Langkah dan Jenis Proses Mobile Forensik

Langkah dan Jenis Proses Mobile Forensik, Istilah “perangkat seluler” mencakup beragam gadget mulai dari ponsel, ponsel cerdas, tablet, dan unit GPS hingga perangkat yang dapat dikenakan dan PDA. Kesamaan yang mereka miliki adalah kenyataan bahwa mereka dapat berisi banyak informasi pengguna.

Perangkat seluler berada tepat di tengah-tengah tiga tren teknologi yang berkembang pesat: Internet of Things, Cloud Computing, dan Big Data. Perkembangan teknologi seluler mungkin menjadi alasan utama, atau setidaknya salah satu alasan utama, tren ini terjadi di tempat pertama. Pada 2015, 377,9 juta koneksi pelanggan nirkabel dari smartphone, tablet, dan ponsel berfitur terjadi di Amerika Serikat.

Saat ini, penggunaan perangkat seluler sangat luas dan bermanfaat, terutama dalam konteks forensik digital, karena mesin berukuran kecil ini mengumpulkan data dalam jumlah besar setiap hari, yang dapat diekstraksi untuk memfasilitasi penyelidikan. Menjadi sesuatu seperti perpanjangan digital dari diri kita sendiri, mesin ini memungkinkan penyelidik forensik digital untuk mengumpulkan banyak informasi.

Informasi yang ada di perangkat seluler :

  • Riwayat panggilan masuk, keluar, tidak terjawab
  • Buku telepon atau daftar kontak
  • Teks SMS, berbasis aplikasi, dan konten olahpesan multimedia
  • File gambar, video, dan audio, dan terkadang pesan suara
  • Riwayat penelusuran Internet, konten, cookie, riwayat pencarian, informasi analitik
  • Daftar agenda, catatan, entri kalender, nada dering
  • Dokumen, spreadsheet, file presentasi, dan data buatan pengguna lainnya
  • Kata sandi, kode sandi, kode gesek, kredensial akun pengguna
  • Data geolokasi historis, data lokasi terkait menara ponsel, informasi koneksi Wi-Fi
  • Konten kamus pengguna
  • Data dari berbagai aplikasi yang diinstal
  • File sistem, log penggunaan, pesan kesalahan
  • Data yang dihapus dari semua hal di atas

Salah satu tampilan yang bagus dari efektivitas kehidupan nyata forensik seluler adalah log panggilan perangkat seluler, dan data GPS yang memfasilitasi penyelesaian kasus percobaan pengeboman tahun 2010 di Times Square, NY.

I. Apa itu Proses Mobile Forensik ?

Kejahatan tidak terjadi dalam isolasi dari kecenderungan teknologi; Oleh karena itu, forensik perangkat seluler telah menjadi bagian penting dari forensik digital.

Kebanyakan orang tidak menyadari betapa rumitnya proses forensik seluler pada kenyataannya. Karena perangkat seluler semakin tertarik antara penggunaan profesional dan pribadi, aliran data yang mengalir ke dalamnya juga akan terus tumbuh secara eksponensial. Tahukah Anda bahwa 33.500 rim kertas setara dengan 64 gigabyte jika dicetak? Kapasitas penyimpanan 64 GB adalah hal biasa untuk smartphone masa kini.

Proses forensik seluler bertujuan untuk memulihkan bukti digital atau data yang relevan dari perangkat seluler dengan cara yang akan melestarikan bukti dalam kondisi suara forensik. Untuk mencapai itu, proses forensik seluler perlu menetapkan aturan yang tepat yang akan menyita, mengisolasi, mengangkut, menyimpan untuk analisis, dan membuktikan bukti digital yang aman yang berasal dari perangkat seluler.

Biasanya, proses forensik seluler serupa dengan yang ada di cabang forensik digital lainnya. Namun perlu diketahui bahwa proses mobile forensik memiliki kekhasan tersendiri yang perlu diperhatikan. Mengikuti metodologi dan pedoman yang benar merupakan prasyarat penting untuk pemeriksaan perangkat seluler untuk memberikan hasil yang baik.

Baca Juga : DEI PRO Field Tablet Alat Forensik Terbaik

Di antara tokoh yang paling mungkin dipercaya untuk melaksanakan tugas-tugas berikut adalah Pemeriksa Forensik, Responden Insiden, dan Investigator Perusahaan. Selama penyelidikan atas kejahatan tertentu yang melibatkan teknologi seluler, individu yang bertanggung jawab atas proses forensik seluler perlu memperoleh setiap informasi yang dapat membantu mereka nanti – misalnya, sandi perangkat, kunci pola, atau kode PIN.

II. Apa Langkah-Langkah dalam Proses Mobile Forensik ?

2.1 Seizure

Forensik digital beroperasi pada prinsip bahwa bukti harus selalu disimpan, diproses, dan diterima secara memadai di pengadilan. Beberapa pertimbangan hukum berjalan seiring dengan penyitaan perangkat seluler.

Ada dua risiko utama terkait fase proses forensik seluler ini: Aktivasi kunci (oleh pengguna / tersangka / pihak ketiga yang tidak disengaja) dan koneksi Jaringan / Seluler.

Isolasi jaringan selalu disarankan, dan dapat dicapai melalui 1) Mode Pesawat + Menonaktifkan Wi-Fi dan Hotspot, atau 2) Mengkloning kartu SIM perangkat.

Airplane Mode

thetrainingco Perangkat seluler sering direbut dinyalakan; dan karena tujuan penyitaan mereka adalah untuk menyimpan bukti, cara terbaik untuk memindahkannya adalah dengan mencoba untuk tetap mengaktifkannya untuk menghindari penutupan, yang pasti akan mengubah file.

Phone Jammer

Kotak / tas Faraday dan catu daya eksternal adalah jenis peralatan yang umum digunakan untuk melakukan forensik seluler. Sementara yang pertama adalah wadah yang dirancang khusus untuk mengisolasi perangkat seluler dari komunikasi jaringan dan, pada saat yang sama, membantu transportasi bukti yang aman ke laboratorium, yang terakhir, adalah sumber daya yang tertanam di dalam kotak / tas Faraday. Sebelum memasukkan ponsel ke dalam tas Faraday, putuskan sambungannya dari jaringan, nonaktifkan semua koneksi jaringan (Wi-Fi, GPS, Hotspot, dll.), Dan aktifkan mode penerbangan untuk melindungi integritas bukti.

Faraday bag

Last but not least, penyelidik harus berhati-hati terhadap perangkat seluler yang terhubung ke perangkat pembakar yang tidak dikenal, serta jebakan lain yang dipasang untuk menyebabkan cedera tubuh atau kematian bagi siapa pun di tempat kejadian perkara.

2.2 Akuisisi

/ Identifikasi + Ekstraksi /

Tujuan dari tahap ini adalah untuk mengambil data dari perangkat seluler. Layar yang terkunci dapat dibuka dengan PIN, kata sandi, pola, atau biometrik yang benar (Perhatikan bahwa pendekatan biometrik meskipun nyaman tidak selalu dilindungi oleh amandemen kelima Konstitusi AS). Menurut putusan Pengadilan Sirkuit Virginia, kode sandi dilindungi, sidik jari tidak. Selain itu, penguncian serupa mungkin ada di aplikasi, gambar, SMS, atau messenger. Enkripsi, di sisi lain, memberikan keamanan pada tingkat perangkat lunak dan / atau perangkat keras yang seringkali tidak mungkin untuk dielakkan.

Sulit untuk mengontrol data di perangkat seluler karena datanya juga seluler. Setelah komunikasi atau file dikirim dari smartphone, kontrol hilang. Meskipun terdapat perangkat berbeda yang memiliki kemampuan untuk menyimpan data dalam jumlah besar, data itu sendiri mungkin secara fisik berada di lokasi lain. Sebagai contoh, sinkronisasi data antar perangkat dan aplikasi dapat berlangsung secara langsung tetapi juga melalui cloud. Layanan seperti Apple’s iCloud dan Microsoft’s One Drive lazim di antara pengguna perangkat seluler, yang membuka kemungkinan untuk akuisisi data dari sana. Oleh karena itu, penyidik ​​harus memperhatikan setiap indikasi bahwa data dapat melampaui perangkat seluler sebagai objek fisik, karena kejadian tersebut dapat memengaruhi pengumpulan dan bahkan proses pengawetan.

Karena data terus-menerus disinkronkan, perangkat keras dan perangkat lunak mungkin dapat menjembatani kesenjangan data. Pertimbangkan Uber – ia memiliki aplikasi dan situs web yang berfungsi penuh. Semua informasi yang dapat diakses melalui aplikasi Uber di ponsel dapat ditarik dari situs web Uber, atau bahkan program perangkat lunak Uber yang diinstal di komputer.

Terlepas dari jenis perangkat, mengidentifikasi lokasi data dapat lebih terhambat karena fragmentasi sistem operasi dan spesifikasi item. Sistem operasi Android sumber terbuka sendiri hadir dalam beberapa versi berbeda, dan bahkan iOS Apple mungkin berbeda dari versi ke versi.

Tantangan lain yang perlu diatasi para ahli forensik adalah lanskap aplikasi seluler yang melimpah dan selalu berubah. Buat daftar lengkap semua aplikasi yang diinstal. Beberapa aplikasi mengarsipkan dan mencadangkan data.

Baca Juga :  Membahas Tentang Lotus Software, Diversifikasi dan akuisisi oleh IBM

Setelah seseorang mengidentifikasi sumber data, langkah selanjutnya adalah mengumpulkan informasi dengan benar. Ada tantangan unik tertentu terkait pengumpulan informasi dalam konteks teknologi seluler. Banyak perangkat seluler tidak dapat dikumpulkan dengan membuat gambar dan sebagai gantinya mereka mungkin harus menjalani proses yang disebut akuisisi data. Ada berbagai protokol untuk mengumpulkan data dari perangkat seluler karena spesifikasi desain tertentu hanya memungkinkan satu jenis akuisisi.

Pemeriksa forensik harus memanfaatkan imajinasi Kartu SIM – prosedur yang membuat ulang gambar replika dari konten Kartu SIM. Seperti replika lainnya, bukti asli akan tetap utuh saat gambar replika digunakan untuk analisis. Semua file gambar harus di-hash untuk memastikan data tetap akurat dan tidak berubah.

2.3 Examination & Analysis

Sebagai langkah pertama dari setiap investigasi digital yang melibatkan perangkat seluler, ahli forensik perlu mengidentifikasi:

  • Jenis perangkat seluler – mis., GPS, ponsel cerdas, tablet, dll.
  • Jenis jaringan – GSM, CDMA, dan TDMA
  • Pembawa
  • Penyedia layanan (Reverse Lookup)

Pemeriksa mungkin perlu menggunakan berbagai alat forensik untuk memperoleh dan menganalisis data yang berada di mesin. Karena keragaman perangkat seluler, tidak ada solusi yang cocok untuk semua terkait alat forensik seluler. Karenanya, disarankan untuk menggunakan lebih dari satu alat untuk pemeriksaan. AccessData, Sleuthkit, dan EnCase adalah beberapa produk perangkat lunak forensik populer yang memiliki kemampuan analitik. Alat yang paling tepat dipilih tergantung pada jenis dan model perangkat seluler.

Analisis garis waktu dan tautan yang tersedia di banyak alat forensik seluler dapat mengikat setiap peristiwa paling signifikan, dari sudut pandang analis forensik.

Semua informasi, bukti, dan temuan lain yang digali, dianalisis, dan didokumentasikan selama penyelidikan harus disajikan kepada pemeriksa forensik atau pengadilan dengan cara yang jelas, ringkas, dan lengkap.

III. Model Lain Apa yang Tersedia ?

IV. Forensik Non-invasif vs. Invasif

Apa pun metode forensik seluler Anda yang sebenarnya, sangat penting untuk membuat kebijakan atau rencana pelaksanaannya dan mengikuti semua langkahnya dengan cermat dan dalam urutan yang benar. Tidak mengikuti protokol dapat menimbulkan konsekuensi yang serius. Seseorang harus memulai dengan teknik forensik non-invasif terlebih dahulu karena teknik tersebut cenderung membahayakan integritas perangkat ke tingkat yang lebih rendah. Berhati-hatilah dengan fitur keamanan internal – “[f] atau misalnya, mengumpulkan gambar fisik sebelum gambar logis pada perangkat tertentu dapat sepenuhnya menghapus semua data ponsel, seperti halnya mencoba mengakses perangkat yang terkunci dan membuat terlalu banyak upaya sandi . ” / Sumber: Forensik Perangkat Seluler oleh Scott Polus /

Dari sudut pandang hukum, tingkat interaksi antara pengguna dan perangkat sangat penting.

4.1 Metode non-invasif

Metode non-invasif dapat menangani tugas-tugas lain, seperti membuka kunci SIM atau / dan kunci operator, pembaruan sistem operasi, modifikasi nomor IMEI, dll. Teknik ini hampir tidak dapat diterapkan jika perangkat mengalami kerusakan fisik yang parah. Jenis metode forensik seluler non-invasif:

  • Ekstraksi manual

Pemeriksa forensik hanya menelusuri data menggunakan layar sentuh atau keypad perangkat seluler. Informasi menarik yang ditemukan di telepon didokumentasikan secara fotografis. Proses ekstraksi manual ini sederhana dan dapat diterapkan ke hampir semua telepon. Meskipun ada beberapa alat yang dirancang untuk mempermudah proses ini, namun tidak mungkin memulihkan data yang terhapus dengan cara ini.

  • Ekstraksi logis

Pendekatan ini melibatkan pelembagaan koneksi antara perangkat seluler dan workstation forensik menggunakan kabel USB, Bluetooth, Inframerah atau kabel RJ-45. Mengikuti bagian penghubung, komputer mengirimkan permintaan perintah ke perangkat, dan perangkat mengirimkan kembali data dari memorinya. Mayoritas alat forensik mendukung ekstraksi logis, dan prosesnya sendiri membutuhkan pelatihan jangka pendek. Namun, sisi negatifnya, teknik ini dapat menambahkan data ke perangkat seluler dan dapat mengubah integritas bukti. Selain itu, data yang dihapus jarang dapat diakses.

  • Metode JTAG

JTAG adalah bentuk akuisisi fisik non-invasif yang dapat mengekstrak data dari perangkat seluler meskipun data sulit diakses melalui perangkat lunak karena perangkat rusak, terkunci, atau dienkripsi. Namun, perangkat setidaknya harus berfungsi sebagian (kerusakan kecil tidak akan menghalangi metode ini).

Prosesnya melibatkan koneksi ke Test Access Ports (TAPs) pada perangkat dan menginstruksikan prosesor untuk mentransfer data mentah yang disimpan pada chip memori yang terhubung. Ini adalah fitur standar yang dapat ditemukan di banyak model ponsel, yang menyediakan manufaktur ponsel antarmuka tingkat rendah di luar sistem operasi. Penyelidik forensik digital tertarik pada JTAG, karena secara teori, JTAG dapat memungkinkan akses langsung ke memori perangkat seluler tanpa membahayakannya. Terlepas dari kenyataan itu, ini adalah prosedur yang memakan banyak tenaga dan waktu, dan membutuhkan pengetahuan sebelumnya (tidak hanya tentang JTAG untuk model telepon yang sedang diselidiki, tetapi juga tentang bagaimana mengatur lagi biner yang dihasilkan yang terdiri dari struktur memori telepon. ).

  • Hex Dump

Mirip dengan JTAG, Hex dump adalah metode lain untuk ekstraksi fisik informasi mentah yang disimpan dalam memori flash. Ini dilakukan dengan menghubungkan workstation forensik ke perangkat dan kemudian melakukan tunneling kode unsigned atau bootloader ke perangkat, masing-masing akan membawa instruksi untuk membuang memori dari telepon ke komputer. Gambar yang dihasilkan cukup teknis — dalam format biner — dan membutuhkan seseorang yang memiliki pendidikan teknis untuk menganalisisnya. Selain itu, pemeriksa memiliki sejumlah besar data, karena data yang dihapus dapat dipulihkan, dan, di atas semua itu, seluruh prosesnya tidak mahal.

4.2 Metode Invasif

Biasanya, mereka lebih panjang dan lebih kompleks. Dalam kasus di mana perangkat sama sekali tidak berfungsi karena beberapa kerusakan parah, kemungkinan besar satu-satunya cara untuk mengambil data dari perangkat adalah dengan secara manual menghapus dan mengambil gambar chip memori flash perangkat. Meskipun perangkat atau item dalam kondisi baik, keadaan mungkin memerlukan ahli forensik untuk mendapatkan konten chip secara fisik.

  • Chip-off

Proses yang mengacu pada pengambilan data langsung dari chip memori perangkat seluler. Menurut persiapan yang berkaitan dengan level ini, chip dilepaskan dari perangkat dan pembaca chip atau telepon kedua digunakan untuk mengekstrak data yang disimpan pada perangkat yang sedang diselidiki. Perlu dicatat bahwa metode ini secara teknis menantang karena banyaknya variasi jenis chip yang ada di pasar ponsel. Selain itu, proses chip-off mahal, pelatihan diperlukan, dan penguji harus mendapatkan perangkat keras khusus untuk melakukan de-solder dan pemanasan chip memori. Bit dan byte informasi mentah yang diambil dari memori masih harus diurai, didekodekan, dan diinterpretasikan. Bahkan kesalahan terkecil pun dapat menyebabkan kerusakan pada chip memori, yang pada dasarnya akan membuat data hilang secara permanen. Akibatnya, para ahli menyarankan untuk mengambil jalan keluar untuk chip-off ketika: a) metode ekstraksi lain sudah dicoba, b) penting untuk mempertahankan keadaan memori perangkat saat ini, c) chip memori adalah satu-satunya elemen dalam perangkat seluler yang tidak rusak.

Seluruh proses terdiri dari lima tahap:

Deteksi tipologi chip memori perangkat
Ekstraksi fisik chip (misalnya, dengan membukanya)
Antarmuka chip menggunakan perangkat lunak membaca / pemrograman
Membaca dan mentransfer data dari chip ke PC
Interpretasi dari data yang diperoleh (menggunakan rekayasa terbalik)

Dua fase terakhir bertepatan dengan metode non-invasif. Namun, fase ekstraksi fisik dan interfacing sangat penting untuk hasil analisis invasif.

  • Membaca mikro

Metode ini mengacu pada pengambilan tampilan keseluruhan secara manual melalui lensa mikroskop elektron dan menganalisis data yang terlihat pada chip memori, lebih khusus lagi gerbang fisik pada chip. Singkatnya, membaca mikro adalah metode yang menuntut tingkat keahlian tertinggi, mahal dan memakan waktu, dan dicadangkan untuk krisis keamanan nasional yang serius.