Mobile Forensik : Gambaran Umum Teknik dalam Investigasi Forensik Seluler – Teknologi smartphone dan tablet telah berubah secara dramatis dan cepat dalam beberapa tahun terakhir dan terus berubah dengan kecepatan yang mencengangkan. Perangkat komputasi yang lebih kecil ini sangat umum, dengan fleksibilitas untuk menggantikan rekan desktop mereka dalam interaksi manusia ke komputer.
Mobile Forensik : Gambaran Umum Teknik dalam Investigasi Forensik Seluler
Baca Juga : Teknologi Keamanan Dunia Untuk Menyamakan Kedudukan
thetrainingco – Duduklah di restoran, bandara, atau tempat umum mana pun yang menyediakan Wi-Fi dan Anda mungkin melihat manusia dengan wajah yang tampaknya terpaku pada layar perangkat mereka, berinteraksi di perangkat mereka dengan fokus seperti itu, tampaknya tidak menyadari lingkungan fisik mereka sendiri.
Ponsel pintar saat ini lebih sedikit digunakan untuk menelepon dan banyak digunakan untuk bersosialisasi; ini mengakibatkan ponsel cerdas menyimpan banyak informasi sensitif tentang penggunanya. Perangkat seluler menyimpan kontak pengguna dari berbagai sumber (termasuk telepon, jejaring sosial, pesan elektronik instan, dan aplikasi komunikasi), data tentang panggilan telepon, pesan teks yang dikirim dan diterima, serta email dan lampiran. Ada juga log browser dan informasi geolokasi yang di-cache; foto dan video yang diambil dengan kamera ponsel; kata sandi untuk layanan cloud, forum, jejaring sosial, portal online, dan situs belanja; data pembayaran yang tersimpan; dan banyak informasi lain yang mungkin penting untuk penyelidikan
Dengan banyaknya audiens yang terlibat setiap hari dengan ponsel cerdas mereka dan aksesori lainnya, Forensik seluler memainkan peran utama dan besar dalam menentukan bagaimana perangkat ponsel cerdas yang disebut “Aman” ini dieksploitasi dan bagaimana data pengguna digunakan untuk banyak serangan hebat pada infrastruktur Seluler.
Kami tidak akan membahas detail teknis apa pun, seperti kode hex itu di alamat apa artinya apa, atau cara menghitung UDID, atau cara menggunakan ADB untuk menerobos perlindungan kode sandi di android 2.1. kami yakin hal ini tidak penting bagi petugas penegak hukum, dan seharusnya hanya menarik minat teknisi yang beroperasi di lab akuisisi
Tahapan mobile forensik
Bagian ini akan membahas secara singkat tahapan keseluruhan dari mobile forensik dan tidak dimaksudkan untuk memberikan klarifikasi mendalam dari setiap tahapan. Ada lebih dari cukup dokumentasi yang dapat diakses dengan mudah di internet yang memiliki tingkat detail yang mendalam mengenai
tahapan mobile forensik.
Tahap 1: Kejang Perangkat
Tahap ini berkaitan dengan penyitaan fisik alat sehingga berada di bawah pengelolaan dan pengawasan penyidik/pemeriksa. pertimbangan juga harus diberikan kepada otoritas hukum atau persetujuan tertulis untuk menyita, mengekstrak, dan mencari informasi ini.
Kondisi fisik alat pada saat penyitaan harus diperhatikan, idealnya melalui dokumentasi fotografi digital dan catatan tertulis, seperti:
Apakah perangkatnya rusak? Jika ya, dokumentasikan jenis kerusakannya.
Apakah perangkat dihidupkan atau dimatikan pada saat kejang?
Apa tanggal dan waktu pada perangkat jika perangkat menyala?
Jika perangkat aktif, aplikasi apa yang berjalan di latar belakang perangkat?
Jika perangkat aktif, apakah layar perangkat dapat diakses untuk memeriksa kode sandi dan
setelan keamanan?
Beberapa aspek berbeda dari penyitaan perangkat dijelaskan sebagai berikut karena akan berdampak pada analisis pasca kejang: isolasi radio, mematikan perangkat jika menyala, penghapusan jarak jauh, dan anti-forensik
Merebut – apa dan bagaimana seharusnya kita merebut?
Ketika datang untuk memperoleh perangkat seluler dengan benar, orang harus mengingat berbagai perbedaan dalam cara komputer dan perangkat seluler beroperasi. Merebut, menangani, menyimpan, dan mengekstrak perangkat seluler harus mengikuti rute khusus dibandingkan dengan komputer desktop dan bahkan laptop. Tidak seperti PC yang akan online atau offline (yang mencakup kondisi tidur dan hibernasi hemat energi), ponsel cerdas dan tablet menggunakan modus operandi yang berbeda dan selalu terhubung. Sejumlah besar aktivitas berjalan di latar belakang, bahkan saat perangkat tampaknya sedang tidur. Aktivitas dapat dijadwalkan atau dipicu oleh sejumlah besar acara, serta acara push dari layanan online dan acara yang dimulai dari jarak jauh oleh pengguna. Faktor lain yang perlu dipertimbangkan saat membeli perangkat seluler adalah keamanan. Perangkat seluler sering dibawa-bawa, dan bahwa mereka dirancang agar lebih aman daripada PC desktop. Penyimpanan yang tidak dapat dilepas dan chip RAM yang disolder, enkripsi opsional atau yang dipaksakan, sakelar pemutus jarak jauh, layar kunci yang aman, dan bootloader yang terkunci hanyalah beberapa langkah keamanan yang perlu disebutkan.
Tas Faraday terbiasa menyimpan sementara perangkat yang disita tanpa mematikannya. Tas Faraday memblokir koneksi nirkabel ke jaringan seluler, Wi-Fi, Bluetooth, navigasi satelit, dan radio lain yang digunakan di perangkat seluler. Tas Faraday biasanya dirancang untuk melindungi rentang frekuensi radio yang digunakan oleh operator seluler lokal dan navigasi satelit (biasanya 700-2.600 MHz), juga rentang 2,4-5 ghz yang digunakan oleh jaringan Wi-Fi dan Bluetooth. Beberapa Faraday diproduksi dari
bahan pelindung logam berlapis khusus yang memblokir berbagai frekuensi radio
Menjaga perangkat tetap menyala
Saat menangani perangkat yang disita, penting untuk mencegah perangkat mati. Tidak pernah mematikan perangkat yang beroperasi adalah satu hal, mencegahnya mematikan adalah hal lain. Karena perangkat seluler mengonsumsi daya bahkan saat layar mati, praktik kualitasnya adalah memasang perangkat ke pengisi daya dan memasukkannya ke dalam tas Faraday yang memblokir nirkabel. ini dapat menghentikan perangkat seluler agar tidak mati setelah mencapai status daya rendah.
Mengapa secara khusus kita membutuhkan prosedur ini? Masalahnya, Anda akan dapat mengekstrak informasi tambahan dari perangkat yang digunakan atau dibuka kuncinya setidaknya sekali setelah siklus boot terakhir dibandingkan dengan perangkat yang melakukan booting di laboratorium Anda dan yang kode sandinya tidak Anda ketahui. Untuk mengilustrasikan hasil potensial, katakanlah Anda mengambil iPhone yang terkunci dengan kode sandi yang tidak diketahui. IPhone kebetulan di-jailbreak, sehingga Anda dapat mencoba menggunakan Toolkit forensik Elcomsoft iOS untuk mengekstrak data.
Jika perangkat terkunci dan Anda tidak mengetahui kode sandi, Anda akan memiliki akses ke kumpulan data yang sangat terbatas:
Informasi geolokasi terkini: Karena basis data lokasi tetap terenkripsi, hanya mungkin untuk mengekstrak data lokasi terbatas. Data lokasi terbatas ini hanya dapat diakses jika perangkat dibuka kuncinya minimal satu kali setelah booting selesai. Akibatnya, jika Anda tetap menghidupkan perangkat, Anda akan menarik riwayat geolokasi terbaru dari perangkat ini. Namun, jika perangkat mati dan hanya dinyalakan di laboratorium, informasi geolokasi akan tetap tidak dapat diakses hingga perangkat dibuka kuncinya.
Panggilan masuk (hanya angka) dan pesan teks: Pesan teks masuk sementara dipertahankan tidak terenkripsi sebelum pembukaan pertama setelah boot dingin. Setelah perangkat dibuka kuncinya untuk pertama kalinya setelah cold boot, pesan akan ditransfer ke database terenkripsi utama. Ini menyiratkan bahwa memperoleh perangkat yang tidak pernah dibuka kuncinya setelah cold start hanya dapat mengizinkan akses ke pesan teks yang diterima oleh perangkat selama perangkat tetap terkunci setelah boot.
Jika iPhone yang diakuisisi dibuka kuncinya minimal satu kali setelah di-boot
(misalnya, jika perangkat disita selama keadaan dihidupkan), Anda akan siap
untuk mengakses data tambahan yang signifikan. Informasi SMS didekripsi pada pembukaan
pertama, memungkinkan Anda untuk menarik semua pesan teks dan bukan hanya yang
diterima saat perangkat tetap terkunci.
Log aplikasi dan sistem (pemasangan dan pembaruan, log akses internet, dan sebagainya).
File temp SQLite, serta write-ahead logs (WAL): WAL ini mungkin menyertakan pesan yang diterima oleh aplikasi seperti Skype, Viber, kurir Facebook, dan sebagainya. Setelah perangkat dibuka kuncinya, data digabungkan dengan database utama aplikasi yang sesuai. Saat mengekstrak perangkat setelah boot dingin (tidak pernah dibuka kuncinya), Anda mungkin hanya memiliki akses ke notifikasi yang diterima setelah booting. Namun, jika Anda mengekstrak perangkat yang dibuka kuncinya minimal satu kali setelah boot, Anda akan dapat mengekstrak informasi dengan semua pesan (bergantung pada kelas perlindungan informasi yang dipilih oleh pengembang aplikasi tertentu).
Tahap 2 – akuisisi data
Tahap ini mengacu pada berbagai metode penggalian informasi dari perangkat. Cara-cara ekstraksi data yang mungkin digunakan dipengaruhi oleh hal-hal berikut:
Jenis perangkat seluler: Pembuatan, model, perangkat keras, perangkat lunak, dan konfigurasi vendor.
Ketersediaan berbagai perangkat keras dan alat ekstraksi/analisis kode yang dapat digunakan oleh pemeriksa: tidak ada alat yang melakukan semuanya; pemeriksa harus memiliki akses ke berbagai alat yang akan membantu ekstraksi data.
Keadaan fisik perangkat: Apakah perangkat pernah terkena kerusakan, seperti fisik, air, atau cairan biologis seperti darah? Biasanya jenis cedera akan menentukan tindakan ekstraksi informasi yang digunakan pada perangkat.
Ada banyak jenis ekstraksi data yang berbeda yang menentukan berapa banyak data yang diperoleh dari perangkat:
Fisik : Citra biner perangkat memiliki potensi paling besar untuk memulihkan data yang dihapus dan memperoleh jumlah informasi terbesar} dari perangkat. Ini bisa menjadi jenis ekstraksi yang paling menantang untuk didapatkan.
Sistem file : ini adalah ilustrasi file dan folder dari area pengguna perangkat, dan mungkin berisi informasi yang dihapus khusus untuk database. Teknik ini akan mengandung lebih sedikit informasi daripada ekstraksi data fisik.
Logis : Ini memperoleh jumlah data paling sedikit dari perangkat. contohnya adalah riwayat panggilan, pesan, kontak, gambar, film, file audio, dan sebagainya. Ini disebut sebagai buah yang menggantung rendah. Tidak ada data yang dihapus atau file sumber yang diperoleh. Seringkali output yang dihasilkan adalah serangkaian laporan yang dibuat oleh alat ekstraksi. Ini biasanya merupakan jenis ekstraksi yang paling sederhana dan tercepat.
Dokumentasi fotografi : Metode ini biasanya digunakan ketika semua metode ekstraksi data lainnya telah habis. Selama prosedur ini, pemeriksa menggunakan kamera digital untuk mendokumentasikan konten yang ditampilkan oleh perangkat secara fotografis. Ini adalah cara yang panjang ketika ada banyak informasi untuk difoto.
Tahap 3 – Analisis data
Tahap forensik perangkat seluler ini memerlukan analisis informasi yang diperoleh dari perangkat dan komponennya (kartu SIM dan kartu memori jika ada). Sebagian besar alat akuisisi forensik seluler yang memperoleh informasi dari memori perangkat bahkan dapat menganalisis data yang diekstraksi dan menyediakan fungsionalitas pemeriksa di dalam alat untuk melakukan analisis. Ini memerlukan peninjauan data yang tidak dihapus dan dihapus. Saat meninjau data yang tidak terhapus, mungkin lebih bijaksana untuk melakukan tinjauan manual perangkat untuk memastikan bahwa data yang diekstraksi dan diuraikan cocok dengan apa yang ditampilkan oleh perangkat. Karena kapasitas penyimpanan perangkat seluler telah meningkat, disarankan agar sebagian kecil catatan data dari area yang relevan ditinjau. Jadi, sebagai contoh, jika perangkat seluler memiliki lebih dari 200 catatan panggilan, meninjau banyak catatan panggilan dari panggilan tidak terjawab, panggilan masuk, dan panggilan keluar akan diperiksa pada perangkat terkait dengan catatan serupa dalam data yang diekstraksi. Dengan melakukan tinjauan manual ini, maka dimungkinkan untuk menemukan perbedaan dalam data yang diekstraksi.
Peninjauan perangkat manual hanya akan selesai ketika perangkat terus berada dalam pengawasan pemeriksa. Ada situasi di mana, ketika ekstraksi informasi telah selesai, perangkat dilepaskan kembali ke penyidik atau pemilik. Dalam situasi seperti ini, pemeriksa harus mendokumentasikan bahwa sangat terbatas atau tidak ada verifikasi manual yang akan dilakukan karena
keadaan ini . Akhirnya, pembaca harus sangat menyadari bahwa lebih dari satu alat analisis akan digunakan untuk menganalisis informasi yang diperoleh. Beberapa alat analisis harus dipertimbangkan, terutama ketika bentuk data tertentu tidak dapat diuraikan oleh satu.