Model Baru untuk Ekstraksi Data forensik dari Perangkat Seluler Terenkripsi – Perangkat seluler sering kali berisi data yang relevan dengan investigasi kriminal, dan analisis forensik perangkat tersebut telah menjadi kemampuan investigasi yang semakin penting bagi lembaga penegak hukum . Selama beberapa dekade terakhir, berbagai peneliti ilmu forensik telah menetapkan metode dan proses untuk mengekstrak data bukti dari perangkat seluler dengan cara forensik yang baik.
Model Baru untuk Ekstraksi Data forensik dari Perangkat Seluler Terenkripsi
Baca Juga : Bagaimana Pakar Forensik Digital Mengekstrak Data Dari Ponsel
thetrainingco – Metode tersebut telah banyak digunakan untuk tujuan forensik dalam kasus nyata, dan telah mengatasi tantangan umum dalam forensik seluler, seperti kurangnya standarisasi dalam industri seluler dan kecepatan perubahan teknologi perangkat seluler. Namun, di sisi lain, tantangan baru baru-baru ini diterapkan oleh fitur keamanan yang kuat di perangkat seluler modern . Enkripsi, bersama dengan fitur penjaga keamanan lainnya jelas menciptakan tantangan bagi penyelidik forensik yang ingin mengekstrak data dari perangkat seluler yang disita di TKP. Fitur keamanan tersebut telah menonaktifkan banyak metode akuisisi data yang telah digunakan secara historis, dan metode baru untuk memperoleh data dari perangkat seluler modern harus dieksplorasi.
Tantangan yang ditimbulkan oleh enkripsi disoroti publik selama perselisihan 2015 antara Apple dan FBI menyusul serangan teroris San Bernardino, California yang dilaporkan secara luas. Kasus itu tidak hanya memicu perdebatan hukum yang intens tentang regulasi kriptografi dan akses pemerintah ke perangkat terenkripsi, tetapi juga membawa perhatian publik pada masalah seputar keamanan dan privasi data yang disimpan di perangkat seluler pribadi. Tidak mengherankan, vendor perangkat seluler telah menerapkan fitur keamanan tingkat tinggi dalam produk mereka untuk mengatasi perlindungan data pribadi . Saat ini, di perangkat seluler modern, data pengguna sangat diamankan dari akses berbahaya oleh penyerang tidak sah selama konfigurasi pengguna diatur dengan benar.
Dampak enkripsi pada analisis forensik, serta proses akuisisi data yang efektif telah banyak diteliti dalam domain forensik komputer. Telah disarankan bahwa file-file sementara, data pada memori yang mudah menguap , metadata skema enkripsi , atau akses ke sistem manajemen kuncidapat mendekripsi data target, sehingga memungkinkan pemeriksa untuk mengekstrak data asli, yang kemudian dapat digunakan untuk investigasi kriminal. Tantangan dalam akuisisi data dari perangkat seluler terenkripsi, bagaimanapun, berasal dari fakta bahwa potongan data yang terdaftar tersebut tidak dapat diakses secara default, yang memerlukan modifikasi perangkat pameran. Sementara beberapa metode akuisisi data forensik tradisional masih efektif, perangkat target perlu dibuka kuncinya secara langsung dan dimodifikasi untuk akuisisi data yang efektif, yang seringkali memerlukan operasi invasif.
Dalam makalah ini, kami menyelidiki teknik forensik seluler modern, dan membandingkannya dengan teknik forensik seluler tradisional. Melihat pergeseran paradigma dalam teknik forensik bergerak, jelas bahwa mengikuti model ekstraksi data forensik tradisional tidak lagi efektif. Oleh karena itu, model baru untuk akuisisi forensik diusulkan, dan teknik ekstraksi data forensik modern dievaluasi dalam konteks regulasi enkripsi dan akses pemerintah yang kontroversial dan kurang berkembang ke perangkat terenkripsi.
Latar Belakang: Pergeseran Paradigma Dalam Mobile Forensik
Teknologi canggih yang digunakan dalam perangkat seluler modern sangat memengaruhi efektivitas teknik forensik seluler. Di bagian ini, kami memberikan gambaran umum tentang teknik akuisisi data forensik perangkat seluler tradisional, membahas adopsi enkripsi dan fitur keamanan lainnya secara luas di perangkat seluler, dan kemudian menilai dampak fitur keamanan tersebut pada teknik forensik seluler tradisional.
Teknik forensik seluler tradisional
Teknik akuisisi data forensik telah diteliti untuk beberapa platform perangkat seluler. Kesehatan forensik mereka dievaluasi sebelum implementasi, dan mereka saat ini tersedia melalui beberapa alat forensik komersial ( Barmpatsalou et al., 2013 ; Al-Dhaqm et al., 2020 ; Reedy, 2020 ). Teknik akuisisi yang digunakan dalam mobile forensik telah dikategorikan menggunakan sistem klasifikasi yang disarankan oleh National Institute of Standards and Technology (NIST). Sistem klasifikasi mencakup lima level berikut:
Level 1: Ekstraksi Manual
Pemeriksa secara langsung memanipulasi perangkat seluler target menggunakan antarmuka input perangkat (yaitu, keypad dan tombol), dan merekam konten yang ditampilkan pada tampilan perangkat.
Level 2: Ekstraksi Logis
Data (yaitu, file dan folder) pada perangkat seluler target diekstraksi melalui komunikasi dengan antarmuka koneksi kabel/nirkabelnya. Data yang diekstraksi dapat dibaca manusia karena dalam format yang dapat dikenali oleh aplikasi komputer.
Level 3: Pembuangan Hex/JTAG
Data mentah penuh atau sebagian (hex dump) yang disimpan di media penyimpanan pada perangkat seluler target diperoleh jika teknik yang dikategorikan dalam level ini digunakan. Antarmuka debug pada perangkat seluler target, seperti JTAG (Join Test Action Group), umumnya digunakan untuk melakukan hex dumping. Teknik yang dapat memperoleh data mentah tanpa penghancuran perangkat keras umumnya dikategorikan ke dalam level ini.
Level 4: Chip-off
Chip-off memerlukan pemindahan fisik chip memori non-volatil dari perangkat seluler target. Pemeriksa dapat memperoleh salinan identik dari seluruh data mentah perangkat seluler target, yang mungkin berisi sisa-sisa data yang dihapus.
Level 5: Baca Mikro
Pembacaan mikro adalah teknik yang sangat terspesialisasi, di mana data yang disimpan dalam memori non-volatil diekstraksi dalam bentuk properti listrik melalui pengamatan langsung memori mati di dalam chip memori non-volatil.
Data yang diperoleh melalui teknik Level 1 dan 2 biasanya disebut data logis, sedangkan data yang diperoleh melalui teknik Level 3 hingga 5 disebut data fisik dan memiliki keunggulan termasuk sisa-sisa data yang dihapus. Umumnya, penguraian data diperlukan untuk menyajikan data yang dapat dibaca manusia setelah memperoleh data fisik.
Pemahaman umum dalam model forensik seluler tradisional adalah bahwa semakin tinggi tingkat akuisisi, semakin tinggi peluang pemulihan data forensik. Karena pemeriksa menggunakan tingkat akuisisi yang lebih tinggi, jangkauan data yang dapat diakses menjadi lebih luas. Selain itu, akuisisi fisik dapat melewati mekanisme otentikasi pengguna pada ponsel cerdas seperti kode pin dan kata sandi selama mengakses data yang disimpan, dan tidak mengharuskan perangkat target berada dalam status booting normal. Oleh karena itu, aparat penegak hukumtelah secara luas mengadopsi akuisisi data chip-off sebagai teknik ekstraksi data tingkat tertinggi dari berbagai perangkat seluler. Perhatikan bahwa meskipun pembacaan mikro diperingkatkan sebagai level tertinggi dalam sistem klasifikasi yang disebutkan di atas, dan meskipun penelitian sebelumnya telah membuktikan bahwa membaca data langsung dari memori mati adalah mungkin, dalam praktiknya, ini tidak dianggap sebagai teknik ekstraksi data seluler praktis dalam forensik seluler sejauh yang penulis ketahui.
Enkripsi dan fitur keamanan lainnya di perangkat seluler modern
Untuk melindungi privasi pengguna dan memberikan kerahasiaan data, teknik enkripsi saat ini diterapkan di perangkat seluler modern secara default. Secara tradisional, di perangkat seluler, teknik enkripsi diterapkan pada tingkat aplikasi untuk melindungi data pengguna individu seperti email dan foto. Namun, dengan meningkatnya kekhawatiran atas keamanan dan privasi, teknik enkripsi sekarang diterapkan di tingkat sistem dengan kata sandi unik yang dikodekan secara keras yang tidak dapat diakses, bahkan oleh produsen perangkat. Oleh karena itu, data perangkat seluler saat istirahat disimpan dengan cara terenkripsi. Dua jenis skema enkripsi yang sering digunakan di perangkat seluler. Salah satunya adalah Enkripsi Disk Penuh(FDE) dan yang lainnya adalah File Based Encryption (FBE) ( Loftus dan Baumann, 2017 ). FDE adalah teknik di mana seluruh partisi data pengguna dienkripsi dengan kunci enkripsi tunggal, sementara FBE mengenkripsi data per basis file dengan kunci yang berbeda, memungkinkan file didekripsi secara independen. Di perangkat Apple, FDE pertama kali diperkenalkan di iPhone 3 GS dengan iOS 3.X ( Teufl et al., 2013 ). Perangkat Apple dengan versi iOS lebih tinggi dari 8 menggunakan FBE. Di perangkat Android , FDE diperkenalkan di Android 4.4, dan didukung hingga Android 9. Dimulai dengan Android 7.0, FBE telah digunakan sebagai teknik enkripsi standar. Hari ini, dilaporkan bahwa lebih dari 80 persen perangkat Android di pasar berjalan pada versi Android lebih tinggi dari 6 (Statista, 2013 ). Ini berarti bahwa data pengguna di perangkat Android yang disita selama investigasi kriminal sekarang sebagian besar dienkripsi.
Selain teknik enkripsi, fitur “keamanan berdasarkan desain” lainnya diterapkan di perangkat seluler modern. Salah satu contohnya adalah Root of Trust (RoT). Saat perangkat seluler melakukan booting, setiap komponen perangkat keras dan perangkat lunak dalam rantai boot divalidasi untuk memastikan bahwa hanya komponen resmi yang dijalankan pada sistem. Jika validasi gagal karena perangkat lunak yang tidak ditandatangani atau karena alasan lain, perangkat target tidak bisa boot, menolak akses ke perangkat oleh pengguna jahat. Hal ini membuat teknik akuisisi data tradisional seperti yang disarankan oleh Vidas et al. (2011)tidak bisa dijalankan. Trusted Execution Environment (TEE), yang juga banyak digunakan, menyediakan lingkungan yang terisolasi untuk komponen penting keamanan dalam suatu sistem, dengan memisahkan sistem operasi normal dari sistem operasi aman yang jauh lebih kecil, keduanya berjalan pada perangkat keras yang sama. Oleh karena itu, dunia yang aman dan dunia normal dapat hidup berdampingan dalam suatu sistem. Teknologi TrustZone ARM sebagian besar digunakan di perangkat Android. Sementara Apple menggunakan teknologi serupa yang disebut Secure Enclave Processor (SEP) untuk mengisolasi kunci kriptografik dan informasi sensitif lainnya .pengolahan. Saat menerapkan TEE, bahkan “rooting”, atau memperoleh hak istimewa tertinggi dalam sistem tidak mengizinkan akses ke data kunci. Dengan menyertakan fitur keamanan tersebut, produsen perangkat seluler tidak hanya melindungi data pengguna, tetapi juga data dan teknologi milik perusahaan mereka. Akibatnya, pengguna memiliki sedikit kebebasan untuk mengontrol perangkat seluler mereka sendiri, dan mereka dibatasi untuk menggunakannya dalam ekosistem tertutup vendor perangkat.
Dampak fitur keamanan pada teknik forensik seluler tradisional
Seperti yang telah dibahas, penggunaan enkripsi yang populer, bersama dengan langkah-langkah keamanan yang rumit pada perangkat seluler modern, berdampak pada kemampuan teknik akuisisi data forensik tradisional. Efektivitas model lima tingkat teknik ekstraksi forensik mobile yang kita bahas di bagian 2.1 dapat dievaluasi sebagai berikut dengan adanya fitur keamanan. Perhatikan bahwa kami berasumsi bahwa konfigurasi pengguna diatur dengan cara mengaktifkan semua fitur keamanan pada perangkat target.
Teknik ekstraksi data yang saat ini digunakan dari perangkat seluler terenkripsi
Di bagian ini, teknik ekstraksi data forensik utama saat ini dari perangkat seluler modern, bersama dengan kelemahan fitur keamanan perangkat, diperkenalkan. Meskipun ada beberapa pengecualian dalam praktik di mana lebih banyak metode ekstraksi data tersedia, misalnya ketika perangkat target sudah “jailbroken” atau “root”, kami mengecualikan skenario tersebut dalam makalah ini.
Teknik ekstraksi data yang saat ini digunakan dari perangkat seluler terenkripsi
Di bagian ini, teknik ekstraksi data forensik utama saat ini dari perangkat seluler modern, bersama dengan kelemahan fitur keamanan perangkat, diperkenalkan. Meskipun ada beberapa pengecualian dalam praktik di mana lebih banyak metode ekstraksi data tersedia, misalnya ketika perangkat target sudah “jailbroken” atau “root”, kami mengecualikan skenario tersebut dalam makalah ini.
Masalah hukum yang terkait dengan teknologi forensik modern
Karena data yang diberikan melalui analisis forensik selanjutnya dapat diandalkan di pengadilan, selalu penting bagi pemeriksa forensik untuk mengetahui kerangka hukum yang mengatur dekripsi untuk akuisisi bukti digital. Dalam perspektif sejarah, ada empat pendekatan legislatif untuk memberikan kekuatan dekripsi kepada penegak hukum – akses luar biasa; perintah dekripsi; eksploitasi kerentanan; dan akses data awan. Rincian masing-masing pendekatan dibahas di bagian ini.
Model forensik seluler baru
Seperti yang telah kita lihat melalui bagian 3 dan bagian 4, pendekatan saat ini untuk mengakses data pengguna di perangkat seluler modern telah banyak berubah dari yang tradisional. Secara tradisional, teknik ekstraksi data forensik telah berfokus pada perolehan data fisik, yang ketika diuraikan kemudian dapat memulihkan data yang dihapus. Pendekatan ini dulu efektif karena data disimpan dalam teks yang jelas pada memori non-volatil pada perangkat seluler. Akibatnya, model ekstraksi data lima tingkat telah diikuti sebagai model standar. Namun, dengan penerapan enkripsi dan fitur keamanan kompleks lainnya, hanya memperoleh data mentah tidak membantu memulihkan data pengguna lagi. Lebih buruk lagi, prosedur destruktif seperti chip-off dapat menghancurkan komponen kunci yang diperlukan untuk mendekripsi data yang diperoleh. Selain itu, fitur penghapusan aman pada perangkat seluler dapat secara efektif menghapus sisa-sisa data pada sistem, dan memulihkan data yang dihapus dari data fisik menjadi hampir tidak mungkin. Selain itu, tanpakredensial otentikasi pengguna , memperoleh data pengguna, baik itu logis atau fisik, menjadi tantangan besar, terlepas dari tingkat akuisisi. Oleh karena itu, pengkategorian metode ekstraksi data seluler berdasarkan tipe data yang diekstraksi menjadi kurang efektif. Saat ini, baik mengekstraksi data dalam teks yang jelas, atau mengekstraksi kunci enkripsi adalah tujuan utama dalam ekstraksi data forensik. Tanpa otentikasi pengguna yang tepat, ini hanya dapat dicapai dengan mengeksploitasi kerentanan sistem pada perangkat target atau dengan mengidentifikasi dan mengakses kunci kriptografi yang tersimpan. Namun kedua metodologi memerlukan rekayasa balik yang ekstensif sebelum bekerja pada perangkat seluler target.