Perangkat Digital Forensics iOS dan Android, Mobile Forensics adalah cabang dari Digital Forensics dan ini tentang akuisisi dan analisis perangkat seluler untuk memulihkan bukti digital dari minat investigasi.
Ketika kita berbicara tentang Forensik Seluler secara umum, kami menggunakan istilah “Suara Forensik”, yang biasa digunakan dalam komunitas forensik untuk menentukan penerapan metode dan teknik, yang menghormati pedoman internasional untuk akuisisi, dan pemeriksaan perangkat seluler. Prinsip-prinsip untuk penerapan yang benar dari teknik Suara Forensik mengasumsikan tujuan utama, yaitu pelestarian dan kemungkinan non-kontaminasi keadaan benda.
Semua fase, dari akuisisi hingga analisis forensik perangkat seluler, harus sepenuhnya menghindari non-perubahan perangkat yang diperiksa. Proses ini sama sekali tidak mudah, terutama di perangkat seluler.
Evolusi berkelanjutan dari teknologi perangkat seluler, memungkinkan komersialisasi ponsel baru, yang menciptakan masalah investigasi digital baru.
Perangkat keras dan perangkat lunak untuk jenis analisis perangkat seluler ini sangat banyak, tetapi tidak ada yang mampu memberikan solusi terintegrasi untuk akuisisi dan analisis forensik semua ponsel cerdas.
Lebih jauh lagi, perangkat seluler mampu memuat banyak informasi digital, hampir seperti komputer, sehingga tidak hanya berupa log panggilan atau pesan SMS seperti ponsel jadul. Banyak informasi digital di ponsel cerdas bergantung pada aplikasi yang diinstal di dalamnya, yang berkembang sedemikian rupa sehingga perangkat lunak analisis tidak dapat mendukungnya sepenuhnya.
Seringkali akuisisi data dari perangkat seluler tidak kompatibel dengan beberapa parameter, yang menentukan metode Suara Forensik.
Dengan kata lain untuk memiliki akses ke perangkat seluler perlu menggunakan vektor komunikasi, bootloader, dan agen lain yang dipasang di memori untuk mengaktifkan komunikasi antara ponsel dan instrumen yang thetrainingco gunakan untuk akuisisi dan karenanya tidak. mungkin untuk menggunakan opsi pemblokiran tulis.
Seringkali kami terpaksa memodifikasi konfigurasi perangkat untuk akuisisi, tetapi operasi ini berisiko membatalkan bukti di Pengadilan, meskipun semua teknik selalu terdokumentasi dengan baik. Sedapat mungkin, selalu penting untuk menghormati pedoman internasional tentang forensik seluler untuk memastikan integritas bukti dan pengulangan proses forensik.
Aspek mendasar pada pelestarian perangkat di TKP adalah pengumpulan bukti di lokasi; yaitu pelestarian perangkat yang ditemukan dalam keadaan menyala, menjaganya dari sinyal Wi-Fi, sistem telekomunikasi, sinyal GPS, dan menjaga agar baterai tetap terisi. Ini diperlukan untuk menghindari shutdown dan hilangnya informasi penting seperti PIN.
Penonaktifan dapat menyebabkan pintasan PIN nanti atau bahkan kehilangan data karena kata sandi atau kriptografi. Penting juga untuk segera menyediakan isolasi elektromagnetik menggunakan tas faraday; perangkat atau casing, yang memungkinkan pengisolasian perangkat seluler, menjadi gelap dari sinyal radio.
Contoh praktis dari perangkat yang ditemukan di TKP dan, tidak terisolasi, itu bisa menjadi penyeka jarak jauh yang lengkap.
Proses produksi bukti forensik dibagi dalam lima tahap utama: penyitaan, identifikasi, perolehan dan pemeriksaan atau analisis. Setelah data diekstraksi dari perangkat, metode analisis yang berbeda digunakan berdasarkan kasus yang mendasarinya. Karena setiap investigasi berbeda, tidak mungkin memiliki satu prosedur definitif untuk semua kasus.
Masing-masing langkah ini memiliki peran dasar dalam proses produksi bukti digital. Standar internasional diberikan oleh banyak studi dan publikasi yang mencoba untuk menentukan praktik terbaik dan pedoman untuk prosedur dan metode forensik digital, seperti banyak publikasi dan pedoman NIST.
Meskipun sertifikasi ISO 27037 terbaru “Panduan untuk identifikasi, pengumpulan dan / atau akuisisi dan pelestarian bukti digital” dirilis pada tahun 2012, sertifikasi ISO 27037 tidak spesifik untuk forensik seluler, namun berkaitan dengan standar ISO / IEC. Standar ini sebagian besar mendefinisikan metode dan teknik dalam investigasi forensik digital, yang diterima di banyak Pengadilan.
Namun, keseluruhan proses dapat dibagi menjadi empat tahap seperti yang ditunjukkan pada diagram Berikut ini:
Di bawah ini akan dijelaskan dua langkah pertama yang terlibat dalam produksi bukti forensik. Dalam pelajaran selanjutnya akan dijelaskan secara rinci tiga langkah yang tersisa.
Penanganan perangkat saat kejang adalah salah satu langkah penting saat melakukan analisis forensik. Penting, untuk penyitaan perangkat di TKP, untuk mendokumentasikan dengan gambar, tulisan “di mana dan kapan”, kondisi ponsel, apakah itu rusak, dihidupkan atau dimatikan, gambar tampilan jika dinyalakan, dokumentasikan peristiwa tersebut kartu memori.
Diperlukan untuk menyita kabel, pengisi daya, data kartu SIM atau kertas atau catatan apa pun yang mungkin berisi kode akses yang juga dapat disimpulkan dari dokumen pribadi para penjahat yang perangkatnya disita. Secara statistik banyak pengguna menggunakan kata sandi yang serupa pada tanggal lahir, perayaan, nama, pelat nomor, dan informasi pribadi lainnya untuk mengingatkan diri mereka sendiri akan kata sandi. Mencari PIN dan password nantinya bisa menghemat banyak waktu untuk penyidik.
Di TKP, penting untuk menggunakan teknik yang tepat untuk melindungi perangkat dari komunikasi dengan perangkat lain, yang mungkin berupa panggilan telepon, SMS, gangguan Hotspot Wi-Fi, Bluetooth, GPS, dan banyak lagi. Perangkat harus dimasukkan ke dalam tas Faraday dan jika memungkinkan tambahkan penggunaan jammer, untuk menghindari perubahan keadaan asli perangkat. Panggilan telepon, SMS, email dapat menimpa yang sebelumnya selama fase pengumpulan bukti jika telepon tidak diisolasi.
TEKNIK ISOLASI PERANGKAT SELULER
Tas Faraday – Penggunaan langsung tas Faraday sangat penting jika Anda menemukan ponsel yang aktif. Penting untuk mengisolasi ponsel agar tetap terisi daya dengan baterai darurat yang memungkinkan Anda tiba di lab dengan selamat. Pengisolasian kabel daya juga penting karena memungkinkan ponsel menerima komunikasi. Ada berbagai jenis tas Faraday yang dijual mulai dari tas sederhana yang diisolasi dari sinyal radio (yang tidak saya rekomendasikan) hingga kotak isolasi nyata yang memungkinkan efisiensi lebih. Mereka terbuat dari perak / tembaga / nikel dengan konduktor lapis ganda RoHS. Tas Faraday bisa menjadi solusi jitu untuk mengisolasi perangkat seluler yang kejang
Baca Juga : 5 Kunci Memilih Penyidik Forensik Digital
Jamming – Pengacau adalah perangkat, juga dikenal sebagai pengacau radio, yang digunakan untuk memblokir penggunaan ponsel yang mengirimkan gelombang radio dengan frekuensi yang sama dengan yang digunakan oleh ponsel. Hal ini menyebabkan gangguan, yang menghambat komunikasi antara ponsel dan BTS, melumpuhkan setiap aktivitas ponsel dalam jangkauan aksinya.
Kebanyakan ponsel, menghadapi gangguan ini hanya karena kurangnya koneksi jaringan. Dalam kasus perangkat jammer pengumpulan bukti seluler digunakan untuk memblokir komunikasi radio dari GSM / UMTS / LTE. Tentunya, penggunaan jammer dalam keadaan ini harus dibatasi pada daya yang kurang (<1W), jika tidak maka dapat mengganggu setiap jaringan telepon di sekitarnya. Penggunaannya ilegal di beberapa negara dan seringkali hanya diperbolehkan untuk pasukan polisi.
Mode pesawat – Mode pesawat adalah salah satu opsi yang dapat digunakan untuk melindungi ponsel yang dikumpulkan ke TKP untuk menghindari transmisi radio masuk dan keluar. Ini adalah opsi yang berisiko karena perlu berinteraksi dengan ponsel, dan hanya mungkin jika ponsel tidak dilindungi dengan Kode Sandi. Untuk mengaktifkan iOS pada opsi ini, dari iOS7 dengan layar terkunci, mode pesawat dapat diatur dengan menggeser dok ke atas. Untuk mengatur mode aereoplane di OS Android:
- Klik tombol menu di ponsel untuk membuka menu.
- Pilih “Pengaturan” di bagian bawah menu yang muncul
- Di bawah “Nirkabel & Jaringan”, ketuk “Lainnya”
- Cari opsi “Mode pesawat” di bagian atas layar pengaturan. Ketuk di atasnya untuk memberi “tanda centang” pada kotak di sampingnya
- Tunggu hingga tombol hidup menjadi biru. Ini memberi tahu Anda bahwa mode aktif dan transmisi Anda sekarang mati.
Metode teknis perangkat perlindungan, kami sebutkan di paragraf sebelumnya, mereka harus digunakan lebih banyak perhatian untuk perangkat Android, dibandingkan dengan perangkat Apple. Saat mereka diasingkan, perlu diperhatikan untuk memastikan bahwa tindakan kami tidak akan menyebabkan perubahan data apa pun pada perangkat. Sementara itu, perlu menggunakan setiap peluang yang mungkin dapat membantu analisis berikut.
Jika perangkat ditemukan tidak terkunci di TKP, dengan kata lain tanpa layar kunci atau kode akses, maka perlu mengubah pengaturan perangkat untuk memiliki akses yang lebih baik pada perangkat.
Beberapa pengaturan yang perlu diubah dalam situasi ini adalah:
Aktifkan pengaturan tetap terjaga: dengan mengaktifkan opsi ini dan mengisi daya perangkat (dapat digunakan sebagai pengisi daya darurat), memungkinkan perangkat tetap aktif dan dengan pengaturan buka kunci. Pada perangkat Android bisa ditemukan di Settings | Pengembangan, seperti yang ditunjukkan pada tangkapan layar berikut:
Aktivasi USB debug: aktivasi opsi ini memungkinkan akses utama pada perangkat dengan koneksi Android Debug Bridge (ADB). Opsi ini akan menjadi alat yang hebat untuk pemeriksa forensik selama proses ekstraksi data. Di perangkat Android, opsi ini dapat ditemukan di Settings | Pengembangan:
Di versi Android berikutnya, dari 4.2, pengaturan pengembangan disembunyikan oleh pengaturan default. Untuk aktivasi, Settings | Tentang ponsel dan ketuk Bangun nomor tujuh kali.
ANDROID
Untuk mendapatkan informasi dari perangkat Android sangatlah mudah.
Buka menu Pengaturan / Tentang Telepon / Perangkat Lunak dan Informasi Perangkat Keras.
PRACTICAL EXERCISE
Dalam hal ini, kami menggunakan Host Windows dan Kit Pengembangan Perangkat Lunak Android. Android Software Development Kit (SDK) membantu pengembang membuat, menguji, dan men-debug aplikasi agar berjalan di Android. Ini mencakup pustaka perangkat lunak, API, emulator, materi referensi, dan banyak alat lainnya.
Alat-alat ini tidak hanya membantu membuat aplikasi Android tetapi juga menyediakan dokumentasi dan utilitas yang membantu secara signifikan dalam analisis forensik perangkat Android. Memiliki pengetahuan yang baik tentang Android SDK dapat membantu Anda memahami spesifikasi perangkat. Ini, pada gilirannya, akan membantu Anda selama penyelidikan. Selama pemeriksaan forensik, SDK membantu kami menghubungkan perangkat dan mengakses data yang ada di perangkat.
Cara mendapatkan nomor seri perangkat Android adalah sebagai berikut:
Langkah satu – Unduh dari situs web paket SDK: https://developer.android.com/sdk/download.html?v=archives/android-sdk-windows-1.6_r1.zip
Langkah kedua – Buat folder bernama ANDROIDSDK dan unzip file zip yang Anda unduh
Langkah ketiga – Hubungkan perangkat Android Anda melalui kabel USB
Langkah keempat – Di command prompt Windows, telusuri folder ANDROIDSDK, alat, dan kami menjalankan perintah perangkat adb
Langkah kelima – Jika semua berfungsi dengan baik, daftar perangkat yang ditautkan akan muncul dengan nomor seri, jika tidak ada di daftar perangkat, periksa apakah driver berfungsi dengan benar dan debugging USB diaktifkan.
APPLE IPHONE
Sebelum menganalisis iPhone, perlu untuk mengidentifikasi jenis perangkat keras dan firmware mana yang diinstal. Lebih mudah untuk memeriksa bagian belakang cangkang perangkat, yang terkesan:
Tentang versi firmware, dimungkinkan untuk memeriksanya dengan mengakses pada menu iPhone – Pengaturan / Umum / Tentang / Versi:
Alternatif yang baik untuk mendapatkan banyak informasi dari iPhone adalah penggunaan libimobiledevice.org, yang saat ini dirilis dalam versi 1.2, merupakan alternatif yang baik untuk berkomunikasi dengan perangkat Apple di antaranya iPhone, iPad, iPod Sentuh, Apple TV.
Mereka tidak memerlukan Jailbreak, dan mereka mengizinkan membaca informasi perangkat, mencadangkan dan memulihkan serta opsi serupa pada akuisisi sistem file logis. Mereka dapat diunduh dan digunakan di lingkungan Linux, terintegrasi di distro langsung Santoku (https://santoku-linux.com/).
Practical Exercise
Dalam latihan praktis ini, kami mendapatkan informasi dari Smartphone Apple iPhone:
Langkah satu – Unduh ke situs web https://santoku-linux.com/, distro santoku live – bernama santoku_0.5.iso -, bakar dalam DVD-ROM dan mulai dengan boot.
Langkah kedua – Menjalankan libimobiledevice, buka Santoku -> Forensik Perangkat -> lib-iMobile
Langkah ketiga – Ini akan membuka jendela terminal dan mencantumkan perintah yang tersedia di alat libimobiledevice.
Langkah empat – Pada titik ini, Anda dapat menghubungkan perangkat iOS Anda ke Santoku. Jika Anda menggunakan VM, pastikan perangkat USB “terpasang” ke VM dan bukan host.
Langkah lima: Anda dapat dengan mudah memeriksa konektivitas antara iPhone dan Santoku dengan mengetikkan perintah ini di jendela terminal:
idevice_id -s
Perintah memberikan semua informasi yang Anda lihat pada gambar, termasuk nama perangkat, UDID, model perangkat keras dan banyak lagi.
Jika Anda hanya ingin melihat UDID iPhone, jalankan perintah:
idevice_id -l
Ini harus mengembalikan UDID ponsel Anda.
