Panduan Untuk Tool Digital Forensik dan Cybersecurity 2021, Perangkat digital ada di mana-mana dan penggunaannya dalam investigasi rantai bukti sangat penting. Apakah perangkat tersebut milik tersangka atau korban, sebagian besar data yang dikandung sistem ini bisa menjadi semua yang dibutuhkan penyelidik untuk mengumpulkan sebuah kasus.
Meskipun demikian, mengambil data tersebut dengan cara yang aman, efisien, dan sesuai hukum tidak selalu merupakan upaya yang mudah. Penyelidik semakin mengandalkan alat digital forensik baru untuk membantu mereka.
Menurut thetrainingco.com Tool digital forensik semuanya relatif baru. Hingga awal 1990-an, sebagian besar investigasi digital dilakukan melalui analisis langsung, yang berarti memeriksa media digital dengan menggunakan perangkat yang bersangkutan seperti yang dilakukan orang lain. Karena perangkat menjadi lebih kompleks dan dikemas dengan lebih banyak informasi, analisis langsung menjadi rumit dan tidak efisien. Akhirnya, teknologi spesialis freeware dan eksklusif mulai muncul sebagai perangkat keras dan perangkat lunak untuk menyaring, mengekstrak, atau mengamati data pada perangkat dengan hati-hati tanpa merusak atau memodifikasinya.
Tool digital forensik dapat jatuh ke dalam berbagai kategori, beberapa di antaranya termasuk forensik basis data, pengambilan disk dan data, analisis email, analisis file, penampil file, analisis internet, analisis perangkat seluler, forensik jaringan, dan analisis registri. Banyak alat memenuhi lebih dari satu fungsi secara bersamaan, dan tren signifikan dalam alat digital forensik adalah “pembungkus”—salah satu yang mengemas ratusan teknologi spesifik dengan fungsi berbeda ke dalam satu alat menyeluruh.
Tool baru dikembangkan setiap hari, baik sebagai solusi elit yang disponsori pemerintah dan rig peretas bawah tanah. Resep untuk masing-masing sedikit berbeda. Beberapa di antaranya melampaui pencarian sederhana untuk file atau gambar, dan menyelidiki arena keamanan siber, yang memerlukan analisis jaringan atau penilaian ancaman siber. Ketika ada alat untuk semuanya, pertanyaan yang paling mendesak adalah yang mana yang akan digunakan.
Di bawah ini, ForensicsColleges telah mengumpulkan beberapa alat terbaik untuk digital forensik dan keamanan siber. Dalam memilih dari berbagai pilihan, kami mempertimbangkan kriteria berikut:
- Keterjangkauan: Harga mungkin bukan indikator kualitas, tetapi tinjauan sejawat kolaboratif bisa menjadi indikator. Sebagian besar alat di bawah ini bersumber terbuka, dan semuanya gratis dan dikelola oleh komunitas pengembang khusus.
- Aksesibilitas: Tidak seperti beberapa merek berpemilik yang hanya menjual kepada entitas penegak hukum, semua ini tersedia untuk individu.
- Akuntabilitas: Baik melalui proyek open source atau testimoni dunia nyata, teknologi ini telah diperiksa secara menyeluruh oleh para ahli.
Tool Digital Forensik dan Cybersecurity Terbaik
Autopsy
Autopsi adalah platform digital forensik dan antarmuka grafis yang digunakan penyidik forensik untuk memahami apa yang terjadi pada telepon atau komputer. Ini bertujuan untuk menjadi solusi modular ujung ke ujung yang intuitif di luar kotak. Modul tertentu di Autopsy dapat melakukan analisis timeline, hash filtering, dan pencarian kata kunci. Mereka dapat mengekstrak artefak web, memulihkan file yang dihapus dari ruang yang tidak terisi, dan menemukan indikator kompromi. Semua ini dapat dilakukan dengan relatif cepat.
Otopsi menjalankan pekerjaan latar belakang secara paralel sehingga meskipun pencarian penuh membutuhkan waktu berjam-jam, pengguna akan mengetahui dalam beberapa menit apakah kata kunci yang ditargetkan telah ditemukan. Penyelidik yang bekerja dengan banyak perangkat dapat membuat repositori pusat melalui Autopsi yang akan menandai nomor telepon, alamat email, atau titik data lain yang relevan.
Dikembangkan oleh tim yang sama yang menciptakan The Sleuth Kit , perpustakaan alat baris perintah untuk menyelidiki gambar disk, Autopsy adalah solusi open source, tersedia gratis untuk kepentingan pendidikan dan transparansi. Versi terbaru ditulis dalam Java, dan saat ini hanya tersedia untuk Windows.
Bulk Extractor
Bulk Extractor memindai file, direktori, atau gambar disk dan mengekstrak informasi tanpa menguraikan sistem file atau struktur sistem file, memungkinkannya mengakses berbagai bagian disk secara paralel, membuatnya lebih cepat daripada alat rata-rata. Keuntungan kedua dari Bulk Extractor adalah dapat digunakan untuk memproses hampir semua bentuk media digital: hard drive, kartu kamera, smartphone, SSD, dan drive optik. Versi terbaru dari Bulk Extractor dapat melakukan forensik jaringan sosial serta mengekstrak alamat, nomor kartu kredit, URL, dan jenis informasi lainnya dari bukti digital. Kemampuan lainnya termasuk kemampuan untuk membuat histogram berdasarkan alamat email yang sering digunakan dan menyusun daftar kata yang dapat berguna untuk pemecahan kata sandi.
Semua informasi yang diekstraksi dapat diproses baik secara manual atau dengan salah satu dari empat alat otomatis, salah satunya menggabungkan daftar perhentian khusus konteks (yaitu, istilah pencarian yang ditandai oleh penyelidik) yang menghapus beberapa kesalahan manusia dari penyelidikan digital forensik. Perangkat lunak ini tersedia secara gratis untuk sistem Windows dan Linux.
Baca Juga : Membahas Pentingnya Mobile Forensik di Era Saat ini
COFEE
Microsoft Computer Online Forensic Evidence Extractor (COFEE) adalah toolkit forensik yang digunakan untuk mengekstrak bukti dari komputer Windows. Dikembangkan pada tahun 2006 oleh mantan petugas polisi Hong Kong yang menjadi eksekutif Microsoft, toolkit ini bertindak sebagai alat forensik otomatis selama analisis langsung. Ini berisi lebih dari 150 fitur dan antarmuka pengguna grafis yang memandu penyelidik melalui pengumpulan dan pemeriksaan data dan membantu menghasilkan laporan setelah ekstraksi. Dekripsi kata sandi, pemulihan riwayat internet, dan bentuk pengumpulan data lainnya semuanya disertakan dalam perangkat ini.
Pada saat peluncurannya, Microsoft mengklaim bahwa COFEE telah mengurangi tugas tiga hingga empat jam menjadi di bawah 20 menit. Ribuan lembaga penegak hukum di seluruh dunia (termasuk INTERPOL) menggunakan COFEE dan Microsoft memberi mereka dukungan teknis gratis.
Pada bulan November 2009, COFEE dibocorkan ke beberapa situs torrent, dan meskipun sangat sulit—bagi penjahat untuk membangun fitur-fitur di COFEE, mungkin juga bagi rata-rata warga sekarang untuk melihat apa yang dulunya merupakan standar industri di seluruh dunia untuk digital forensik.
Lingkungan Investigasi Berbantuan Komputer
CAINE menawarkan platform investigasi forensik skala penuh yang dirancang untuk menggabungkan alat dan modul lain ke dalam antarmuka grafis yang ramah pengguna. Lingkungan interoperable-nya dirancang untuk membantu penyidik dalam keempat tahap penyelidikan: pelestarian, pengumpulan, pemeriksaan, dan analisis. Muncul dengan lusinan modul pra-paket (Otopsi, tercantum di atas, adalah salah satunya). Dikembangkan di Linux, alat ini sepenuhnya open source dan tersedia secara gratis.
Kerangka Forensik Digital
Digital Forensics Framework (DFF) adalah platform forensik komputer open-source yang dibangun di atas Application Programming Interface (API) khusus. Dilengkapi dengan antarmuka pengguna grafis untuk penggunaan sederhana dan otomatisasi, DFF memandu pengguna melalui langkah-langkah kritis penyelidikan digital dan dapat digunakan baik oleh profesional maupun amatir.
Tool ini dapat digunakan untuk menyelidiki hard drive dan memori yang mudah menguap dan membuat laporan tentang sistem dan aktivitas pengguna pada perangkat yang bersangkutan. DFF dikembangkan dengan tiga tujuan utama modularitas (memungkinkan perubahan pada perangkat lunak oleh pengembang), kemampuan skrip (memungkinkan otomatisasi), dan generik (menjaga sistem operasi agnostik untuk membantu sebanyak mungkin pengguna). Perangkat lunak ini tersedia secara gratis di GitHub.
DumpZilla
DumpZilla melakukan analisis browser, khususnya klien Firefox, Iceweasel, dan Seamonkey. Ini memungkinkan visualisasi dan pencarian yang disesuaikan dan ekstraksi cookie, unduhan, riwayat, bookmark, cache, add-on, kata sandi yang disimpan, dan data sesi.
Dikembangkan dengan Python, ia bekerja di bawah sistem Linux dan Windows 32/64 bit, dan DumpZilla tersedia secara gratis dari situs web pengembang. Meskipun ini dibuat sebagai alat yang berdiri sendiri, sifat spesifik dan kemasannya yang ramping menjadikannya komponen yang kuat dari rangkaian digital forensik masa depan.
EnCase
Penerima penghargaan “Solusi Forensik Komputer Terbaik” SC Magazine selama 10 tahun berturut-turut, EnCase dianggap sebagai standar emas dalam investigasi keamanan siber forensik, termasuk akuisisi seluler. Sejak tahun 1998, EnCase telah menawarkan perangkat lunak forensik untuk membantu para profesional menemukan bukti untuk bersaksi dalam kasus investigasi kriminal yang melibatkan pelanggaran keamanan siber dengan memulihkan bukti dan menganalisis file pada hard drive dan ponsel.
Menawarkan paket siklus hidup perangkat lunak yang komprehensif mulai dari triase hingga laporan akhir, EnCase juga menampilkan platform seperti OpenText Media Analyzer yang mengurangi jumlah konten bagi penyelidik untuk ditinjau secara manual untuk menutup kasus lebih cepat. Dengan empat opsi lisensi situs untuk perusahaan kecil; penegakan hukum federal, negara bagian, dan lokal; organisasi konsultan; dan perguruan tinggi dan universitas, menawarkan analisis bukti peradilan pidana hanya dengan beberapa klik.
ExifTool
ExifTool adalah sistem platform-independen untuk membaca, menulis, dan mengedit metadata di berbagai jenis file. Yang menarik bagi penyelidik digital adalah pembacaan metadata, yang dapat dicapai melalui proses baris perintah atau GUI sederhana. Penyelidik dapat menarik dan melepaskan file yang berbeda, seperti PDF, atau JPEG, dan mempelajari kapan dan di mana file tersebut dibuat—komponen penting dalam membangun rantai bukti.
Perangkat lunak itu sendiri ringan dan cepat, menjadikannya inklusi ideal dalam suite digital forensik masa depan, dan mudah digunakan. ExifTool diperbarui secara berkala dan tersedia untuk Windows dan OSx dari situs web pengembang.
FTK Imager
Agar alat seperti The Sleuth Kit by Autopsy berfungsi dengan baik, salinan digital asli hard drive harus disimpan sebelum bukti dapat diekstraksi. Masukkan FTK Imager; alat gratis yang menganalisis gambar drive dan mempertahankan integritas asli dari bukti tanpa mempengaruhi keadaan aslinya.
Tool ini dapat membaca semua sistem operasi dan memungkinkan pengguna untuk memulihkan file yang telah dihapus dari tempat sampah digital. Itu dapat mengurai file XFS dan membuat hash file untuk memeriksa integritas data.
Tangkapan RAM MAGNET
Menganalisis memori akses acak fisik (RAM) komputer, MAGNET RAM Capture memungkinkan penyelidik keamanan siber untuk memulihkan dan menganalisis artefak digital yang disimpan dalam memori komputer. Menggunakan jejak memori kecil, penyidik digital forensik dapat menggunakan alat ini dan meminimalkan jumlah data memori yang ditimpa.
Tool ini dapat mengekspor data memori mentah dalam format mentah (.DMP, .RAW, .BIN), yang dapat diunggah ke alat analisis forensik lainnya seperti Magnet AXIOM dan Magnet IEF. Tool gratis ini mendukung beberapa versi sistem operasi Windows.
Garis merah
Awalnya merupakan produk Mandiant, tetapi kemudian diambil alih oleh FireEye, sebuah perusahaan keamanan siber, Redline adalah alat freeware yang memberikan keamanan titik akhir dan kemampuan investigasi kepada penggunanya. Ini terutama digunakan untuk melakukan analisis memori dan mencari tanda-tanda infeksi atau aktivitas berbahaya, tetapi juga dapat digunakan untuk mengumpulkan dan menghubungkan data di sekitar log peristiwa, registri, proses yang berjalan, metadata sistem file, riwayat web, dan aktivitas jaringan.
Menawarkan kemampuan yang jauh lebih teknis dan tersembunyi daripada yang dibutuhkan kebanyakan investigasi digital forensik, Redline memiliki lebih banyak aplikasi dalam keamanan siber dan perilaku kriminal berbasis teknologi lainnya di mana analisis granular sangat penting. Redline saat ini hanya berfungsi pada sistem berbasis Windows, tetapi diperbarui secara berkala oleh FireEye untuk kinerja optimal dan dapat diunduh secara gratis di situs web FireEye.
SIFT Workstation
SANS Investigative Forensics Toolkit (SIFT) adalah kumpulan respons insiden sumber terbuka dan teknologi forensik yang dirancang untuk melakukan investigasi digital terperinci dalam berbagai pengaturan. Toolkit ini dapat dengan aman memeriksa disk mentah dan beberapa format file dan melakukannya dengan cara yang aman dan hanya-baca yang tidak mengubah bukti yang ditemukannya.
SIFT fleksibel dan kompatibel dengan format saksi ahli (E01), format forensik lanjutan (AFF), dan format bukti mentah. Dibangun di Ubuntu, ia menggabungkan banyak alat terpisah (termasuk beberapa di daftar ini, seperti Otopsi dan Volatilitas) dan menempatkannya pada pembuangan penyelidik. SIFT tersedia secara gratis dan diperbarui secara berkala.
Volatility
The Volatility Foundation adalah organisasi nirlaba yang misinya adalah untuk mempromosikan penggunaan analisis memori dalam komunitas forensik. Perangkat lunak utamanya adalah kerangka kerja sumber terbuka untuk respons insiden dan deteksi malware melalui forensik memori volatil (RAM). Hal ini memungkinkan penyimpanan bukti dalam memori yang jika tidak akan hilang selama sistem dimatikan.
Ditulis dalam Python dan mendukung hampir semua mesin 32-bit dan 64-bit, ia dapat menyaring sektor yang di-cache, crash dump, DLL, koneksi jaringan, port, daftar proses, dan file registri. Tool ini tersedia secara gratis, dan kodenya di-host di GitHub.
Wireshark
Wireshark adalah alat analisis protokol jaringan yang paling banyak digunakan di dunia, diimplementasikan oleh pemerintah, perusahaan swasta, dan institusi akademik di seluruh dunia. Sebagai kelanjutan dari proyek yang dimulai pada tahun 1998, Wireshark memungkinkan pengguna melihat apa yang terjadi pada jaringan pada tingkat mikroskopis. Dengan menangkap lalu lintas jaringan, pengguna kemudian dapat memindai aktivitas berbahaya.
Data jaringan yang diambil dapat dilihat pada antarmuka pengguna grafis pada Windows, Linux, OSx, dan beberapa sistem operasi lainnya. Data dapat dibaca dari Ethernet Bluetooth, USB, dan beberapa lainnya, sedangkan output dapat diekspor ke XML, PostScript, CSV, atau teks biasa.
Aplikasi Wireshark tetap terutama dalam keamanan siber, tetapi ada juga aplikasi investigasi digital forensik. Lebih sedikit tentang senjata merokok daripada jejak remah roti, Wireshark dapat mengarahkan penyelidik ke arah aktivitas jahat sehingga dapat dilacak dan diselidiki.