Google News Initiative. Untuk menerbitkan ulang tulisan ini, Anda bisa menghubungi [email protected].

Berlangganan Kabar Terbaru dari Kami

GRATIS, cukup daftarkan emailmu disini.