randy

Panduan Untuk Tool Digital Forensik dan Cybersecurity 2021, Perangkat digital ada di mana-mana dan penggunaannya dalam investigasi rantai bukti sangat penting. Apakah perangkat tersebut milik tersangka atau korban, sebagian besar data yang dikandung sistem ini bisa menjadi semua yang dibutuhkan penyelidik untuk mengumpulkan sebuah kasus.

Meskipun demikian, mengambil data tersebut dengan cara yang aman, efisien, dan sesuai hukum tidak selalu merupakan upaya yang mudah. Penyelidik semakin mengandalkan alat digital forensik baru untuk membantu mereka.

Menurut thetrainingco.com Tool digital forensik semuanya relatif baru. Hingga awal 1990-an, sebagian besar investigasi digital dilakukan melalui analisis langsung, yang berarti memeriksa media digital dengan menggunakan perangkat yang bersangkutan seperti yang dilakukan orang lain. Karena perangkat menjadi lebih kompleks dan dikemas dengan lebih banyak informasi, analisis langsung menjadi rumit dan tidak efisien. Akhirnya, teknologi spesialis freeware dan eksklusif mulai muncul sebagai perangkat keras dan perangkat lunak untuk menyaring, mengekstrak, atau mengamati data pada perangkat dengan hati-hati tanpa merusak atau memodifikasinya.

Tool digital forensik dapat jatuh ke dalam berbagai kategori, beberapa di antaranya termasuk forensik basis data, pengambilan disk dan data, analisis email, analisis file, penampil file, analisis internet, analisis perangkat seluler, forensik jaringan, dan analisis registri. Banyak alat memenuhi lebih dari satu fungsi secara bersamaan, dan tren signifikan dalam alat digital forensik adalah “pembungkus”—salah satu yang mengemas ratusan teknologi spesifik dengan fungsi berbeda ke dalam satu alat menyeluruh.

Tool baru dikembangkan setiap hari, baik sebagai solusi elit yang disponsori pemerintah dan rig peretas bawah tanah. Resep untuk masing-masing sedikit berbeda. Beberapa di antaranya melampaui pencarian sederhana untuk file atau gambar, dan menyelidiki arena keamanan siber, yang memerlukan analisis jaringan atau penilaian ancaman siber. Ketika ada alat untuk semuanya, pertanyaan yang paling mendesak adalah yang mana yang akan digunakan.

Di bawah ini, ForensicsColleges telah mengumpulkan beberapa alat terbaik untuk digital forensik dan keamanan siber. Dalam memilih dari berbagai pilihan, kami mempertimbangkan kriteria berikut:

• Keterjangkauan: Harga mungkin bukan indikator kualitas, tetapi tinjauan sejawat kolaboratif bisa menjadi indikator. Sebagian besar alat di bawah ini bersumber terbuka, dan semuanya gratis dan dikelola oleh komunitas pengembang khusus.
• Aksesibilitas: Tidak seperti beberapa merek berpemilik yang hanya menjual kepada entitas penegak hukum, semua ini tersedia untuk individu.
• Akuntabilitas: Baik melalui proyek open source atau testimoni dunia nyata, teknologi ini telah diperiksa secara menyeluruh oleh para ahli.

Tool Digital Forensik dan Cybersecurity Terbaik

Autopsy

Autopsi adalah platform digital forensik dan antarmuka grafis yang digunakan penyidik ​​forensik untuk memahami apa yang terjadi pada telepon atau komputer. Ini bertujuan untuk menjadi solusi modular ujung ke ujung yang intuitif di luar kotak. Modul tertentu di Autopsy dapat melakukan analisis timeline, hash filtering, dan pencarian kata kunci. Mereka dapat mengekstrak artefak web, memulihkan file yang dihapus dari ruang yang tidak terisi, dan menemukan indikator kompromi. Semua ini dapat dilakukan dengan relatif cepat.

Otopsi menjalankan pekerjaan latar belakang secara paralel sehingga meskipun pencarian penuh membutuhkan waktu berjam-jam, pengguna akan mengetahui dalam beberapa menit apakah kata kunci yang ditargetkan telah ditemukan. Penyelidik yang bekerja dengan banyak perangkat dapat membuat repositori pusat melalui Autopsi yang akan menandai nomor telepon, alamat email, atau titik data lain yang relevan.

Dikembangkan oleh tim yang sama yang menciptakan The Sleuth Kit , perpustakaan alat baris perintah untuk menyelidiki gambar disk, Autopsy adalah solusi open source, tersedia gratis untuk kepentingan pendidikan dan transparansi. Versi terbaru ditulis dalam Java, dan saat ini hanya tersedia untuk Windows.

Bulk Extractor

Bulk Extractor memindai file, direktori, atau gambar disk dan mengekstrak informasi tanpa menguraikan sistem file atau struktur sistem file, memungkinkannya mengakses berbagai bagian disk secara paralel, membuatnya lebih cepat daripada alat rata-rata. Keuntungan kedua dari Bulk Extractor adalah dapat digunakan untuk memproses hampir semua bentuk media digital: hard drive, kartu kamera, smartphone, SSD, dan drive optik. Versi terbaru dari Bulk Extractor dapat melakukan forensik jaringan sosial serta mengekstrak alamat, nomor kartu kredit, URL, dan jenis informasi lainnya dari bukti digital. Kemampuan lainnya termasuk kemampuan untuk membuat histogram berdasarkan alamat email yang sering digunakan dan menyusun daftar kata yang dapat berguna untuk pemecahan kata sandi.

Semua informasi yang diekstraksi dapat diproses baik secara manual atau dengan salah satu dari empat alat otomatis, salah satunya menggabungkan daftar perhentian khusus konteks (yaitu, istilah pencarian yang ditandai oleh penyelidik) yang menghapus beberapa kesalahan manusia dari penyelidikan digital forensik. Perangkat lunak ini tersedia secara gratis untuk sistem Windows dan Linux.

Baca Juga : Membahas Pentingnya Mobile Forensik di Era Saat ini

COFEE

Microsoft Computer Online Forensic Evidence Extractor (COFEE) adalah toolkit forensik yang digunakan untuk mengekstrak bukti dari komputer Windows. Dikembangkan pada tahun 2006 oleh mantan petugas polisi Hong Kong yang menjadi eksekutif Microsoft, toolkit ini bertindak sebagai alat forensik otomatis selama analisis langsung. Ini berisi lebih dari 150 fitur dan antarmuka pengguna grafis yang memandu penyelidik melalui pengumpulan dan pemeriksaan data dan membantu menghasilkan laporan setelah ekstraksi. Dekripsi kata sandi, pemulihan riwayat internet, dan bentuk pengumpulan data lainnya semuanya disertakan dalam perangkat ini.

Pada saat peluncurannya, Microsoft mengklaim bahwa COFEE telah mengurangi tugas tiga hingga empat jam menjadi di bawah 20 menit. Ribuan lembaga penegak hukum di seluruh dunia (termasuk INTERPOL) menggunakan COFEE dan Microsoft memberi mereka dukungan teknis gratis.

Pada bulan November 2009, COFEE dibocorkan ke beberapa situs torrent, dan meskipun sangat sulit—bagi penjahat untuk membangun fitur-fitur di COFEE, mungkin juga bagi rata-rata warga sekarang untuk melihat apa yang dulunya merupakan standar industri di seluruh dunia untuk digital forensik.

Lingkungan Investigasi Berbantuan Komputer

CAINE menawarkan platform investigasi forensik skala penuh yang dirancang untuk menggabungkan alat dan modul lain ke dalam antarmuka grafis yang ramah pengguna. Lingkungan interoperable-nya dirancang untuk membantu penyidik ​​dalam keempat tahap penyelidikan: pelestarian, pengumpulan, pemeriksaan, dan analisis. Muncul dengan lusinan modul pra-paket (Otopsi, tercantum di atas, adalah salah satunya). Dikembangkan di Linux, alat ini sepenuhnya open source dan tersedia secara gratis.

Kerangka Forensik Digital

Digital Forensics Framework (DFF) adalah platform forensik komputer open-source yang dibangun di atas Application Programming Interface (API) khusus. Dilengkapi dengan antarmuka pengguna grafis untuk penggunaan sederhana dan otomatisasi, DFF memandu pengguna melalui langkah-langkah kritis penyelidikan digital dan dapat digunakan baik oleh profesional maupun amatir.

Tool ini dapat digunakan untuk menyelidiki hard drive dan memori yang mudah menguap dan membuat laporan tentang sistem dan aktivitas pengguna pada perangkat yang bersangkutan. DFF dikembangkan dengan tiga tujuan utama modularitas (memungkinkan perubahan pada perangkat lunak oleh pengembang), kemampuan skrip (memungkinkan otomatisasi), dan generik (menjaga sistem operasi agnostik untuk membantu sebanyak mungkin pengguna). Perangkat lunak ini tersedia secara gratis di GitHub.

DumpZilla

DumpZilla melakukan analisis browser, khususnya klien Firefox, Iceweasel, dan Seamonkey. Ini memungkinkan visualisasi dan pencarian yang disesuaikan dan ekstraksi cookie, unduhan, riwayat, bookmark, cache, add-on, kata sandi yang disimpan, dan data sesi.

Dikembangkan dengan Python, ia bekerja di bawah sistem Linux dan Windows 32/64 bit, dan DumpZilla tersedia secara gratis dari situs web pengembang. Meskipun ini dibuat sebagai alat yang berdiri sendiri, sifat spesifik dan kemasannya yang ramping menjadikannya komponen yang kuat dari rangkaian digital forensik masa depan.

EnCase

Penerima penghargaan “Solusi Forensik Komputer Terbaik” SC Magazine selama 10 tahun berturut-turut, EnCase dianggap sebagai standar emas dalam investigasi keamanan siber forensik, termasuk akuisisi seluler. Sejak tahun 1998, EnCase telah menawarkan perangkat lunak forensik untuk membantu para profesional menemukan bukti untuk bersaksi dalam kasus investigasi kriminal yang melibatkan pelanggaran keamanan siber dengan memulihkan bukti dan menganalisis file pada hard drive dan ponsel.

Menawarkan paket siklus hidup perangkat lunak yang komprehensif mulai dari triase hingga laporan akhir, EnCase juga menampilkan platform seperti OpenText Media Analyzer yang mengurangi jumlah konten bagi penyelidik untuk ditinjau secara manual untuk menutup kasus lebih cepat. Dengan empat opsi lisensi situs untuk perusahaan kecil; penegakan hukum federal, negara bagian, dan lokal; organisasi konsultan; dan perguruan tinggi dan universitas, menawarkan analisis bukti peradilan pidana hanya dengan beberapa klik.

ExifTool

ExifTool adalah sistem platform-independen untuk membaca, menulis, dan mengedit metadata di berbagai jenis file. Yang menarik bagi penyelidik digital adalah pembacaan metadata, yang dapat dicapai melalui proses baris perintah atau GUI sederhana. Penyelidik dapat menarik dan melepaskan file yang berbeda, seperti PDF, atau JPEG, dan mempelajari kapan dan di mana file tersebut dibuat—komponen penting dalam membangun rantai bukti.

Perangkat lunak itu sendiri ringan dan cepat, menjadikannya inklusi ideal dalam suite digital forensik masa depan, dan mudah digunakan. ExifTool diperbarui secara berkala dan tersedia untuk Windows dan OSx dari situs web pengembang.

FTK Imager

Agar alat seperti The Sleuth Kit by Autopsy berfungsi dengan baik, salinan digital asli hard drive harus disimpan sebelum bukti dapat diekstraksi. Masukkan FTK Imager; alat gratis yang menganalisis gambar drive dan mempertahankan integritas asli dari bukti tanpa mempengaruhi keadaan aslinya.

Tool ini dapat membaca semua sistem operasi dan memungkinkan pengguna untuk memulihkan file yang telah dihapus dari tempat sampah digital. Itu dapat mengurai file XFS dan membuat hash file untuk memeriksa integritas data.

Tangkapan RAM MAGNET

Menganalisis memori akses acak fisik (RAM) komputer, MAGNET RAM Capture memungkinkan penyelidik keamanan siber untuk memulihkan dan menganalisis artefak digital yang disimpan dalam memori komputer. Menggunakan jejak memori kecil, penyidik ​​digital forensik dapat menggunakan alat ini dan meminimalkan jumlah data memori yang ditimpa.

Tool ini dapat mengekspor data memori mentah dalam format mentah (.DMP, .RAW, .BIN), yang dapat diunggah ke alat analisis forensik lainnya seperti Magnet AXIOM dan Magnet IEF. Tool gratis ini mendukung beberapa versi sistem operasi Windows.

Garis merah

Awalnya merupakan produk Mandiant, tetapi kemudian diambil alih oleh FireEye, sebuah perusahaan keamanan siber, Redline adalah alat freeware yang memberikan keamanan titik akhir dan kemampuan investigasi kepada penggunanya. Ini terutama digunakan untuk melakukan analisis memori dan mencari tanda-tanda infeksi atau aktivitas berbahaya, tetapi juga dapat digunakan untuk mengumpulkan dan menghubungkan data di sekitar log peristiwa, registri, proses yang berjalan, metadata sistem file, riwayat web, dan aktivitas jaringan.

Menawarkan kemampuan yang jauh lebih teknis dan tersembunyi daripada yang dibutuhkan kebanyakan investigasi digital forensik, Redline memiliki lebih banyak aplikasi dalam keamanan siber dan perilaku kriminal berbasis teknologi lainnya di mana analisis granular sangat penting. Redline saat ini hanya berfungsi pada sistem berbasis Windows, tetapi diperbarui secara berkala oleh FireEye untuk kinerja optimal dan dapat diunduh secara gratis di situs web FireEye.

SIFT Workstation

SANS Investigative Forensics Toolkit (SIFT) adalah kumpulan respons insiden sumber terbuka dan teknologi forensik yang dirancang untuk melakukan investigasi digital terperinci dalam berbagai pengaturan. Toolkit ini dapat dengan aman memeriksa disk mentah dan beberapa format file dan melakukannya dengan cara yang aman dan hanya-baca yang tidak mengubah bukti yang ditemukannya.

SIFT fleksibel dan kompatibel dengan format saksi ahli (E01), format forensik lanjutan (AFF), dan format bukti mentah. Dibangun di Ubuntu, ia menggabungkan banyak alat terpisah (termasuk beberapa di daftar ini, seperti Otopsi dan Volatilitas) dan menempatkannya pada pembuangan penyelidik. SIFT tersedia secara gratis dan diperbarui secara berkala.

Volatility

The Volatility Foundation adalah organisasi nirlaba yang misinya adalah untuk mempromosikan penggunaan analisis memori dalam komunitas forensik. Perangkat lunak utamanya adalah kerangka kerja sumber terbuka untuk respons insiden dan deteksi malware melalui forensik memori volatil (RAM). Hal ini memungkinkan penyimpanan bukti dalam memori yang jika tidak akan hilang selama sistem dimatikan.

Ditulis dalam Python dan mendukung hampir semua mesin 32-bit dan 64-bit, ia dapat menyaring sektor yang di-cache, crash dump, DLL, koneksi jaringan, port, daftar proses, dan file registri. Tool ini tersedia secara gratis, dan kodenya di-host di GitHub.

Wireshark

Wireshark adalah alat analisis protokol jaringan yang paling banyak digunakan di dunia, diimplementasikan oleh pemerintah, perusahaan swasta, dan institusi akademik di seluruh dunia. Sebagai kelanjutan dari proyek yang dimulai pada tahun 1998, Wireshark memungkinkan pengguna melihat apa yang terjadi pada jaringan pada tingkat mikroskopis. Dengan menangkap lalu lintas jaringan, pengguna kemudian dapat memindai aktivitas berbahaya.

Data jaringan yang diambil dapat dilihat pada antarmuka pengguna grafis pada Windows, Linux, OSx, dan beberapa sistem operasi lainnya. Data dapat dibaca dari Ethernet Bluetooth, USB, dan beberapa lainnya, sedangkan output dapat diekspor ke XML, PostScript, CSV, atau teks biasa.

Aplikasi Wireshark tetap terutama dalam keamanan siber, tetapi ada juga aplikasi investigasi digital forensik. Lebih sedikit tentang senjata merokok daripada jejak remah roti, Wireshark dapat mengarahkan penyelidik ke arah aktivitas jahat sehingga dapat dilacak dan diselidiki.

Membahas Pentingnya Mobile Forensik di Era Saat ini, Istilah “Mobile Forensik” mencakup beragam gadget mulai dari ponsel, smartphone, tablet, dan unit GPS hingga perangkat yang dapat dikenakan dan PDA. Kesamaan mereka semua adalah fakta bahwa mereka dapat berisi banyak informasi pengguna.

Mobile Forensik berada tepat di tengah tiga tren teknologi yang sedang booming: Internet of Things, Cloud Computing, dan Big Data. Proliferasi teknologi seluler mungkin merupakan alasan utama, atau setidaknya salah satu alasan utama, tren ini terjadi sejak awal. Pada tahun 2015, 377,9 juta koneksi pelanggan nirkabel smartphone, tablet, dan ponsel menengah terjadi di Amerika Serikat.

Menurut thetrainingco.com Saat ini, penggunaan Mobile Forensik sangat membantu, terutama dalam konteks digital forensik, karena mesin berukuran kecil ini mengumpulkan sejumlah besar data setiap hari, yang dapat diekstraksi untuk memfasilitasi penyelidikan. Menjadi sesuatu seperti perpanjangan digital dari diri kita sendiri, mesin ini memungkinkan penyelidik digital forensik untuk mengumpulkan banyak informasi.

Informasi yang ada di Mobile Forensik (daftar yang tidak lengkap):

• Masuk, keluar, riwayat panggilan tidak terjawab
• Buku telepon atau daftar kontak
• Teks SMS, berbasis aplikasi, dan konten pesan multimedia
• Gambar, video, dan file audio dan terkadang pesan suara
• Riwayat penjelajahan internet, konten, cookie, riwayat pencarian, informasi analitik
• Daftar agenda, catatan, entri kalender, nada dering
• Dokumen, spreadsheet, file presentasi, dan data buatan pengguna lainnya
• Kata sandi, kode sandi, kode gesek, kredensial akun pengguna
• Data geolokasi historis, data lokasi terkait menara ponsel, informasi koneksi Wi-Fi
• Konten kamus pengguna
• Data dari berbagai aplikasi yang diinstal
• File sistem, log penggunaan, pesan kesalahan
• Data yang dihapus dari semua hal di atas

Apa itu Proses Forensik Seluler?

Kejahatan tidak terjadi dalam isolasi dari kecenderungan teknologi; oleh karena itu, forensik Mobile Forensik telah menjadi bagian penting dari digital forensik.

Kebanyakan orang tidak menyadari betapa rumitnya proses forensik seluler dalam kenyataan. Karena Mobile Forensik semakin condong antara penggunaan profesional dan pribadi, aliran data yang mengalir ke dalamnya akan terus tumbuh secara eksponensial juga. Tahukah Anda bahwa 33.500 rim kertas setara dengan 64 gigabyte jika dicetak? Kapasitas penyimpanan 64 GB merupakan hal yang lumrah untuk smartphone masa kini.

Baca Juga : Masa Depan Forensik Perangkat Mobile

Proses mobile forensik bertujuan untuk memulihkan bukti digital atau data yang relevan dari perangkat mobile dengan cara yang akan menjaga bukti dalam kondisi forensik yang sehat. Untuk mencapai itu, proses forensik seluler perlu menetapkan aturan yang tepat yang akan menyita, mengisolasi, mengangkut, menyimpan untuk analisis, dan membuktikan bukti digital dengan aman yang berasal dari Mobile Forensik.

Biasanya, proses mobile forensik mirip dengan yang ada di cabang lain dari digital forensik. Namun demikian, perlu diketahui bahwa proses mobile forensik memiliki kekhasan tersendiri yang perlu diperhatikan. Mengikuti metodologi dan pedoman yang benar adalah prasyarat penting untuk pemeriksaan Mobile Forensik untuk menghasilkan hasil yang baik.

Di antara tokoh-tokoh yang paling mungkin dipercaya untuk melaksanakan tugas-tugas berikut adalah Pemeriksa Forensik, Penanggap Insiden, dan Penyelidik Perusahaan. Selama penyelidikan kejahatan tertentu yang melibatkan teknologi seluler, individu yang bertanggung jawab atas proses forensik seluler perlu memperoleh setiap informasi yang dapat membantu mereka nanti – misalnya, kata sandi perangkat, kunci pola, atau kode PIN.

Bagaimana Langkah-Langkah Dalam Proses Mobile Forensics?

1. Penangkapan

digital forensik beroperasi pada prinsip bahwa bukti harus selalu dipelihara, diproses, dan diterima secara memadai di pengadilan. Beberapa pertimbangan hukum berjalan seiring dengan penyitaan Mobile Forensik.

Ada dua risiko utama terkait fase proses forensik seluler ini: Aktivasi kunci (oleh pengguna/tersangka/pihak ketiga yang tidak disengaja) dan koneksi Jaringan / Seluler.

Isolasi jaringan selalu disarankan, dan itu dapat dicapai melalui 1) Mode Pesawat + Menonaktifkan Wi-Fi dan Hotspot, atau 2) Mengkloning kartu SIM perangkat.

Mode pesawat

Mobile Forensik sering disita dihidupkan; dan karena tujuan penyitaannya adalah untuk menyimpan bukti, cara terbaik untuk mengangkutnya adalah dengan mencoba untuk tetap menyalakannya untuk menghindari shutdown, yang pasti akan mengubah file.

Jammer Telepon

Kotak/tas Faraday dan catu daya eksternal adalah jenis peralatan umum untuk melakukan forensik seluler. Sementara yang pertama adalah wadah yang dirancang khusus untuk mengisolasi Mobile Forensik dari komunikasi jaringan dan, pada saat yang sama, membantu pengangkutan bukti yang aman ke laboratorium, yang terakhir, adalah sumber daya yang tertanam di dalam kotak/tas Faraday. Sebelum memasukkan telepon ke dalam tas Faraday, putuskan sambungan dari jaringan, nonaktifkan semua koneksi jaringan (Wi-Fi, GPS, Hotspot, dll.), dan aktifkan mode penerbangan untuk melindungi integritas barang bukti.

2. Akuisisi

/Identifikasi + Ekstraksi/

Tujuan dari fase ini adalah untuk mengambil data dari Mobile device forensics. Layar terkunci dapat dibuka dengan PIN, kata sandi, pola, atau biometrik yang tepat (Perhatikan bahwa pendekatan biometrik sementara nyaman tidak selalu dilindungi oleh amandemen kelima Konstitusi AS). Menurut putusan Pengadilan Sirkuit Virginia, kode sandi dilindungi, sidik jari tidak. Selain itu, tindakan penguncian serupa mungkin ada pada aplikasi, gambar, SMS, atau messenger. Enkripsi, di sisi lain, memberikan keamanan pada tingkat perangkat lunak dan/atau perangkat keras yang seringkali tidak mungkin untuk dielakkan.

Sulit untuk mengontrol data di Mobile Forensik karena datanya juga seluler. Setelah komunikasi atau file dikirim dari smartphone, kontrol hilang. Meskipun ada perangkat berbeda yang memiliki kemampuan untuk menyimpan data dalam jumlah besar, data itu sendiri mungkin secara fisik berada di lokasi lain. Sebagai contoh, sinkronisasi data antar perangkat dan aplikasi dapat dilakukan secara langsung tetapi juga melalui cloud. Layanan seperti Apple iCloud dan Microsoft One Drive lazim di kalangan pengguna Mobile Forensik, yang membuka kemungkinan untuk akuisisi data dari sana. Oleh karena itu, penyidik ​​harus mewaspadai adanya indikasi bahwa data dapat melampaui perangkat bergerak sebagai objek fisik, karena kejadian tersebut dapat mempengaruhi proses pengumpulan dan bahkan pengawetan.

Karena data terus disinkronkan, perangkat keras dan perangkat lunak mungkin dapat menjembatani kesenjangan data. Pertimbangkan Uber – ia memiliki aplikasi dan situs web yang berfungsi penuh. Semua informasi yang dapat diakses melalui aplikasi Uber di ponsel mungkin diambil dari situs web Uber, atau bahkan program perangkat lunak Uber yang diinstal di komputer.

Terlepas dari jenis perangkat, mengidentifikasi lokasi data dapat lebih terhambat karena fragmentasi sistem operasi dan spesifikasi item. Sistem operasi Android open-source saja hadir dalam beberapa versi yang berbeda, dan bahkan iOS Apple dapat bervariasi dari versi ke versi.

Tantangan lain yang perlu diatasi oleh ahli forensik adalah lanskap aplikasi seluler yang melimpah dan selalu berubah. Buat daftar lengkap semua aplikasi yang diinstal. Beberapa aplikasi mengarsipkan dan mencadangkan data.

Setelah seseorang mengidentifikasi sumber data, langkah selanjutnya adalah mengumpulkan informasi dengan benar. Ada tantangan unik tertentu terkait pengumpulan informasi dalam konteks teknologi seluler. Banyak Mobile Forensik tidak dapat dikumpulkan dengan membuat gambar dan sebagai gantinya mereka mungkin harus menjalani proses yang disebut akuisisi data. Ada berbagai protokol untuk mengumpulkan data dari Mobile Forensik karena spesifikasi desain tertentu hanya memungkinkan satu jenis akuisisi.

Pemeriksa forensik harus menggunakan imajinasi Kartu SIM – prosedur yang membuat ulang gambar replika dari konten Kartu SIM. Seperti replika lainnya, bukti asli akan tetap utuh saat gambar replika digunakan untuk analisis. Semua file gambar harus di-hash untuk memastikan data tetap akurat dan tidak berubah.

Jangan ragu untuk menghubungi E-SPIN untuk solusi digital forensik menyeluruh, mulai dari forensik komputer, seluler, database, live, dan jaringan.

Masa Depan Forensik Perangkat Mobile, Sebagian besar akan setuju bahwa zaman keemasan forensik seluler telah berakhir. Tidak ada lagi cara mudah untuk melewati kode sandi di perangkat iOS baru yang menjalankan iOS versi terbaru. Akuisisi chip-off mati untuk perangkat iOS karena enkripsi disk penuh, sementara akuisisi fisik perangkat keras Apple mati sejak pengenalan perangkat 64-bit dan versi iOS 8 yang tidak dapat di-jailbreak. Blackberry sangat tahan terhadap akuisisi chip-off sejak awal, dan Android segera mencapainya. Dalam buku putih ini, kita akan melihat keadaan forensik seluler saat ini untuk berbagai platform dan perangkat, menganalisis tren saat ini, dan mencoba memprediksi bagaimana forensik seluler akan terlihat di tahun-tahun mendatang.

Untuk mengumpulkan prediksi ini, penulis menganalisis alat, metode, dan perangkat keras canggih yang ditawarkan oleh produsen terkemuka, dan mewawancarai para ahli yang bekerja untuk produsen produk forensik digital. Karena pabrikan sering kali berspesialisasi dalam bidang tertentu (misalnya, memproduksi peralatan untuk memecahkan kode sandi iPhone), kami menanyai beberapa perwakilan untuk dapat melihat keseluruhan gambar. Hari ini, kami siap untuk membagikan temuan kami.

Forensik iOS

Menurut thetrainingco.com Sejak Apple menggunakan enkripsi disk penuh dengan enkripsi berbasis perangkat keras yang bergantung pada kode sandi, akuisisi chip-off tidak mungkin dilakukan. Metode akuisisi berikut tersedia untuk perangkat Apple:

• Mengirim perangkat kembali ke Apple . Umumnya tersedia untuk instansi pemerintah dan penegak hukum. Hanya untuk versi iOS sebelum iOS 8.
• Akuisisi fisik . Metode akuisisi non-destruktif yang memungkinkan seseorang memperoleh gambar penuh perangkat melalui kabel Apple standar.
• Akuisisi logis (cadangan) . Berurusan dengan file cadangan offline yang dihasilkan oleh perangkat yang sedang dianalisis.
• Akuisisi over-the-air. Mengunduh informasi dari iCloud.

Mengirim ke Apple

Mengirim perangkat untuk diakuisisi langsung ke Apple dulunya merupakan strategi yang layak, tetapi sekarang tidak lagi. Dengan dirilisnya iOS 8, Apple secara eksplisit menyatakan dalam Kebijakan Privasi mereka bahwa sistem baru ini sangat aman sehingga bahkan Apple sendiri tidak dapat mengakses informasi di dalam perangkat jika kode sandi yang benar tidak diketahui. Dengan demikian, perangkat modern yang menjalankan iOS versi terbaru hanya dapat diperoleh dengan cara ini jika kode sandi yang benar diketahui. Pada Juni 2015, lebih dari 80 persen perangkat iOS menjalankan iOS 8, sehingga peluang untuk benar-benar menangani perangkat dengan versi iOS yang lebih lama menjadi tipis.

Akuisisi Fisik iOS

Dalam hal akuisisi fisik, teknik ini hanya berfungsi untuk perangkat 32-bit yang di-jailbreak (kedua syarat harus dipenuhi), atau perangkat 32-bit dengan kode sandi yang diketahui yang dapat di-jailbreak oleh penyidik. Dibandingkan dengan Android, relatif sedikit pengguna Apple yang melakukan jailbreak pada ponsel mereka. Karena saat ini tidak ada jailbreak untuk versi iOS terbaru yang tersedia, dan semua perangkat baru menggunakan sirkuit 64-bit, akuisisi fisik hanya akan berfungsi dalam kasus yang jarang terjadi (dengan pengecualian negara berkembang di mana perangkat keras Apple 32-bit yang lebih lama masih menempati posisi utama. ceruk pasar).

Akuisisi Logis iOS

Jika kode sandi diketahui, atau ada cara untuk menemukannya, penyelidik dapat membuat perangkat menghasilkan cadangan offline melalui iTunes. Cadangan kemudian dapat dianalisis, tetapi dengan beberapa batasan:

• Rahasia perangkat (item yang disimpan di gantungan kunci) hanya akan tersedia jika cadangan dilindungi kata sandi (dan TIDAK akan tersedia dalam cadangan yang disimpan tanpa kata sandi). Agak berlawanan dengan intuisi, jika Anda memiliki perangkat yang dikonfigurasi untuk menghasilkan cadangan tanpa perlindungan kata sandi, menyetel kata sandi cadangan yang diketahui dan memasukkan kata sandi yang sama di alat forensik akan memungkinkan akses ke lebih banyak informasi dibandingkan dengan menganalisis cadangan yang tidak dilindungi.
• Item yang di-cache seperti email yang diunduh tidak tersedia di cadangan.

Akuisisi Melalui Cloud (iCloud)

Terakhir, ada cara untuk mendapatkan konten perangkat Apple dengan mengunduh cadangan dari iCloud.

iCloud adalah layanan cloud yang tersedia untuk pelanggan Apple. Penyimpanan cloud lima GB tersedia gratis, dan hingga 50 GB dapat dibeli dengan biaya tertentu.

Apple merancang sistem yang sangat nyaman untuk mencadangkan perangkat ke cloud. Pencadangan bersifat inkremental dan terjadi secara otomatis setiap kali perangkat dimasukkan ke pengisi daya saat terkunci dan terhubung ke jaringan Wi-Fi yang dikenal (semua kondisi harus dipenuhi). Kembali pada tahun 2012, sekitar 33 persen pelanggan Apple menggunakan iCloud. Meskipun tidak ada statistik terbaru yang tersedia, kami dapat menebak bahwa penggunaan iCloud telah meningkat secara dramatis, dengan mayoritas pelanggan Apple mencadangkan informasi mereka ke cloud.

Baca Juga : Laporan Global Digital Forensik Market 2020 – 2026

Cadangan cloud berisi semua informasi yang sama dengan cadangan offline yang dihasilkan melalui iTunes. Cadangan iCloud dapat diambil dengan perangkat lunak forensik jika ID Apple dan kata sandi pengguna diketahui, atau jika token otentikasi biner dari komputer pengguna tersedia. Informasi juga dapat diperoleh langsung dari Apple oleh penegak hukum dengan permintaan pemerintah.

Metode Akuisisi Forensik Android yang tersedia untuk perangkat Android berbeda secara signifikan.

1. Mengirim perangkat ke produsen untuk ekstraksi data. Umumnya tersedia untuk lembaga pemerintah dan penegak hukum untuk sebagian besar perangkat domestik. Mungkin tidak tersedia untuk model internasional (misalnya telepon Cina tanpa nama).
2. Akuisisi fisik. Metode akuisisi non-destruktif yang memungkinkan untuk mendapatkan gambar penuh perangkat melalui kabel USB dan perangkat lunak forensik.
   forensik JTAG. Mengambil informasi melalui Test Access Port telepon.
3. Akuisisi chip-off. Membutuhkan penghapusan chip memori. Menghasilkan dump biner mentah.
4. Akuisisi over-the-air. Melibatkan pengunduhan informasi dari Akun Google.

Mengirim ke Produsen

Mengirim perangkat ke produsennya mungkin merupakan strategi akuisisi yang layak jika perangkat tidak tersedia melalui cara lain. Misalnya, Samsung, yang merupakan penjual perangkat smartphone nomor satu di AS, memiliki kebijakan resmi untuk mendukung ekstraksi informasi saat melayani permintaan pemerintah.

Khususnya, pendekatan ini mungkin tidak tersedia untuk perangkat internasional (khususnya, smartphone tanpa nama dan merek C yang berasal dari China). Di sisi lain, sebagian besar perangkat China tidak diamankan dengan cara apa pun yang wajar, dan biasanya dapat diperoleh melalui akuisisi fisik.

Fragmentasi

Android Android adalah platform yang sangat terfragmentasi dengan beberapa ratus produsen dan ribuan model perangkat. Dalam laporan tertanggal Agustus 2014, OpenSignal menyatakan: “Kami telah melihat 18.769 perangkat berbeda mengunduh aplikasi kami dalam beberapa bulan terakhir. Dalam laporan kami tahun lalu, kami melihat 11.868.” Menurut laporan yang sama, “Samsung memiliki 43 persen pangsa pasar Android

Forensik JTAG (Android)

Forensik JTAG adalah prosedur akuisisi lanjutan, yang menggunakan port JTAG standar untuk mengakses data mentah yang disimpan di perangkat yang terhubung. Dengan menggunakan peralatan khusus dan kabel JTAG khusus perangkat yang cocok, seseorang dapat mengambil seluruh isi memori flash dari perangkat yang kompatibel. Khususnya, akuisisi JTAG sering tersedia bahkan untuk perangkat yang terkunci, rusak, atau tidak dapat diakses.

Penting untuk disadari bahwa forensik JTAG adalah metode akuisisi tingkat rendah yang akan mengembalikan konten mentah dari chip memori. Jika enkripsi data seluruh disk ada pada perangkat (baik pra-aktif oleh pabrikan atau diaktifkan oleh pengguna), akuisisi JTAG akan menghasilkan gambar terenkripsi. Untuk mendekripsi gambar mentah, seseorang akan memerlukan akses ke API tingkat tinggi ponsel, yang, pada gilirannya, memerlukan penyediaan kode sandi yang benar. Khususnya, enkripsi seluruh disk aktif di luar kotak di banyak ponsel Samsung, perangkat Nexus 6 dan Nexus 9 serta beberapa ponsel andalan lainnya yang dijual oleh produsen terkemuka.

Proses Forensik Perangkat Seluler Merupakan Teknologi Hukum Saat Ini, Akuisisi data perangkat seluler, selain sumber data digital adalah komponen kunci dari protokol penemuan yang dapat dipertahankan. Namun, akuisisi data forensik perangkat seluler seringkali jauh lebih rumit daripada yang disadari banyak orang dan dapat mencakup lebih dari sekadar ponsel.

Karena penggunaan pribadi dan profesional teknologi perangkat seluler terus berkembang, organisasi yang terlibat dengan penyelidikan, tindakan pengaturan, dan tuntutan hukum harus memahami langkah-langkah yang perlu mereka ambil dan praktik terbaik yang terlibat dengan pengumpulan data forensik seluler. Gagal melakukannya dapat menyebabkan hilangnya peluang, waktu dan uang yang terbuang, dan bahkan peningkatan masalah hukum.

Mengumpulkan Informasi

Menurut thetrainingco Setelah sumber data yang berbeda telah diidentifikasi, langkah selanjutnya melibatkan pengumpulan informasi. Perangkat seluler juga menghadirkan tantangan unik mereka sendiri di area ini. Sementara beberapa perangkat seluler dapat dikumpulkan dengan membuat gambar – seperti koleksi hard drive tradisional – banyak koleksi perangkat seluler bukanlah gambar semata, melainkan akuisisi data. Seperti yang akan saya uraikan nanti, ada protokol yang berbeda untuk mengumpulkan data dari perangkat seluler dan fitur desain tertentu hanya memungkinkan satu jenis akuisisi.

Kontrol data juga jauh lebih lancar di perangkat seluler. Banyak orang suka memposting di media sosial, dan geotagging sering menjadi bagian dari proses posting. Setelah tweet, posting Facebook, Snap atau komunikasi lainnya telah dikirim dari telepon, kontrol hilang.

Tidak semua perangkat lunak forensik dapat mengumpulkan setiap kemungkinan data; oleh karena itu, peta jalan atau proses yang sempurna untuk mengidentifikasi semua sumber data belum ada. Sangat mudah untuk keluar di jalan yang salah, dan Anda tidak akan menjadi yang pertama. Pakar forensik, bersama dengan tim hukum, harus menjadi pelukis digital untuk mengambil titik data, lokasi, dan basis data yang berbeda dan merangkainya menjadi cerita yang dapat dimengerti dan akurat.

Keamanan Pada Perangkat Seluler

Standar keamanan selalu berubah dan dapat berbeda secara signifikan di seluruh perangkat seluler. Beberapa perangkat mungkin hanya dikunci, sementara yang lain mungkin dienkripsi. Saat perangkat terkunci, perangkat akan ditutup dari antarmuka front-end – biasanya layar. Perangkat yang terkunci dapat dibuka kuncinya dengan PIN atau kata sandi, atau mungkin ada cara untuk memaksa penjaga membuka perangkat. Perangkat lunak juga dapat menjalankan semua kemungkinan kombinasi PIN yang berbeda untuk membuka kunci perangkat, dengan waktu yang cukup dan sistem operasi yang sesuai. Enkripsi, bagaimanapun, mengamankan data pada tingkat perangkat lunak dan/atau perangkat keras, dan tidak mungkin untuk mengaksesnya.

Ketika data sulit atau tidak mungkin diakses melalui perangkat lunak karena perangkat terkunci, rusak, atau terenkripsi, upaya manual mungkin efektif. Pendekatan ini dapat mencakup penggunaan prosedur JTAG (Joint Test Action Group) untuk mengekstrak data dari telepon. Chip memori juga dapat dikeluarkan dari papan sirkuit dalam proses yang dikenal sebagai chip-off. Chip-off dan JTAGing umumnya merupakan pilihan terakhir. Mereka mungkin tidak berfungsi di semua perangkat dan biasanya tidak dapat memecahkan perangkat keras terenkripsi. Mereka juga cenderung mahal, dan terutama dalam kasus chip-off, dapat merusak perangkat.

Untungnya, mungkin ada sumber data alternatif lain jika informasi pada perangkat tidak dapat diakses. Karena data terus disinkronkan, perangkat keras dan perangkat lunak mungkin dapat menjembatani kesenjangan data. Pertimbangkan Uber. Ini memiliki aplikasi dan situs web yang berfungsi penuh. Semua informasi yang dapat diakses melalui aplikasi Uber di ponsel mungkin diambil dari situs web Uber, atau bahkan program perangkat lunak Uber yang diinstal di komputer. Windows 10 sekarang memiliki aplikasi universal yang akan berfungsi pada perangkat Windows apa pun untuk memadukan dan memberikan kontinuitas di seluruh perangkat.

Sinkronisasi cloud, seperti dengan Microsoft OneDrive dan Apple iCloud, hampir diberikan juga. Ketika data perangkat seluler juga ada di cloud, dimungkinkan untuk mengambil informasi, gambar, dan titik data lainnya tanpa memerlukan akses ke perangkat seluler.

Seiring dengan aplikasi bawaan, banyak aplikasi pihak ketiga dapat menyalurkan dan mengarsipkan data. Ada aplikasi yang dapat mencadangkan semua teks ke akun Gmail, misalnya. Cara lain mungkin termasuk iTunes, yang dapat membuat cadangan perangkat Apple ke komputer dan cloud. Perangkat BlackBerry dapat menyimpan file log yang ekstensif di server perusahaan.

Saat meluncurkan koleksi multicabang, penting untuk membuat rencana terlebih dahulu dan mengikutinya dalam urutan yang benar. Fitur keamanan internal tertentu dapat merusak informasi sebagai akibat dari protokol akuisisi yang tidak tepat. Misalnya, mengumpulkan gambar fisik sebelum gambar logis pada perangkat tertentu dapat sepenuhnya menghapus semua data ponsel, seperti halnya mencoba mengakses perangkat yang terkunci dan membuat terlalu banyak upaya sandi.

Menyusun Data

Setelah data dikumpulkan, langkah selanjutnya adalah menentukan bagaimana memadukannya untuk menciptakan gambaran yang akurat dan menyeluruh. Informasi harus dibuat dalam format yang dapat dibaca, dimengerti, dan pelaporan serta pengeksporan informasi dari perangkat seluler tidak sama dengan sumber data lama lainnya. Pesan teks secara teknis tidak memiliki identifikasi percakapan, tetapi ada untuk jenis pesan atau format pesan grup tertentu. Jadi memungkinkan untuk membangun percakapan dan mengekspor komunikasi dalam file .eml atau .msg. Dengan begitu, perangkat lunak eDiscovery tradisional dapat memproses data, dan peninjau dapat menerapkan filter dan istilah pencarian untuk membantu meneliti sejumlah besar informasi.

Proses ini termasuk menangani bagaimana aplikasi disinkronkan di berbagai perangkat. Jika sesuatu muncul di telepon tidak berarti itu berasal dari telepon. Ini menjadi sangat penting selama fase investigasi. Namun, sinkronisasi aplikasi juga bisa menjadi keuntungan. Informasi yang mungkin sulit diakses pada perangkat yang sangat aman juga dapat disinkronkan ke perangkat yang kurang aman, agar lebih mudah diakses.

Baca Juga : Oxygen Forensics Mengumumkan Peluncuran Versi Terbaru Untuk Solusi Digital Forensik

Dalam banyak kasus, dimungkinkan untuk membuat dump Excel atau .csv sederhana untuk data perangkat seluler. Ini sering efektif, tetapi format ini lebih sulit untuk diproses.

Hubungan keluarga adalah pertimbangan lain. Pada perangkat seluler, hubungan keluarga mungkin kurang lengkap atau jelas. Perangkat lunak tertentu dapat secara otomatis menghapus atau menghapus lampiran dan beberapa komunikasi tidak akan memilah percakapan yang tepat. Meskipun ini adalah bagian yang tak terhindarkan dari proses dengan perangkat seluler, penyelidik perlu mengetahui bahwa ada tantangan.

Investigasi sederhana jarang akan cukup untuk perangkat seluler. Laporan tidak boleh dianggap begitu saja. Daftar lengkap aplikasi yang diinstal sangat penting. Tidak cukup hanya mengandalkan satu aplikasi perangkat lunak untuk melaporkan semuanya di perangkat seluler. Bahkan jika sesuatu tidak muncul dalam laporan tradisional, itu tidak berarti bahwa data tidak ada di perangkat.