Pendiri Sinyal Mengatakan Alat Forensik Cellebrite Cacat

Pendiri Sinyal Mengatakan Alat Forensik Cellebrite Cacat – Lembaga penegak hukum menggunakan alat forensik digital dari perusahaan Israel Cellebrite untuk mendapatkan akses ke perangkat seluler yang terkunci dan mengekstrak data untuk bukti. Namun dalam kesempatan yang tepat untuk model bisnis vendor, Moxie Marlinspike (moxie), pencipta aplikasi pesan terenkripsi Signal, mengatakan kelemahan pada perangkat Cellebrite mempertanyakan apakah data yang diekstrak alat dapat dianggap andal.

Pendiri Sinyal Mengatakan Alat Forensik Cellebrite Cacat

 Baca Juga : Model Baru untuk Ekstraksi Data forensik dari Perangkat Seluler Terenkripsi

thetrainingco – Marlinspike melemparkan tantangan pada hari Rabu dalam sebuah posting blog di mana ia berpendapat bahwa kelemahan perangkat lunak dapat merusak data yang dikumpulkan oleh Universal Forensic Extraction Device (UFED) dan Physical Analyzer, dua alat Cellebrite.

“Kami menemukan bahwa mungkin untuk mengeksekusi kode arbitrer pada mesin Cellebrite hanya dengan memasukkan file yang diformat khusus tetapi tidak berbahaya di aplikasi apa pun pada perangkat yang kemudian dicolokkan ke Cellebrite dan dipindai,” tulis Marlinspike. “Hampir tidak ada batasan pada kode yang dapat dieksekusi.”

Serangan Marlinspike menandai serangan langsung yang menarik yang diluncurkan oleh sebuah organisasi, Signal, yang berjuang untuk menjaga kerahasiaan data, melawan Cellebrite, yang bisnisnya menghancurkan pertahanan tersebut. Dan itu terjadi ketika pemerintah di seluruh dunia meningkatkan tekanan pada perusahaan yang menggunakan enkripsi yang sulit dipecahkan dalam produk mereka.

Temuan ini menimbulkan pertanyaan apakah terdakwa dapat mengajukan keberatan terhadap bukti digital yang dikumpulkan oleh alat Cellebrite dengan alasan data yang mungkin dirusak. Mengingat hampir tidak mungkin untuk menghilangkan semua kekurangan dalam perangkat lunak apa pun, masih dapat diperdebatkan apakah pengadilan akan memandang klaim semacam itu dengan baik.

Cellebrite menyatakan bahwa itu memastikan “bahwa produk dan perangkat lunak kami memenuhi dan melampaui standar tertinggi di industri sehingga semua data yang dihasilkan dengan alat kami divalidasi dan terdengar secara forensik.”

Konflik yang Meningkat

Ada ketegangan yang gamblang dalam posting blog Marlispike. Muncul setelah pengumuman Cellebrite pada 1 Desember 2020, bahwa sekarang dapat mengurai dan mengekstrak konten Signal dengan Penganalisis Fisiknya.

Tapi daging sapi Marlinspike dengan Cellebrite tidak hanya bertujuan untuk memecahkan telepon dan mendapatkan akses ke komunikasi Signal mereka. Dalam posting blognya, Marlinspike juga menyebut vendor tersebut menyediakan perangkat lunak ke negara-negara dengan catatan hak asasi manusia yang bermasalah, termasuk negara-negara yang menargetkan aktivis dan jurnalis.

Sebagai tanggapan, Cellebrite mengatakan penelitian seperti Signal adalah landasan untuk memastikan validitas perangkat lunaknya dan memastikan bahwa “bukti digital yang diperoleh secara sah digunakan untuk mengejar keadilan.”

Permukaan Serangan Besar Cellebrite

Untuk mendemonstrasikan efek dari satu kerentanan yang tidak terdeskripsikan, Marlinspike menerbitkan video bukti konsep yang menunjukkan bagaimana file yang ditanam di perangkat seluler kemudian diproses dan dieksekusi oleh UFED saat mengumpulkan data. Dalam demonstrasi, efeknya tidak berbahaya. Ini adalah muatan yang menyebabkan MessageBox Windows API menampilkan kotak dialog yang berbunyi: “MESS WITH THE BEST, MATI LIKE THE REST. HACK THE PLANET!” yang merupakan kutipan dari film 1995 “Hackers.”

Marlinspike menuduh bahwa perangkat lunak UFED dan Penganalisis Fisik Cellebrite tidak memiliki fitur keamanan yang umum saat ini, seperti mengeksploitasi pertahanan mitigasi. Dia memberi contoh satu kerentanan dalam produk, yang merupakan bundel usang untuk kerangka kerja multimedia FFmpeg, yang berasal dari tahun 2012.

Patrick Wardle, pakar keamanan Apple yang menjalankan situs alat keamanan Objective-See Mac, mengatakan bahwa aplikasi seperti Cellebrite siap diserang karena mereka menyerap sejumlah besar data yang tidak tepercaya.

“Setiap kali Anda mem-parsing format file, ada permukaan serangan yang sangat besar,” kata Wardle.
Pertahanan Terhadap Cellebrite

Marlinspike dan tim Signal bukanlah yang pertama mencari kekurangan di Cellebrite. Selama dua tahun, Matt Bergin, peneliti keamanan informasi senior di KoreLogic, konsultan keamanan yang berbasis di AS, telah merekayasa balik alat Cellebrite, menemukan kerentanan dan kelemahan.

Bergin akan mempresentasikan temuan terbarunya tentang alat Cellebrite bulan depan di Black Hat Asia. Dia akan mengungkap aplikasi Android yang dia kembangkan yang menghapus data dari perangkat ketika mendeteksi upaya pencitraan Cellebrite.

Bergin mengatakan dia senang bahwa peneliti lain seperti Marlinspike sedang memeriksa alat Cellebrite. “Saya benar-benar berharap pengacara pembela memperhatikan ini karena ini adalah masalah nyata, mereka dapat dieksploitasi dan jika memang demikian, seseorang yang berpotensi tidak bersalah bisa berakhir di penjara,” katanya.

Bukti yang Dapat Diandalkan atau Keraguan yang Wajar?

Marlinspike menawarkan kesepakatan lidah-di-pipi ke Cellebrite jika ingin mendapatkan rincian kerentanan yang ditemukan tim Signal dalam produknya.

“Kami tentu saja bersedia untuk secara bertanggung jawab mengungkapkan kerentanan spesifik yang kami ketahui kepada Cellebrite jika mereka melakukan hal yang sama untuk semua kerentanan yang mereka gunakan dalam ekstraksi fisik dan layanan lainnya ke vendor masing-masing, sekarang dan di masa depan,” tulisnya.

Produk Cellebrite menggunakan eksploitasi untuk mendapatkan akses awal ke perangkat seluler, yang harus dilakukan sebelum data dapat diekstraksi. Eksploitasi tersebut berfungsi hingga seseorang melaporkannya ke Apple atau Google, yang kemudian akan menambal iOS atau Android. Tantangan Marlinspike kemungkinan akan diabaikan, karena model bisnis Cellebrite didasarkan pada kemampuan untuk membobol perangkat yang dilindungi kode sandi.

Sementara itu, Marlinspike mencatat bahwa – dalam gerakan yang sama sekali tidak terkait, wink-wink – versi Signal yang akan datang akan mengambil file dan menyimpannya di penyimpanan aplikasi. Dengan licik, dia menyarankan bahwa “tidak ada arti penting lain” untuk file-file ini selain agar terlihat bagus, dan bahwa file-file tersebut tidak berinteraksi dengan perangkat lunak atau data.

“File hanya akan dikembalikan untuk akun yang telah menginstal aktif untuk beberapa waktu, dan hanya kemungkinan dalam persentase rendah berdasarkan sharding nomor telepon,” tulis Marlinspike. “Kami memiliki beberapa versi file berbeda yang menurut kami menyenangkan secara estetika dan akan mengulanginya secara perlahan seiring waktu.”

Apakah Signal mungkin menggunakan file-file itu untuk mengganggu atau merusak kemampuan pengambilan data Cellebrite tetap menjadi pertanyaan terbuka. Tapi itu pertanyaan yang mungkin memberi tim pembela amunisi untuk menantang bukti pengadilan yang disita menggunakan Cellebrite.
Pertanyaan Hak Cipta dan Perizinan

Dalam sebuah cuplikan perpisahan, Marlinspike dalam posting blognya menunjukkan bahwa alat Logika Lanjutan iOS Cellebrite dan Penganalisis Fisiknya menggunakan pustaka tautan dinamis yang ditulis oleh Apple, yang berpotensi melanggar hak cipta dan hak lisensi Apple.

“Tampaknya tidak mungkin bagi kami bahwa Apple telah memberikan Cellebrite lisensi untuk mendistribusikan ulang dan memasukkan DLL Apple ke dalam produknya sendiri, jadi ini dapat menimbulkan risiko hukum bagi Cellebrite dan penggunanya,” tulis Marlinspike.

Wardle mengatakan hal itu bisa menjadi masalah yang lebih mendesak, mengingat pertahanan Apple yang kuat atas kekayaan intelektualnya. “Jika tujuan Anda adalah membuat masalah bagi Cellebrite, ini mungkin cara terbaik untuk melakukannya,” katanya.

Model Baru untuk Ekstraksi Data forensik dari Perangkat Seluler Terenkripsi

Model Baru untuk Ekstraksi Data forensik dari Perangkat Seluler Terenkripsi – Perangkat seluler sering kali berisi data yang relevan dengan investigasi kriminal, dan analisis forensik perangkat tersebut telah menjadi kemampuan investigasi yang semakin penting bagi lembaga penegak hukum . Selama beberapa dekade terakhir, berbagai peneliti ilmu forensik telah menetapkan metode dan proses untuk mengekstrak data bukti dari perangkat seluler dengan cara forensik yang baik.

Model Baru untuk Ekstraksi Data forensik dari Perangkat Seluler Terenkripsi

 Baca Juga : Bagaimana Pakar Forensik Digital Mengekstrak Data Dari Ponsel

thetrainingco – Metode tersebut telah banyak digunakan untuk tujuan forensik dalam kasus nyata, dan telah mengatasi tantangan umum dalam forensik seluler, seperti kurangnya standarisasi dalam industri seluler dan kecepatan perubahan teknologi perangkat seluler. Namun, di sisi lain, tantangan baru baru-baru ini diterapkan oleh fitur keamanan yang kuat di perangkat seluler modern . Enkripsi, bersama dengan fitur penjaga keamanan lainnya jelas menciptakan tantangan bagi penyelidik forensik yang ingin mengekstrak data dari perangkat seluler yang disita di TKP. Fitur keamanan tersebut telah menonaktifkan banyak metode akuisisi data yang telah digunakan secara historis, dan metode baru untuk memperoleh data dari perangkat seluler modern harus dieksplorasi.

Tantangan yang ditimbulkan oleh enkripsi disoroti publik selama perselisihan 2015 antara Apple dan FBI menyusul serangan teroris San Bernardino, California yang dilaporkan secara luas. Kasus itu tidak hanya memicu perdebatan hukum yang intens tentang regulasi kriptografi dan akses pemerintah ke perangkat terenkripsi, tetapi juga membawa perhatian publik pada masalah seputar keamanan dan privasi data yang disimpan di perangkat seluler pribadi. Tidak mengherankan, vendor perangkat seluler telah menerapkan fitur keamanan tingkat tinggi dalam produk mereka untuk mengatasi perlindungan data pribadi . Saat ini, di perangkat seluler modern, data pengguna sangat diamankan dari akses berbahaya oleh penyerang tidak sah selama konfigurasi pengguna diatur dengan benar.

Dampak enkripsi pada analisis forensik, serta proses akuisisi data yang efektif telah banyak diteliti dalam domain forensik komputer. Telah disarankan bahwa file-file sementara, data pada memori yang mudah menguap , metadata skema enkripsi , atau akses ke sistem manajemen kuncidapat mendekripsi data target, sehingga memungkinkan pemeriksa untuk mengekstrak data asli, yang kemudian dapat digunakan untuk investigasi kriminal. Tantangan dalam akuisisi data dari perangkat seluler terenkripsi, bagaimanapun, berasal dari fakta bahwa potongan data yang terdaftar tersebut tidak dapat diakses secara default, yang memerlukan modifikasi perangkat pameran. Sementara beberapa metode akuisisi data forensik tradisional masih efektif, perangkat target perlu dibuka kuncinya secara langsung dan dimodifikasi untuk akuisisi data yang efektif, yang seringkali memerlukan operasi invasif.

Dalam makalah ini, kami menyelidiki teknik forensik seluler modern, dan membandingkannya dengan teknik forensik seluler tradisional. Melihat pergeseran paradigma dalam teknik forensik bergerak, jelas bahwa mengikuti model ekstraksi data forensik tradisional tidak lagi efektif. Oleh karena itu, model baru untuk akuisisi forensik diusulkan, dan teknik ekstraksi data forensik modern dievaluasi dalam konteks regulasi enkripsi dan akses pemerintah yang kontroversial dan kurang berkembang ke perangkat terenkripsi.

Latar Belakang: Pergeseran Paradigma Dalam Mobile Forensik

Teknologi canggih yang digunakan dalam perangkat seluler modern sangat memengaruhi efektivitas teknik forensik seluler. Di bagian ini, kami memberikan gambaran umum tentang teknik akuisisi data forensik perangkat seluler tradisional, membahas adopsi enkripsi dan fitur keamanan lainnya secara luas di perangkat seluler, dan kemudian menilai dampak fitur keamanan tersebut pada teknik forensik seluler tradisional.

Teknik forensik seluler tradisional

Teknik akuisisi data forensik telah diteliti untuk beberapa platform perangkat seluler. Kesehatan forensik mereka dievaluasi sebelum implementasi, dan mereka saat ini tersedia melalui beberapa alat forensik komersial ( Barmpatsalou et al., 2013 ; Al-Dhaqm et al., 2020 ; Reedy, 2020 ). Teknik akuisisi yang digunakan dalam mobile forensik telah dikategorikan menggunakan sistem klasifikasi yang disarankan oleh National Institute of Standards and Technology (NIST). Sistem klasifikasi mencakup lima level berikut:

Level 1: Ekstraksi Manual

Pemeriksa secara langsung memanipulasi perangkat seluler target menggunakan antarmuka input perangkat (yaitu, keypad dan tombol), dan merekam konten yang ditampilkan pada tampilan perangkat.

Level 2: Ekstraksi Logis

Data (yaitu, file dan folder) pada perangkat seluler target diekstraksi melalui komunikasi dengan antarmuka koneksi kabel/nirkabelnya. Data yang diekstraksi dapat dibaca manusia karena dalam format yang dapat dikenali oleh aplikasi komputer.

Level 3: Pembuangan Hex/JTAG

Data mentah penuh atau sebagian (hex dump) yang disimpan di media penyimpanan pada perangkat seluler target diperoleh jika teknik yang dikategorikan dalam level ini digunakan. Antarmuka debug pada perangkat seluler target, seperti JTAG (Join Test Action Group), umumnya digunakan untuk melakukan hex dumping. Teknik yang dapat memperoleh data mentah tanpa penghancuran perangkat keras umumnya dikategorikan ke dalam level ini.

Level 4: Chip-off

Chip-off memerlukan pemindahan fisik chip memori non-volatil dari perangkat seluler target. Pemeriksa dapat memperoleh salinan identik dari seluruh data mentah perangkat seluler target, yang mungkin berisi sisa-sisa data yang dihapus.

Level 5: Baca Mikro

Pembacaan mikro adalah teknik yang sangat terspesialisasi, di mana data yang disimpan dalam memori non-volatil diekstraksi dalam bentuk properti listrik melalui pengamatan langsung memori mati di dalam chip memori non-volatil.

Data yang diperoleh melalui teknik Level 1 dan 2 biasanya disebut data logis, sedangkan data yang diperoleh melalui teknik Level 3 hingga 5 disebut data fisik dan memiliki keunggulan termasuk sisa-sisa data yang dihapus. Umumnya, penguraian data diperlukan untuk menyajikan data yang dapat dibaca manusia setelah memperoleh data fisik.

Pemahaman umum dalam model forensik seluler tradisional adalah bahwa semakin tinggi tingkat akuisisi, semakin tinggi peluang pemulihan data forensik. Karena pemeriksa menggunakan tingkat akuisisi yang lebih tinggi, jangkauan data yang dapat diakses menjadi lebih luas. Selain itu, akuisisi fisik dapat melewati mekanisme otentikasi pengguna pada ponsel cerdas seperti kode pin dan kata sandi selama mengakses data yang disimpan, dan tidak mengharuskan perangkat target berada dalam status booting normal. Oleh karena itu, aparat penegak hukumtelah secara luas mengadopsi akuisisi data chip-off sebagai teknik ekstraksi data tingkat tertinggi dari berbagai perangkat seluler. Perhatikan bahwa meskipun pembacaan mikro diperingkatkan sebagai level tertinggi dalam sistem klasifikasi yang disebutkan di atas, dan meskipun penelitian sebelumnya telah membuktikan bahwa membaca data langsung dari memori mati adalah mungkin, dalam praktiknya, ini tidak dianggap sebagai teknik ekstraksi data seluler praktis dalam forensik seluler sejauh yang penulis ketahui.

Enkripsi dan fitur keamanan lainnya di perangkat seluler modern

Untuk melindungi privasi pengguna dan memberikan kerahasiaan data, teknik enkripsi saat ini diterapkan di perangkat seluler modern secara default. Secara tradisional, di perangkat seluler, teknik enkripsi diterapkan pada tingkat aplikasi untuk melindungi data pengguna individu seperti email dan foto. Namun, dengan meningkatnya kekhawatiran atas keamanan dan privasi, teknik enkripsi sekarang diterapkan di tingkat sistem dengan kata sandi unik yang dikodekan secara keras yang tidak dapat diakses, bahkan oleh produsen perangkat. Oleh karena itu, data perangkat seluler saat istirahat disimpan dengan cara terenkripsi. Dua jenis skema enkripsi yang sering digunakan di perangkat seluler. Salah satunya adalah Enkripsi Disk Penuh(FDE) dan yang lainnya adalah File Based Encryption (FBE) ( Loftus dan Baumann, 2017 ). FDE adalah teknik di mana seluruh partisi data pengguna dienkripsi dengan kunci enkripsi tunggal, sementara FBE mengenkripsi data per basis file dengan kunci yang berbeda, memungkinkan file didekripsi secara independen. Di perangkat Apple, FDE pertama kali diperkenalkan di iPhone 3 GS dengan iOS 3.X ( Teufl et al., 2013 ). Perangkat Apple dengan versi iOS lebih tinggi dari 8 menggunakan FBE. Di perangkat Android , FDE diperkenalkan di Android 4.4, dan didukung hingga Android 9. Dimulai dengan Android 7.0, FBE telah digunakan sebagai teknik enkripsi standar. Hari ini, dilaporkan bahwa lebih dari 80 persen perangkat Android di pasar berjalan pada versi Android lebih tinggi dari 6 (Statista, 2013 ). Ini berarti bahwa data pengguna di perangkat Android yang disita selama investigasi kriminal sekarang sebagian besar dienkripsi.

Selain teknik enkripsi, fitur “keamanan berdasarkan desain” lainnya diterapkan di perangkat seluler modern. Salah satu contohnya adalah Root of Trust (RoT). Saat perangkat seluler melakukan booting, setiap komponen perangkat keras dan perangkat lunak dalam rantai boot divalidasi untuk memastikan bahwa hanya komponen resmi yang dijalankan pada sistem. Jika validasi gagal karena perangkat lunak yang tidak ditandatangani atau karena alasan lain, perangkat target tidak bisa boot, menolak akses ke perangkat oleh pengguna jahat. Hal ini membuat teknik akuisisi data tradisional seperti yang disarankan oleh Vidas et al. (2011)tidak bisa dijalankan. Trusted Execution Environment (TEE), yang juga banyak digunakan, menyediakan lingkungan yang terisolasi untuk komponen penting keamanan dalam suatu sistem, dengan memisahkan sistem operasi normal dari sistem operasi aman yang jauh lebih kecil, keduanya berjalan pada perangkat keras yang sama. Oleh karena itu, dunia yang aman dan dunia normal dapat hidup berdampingan dalam suatu sistem. Teknologi TrustZone ARM sebagian besar digunakan di perangkat Android. Sementara Apple menggunakan teknologi serupa yang disebut Secure Enclave Processor (SEP) untuk mengisolasi kunci kriptografik dan informasi sensitif lainnya .pengolahan. Saat menerapkan TEE, bahkan “rooting”, atau memperoleh hak istimewa tertinggi dalam sistem tidak mengizinkan akses ke data kunci. Dengan menyertakan fitur keamanan tersebut, produsen perangkat seluler tidak hanya melindungi data pengguna, tetapi juga data dan teknologi milik perusahaan mereka. Akibatnya, pengguna memiliki sedikit kebebasan untuk mengontrol perangkat seluler mereka sendiri, dan mereka dibatasi untuk menggunakannya dalam ekosistem tertutup vendor perangkat.

Dampak fitur keamanan pada teknik forensik seluler tradisional

Seperti yang telah dibahas, penggunaan enkripsi yang populer, bersama dengan langkah-langkah keamanan yang rumit pada perangkat seluler modern, berdampak pada kemampuan teknik akuisisi data forensik tradisional. Efektivitas model lima tingkat teknik ekstraksi forensik mobile yang kita bahas di bagian 2.1 dapat dievaluasi sebagai berikut dengan adanya fitur keamanan. Perhatikan bahwa kami berasumsi bahwa konfigurasi pengguna diatur dengan cara mengaktifkan semua fitur keamanan pada perangkat target.

Teknik ekstraksi data yang saat ini digunakan dari perangkat seluler terenkripsi

Di bagian ini, teknik ekstraksi data forensik utama saat ini dari perangkat seluler modern, bersama dengan kelemahan fitur keamanan perangkat, diperkenalkan. Meskipun ada beberapa pengecualian dalam praktik di mana lebih banyak metode ekstraksi data tersedia, misalnya ketika perangkat target sudah “jailbroken” atau “root”, kami mengecualikan skenario tersebut dalam makalah ini.

Teknik ekstraksi data yang saat ini digunakan dari perangkat seluler terenkripsi

Di bagian ini, teknik ekstraksi data forensik utama saat ini dari perangkat seluler modern, bersama dengan kelemahan fitur keamanan perangkat, diperkenalkan. Meskipun ada beberapa pengecualian dalam praktik di mana lebih banyak metode ekstraksi data tersedia, misalnya ketika perangkat target sudah “jailbroken” atau “root”, kami mengecualikan skenario tersebut dalam makalah ini.

Masalah hukum yang terkait dengan teknologi forensik modern

Karena data yang diberikan melalui analisis forensik selanjutnya dapat diandalkan di pengadilan, selalu penting bagi pemeriksa forensik untuk mengetahui kerangka hukum yang mengatur dekripsi untuk akuisisi bukti digital. Dalam perspektif sejarah, ada empat pendekatan legislatif untuk memberikan kekuatan dekripsi kepada penegak hukum – akses luar biasa; perintah dekripsi; eksploitasi kerentanan; dan akses data awan. Rincian masing-masing pendekatan dibahas di bagian ini.

Model forensik seluler baru

Seperti yang telah kita lihat melalui bagian 3 dan bagian 4, pendekatan saat ini untuk mengakses data pengguna di perangkat seluler modern telah banyak berubah dari yang tradisional. Secara tradisional, teknik ekstraksi data forensik telah berfokus pada perolehan data fisik, yang ketika diuraikan kemudian dapat memulihkan data yang dihapus. Pendekatan ini dulu efektif karena data disimpan dalam teks yang jelas pada memori non-volatil pada perangkat seluler. Akibatnya, model ekstraksi data lima tingkat telah diikuti sebagai model standar. Namun, dengan penerapan enkripsi dan fitur keamanan kompleks lainnya, hanya memperoleh data mentah tidak membantu memulihkan data pengguna lagi. Lebih buruk lagi, prosedur destruktif seperti chip-off dapat menghancurkan komponen kunci yang diperlukan untuk mendekripsi data yang diperoleh. Selain itu, fitur penghapusan aman pada perangkat seluler dapat secara efektif menghapus sisa-sisa data pada sistem, dan memulihkan data yang dihapus dari data fisik menjadi hampir tidak mungkin. Selain itu, tanpakredensial otentikasi pengguna , memperoleh data pengguna, baik itu logis atau fisik, menjadi tantangan besar, terlepas dari tingkat akuisisi. Oleh karena itu, pengkategorian metode ekstraksi data seluler berdasarkan tipe data yang diekstraksi menjadi kurang efektif. Saat ini, baik mengekstraksi data dalam teks yang jelas, atau mengekstraksi kunci enkripsi adalah tujuan utama dalam ekstraksi data forensik. Tanpa otentikasi pengguna yang tepat, ini hanya dapat dicapai dengan mengeksploitasi kerentanan sistem pada perangkat target atau dengan mengidentifikasi dan mengakses kunci kriptografi yang tersimpan. Namun kedua metodologi memerlukan rekayasa balik yang ekstensif sebelum bekerja pada perangkat seluler target.

Bagaimana Pakar Forensik Digital Mengekstrak Data Dari Ponsel

Bagaimana Pakar Forensik Digital Mengekstrak Data Dari Ponsel – Mario Merendon, Ketua Forensik Perangkat Seluler untuk Asosiasi Internasional Spesialis Investigasi Komputer (IACIS)

Bagaimana Pakar Forensik Digital Mengekstrak Data Dari Ponsel

thetrainingco – Mungkin tidak ada yang mengubah prosedur investigasi modern sebanyak forensik seluler. Bagian dari forensik digital, forensik seluler melibatkan pengambilan data dari perangkat seluler, biasanya ponsel atau tablet, tetapi berpotensi jam tangan pintar, kamera, perangkat GPS, atau drone.

Dengan lebih dari 400 juta langganan seluler-seluler di Amerika Serikat saat ini, sekarang tidak biasa bagi penyelidikan modern untuk tidak melibatkan forensik seluler dalam beberapa cara.

“Ketika menyangkut investigasi, perangkat itu adalah kuncinya,” kata Mario Merendon, penyelidik forensik komputer untuk Kantor Kejaksaan Distrik Kriminal Kabupaten Denton dan ketua forensik perangkat seluler untuk Asosiasi Internasional Spesialis Investigasi Komputer (IACIS).

Baca Juga : Ekstremisme dan Terorisme Dalam Domain Digital

“Jenis informasi yang dimiliki perangkat ini membantu kami menyusun garis waktu peristiwa. Garis waktu itu dapat memberi kita gambaran lengkap tentang sebuah percakapan. Itu bisa memberi kita motif kejahatan.

Itu bisa memberi kita data lokasi. Dibandingkan dengan apa yang tersedia untuk membantu dalam memecahkan kejahatan sepuluh tahun yang lalu, hanya ada sejumlah besar informasi yang sekarang dimiliki oleh perangkat seluler ini.”

Forensik seluler adalah disiplin yang rumit. Pakar forensik seluler saat ini perlu dilatih dalam praktik terbaik forensik seluler dan prosedur investigasi, tetapi mereka juga harus tetap mengikuti perubahan dan karakteristik dalam teknologi mutakhir.

“Salah satu tantangan terbesar yang kami hadapi saat ini adalah berbagai jenis enkripsi yang dimiliki setiap ponsel,” kata Merendon. “Perangkat lunak yang berbeda dan sistem operasi yang berbeda memiliki enkripsi masuk yang berbeda, apakah itu enkripsi disk penuh, atau enkripsi berbasis file, atau perangkat yang dilindungi kata sandi. Jika kita dihadapkan dengan jenis kendala itu, maka kita harus menjelajahi rute yang berbeda untuk mengekstrak data itu.”

Kompleksitas disiplin melampaui enkripsi. Prosedur yang tepat untuk menyelidiki telepon Android mungkin tidak sama untuk menyelidiki telepon Apple, dan perbedaan dalam patch perangkat lunak dan konektivitas jaringan harus diperhitungkan selama penyelidikan forensik seluler. Dua ponsel berbeda yang disita pada dua hari yang berbeda mungkin memiliki aplikasi yang sama, tetapi tingkat akses penyelidik ke informasi dalam aplikasi itu mungkin berbeda secara drastis.

“Apa yang harus kita lakukan adalah belajar untuk tidak hanya bergantung pada satu alat forensik, karena itu akan berada di belakang kurva dalam memecahkan kode aplikasi tertentu,” kata Merendon. “Semakin banyak pelatihan yang kami miliki dalam mengenali di balik layar cara kerja telepon dan bagaimana basis data dibuat dan disatukan, [semakin] kami dapat menggali dan mendapatkan informasi tanpa harus hanya bergantung pada penguraian kode tertentu. alat forensik.”

Tidak ada pendekatan satu ukuran untuk semua untuk forensik seluler, karena setiap investigasi akan memiliki karakteristik uniknya sendiri itulah sebabnya program pelatihan di IACIS berfokus pada keterampilan agnostik alat. Namun, ada proses yang agak standar untuk forensik seluler: data perlu diambil, diambil, dan dianalisis dengan cara yang baik secara forensik. Ini memastikan bahwa bukti dikumpulkan dengan cara yang memastikan proses rantai bukti dan menghindari modifikasi atau penghancuran data yang bersangkutan.

Saat perangkat seluler disita, biasanya perangkat tersebut perlu diisolasi dari jaringan, untuk mencegah data yang masuk menimpa data lama. Kemudian dapat diangkut dalam sangkar Faraday atau tas khusus Faraday. Perangkat yang disita juga dapat ditempatkan dalam mode pesawat (dengan Wi-Fi dinonaktifkan), atau kartu SIM yang dikloning, sesuai dengan keadaan.

Idealnya, perangkat harus disita saat terjaga dan tidak terkunci dan harus tetap menyala setiap saat. Dalam kasus perangkat terkunci, penting untuk diingat bahwa meskipun kode PIN dilindungi oleh amandemen ke-5, sidik jari mungkin tidak .

AKUISISI

Setelah perangkat disita, perangkat siap untuk akuisisi data. Data seluler terbagi menjadi tiga jenis utama: memori internal, memori eksternal, dan log sistem. Memori internal biasanya disimpan di ponsel itu sendiri, sedangkan memori eksternal biasanya disimpan di kartu SD atau memory stick. Log sistem mungkin berasal dari penyedia telekomunikasi dan jaringan nirkabel yang telah digunakan telepon.

Data ponsel cerdas yang menarik bagi profesional forensik seluler dapat mencakup informasi GPS, data jejaring sosial, riwayat penelusuran, kontak, pesan teks, data gambar, tag geolokasi, email (dikirim, diterima, dan dalam konsep), dan catatan pribadi. Itu banyak data yang harus disaring, dan penyelidik sering membutuhkan bantuan teknis dalam bentuk alat pihak ketiga, yang sebagian besar merupakan solusi komersial otomatis yang dapat memiliki komponen perangkat keras dan perangkat lunak.

Ada empat bentuk utama akuisisi data: akuisisi manual, akuisisi logis, akuisisi fisik, dan akuisisi brute force.

Akuisisi Manual

Dalam akuisisi manual, ahli forensik seluler akan menavigasi antarmuka pengguna telepon secara manual, menangkap gambar layar di sepanjang jalan. Ini tidak jauh berbeda dari sekadar menggunakan telepon, kecuali bahwa tujuannya adalah investigasi. Akuisisi manual adalah proses yang memakan waktu, dan cakupannya terbatas pada data yang saat ini tersedia di sistem operasi.

Akuisisi Logis

Dalam akuisisi logis, ahli forensik seluler akan menyalin sistem file telepon ke perangkat terpisah. Ini mirip dengan menyinkronkan ponsel dengan laptop, membawa data ponsel dalam struktur logis bercabang yang lebih mudah diatur dan dinavigasi. Untuk beberapa sistem operasi ponsel, data yang diekstraksi mungkin menyertakan file yang ditandai untuk dihapus tetapi belum ditimpa.

Akuisisi Fisik

Dalam akuisisi fisik, ahli forensik ‘mem-flash’ semua konten telepon ke perangkat terpisah. Ini adalah salinan sedikit demi sedikit dari memori flash perangkat seluler dan memungkinkan pemeriksa meninjau data yang terhapus atau terhapus sebagian. Namun, sebagian besar ponsel dikunci ke operator nirkabel tertentu dan dilindungi dari akses ke memori flash. Untuk menghindari ini, beberapa ahli forensik seluler dapat beralih ke pemuat boot dan alat forensik lainnya untuk melewati kunci.

Akuisisi Brute Force

Untuk melewati layar kunci dan kode sandi, beberapa penyelidik mungkin menerapkan kekerasan, yang lagi-lagi biasanya melibatkan alat pihak ketiga. Alat-alat ini, dalam bentuknya yang paling awal, secara fisik akan mencoba semua kemungkinan iterasi dari kode PIN numerik ke telepon seseorang. Layar kunci yang lebih baru dan sistem keamanan yang lebih baik telah menjadikan metode itu relatif primitif; alat akuisisi brute force saat ini lebih canggih dari namanya.

ANALISIS

Setelah data diperoleh, ahli forensik seluler perlu menganalisisnya. Tetapi smartphone biasa memiliki penyimpanan internal 64GB, yang berjumlah sekitar 33.500 rim kertas. Dalam jumlah data yang sangat besar itu, bagian penting dari bukti bisa kecil dan tidak berbahaya: panggilan tak terjawab bisa sama pentingnya dengan pesan teks yang dikirim, draf email yang dibuang sama pentingnya dengan selfie.

“Tergantung pada jenis kasusnya, kami mungkin hanya tertarik pada kategori data tertentu,” kata Merendon. “Dalam kasus pelecehan anak, misalnya, kami sangat tertarik dengan sejarah dan gambar pencarian web. Ketika kami hanya melihat kategori tertentu, kami dapat menyaring hal-hal lain yang tidak perlu kami lihat.”

Namun, dalam kasus besar, di mana banyak kategori data yang berbeda berpotensi menarik—obrolan, gambar, kontak prosesnya bisa jauh lebih memakan waktu. Untuk memerangi rawa data tersebut membutuhkan beberapa solusi teknis.

Setiap alat forensik dilengkapi dengan fitur analitik yang berbeda, beberapa dalam bentuk tampilan garis waktu dan analisis tautan untuk membantu visualisasi data bagi penyelidik forensik. Pencarian kata kunci lebih lanjut dan pemfilteran yang ditargetkan dapat membuat analisis data yang keruh sedikit lebih transparan dan sedikit lebih dangkal.

Bagaimanapun, penyelidik forensik bergerak mungkin perlu mahir dengan lebih dari satu alat analisis, dan terlatih dengan baik dalam melestarikan rantai bukti yang tepat.

MASA DEPAN FORENSIK SELULER

Forensik seluler adalah bidang yang berkembang pesat—bidang yang perlu mengimbangi inovasi industri teknologi secara luas. Pangsa pasar perangkat keras tertentu serta sistem operasi tertentu dapat berfluktuasi secara signifikan dalam rentang waktu yang singkat, mengubah alat dan prosedur yang perlu digunakan forensik seluler untuk memperoleh dan menganalisis data ponsel cerdas.

Langkah-langkah keamanan tambahan, seperti otentikasi dua faktor pada data yang disimpan di cloud dan peningkatan enkripsi lapisan dasar, menambah lapisan kompleksitas lebih lanjut. Perangkat analitik generasi baru dan undang-undang yang tumpang tindih di sekitar yurisdiksi menuntut penyelidik forensik seluler saat ini untuk dilatih secara ahli.

“Banyak perguruan tinggi sekarang menawarkan gelar sarjana dan master di bidang forensik komputer,” kata Merendon. “Beberapa penguji kami memiliki sertifikasi industri, dan kemudian gelar sarjana di atasnya.

Lainnya berasal dari latar belakang penegakan hukum. Semuanya saling terkait keterampilan investigasi bersama dengan sertifikasi komputer untuk membantu menentukan jenis informasi yang kita butuhkan untuk memecahkan kejahatan.”

Forensik seluler bukan hanya tentang menangkap penjahat. Merendon dan rekan-rekannya sering menggunakan keterampilan forensik seluler mereka atas nama korban juga. Kurva pembelajaran forensik seluler mungkin tinggi, tetapi begitu juga taruhannya: kebenaran dan keadilan mungkin hanya dengan beberapa klik saja.

“Ini adalah karir yang menarik, dan sangat bermanfaat untuk bekerja di belakang layar,” kata Merendon. “Bagi mereka yang paham teknologi, dan juga ingin membuat perbedaan dalam kehidupan sehari-hari dan bagi korban kejahatan, ini adalah pilihan karir yang sangat baik dan berkembang.”

Ekstremisme dan Terorisme Dalam Domain Digital

Ekstremisme dan Terorisme Dalam Domain Digital – Di era selfie, jepretan, suka, dan bagikan, internet dan media sosial telah mengubah cara orang berkomunikasi. Pada awal 2019, penetrasi internet global mencapai 57 persen atau 4,4 miliar pengguna, dan jumlah pengguna media sosial seluler secara keseluruhan mencapai 42 persen atau 3,2 miliar orang.

Ekstremisme dan Terorisme Dalam Domain Digital

 Baca Juga : Mobile Forensik : Gambaran Umum Teknik dalam Investigasi Forensik Seluler

thetrainingco – Artinya, orang dapat berbagi ide, berkomunikasi, dan berinteraksi lebih cepat dari sebelumnya, termasuk dengan audiens di belahan dunia lain. Kelompok teroris tentu saja memanfaatkan mekanisme dan platform baru ini untuk berkomunikasi di antara mereka sendiri dan dengan calon anggota baru.

Kelompok teroris telah dikenal karena memproduksi video-video keren yang diedarkan di YouTube dan Twitter, dan telah menguasai teknologi dan platform media sosial yang baru dan sedang berkembang, seperti Telegram; semua untuk mempromosikan pesan-pesannya di dunia maya.

Media sosial dan internet telah mempercepat kecepatan dan mengurangi biaya berbagi informasi. Hal ini telah mendukung proses banyak organisasi teroris untuk menata kembali diri mereka sendiri ke dalam struktur gaya jaringan dan meningkatkan kapasitas setiap sel untuk beroperasi secara independen, terutama untuk penyebaran pesan-pesan organisasi.

Internet adalah tempat berkembang biak yang subur di mana teroris tak berwajah mengomunikasikan kebencian dan intoleransi, yang bermanifestasi dalam pembantaian dan kematian. Sebuah survei oleh International Journal on Cyber ​​Warfare menyatakan bahwa ada 50 juta tweet secara global oleh delapan juta pengguna dengan kata kunci – ‘ISIS dan ISIL’. Tren baru adalah e-terorisme meluas ke propaganda multidimensi. Para pemimpin ISIS memposting video di YouTube yang memuliakan tindakan kader mereka di seluruh dunia. Internet dapat diakses oleh siapa saja dari jarak jauh. Tidak perlu interaksi wajah. Ini adalah medan pertempuran dunia maya yang tak terlihat. Jaringan teroris modern biasanya terdiri dari sel-sel kecil yang tersebar luas yang berkomunikasi dan mengoordinasikan kampanye mereka dengan cara yang saling terkait.

Di dunia kita yang berubah dengan cepat, dibutuhkan upaya terkoordinasi dari sektor publik dan swasta untuk mengidentifikasi ancaman baru di cakrawala dan memastikan polisi dan masyarakat siap menghadapinya. Penjualan gelap obat-obatan, senjata api dan bahan peledak; penyelundupan manusia; pencucian uang; kegiatan teroris; dan kejahatan dunia maya semuanya dapat difasilitasi oleh teknologi ini. Telah ada pertumbuhan dalam penggunaan teknologi yang memberikan anonimitas kepada penggunanya. The Darknet – sebagian besar Internet yang hanya dapat diakses menggunakan perangkat lunak khusus – dan mata uang kripto virtual memiliki banyak manfaat positif, tetapi fokus pada anonimitas membuat mereka terbuka untuk disalahgunakan oleh penjahat.

Sebagai mitra dalam Proyek Titanium yang didanai Uni Eropa, INTERPOL membantu dalam pengembangan alat analitik rantai blok yang disebut Graph Sense yang mendukung penelusuran transaksi mata uang kripto. Alat ini memungkinkan penyelidik untuk mencari alamat mata uang kripto, tag dan transaksi, untuk mengidentifikasi cluster yang terkait dengan alamat dan oleh karena itu ‘mengikuti uang’ untuk mendukung penyelidikan mereka. ‘Panduan Praktisi untuk Negara-negara ASEAN untuk Melawan Terorisme dengan menggunakan Darknet dan mata uang Crypto’ akan memberikan panduan komprehensif kepada pengguna penegak hukum dalam menyelidiki aktivitas teroris di Darknet, termasuk yang melibatkan penggunaan mata uang kripto.

Kelompok teror akan sering menggunakan situs web palsu yang memiliki ‘tampilan dan nuansa’ dari situs web yang sah. Cara lain untuk mendapatkan data pribadi Anda (untuk pencurian identitas) adalah dengan mengirimkan email palsu ‘kloning’ yang mungkin menanyakan nama lengkap, rekening bank, dan nomor ponsel Anda. Trik umum dalam kejahatan dunia maya adalah penggunaan URL yang salah eja dan penggunaan sub-domain untuk menipu dan mengarahkan Anda ke tempat lain. Ancaman digital baru ditemukan di luar negeri dalam bentuk ransomware – ini adalah malware yang mengenkripsi atau mengunci file digital berharga Anda dan kemudian meminta tebusan (uang tunai) untuk melepaskan data yang terkunci. Ransomware dengan demikian dapat menyusup ke sistem komputer penting dan melumpuhkan keuangan negara, menyebabkan kekacauan di pasar saham dan membuat kekacauan pada sistem kontrol lalu lintas udara penerbangan.

Psikolog setuju bahwa teroris berkembang dengan oksigen publisitas. Ideologi jihadis ingin orang menunjukkan simpati dan menyebarkan sikap negatif terhadap mereka yang menolak mereka.

Ada 46.000 akun Twitter yang dicurigai (dari Iran, Irak, dan Arab Saudi) yang memposting tweet yang mendukung ISIS dan juga akan memengaruhi radikal yang mengikuti mereka. Banyak tweet juga berasal dari Brigade Al-Khansaa, Pasukan Polisi Wanita Seluruh ISIS. Al-Khansaa adalah seorang penyair Arab terkenal beberapa dekade yang lalu. Propaganda media sosial dapat menarik pemirsa serta menghadirkan narasi kuat yang membahas faktor pendorong dan penarik masyarakat lokal, kemungkinan besar akan berdampak pada proses radikalisasi individu yang rentan.

Bukti elektronik adalah komponen dari hampir semua kegiatan kriminal dan dukungan forensik digital sangat penting untuk penyelidikan penegakan hukum. Bukti elektronik dapat dikumpulkan dari beragam sumber, seperti komputer, ponsel pintar, penyimpanan jarak jauh, sistem udara tak berawak, peralatan yang ditanggung kapal, dan banyak lagi. Contoh modern lainnya dari propaganda berkualitas tinggi adalah video game Salil- al- Sawarem (The Clanging of Swords): sebuah game “penembak orang pertama” yang dimodelkan untuk mendapatkan publisitas – dan menarik perhatian ISIS. Trailer untuk game tersebut dirilis di beberapa situs web dan platform di internet. Dengan cara ini, jenis komunikasi canggih ini dapat dengan mudah menjadi viral. Penampilan modern membantu menerjemahkan kekerasan teroris ke dalam bahasa yang dapat dimengerti oleh pemirsa muda rata-rata,

Radikalisasi online

Selain game, video, dan gambar, beberapa kelompok teroris juga menerbitkan majalah online, dan publikasi ini tampaknya memainkan peran penting dalam radikalisasi online. Aksesibilitas dan popularitas majalah online yang ramping dilaporkan telah berkontribusi terhadap keberhasilan pembesaran beberapa organisasi teroris, termasuk ISIS, melalui majalah mereka Dabiq dan Rumiyah, Al-Qaeda melalui Inspire, dan Al-Shabaab melalui Gaidi Mtaani. Dimasukkannya gambar yang menunjukkan pejuang dalam pakaian militer telah terbukti menarik individu untuk melakukan kekerasan. Selain itu, penekanan pada maskulinitas dan keberanian telah ditemukan untuk menarik individu yang menginginkan kegembiraan dan tertarik pada pencarian sensasi.

Dimasukkannya kutipan-kutipan religius, presentasi para anggota sebagai martir heroik yang mengagungkan kematian mereka yang kejam (pembom bunuh diri) sebagai pengorbanan, dan penggambaran daya tarik musuh bersama bagi pembaca yang beragam, dan mengarah ke diskusi filosofis. Kemampuan organisasi teroris untuk menghasilkan propaganda berkualitas tinggi yang menginspirasi yang dapat dibagikan di media sosial dan internet sangat penting bagi manajemen merek mereka dan pendekatan mereka terhadap radikalisasi, serta menggunakan media sosial arus utama, seperti yang telah disebutkan sebelumnya. , perlu juga dicatat bahwa kelompok teroris menggunakan berbagai situs jejaring sosial lainnya, termasuk Flickr, Vimeo, Instagram, dan Sound Cloud, serta blog dan situs web mereka sendiri.

Domain digital penuh dengan terorisme. Itu harus diawasi sepenuhnya oleh lembaga penegak hukum di setiap negara.

Mobile Forensik : Gambaran Umum Teknik dalam Investigasi Forensik Seluler

Mobile Forensik : Gambaran Umum Teknik dalam Investigasi Forensik SelulerTeknologi smartphone dan tablet telah berubah secara dramatis dan cepat dalam beberapa tahun terakhir dan terus berubah dengan kecepatan yang mencengangkan. Perangkat komputasi yang lebih kecil ini sangat umum, dengan fleksibilitas untuk menggantikan rekan desktop mereka dalam interaksi manusia ke komputer.

Mobile Forensik : Gambaran Umum Teknik dalam Investigasi Forensik Seluler

 Baca Juga : Teknologi Keamanan Dunia Untuk Menyamakan Kedudukan

thetrainingco – Duduklah di restoran, bandara, atau tempat umum mana pun yang menyediakan Wi-Fi dan Anda mungkin melihat manusia dengan wajah yang tampaknya terpaku pada layar perangkat mereka, berinteraksi di perangkat mereka dengan fokus seperti itu, tampaknya tidak menyadari lingkungan fisik mereka sendiri.

Ponsel pintar saat ini lebih sedikit digunakan untuk menelepon dan banyak digunakan untuk bersosialisasi; ini mengakibatkan ponsel cerdas menyimpan banyak informasi sensitif tentang penggunanya. Perangkat seluler menyimpan kontak pengguna dari berbagai sumber (termasuk telepon, jejaring sosial, pesan elektronik instan, dan aplikasi komunikasi), data tentang panggilan telepon, pesan teks yang dikirim dan diterima, serta email dan lampiran. Ada juga log browser dan informasi geolokasi yang di-cache; foto dan video yang diambil dengan kamera ponsel; kata sandi untuk layanan cloud, forum, jejaring sosial, portal online, dan situs belanja; data pembayaran yang tersimpan; dan banyak informasi lain yang mungkin penting untuk penyelidikan

Dengan banyaknya audiens yang terlibat setiap hari dengan ponsel cerdas mereka dan aksesori lainnya, Forensik seluler memainkan peran utama dan besar dalam menentukan bagaimana perangkat ponsel cerdas yang disebut “Aman” ini dieksploitasi dan bagaimana data pengguna digunakan untuk banyak serangan hebat pada infrastruktur Seluler.

Kami tidak akan membahas detail teknis apa pun, seperti kode hex itu di alamat apa artinya apa, atau cara menghitung UDID, atau cara menggunakan ADB untuk menerobos perlindungan kode sandi di android 2.1. kami yakin hal ini tidak penting bagi petugas penegak hukum, dan seharusnya hanya menarik minat teknisi yang beroperasi di lab akuisisi

Tahapan mobile forensik

Bagian ini akan membahas secara singkat tahapan keseluruhan dari mobile forensik dan tidak dimaksudkan untuk memberikan klarifikasi mendalam dari setiap tahapan. Ada lebih dari cukup dokumentasi yang dapat diakses dengan mudah di internet yang memiliki tingkat detail yang mendalam mengenai
tahapan mobile forensik.

Tahap 1: Kejang Perangkat

Tahap ini berkaitan dengan penyitaan fisik alat sehingga berada di bawah pengelolaan dan pengawasan penyidik/pemeriksa. pertimbangan juga harus diberikan kepada otoritas hukum atau persetujuan tertulis untuk menyita, mengekstrak, dan mencari informasi ini.

Kondisi fisik alat pada saat penyitaan harus diperhatikan, idealnya melalui dokumentasi fotografi digital dan catatan tertulis, seperti:

Apakah perangkatnya rusak? Jika ya, dokumentasikan jenis kerusakannya.
Apakah perangkat dihidupkan atau dimatikan pada saat kejang?
Apa tanggal dan waktu pada perangkat jika perangkat menyala?
Jika perangkat aktif, aplikasi apa yang berjalan di latar belakang perangkat?
Jika perangkat aktif, apakah layar perangkat dapat diakses untuk memeriksa kode sandi dan
setelan keamanan?

Beberapa aspek berbeda dari penyitaan perangkat dijelaskan sebagai berikut karena akan berdampak pada analisis pasca kejang: isolasi radio, mematikan perangkat jika menyala, penghapusan jarak jauh, dan anti-forensik

Merebut – apa dan bagaimana seharusnya kita merebut?

Ketika datang untuk memperoleh perangkat seluler dengan benar, orang harus mengingat berbagai perbedaan dalam cara komputer dan perangkat seluler beroperasi. Merebut, menangani, menyimpan, dan mengekstrak perangkat seluler harus mengikuti rute khusus dibandingkan dengan komputer desktop dan bahkan laptop. Tidak seperti PC yang akan online atau offline (yang mencakup kondisi tidur dan hibernasi hemat energi), ponsel cerdas dan tablet menggunakan modus operandi yang berbeda dan selalu terhubung. Sejumlah besar aktivitas berjalan di latar belakang, bahkan saat perangkat tampaknya sedang tidur. Aktivitas dapat dijadwalkan atau dipicu oleh sejumlah besar acara, serta acara push dari layanan online dan acara yang dimulai dari jarak jauh oleh pengguna. Faktor lain yang perlu dipertimbangkan saat membeli perangkat seluler adalah keamanan. Perangkat seluler sering dibawa-bawa, dan bahwa mereka dirancang agar lebih aman daripada PC desktop. Penyimpanan yang tidak dapat dilepas dan chip RAM yang disolder, enkripsi opsional atau yang dipaksakan, sakelar pemutus jarak jauh, layar kunci yang aman, dan bootloader yang terkunci hanyalah beberapa langkah keamanan yang perlu disebutkan.

Tas Faraday terbiasa menyimpan sementara perangkat yang disita tanpa mematikannya. Tas Faraday memblokir koneksi nirkabel ke jaringan seluler, Wi-Fi, Bluetooth, navigasi satelit, dan radio lain yang digunakan di perangkat seluler. Tas Faraday biasanya dirancang untuk melindungi rentang frekuensi radio yang digunakan oleh operator seluler lokal dan navigasi satelit (biasanya 700-2.600 MHz), juga rentang 2,4-5 ghz yang digunakan oleh jaringan Wi-Fi dan Bluetooth. Beberapa Faraday diproduksi dari
bahan pelindung logam berlapis khusus yang memblokir berbagai frekuensi radio

Menjaga perangkat tetap menyala

Saat menangani perangkat yang disita, penting untuk mencegah perangkat mati. Tidak pernah mematikan perangkat yang beroperasi adalah satu hal, mencegahnya mematikan adalah hal lain. Karena perangkat seluler mengonsumsi daya bahkan saat layar mati, praktik kualitasnya adalah memasang perangkat ke pengisi daya dan memasukkannya ke dalam tas Faraday yang memblokir nirkabel. ini dapat menghentikan perangkat seluler agar tidak mati setelah mencapai status daya rendah.

Mengapa secara khusus kita membutuhkan prosedur ini? Masalahnya, Anda akan dapat mengekstrak informasi tambahan dari perangkat yang digunakan atau dibuka kuncinya setidaknya sekali setelah siklus boot terakhir dibandingkan dengan perangkat yang melakukan booting di laboratorium Anda dan yang kode sandinya tidak Anda ketahui. Untuk mengilustrasikan hasil potensial, katakanlah Anda mengambil iPhone yang terkunci dengan kode sandi yang tidak diketahui. IPhone kebetulan di-jailbreak, sehingga Anda dapat mencoba menggunakan Toolkit forensik Elcomsoft iOS untuk mengekstrak data.

Jika perangkat terkunci dan Anda tidak mengetahui kode sandi, Anda akan memiliki akses ke kumpulan data yang sangat terbatas:

Informasi geolokasi terkini: Karena basis data lokasi tetap terenkripsi, hanya mungkin untuk mengekstrak data lokasi terbatas. Data lokasi terbatas ini hanya dapat diakses jika perangkat dibuka kuncinya minimal satu kali setelah booting selesai. Akibatnya, jika Anda tetap menghidupkan perangkat, Anda akan menarik riwayat geolokasi terbaru dari perangkat ini. Namun, jika perangkat mati dan hanya dinyalakan di laboratorium, informasi geolokasi akan tetap tidak dapat diakses hingga perangkat dibuka kuncinya.
Panggilan masuk (hanya angka) dan pesan teks: Pesan teks masuk sementara dipertahankan tidak terenkripsi sebelum pembukaan pertama setelah boot dingin. Setelah perangkat dibuka kuncinya untuk pertama kalinya setelah cold boot, pesan akan ditransfer ke database terenkripsi utama. Ini menyiratkan bahwa memperoleh perangkat yang tidak pernah dibuka kuncinya setelah cold start hanya dapat mengizinkan akses ke pesan teks yang diterima oleh perangkat selama perangkat tetap terkunci setelah boot.
Jika iPhone yang diakuisisi dibuka kuncinya minimal satu kali setelah di-boot
(misalnya, jika perangkat disita selama keadaan dihidupkan), Anda akan siap
untuk mengakses data tambahan yang signifikan. Informasi SMS didekripsi pada pembukaan
pertama, memungkinkan Anda untuk menarik semua pesan teks dan bukan hanya yang
diterima saat perangkat tetap terkunci.

Log aplikasi dan sistem (pemasangan dan pembaruan, log akses internet, dan sebagainya).
File temp SQLite, serta write-ahead logs (WAL): WAL ini mungkin menyertakan pesan yang diterima oleh aplikasi seperti Skype, Viber, kurir Facebook, dan sebagainya. Setelah perangkat dibuka kuncinya, data digabungkan dengan database utama aplikasi yang sesuai. Saat mengekstrak perangkat setelah boot dingin (tidak pernah dibuka kuncinya), Anda mungkin hanya memiliki akses ke notifikasi yang diterima setelah booting. Namun, jika Anda mengekstrak perangkat yang dibuka kuncinya minimal satu kali setelah boot, Anda akan dapat mengekstrak informasi dengan semua pesan (bergantung pada kelas perlindungan informasi yang dipilih oleh pengembang aplikasi tertentu).

Tahap 2 – akuisisi data

Tahap ini mengacu pada berbagai metode penggalian informasi dari perangkat. Cara-cara ekstraksi data yang mungkin digunakan dipengaruhi oleh hal-hal berikut:

Jenis perangkat seluler: Pembuatan, model, perangkat keras, perangkat lunak, dan konfigurasi vendor.
Ketersediaan berbagai perangkat keras dan alat ekstraksi/analisis kode yang dapat digunakan oleh pemeriksa: tidak ada alat yang melakukan semuanya; pemeriksa harus memiliki akses ke berbagai alat yang akan membantu ekstraksi data.
Keadaan fisik perangkat: Apakah perangkat pernah terkena kerusakan, seperti fisik, air, atau cairan biologis seperti darah? Biasanya jenis cedera akan menentukan tindakan ekstraksi informasi yang digunakan pada perangkat.

Ada banyak jenis ekstraksi data yang berbeda yang menentukan berapa banyak data yang diperoleh dari perangkat:

Fisik : Citra biner perangkat memiliki potensi paling besar untuk memulihkan data yang dihapus dan memperoleh jumlah informasi terbesar} dari perangkat. Ini bisa menjadi jenis ekstraksi yang paling menantang untuk didapatkan.
Sistem file : ini adalah ilustrasi file dan folder dari area pengguna perangkat, dan mungkin berisi informasi yang dihapus khusus untuk database. Teknik ini akan mengandung lebih sedikit informasi daripada ekstraksi data fisik.
Logis : Ini memperoleh jumlah data paling sedikit dari perangkat. contohnya adalah riwayat panggilan, pesan, kontak, gambar, film, file audio, dan sebagainya. Ini disebut sebagai buah yang menggantung rendah. Tidak ada data yang dihapus atau file sumber yang diperoleh. Seringkali output yang dihasilkan adalah serangkaian laporan yang dibuat oleh alat ekstraksi. Ini biasanya merupakan jenis ekstraksi yang paling sederhana dan tercepat.
Dokumentasi fotografi : Metode ini biasanya digunakan ketika semua metode ekstraksi data lainnya telah habis. Selama prosedur ini, pemeriksa menggunakan kamera digital untuk mendokumentasikan konten yang ditampilkan oleh perangkat secara fotografis. Ini adalah cara yang panjang ketika ada banyak informasi untuk difoto.

Tahap 3 – Analisis data

Tahap forensik perangkat seluler ini memerlukan analisis informasi yang diperoleh dari perangkat dan komponennya (kartu SIM dan kartu memori jika ada). Sebagian besar alat akuisisi forensik seluler yang memperoleh informasi dari memori perangkat bahkan dapat menganalisis data yang diekstraksi dan menyediakan fungsionalitas pemeriksa di dalam alat untuk melakukan analisis. Ini memerlukan peninjauan data yang tidak dihapus dan dihapus. Saat meninjau data yang tidak terhapus, mungkin lebih bijaksana untuk melakukan tinjauan manual perangkat untuk memastikan bahwa data yang diekstraksi dan diuraikan cocok dengan apa yang ditampilkan oleh perangkat. Karena kapasitas penyimpanan perangkat seluler telah meningkat, disarankan agar sebagian kecil catatan data dari area yang relevan ditinjau. Jadi, sebagai contoh, jika perangkat seluler memiliki lebih dari 200 catatan panggilan, meninjau banyak catatan panggilan dari panggilan tidak terjawab, panggilan masuk, dan panggilan keluar akan diperiksa pada perangkat terkait dengan catatan serupa dalam data yang diekstraksi. Dengan melakukan tinjauan manual ini, maka dimungkinkan untuk menemukan perbedaan dalam data yang diekstraksi.
Peninjauan perangkat manual hanya akan selesai ketika perangkat terus berada dalam pengawasan pemeriksa. Ada situasi di mana, ketika ekstraksi informasi telah selesai, perangkat dilepaskan kembali ke penyidik ​​atau pemilik. Dalam situasi seperti ini, pemeriksa harus mendokumentasikan bahwa sangat terbatas atau tidak ada verifikasi manual yang akan dilakukan karena
keadaan ini . Akhirnya, pembaca harus sangat menyadari bahwa lebih dari satu alat analisis akan digunakan untuk menganalisis informasi yang diperoleh. Beberapa alat analisis harus dipertimbangkan, terutama ketika bentuk data tertentu tidak dapat diuraikan oleh satu.

Teknologi Keamanan Dunia Untuk Menyamakan Kedudukan

Teknologi Keamanan Dunia Untuk Menyamakan Kedudukan – Perang antara pembela data dan pencuri data digambarkan sebagai permainan kucing dan tikus.

Teknologi Keamanan Dunia Untuk Menyamakan Kedudukan

thetrainingco – Begitu topi putih melawan satu bentuk perilaku jahat dengan topi hitam, bentuk jahat lain muncul dengan kepala jeleknya.

Bagaimana arena bisa dimiringkan untuk mendukung prajurit Infosec? Berikut adalah lima teknologi keamanan baru yang dapat membantu Anda mencapainya.

1. Otentikasi perangkat keras Saya tahu nama pengguna dan kata sandi yang tidak mencukupi. Jelas, diperlukan bentuk otentikasi yang lebih aman. Salah satu caranya adalah dengan memasukkan otentikasi di perangkat keras pengguna.

Intel bergerak ke arah ini dengan solusi otentikasi prosesor Core vPro Generasi ke-6 yang baru. Anda dapat menggabungkan beberapa elemen berbasis perangkat keras secara bersamaan untuk memverifikasi ID pengguna Anda.

Baca Juga : Pentingnya Proses Mobile Forensik 

Intel membangun upaya sebelumnya untuk mendedikasikan bagian-bagian chipset untuk fitur keamanan dan menyertakan perangkat dalam proses otentikasi.

Otentikasi yang tepat membutuhkan tiga hal dari pengguna. Pengetahuan seperti password. Siapa mereka, misalnya B. Nama pengguna; token, apa yang mereka miliki. Untuk otentikasi, perangkat adalah milik Anda.

“Ini bukan hal baru,” kata Scott Crawford, Direktur Riset Keamanan Informasi di 451 Research. “Ini dapat dilihat dalam bentuk lain seperti lisensi dan teknologi token.”

Otentikasi perangkat keras dapat menjadi sangat penting bagi Internet of Things (IoT). Dalam hal ini, jaringan memastikan bahwa hal yang Anda coba akses harus dapat mengaksesnya. Namun,

Crawford mengatakan, “Aplikasi paling langsung dari teknologi ini adalah untuk mengotentikasi titik akhir di lingkungan TI tradisional (laptop, desktop, dan perangkat seluler dengan chipset Intel).” meningkat.

2. Analisis perilaku pengguna Jika nama pengguna dan kata sandi seseorang disusupi, siapa pun yang memilikinya dapat membobol jaringan dan melakukan tindakan jahat apa pun.

Perilaku ini dapat memicu peringatan saat pembela sistem menggunakan Analisis Perilaku Pengguna (UBA). Teknologi ini menggunakan analisis data besar untuk mengidentifikasi perilaku pengguna yang tidak wajar.

Dia menjelaskan bahwa teknologi mengatasi titik buta keamanan perusahaan. “Bagaimana jika seorang penyerang masuk ke perusahaan?” Dia bertanya. “Salah satu hal pertama yang mereka lakukan adalah mengkompromikan kredensial mereka. Masalahnya adalah ini memberi tahu kami perbedaan antara aktivitas pengguna yang sah dan penyerang yang masuk dan melanggar kredensial pengguna yang sah.

Wawasan tentang aktivitas yang sesuai dengan standar pengguna nakal dapat menutup titik buta di tengah rantai serangan. “Jika Anda menganggap serangkaian serangan sebagai penyusupan pertama, gerakan lateral, dan kompromi, pencurian, dan pelanggaran data sensitif, tautan perantara dalam rangkaian serangan masih kurang terlihat oleh profesional keamanan korporat. Itulah mengapa ini menjadi perhatian. hari ini analisis perilaku diperlukan, “kata Crawford.

Membandingkan perilaku pengguna saat ini dengan perilaku sebelumnya bukanlah satu-satunya cara UBA dapat mengidentifikasi penyerang jahat. Steven Grossman, wakil presiden manajemen program untuk perusahaan intelijen ancaman Bay Dynamics, mengatakan: “Bandingkan perilaku seseorang dengan membandingkannya dengan seseorang di manajer atau departemen yang sama.

Ini berarti bahwa mereka melakukan sesuatu yang tidak boleh mereka lakukan, atau bahwa orang lain telah membajak akun mereka. Itu mungkin terlihat.”

Selain itu, UBA akan menjadi alat yang berharga untuk melatih karyawan tentang praktik keselamatan yang lebih baik. “Salah satu masalah terbesar yang dimiliki perusahaan adalah orang tidak mengikuti kebijakan perusahaan,” kata Grossman.

“Sangat penting untuk dapat mengidentifikasi orang-orang ini dan mengurangi risiko mereka melalui pelatihan yang tepat.”

3. Pencegahan kehilangan data Kunci untuk pencegahan kehilangan data adalah teknologi seperti enkripsi dan tokenisasi. Mereka dapat melindungi data hingga ke tingkat bidang dan subbidang, yang dapat menguntungkan perusahaan dalam beberapa cara:

Penyerang dunia maya tidak dapat memonetisasi data jika terjadi pelanggaran yang berhasil. Data dapat dipindahkan dan digunakan dengan aman di seluruh perusahaan yang diperluas proses bisnis dan analitik dapat dilakukan pada data dalam bentuk yang dilindungi, secara dramatis mengurangi eksposur dan risiko.

Perusahaan dapat sangat terbantu dalam kepatuhan terhadap privasi data dan peraturan keamanan untuk perlindungan informasi kartu pembayaran (PCI), informasi identitas pribadi (PII) dan informasi kesehatan yang dilindungi (PHI).

“Ada banyak pengeluaran keamanan selama beberapa tahun terakhir, namun jumlah catatan yang dilanggar pada tahun 2015 meningkat jauh dibandingkan tahun sebelumnya,” catat Crawford dari 451. “Ini berkontribusi pada meningkatnya minat dalam enkripsi.”

Namun, seperti yang ditunjukkan oleh John Pescatore, direktur Emerging Security Trends di SANS Institute, otentikasi memainkan peran penting dalam mencegah kehilangan data.

4. Pembelajaran mendalam Pembelajaran mendalam mencakup berbagai teknologi seperti kecerdasan buatan dan pembelajaran mesin.

“Apa pun itu, ada banyak kepentingan untuk alasan keamanan,” kata Crawford dari 451. Mirip dengan menganalisis perilaku pengguna, pembelajaran mendalam berfokus pada perilaku anomali.

“Kami ingin memahami bagaimana perilaku jahat berbeda dari perilaku legal atau yang dapat diterima dalam hal keamanan,” jelas Crawford. Alih-alih melihat pengguna, sistem melihat “entitas,” kata Brad Medley, wakil presiden senior Booz Allen.

“Perkembangan terbaru dari analisis bisnis yang baik dan model pembelajaran mesin telah memungkinkan untuk melihat entitas yang berbeda di seluruh perusahaan, dari tingkat mikro hingga makro.

Misalnya, pusat data sebagai entitas seperti pengguna. Ia bekerja dengan cara tertentu. “Pembelajaran mesin dapat digunakan untuk menghilangkan kutukan ancaman persisten tingkat lanjut,” tambah Kris Lovejoy, presiden Acuity Solutions, produsen platform pendeteksi malware tingkat lanjut.

Ini menawarkan manfaat yang signifikan bagi para profesional keamanan yang ingin mengurangi waktu yang diperlukan untuk mendeteksi dan menghilangkan ancaman tingkat lanjut, “katanya.

Crawford mengatakan dia mengharapkan investasi berkelanjutan dalam pembelajaran mendalam untuk keamanan. Tapi “tantangan bagi perusahaan adalah banyak perusahaan mengambil pendekatan yang sama untuk masalah yang sama. Membedakan perbedaan antara penyedia akan menjadi tantangan besar bagi perusahaan tahun depan,” tambahnya.

5. cloud

“cloud umumnya akan memiliki dampak transformatif pada industri teknologi keamanan,” kata Crawford.

Dia menjelaskan bahwa semakin banyak perusahaan yang menggunakan cloud untuk domain TI lokal tradisional mereka, semakin banyak pendekatan keamanan yang akan mereka miliki di dan ke cloud.

Teknologi lokal ditransfer ke cloud. Perangkat keras keamanan virtual, firewall virtual, sistem virtual, dll. untuk mendeteksi dan mencegah penyusup. Tapi itu tahap menengah.

“Mengingat apa yang dapat dilakukan oleh penyedia infrastruktur sebagai layanan berskala besar untuk semua pelanggannya, Anda mungkin tidak perlu mengambil semua langkah yang diperlukan,” kata Crawford. “

Infrastruktur sebagai Penyedia Layanan akan memasukkan ini ke dalam platform untuk mengurangi kebutuhan pelanggan cloud individu.”

Pescatore SANS adalah pusat data tempat lembaga pemerintah dan sektor swasta menggunakan layanan IaaS seperti Amazon dan Firehost. Dia menambahkan bahwa dia telah meningkatkan keamanan.

“Program FedRAMP GSA adalah contoh yang bagus dari layanan cloud yang ‘bersertifikat dan cukup aman’ yang memudahkan perusahaan rata-rata untuk mencapai keamanan pusat data yang baik,” katanya.