Inilah Tantangan Dalam Proses Mobile Forensik, Tantangan utama dalam mobile forensik tetap enkripsi. Enkripsi di perangkat Android, meskipun muncul di perangkat Android 6, baru-baru ini mulai menjadi hambatan untuk ekstraksi. Banyak smartphone Android kelas menengah dan setiap ponsel Samsung pra-2019 tidak akan menggunakan Full Disk Encryption (FDE), skema enkripsi yang kurang aman yang melindungi data dengan “default_password” sebagai benih untuk kunci enkripsi.
Menurut thetrainingco.com Tahun ini, sebagian besar smartphone baru menyertai File-Based Encryption (FBE) yang lebih aman, skema enkripsi yang lebih modern yang mengenkripsi file dengan kunci yang mendukung kode sandi kunci layar pengguna. Dalam banyak kasus, para ahli dapat bekerja di sekitar FDE; namun, enkripsi FBE yang lebih baru mungkin merupakan tantangan nyata, yang masih belum dijelajahi.
Meskipun ponsel yang dirilis dengan enkripsi FDE tidak dapat diperbarui untuk menggunakan FBE, generasi perangkat tersebut pada dasarnya akan mati . Skema enkripsi baru yang digunakan pada perangkat yang lebih baru akan berlaku, dan itu akan membuat akuisisi secara signifikan lebih sulit dan memakan waktu.
Di negara Apple, enkripsi per file yang didukung kode sandi kunci layar pengguna telah digunakan sejak iOS 8 di semua perangkat dimulai dengan iPhone 5s. Enkripsi dulu dan tetap aman, dan meskipun tetap menjadi tantangan, itu tidak menghadirkan tantangan pengganti.
Forensik Android
Forensik perangkat Android mungkin memusingkan karena alasan yang sangat berbeda. Pasar dipenuhi dengan ribuan model. Morel ini dilengkapi dengan banyak set chip yang dibuat oleh berbagai produsen. Ada metode akuisisi langsung yang kuat seperti ekstraksi EDL, yang menggunakan mode rekayasa khusus yang ada di sebagian besar perangkat; namun, metode tingkat rendah ini sangat terbatas pada vendor, model, dan/atau set chip tertentu. selain itu , metode ini mungkin atau mungkin tidak berfungsi dengan mengandalkan pengaturan perangkat yang akan menerapkan mode enkripsi lanjutan yang tidak rentan terhadap metode ini.
Membuka kunci
Membuka kunci smartphone Apple akan menjadi semakin sulit. Kerentanan tingkat bootloader yang ditemukan di perangkat A5 hingga A11 tidak lagi ada dalam generasi iPhone Xs/Xr dan iPhone 11, sementara iOS 13 menutup banyak kerentanan keamanan yang ditemukan di iOS 12. Kami mengharapkan perangkat yang lebih lama (hingga dan termasuk iPhone 8/iPhone X generasi) agar tetap mudah dibuka, sedangkan generasi baru akan lebih sulit (dan lebih lambat) untuk dibuka. Kode sandi 6 digit yang sekarang menjadi default sangat lambat untuk melakukan kekerasan, sering kali membuat serangan BFU (Before First Unlock) tidak dapat dilakukan.
Sementara Apple menggunakan biometrik yang aman untuk membuka kunci perangkat mereka, banyak peniru Android menggunakan tiruan “saya juga” dari ID Wajah Apple. Peniruan tersebut umumnya tidak aman, dan mungkin tertipu dengan gambar yang dicetak atau, paling buruk, model 3D dari wajah pengguna. Ini adalah jumlah dan variasi perangkat Android yang melindungi mereka dari penelitian keamanan yang fanatik; jenis penelitian yang menghasilkan eksploitasi checkm8 yang tidak dapat ditambal untuk beberapa perangkat Apple.
Ekstraksi
Enkripsi disk penuh dan berbasis file secara efektif mencegah ekstraksi langsung, membuat para ahli mencari alat forensik khusus untuk perangkat pencitraan. Ekstraksi Sebelum Buka Kunci Pertama atau Setelah Buka Kunci Pertama masih akan mengembalikan jumlah bukti yang sangat berbeda, dengan ekstraksi AFU perlahan-lahan menghilang karena model yang rentan berada di ambang puncak siklus hidupnya.
Namun, alternatif untuk ekstraksi fisik masih akan berkembang. Dengan lebih banyak informasi yang disimpan dalam cloud saat ini dibandingkan dengan hanya dua tahun yang lalu, para ahli forensik dapat berharap untuk mendapatkan data tersebut – dan lebih banyak lagi.
Baca Juga : Pasar Digital Forensik Dunia Mencapai $14,5 Miliar pada 2026
Verifikasi Proses Mobile Forensik
Dalam forensik desktop klasik di masa lalu, menangkap gambar disk drive dan menghitung checksum akan memenuhi persyaratan verifikasi. Ini tidak berfungsi dalam Mobile Forensik. Sebagian besar metode ekstraksi tidak sehat secara forensik. Hasilnya tidak dapat diulang, dan menghitung checksum hanya masuk akal untuk memvalidasi integritas dump atau arsip yang diberikan. Mengulangi ekstraksi akan menghasilkan gambar khusus dan checksum khusus. Banyak vendor yang merahasiakan teknik yang mereka gunakan untuk mengekstrak ponsel cerdas; kesaksian mereka juga bisa menjadi satu-satunya validasi yang tersedia di pengadilan.
Ekstraksi Cloud dan Counter-Forensik Vendor
Sementara semakin banyak data pengguna selesai di dalam cloud, perusahaan masih mengamankan layanan cloud mereka dari upaya akuisisi langsung.
Dimulai dengan Android 9, google mulai mengenkripsi cadangan Android dengan kode sandi perangkat pengguna. Pada titik ini, tidak ada data lain yang dienkripsi, bahkan kesehatan (Google Fit) atau kata sandi. Kami akan terus memantau layanan cloud Google.
Apple melanjutkan upayanya untuk melawan akses forensik ke bagian-bagian dari layanan cloud-nya. Cadangan iCloud, meskipun tidak dienkripsi dengan kredensial pengguna, semakin sulit didapat berkat pemanfaatan kredensial perangkat sebagai prasyarat yang diperlukan untuk mengakses info.
Kata sandi pengguna (iCloud Keychain), data Kesehatan, dan bahkan pesan dienkripsi secara aman dengan kode sandi kunci layar atau kata sandi sistem pengguna. Tak satu pun dari informasi itu diberikan kepada penegak hukum saat Apple melayani permintaan pemerintah, dan tak satu pun dari data itu diberikan kepada pengguna yang menarik data mereka melalui Permintaan Privasi Apple.
Kami masih akan mengembangkan alat ekstraksi cloud untuk mendapatkan data sebanyak mungkin secara teknis.
Otentikasi Dua Faktor
Meskipun otentikasi dua faktor tidak sepenuhnya baru, produsen terus mendorong pengguna untuk mengaktifkan fitur tersebut sambil membuatnya sangat sulit atau tidak mungkin untuk menonaktifkannya.
Pada saat yang sama, otentikasi dua faktor memiliki sisi buruknya. Di ekosistem Apple, pengguna yang akunnya dilindungi dengan autentikasi dua faktor dapat melakukan hal-hal seperti menonaktifkan perlindungan Temukan Saya atau menyetel ulang kata sandi ID Apple iCloud tanpa memberikan kata sandi ID Apple asli mereka.
Analisis Data yang Dihapus
Analisis data yang dihapus sudah mati. selama beberapa tahun, tidak mungkin memulihkan file yang dihapus dari iPhone Apple karena cara Apple menangani kunci enkripsi. Banyaknya drive SSD yang dipangkas membuat akses ke data yang dihapus tidak mungkin dilakukan hanya beberapa saat setelah file tersebut hilang. Produsen terus berusaha menemukan cara mewujudkan akses ke data yang dipangkas pada beberapa model SSD. Mode akses pabrik SSD adalah salah satu metode analisis SSD terbaru yang membantu para ahli mendapatkan akses ke bagian tersembunyi dari drive SSD.
Pertanyaan Terkait Topik
- Jenis bukti apa yang dapat diambil dari perangkat seluler?
- Jenis data apa yang saat ini dapat diekstraksi dan diuraikan dari perangkat Android?
- Bagaimana saya tahu jika perangkat saya dienkripsi?
- Apa tantangan untuk Mobile Forensik?