Bagaimana Pakar Forensik Digital Mengekstrak Data Dari Ponsel

Bagaimana Pakar Forensik Digital Mengekstrak Data Dari Ponsel – Mario Merendon, Ketua Forensik Perangkat Seluler untuk Asosiasi Internasional Spesialis Investigasi Komputer (IACIS)

Bagaimana Pakar Forensik Digital Mengekstrak Data Dari Ponsel

thetrainingco – Mungkin tidak ada yang mengubah prosedur investigasi modern sebanyak forensik seluler. Bagian dari forensik digital, forensik seluler melibatkan pengambilan data dari perangkat seluler, biasanya ponsel atau tablet, tetapi berpotensi jam tangan pintar, kamera, perangkat GPS, atau drone.

Dengan lebih dari 400 juta langganan seluler-seluler di Amerika Serikat saat ini, sekarang tidak biasa bagi penyelidikan modern untuk tidak melibatkan forensik seluler dalam beberapa cara.

“Ketika menyangkut investigasi, perangkat itu adalah kuncinya,” kata Mario Merendon, penyelidik forensik komputer untuk Kantor Kejaksaan Distrik Kriminal Kabupaten Denton dan ketua forensik perangkat seluler untuk Asosiasi Internasional Spesialis Investigasi Komputer (IACIS).

Baca Juga : Ekstremisme dan Terorisme Dalam Domain Digital

“Jenis informasi yang dimiliki perangkat ini membantu kami menyusun garis waktu peristiwa. Garis waktu itu dapat memberi kita gambaran lengkap tentang sebuah percakapan. Itu bisa memberi kita motif kejahatan.

Itu bisa memberi kita data lokasi. Dibandingkan dengan apa yang tersedia untuk membantu dalam memecahkan kejahatan sepuluh tahun yang lalu, hanya ada sejumlah besar informasi yang sekarang dimiliki oleh perangkat seluler ini.”

Forensik seluler adalah disiplin yang rumit. Pakar forensik seluler saat ini perlu dilatih dalam praktik terbaik forensik seluler dan prosedur investigasi, tetapi mereka juga harus tetap mengikuti perubahan dan karakteristik dalam teknologi mutakhir.

“Salah satu tantangan terbesar yang kami hadapi saat ini adalah berbagai jenis enkripsi yang dimiliki setiap ponsel,” kata Merendon. “Perangkat lunak yang berbeda dan sistem operasi yang berbeda memiliki enkripsi masuk yang berbeda, apakah itu enkripsi disk penuh, atau enkripsi berbasis file, atau perangkat yang dilindungi kata sandi. Jika kita dihadapkan dengan jenis kendala itu, maka kita harus menjelajahi rute yang berbeda untuk mengekstrak data itu.”

Kompleksitas disiplin melampaui enkripsi. Prosedur yang tepat untuk menyelidiki telepon Android mungkin tidak sama untuk menyelidiki telepon Apple, dan perbedaan dalam patch perangkat lunak dan konektivitas jaringan harus diperhitungkan selama penyelidikan forensik seluler. Dua ponsel berbeda yang disita pada dua hari yang berbeda mungkin memiliki aplikasi yang sama, tetapi tingkat akses penyelidik ke informasi dalam aplikasi itu mungkin berbeda secara drastis.

“Apa yang harus kita lakukan adalah belajar untuk tidak hanya bergantung pada satu alat forensik, karena itu akan berada di belakang kurva dalam memecahkan kode aplikasi tertentu,” kata Merendon. “Semakin banyak pelatihan yang kami miliki dalam mengenali di balik layar cara kerja telepon dan bagaimana basis data dibuat dan disatukan, [semakin] kami dapat menggali dan mendapatkan informasi tanpa harus hanya bergantung pada penguraian kode tertentu. alat forensik.”

Tidak ada pendekatan satu ukuran untuk semua untuk forensik seluler, karena setiap investigasi akan memiliki karakteristik uniknya sendiri itulah sebabnya program pelatihan di IACIS berfokus pada keterampilan agnostik alat. Namun, ada proses yang agak standar untuk forensik seluler: data perlu diambil, diambil, dan dianalisis dengan cara yang baik secara forensik. Ini memastikan bahwa bukti dikumpulkan dengan cara yang memastikan proses rantai bukti dan menghindari modifikasi atau penghancuran data yang bersangkutan.

Saat perangkat seluler disita, biasanya perangkat tersebut perlu diisolasi dari jaringan, untuk mencegah data yang masuk menimpa data lama. Kemudian dapat diangkut dalam sangkar Faraday atau tas khusus Faraday. Perangkat yang disita juga dapat ditempatkan dalam mode pesawat (dengan Wi-Fi dinonaktifkan), atau kartu SIM yang dikloning, sesuai dengan keadaan.

Idealnya, perangkat harus disita saat terjaga dan tidak terkunci dan harus tetap menyala setiap saat. Dalam kasus perangkat terkunci, penting untuk diingat bahwa meskipun kode PIN dilindungi oleh amandemen ke-5, sidik jari mungkin tidak .

AKUISISI

Setelah perangkat disita, perangkat siap untuk akuisisi data. Data seluler terbagi menjadi tiga jenis utama: memori internal, memori eksternal, dan log sistem. Memori internal biasanya disimpan di ponsel itu sendiri, sedangkan memori eksternal biasanya disimpan di kartu SD atau memory stick. Log sistem mungkin berasal dari penyedia telekomunikasi dan jaringan nirkabel yang telah digunakan telepon.

Data ponsel cerdas yang menarik bagi profesional forensik seluler dapat mencakup informasi GPS, data jejaring sosial, riwayat penelusuran, kontak, pesan teks, data gambar, tag geolokasi, email (dikirim, diterima, dan dalam konsep), dan catatan pribadi. Itu banyak data yang harus disaring, dan penyelidik sering membutuhkan bantuan teknis dalam bentuk alat pihak ketiga, yang sebagian besar merupakan solusi komersial otomatis yang dapat memiliki komponen perangkat keras dan perangkat lunak.

Ada empat bentuk utama akuisisi data: akuisisi manual, akuisisi logis, akuisisi fisik, dan akuisisi brute force.

Akuisisi Manual

Dalam akuisisi manual, ahli forensik seluler akan menavigasi antarmuka pengguna telepon secara manual, menangkap gambar layar di sepanjang jalan. Ini tidak jauh berbeda dari sekadar menggunakan telepon, kecuali bahwa tujuannya adalah investigasi. Akuisisi manual adalah proses yang memakan waktu, dan cakupannya terbatas pada data yang saat ini tersedia di sistem operasi.

Akuisisi Logis

Dalam akuisisi logis, ahli forensik seluler akan menyalin sistem file telepon ke perangkat terpisah. Ini mirip dengan menyinkronkan ponsel dengan laptop, membawa data ponsel dalam struktur logis bercabang yang lebih mudah diatur dan dinavigasi. Untuk beberapa sistem operasi ponsel, data yang diekstraksi mungkin menyertakan file yang ditandai untuk dihapus tetapi belum ditimpa.

Akuisisi Fisik

Dalam akuisisi fisik, ahli forensik ‘mem-flash’ semua konten telepon ke perangkat terpisah. Ini adalah salinan sedikit demi sedikit dari memori flash perangkat seluler dan memungkinkan pemeriksa meninjau data yang terhapus atau terhapus sebagian. Namun, sebagian besar ponsel dikunci ke operator nirkabel tertentu dan dilindungi dari akses ke memori flash. Untuk menghindari ini, beberapa ahli forensik seluler dapat beralih ke pemuat boot dan alat forensik lainnya untuk melewati kunci.

Akuisisi Brute Force

Untuk melewati layar kunci dan kode sandi, beberapa penyelidik mungkin menerapkan kekerasan, yang lagi-lagi biasanya melibatkan alat pihak ketiga. Alat-alat ini, dalam bentuknya yang paling awal, secara fisik akan mencoba semua kemungkinan iterasi dari kode PIN numerik ke telepon seseorang. Layar kunci yang lebih baru dan sistem keamanan yang lebih baik telah menjadikan metode itu relatif primitif; alat akuisisi brute force saat ini lebih canggih dari namanya.

ANALISIS

Setelah data diperoleh, ahli forensik seluler perlu menganalisisnya. Tetapi smartphone biasa memiliki penyimpanan internal 64GB, yang berjumlah sekitar 33.500 rim kertas. Dalam jumlah data yang sangat besar itu, bagian penting dari bukti bisa kecil dan tidak berbahaya: panggilan tak terjawab bisa sama pentingnya dengan pesan teks yang dikirim, draf email yang dibuang sama pentingnya dengan selfie.

“Tergantung pada jenis kasusnya, kami mungkin hanya tertarik pada kategori data tertentu,” kata Merendon. “Dalam kasus pelecehan anak, misalnya, kami sangat tertarik dengan sejarah dan gambar pencarian web. Ketika kami hanya melihat kategori tertentu, kami dapat menyaring hal-hal lain yang tidak perlu kami lihat.”

Namun, dalam kasus besar, di mana banyak kategori data yang berbeda berpotensi menarik—obrolan, gambar, kontak prosesnya bisa jauh lebih memakan waktu. Untuk memerangi rawa data tersebut membutuhkan beberapa solusi teknis.

Setiap alat forensik dilengkapi dengan fitur analitik yang berbeda, beberapa dalam bentuk tampilan garis waktu dan analisis tautan untuk membantu visualisasi data bagi penyelidik forensik. Pencarian kata kunci lebih lanjut dan pemfilteran yang ditargetkan dapat membuat analisis data yang keruh sedikit lebih transparan dan sedikit lebih dangkal.

Bagaimanapun, penyelidik forensik bergerak mungkin perlu mahir dengan lebih dari satu alat analisis, dan terlatih dengan baik dalam melestarikan rantai bukti yang tepat.

MASA DEPAN FORENSIK SELULER

Forensik seluler adalah bidang yang berkembang pesat—bidang yang perlu mengimbangi inovasi industri teknologi secara luas. Pangsa pasar perangkat keras tertentu serta sistem operasi tertentu dapat berfluktuasi secara signifikan dalam rentang waktu yang singkat, mengubah alat dan prosedur yang perlu digunakan forensik seluler untuk memperoleh dan menganalisis data ponsel cerdas.

Langkah-langkah keamanan tambahan, seperti otentikasi dua faktor pada data yang disimpan di cloud dan peningkatan enkripsi lapisan dasar, menambah lapisan kompleksitas lebih lanjut. Perangkat analitik generasi baru dan undang-undang yang tumpang tindih di sekitar yurisdiksi menuntut penyelidik forensik seluler saat ini untuk dilatih secara ahli.

“Banyak perguruan tinggi sekarang menawarkan gelar sarjana dan master di bidang forensik komputer,” kata Merendon. “Beberapa penguji kami memiliki sertifikasi industri, dan kemudian gelar sarjana di atasnya.

Lainnya berasal dari latar belakang penegakan hukum. Semuanya saling terkait keterampilan investigasi bersama dengan sertifikasi komputer untuk membantu menentukan jenis informasi yang kita butuhkan untuk memecahkan kejahatan.”

Forensik seluler bukan hanya tentang menangkap penjahat. Merendon dan rekan-rekannya sering menggunakan keterampilan forensik seluler mereka atas nama korban juga. Kurva pembelajaran forensik seluler mungkin tinggi, tetapi begitu juga taruhannya: kebenaran dan keadilan mungkin hanya dengan beberapa klik saja.

“Ini adalah karir yang menarik, dan sangat bermanfaat untuk bekerja di belakang layar,” kata Merendon. “Bagi mereka yang paham teknologi, dan juga ingin membuat perbedaan dalam kehidupan sehari-hari dan bagi korban kejahatan, ini adalah pilihan karir yang sangat baik dan berkembang.”

Teknologi Keamanan Dunia Untuk Menyamakan Kedudukan

Teknologi Keamanan Dunia Untuk Menyamakan Kedudukan – Perang antara pembela data dan pencuri data digambarkan sebagai permainan kucing dan tikus.

Teknologi Keamanan Dunia Untuk Menyamakan Kedudukan

thetrainingco – Begitu topi putih melawan satu bentuk perilaku jahat dengan topi hitam, bentuk jahat lain muncul dengan kepala jeleknya.

Bagaimana arena bisa dimiringkan untuk mendukung prajurit Infosec? Berikut adalah lima teknologi keamanan baru yang dapat membantu Anda mencapainya.

1. Otentikasi perangkat keras Saya tahu nama pengguna dan kata sandi yang tidak mencukupi. Jelas, diperlukan bentuk otentikasi yang lebih aman. Salah satu caranya adalah dengan memasukkan otentikasi di perangkat keras pengguna.

Intel bergerak ke arah ini dengan solusi otentikasi prosesor Core vPro Generasi ke-6 yang baru. Anda dapat menggabungkan beberapa elemen berbasis perangkat keras secara bersamaan untuk memverifikasi ID pengguna Anda.

Baca Juga : Pentingnya Proses Mobile Forensik 

Intel membangun upaya sebelumnya untuk mendedikasikan bagian-bagian chipset untuk fitur keamanan dan menyertakan perangkat dalam proses otentikasi.

Otentikasi yang tepat membutuhkan tiga hal dari pengguna. Pengetahuan seperti password. Siapa mereka, misalnya B. Nama pengguna; token, apa yang mereka miliki. Untuk otentikasi, perangkat adalah milik Anda.

“Ini bukan hal baru,” kata Scott Crawford, Direktur Riset Keamanan Informasi di 451 Research. “Ini dapat dilihat dalam bentuk lain seperti lisensi dan teknologi token.”

Otentikasi perangkat keras dapat menjadi sangat penting bagi Internet of Things (IoT). Dalam hal ini, jaringan memastikan bahwa hal yang Anda coba akses harus dapat mengaksesnya. Namun,

Crawford mengatakan, “Aplikasi paling langsung dari teknologi ini adalah untuk mengotentikasi titik akhir di lingkungan TI tradisional (laptop, desktop, dan perangkat seluler dengan chipset Intel).” meningkat.

2. Analisis perilaku pengguna Jika nama pengguna dan kata sandi seseorang disusupi, siapa pun yang memilikinya dapat membobol jaringan dan melakukan tindakan jahat apa pun.

Perilaku ini dapat memicu peringatan saat pembela sistem menggunakan Analisis Perilaku Pengguna (UBA). Teknologi ini menggunakan analisis data besar untuk mengidentifikasi perilaku pengguna yang tidak wajar.

Dia menjelaskan bahwa teknologi mengatasi titik buta keamanan perusahaan. “Bagaimana jika seorang penyerang masuk ke perusahaan?” Dia bertanya. “Salah satu hal pertama yang mereka lakukan adalah mengkompromikan kredensial mereka. Masalahnya adalah ini memberi tahu kami perbedaan antara aktivitas pengguna yang sah dan penyerang yang masuk dan melanggar kredensial pengguna yang sah.

Wawasan tentang aktivitas yang sesuai dengan standar pengguna nakal dapat menutup titik buta di tengah rantai serangan. “Jika Anda menganggap serangkaian serangan sebagai penyusupan pertama, gerakan lateral, dan kompromi, pencurian, dan pelanggaran data sensitif, tautan perantara dalam rangkaian serangan masih kurang terlihat oleh profesional keamanan korporat. Itulah mengapa ini menjadi perhatian. hari ini analisis perilaku diperlukan, “kata Crawford.

Membandingkan perilaku pengguna saat ini dengan perilaku sebelumnya bukanlah satu-satunya cara UBA dapat mengidentifikasi penyerang jahat. Steven Grossman, wakil presiden manajemen program untuk perusahaan intelijen ancaman Bay Dynamics, mengatakan: “Bandingkan perilaku seseorang dengan membandingkannya dengan seseorang di manajer atau departemen yang sama.

Ini berarti bahwa mereka melakukan sesuatu yang tidak boleh mereka lakukan, atau bahwa orang lain telah membajak akun mereka. Itu mungkin terlihat.”

Selain itu, UBA akan menjadi alat yang berharga untuk melatih karyawan tentang praktik keselamatan yang lebih baik. “Salah satu masalah terbesar yang dimiliki perusahaan adalah orang tidak mengikuti kebijakan perusahaan,” kata Grossman.

“Sangat penting untuk dapat mengidentifikasi orang-orang ini dan mengurangi risiko mereka melalui pelatihan yang tepat.”

3. Pencegahan kehilangan data Kunci untuk pencegahan kehilangan data adalah teknologi seperti enkripsi dan tokenisasi. Mereka dapat melindungi data hingga ke tingkat bidang dan subbidang, yang dapat menguntungkan perusahaan dalam beberapa cara:

Penyerang dunia maya tidak dapat memonetisasi data jika terjadi pelanggaran yang berhasil. Data dapat dipindahkan dan digunakan dengan aman di seluruh perusahaan yang diperluas proses bisnis dan analitik dapat dilakukan pada data dalam bentuk yang dilindungi, secara dramatis mengurangi eksposur dan risiko.

Perusahaan dapat sangat terbantu dalam kepatuhan terhadap privasi data dan peraturan keamanan untuk perlindungan informasi kartu pembayaran (PCI), informasi identitas pribadi (PII) dan informasi kesehatan yang dilindungi (PHI).

“Ada banyak pengeluaran keamanan selama beberapa tahun terakhir, namun jumlah catatan yang dilanggar pada tahun 2015 meningkat jauh dibandingkan tahun sebelumnya,” catat Crawford dari 451. “Ini berkontribusi pada meningkatnya minat dalam enkripsi.”

Namun, seperti yang ditunjukkan oleh John Pescatore, direktur Emerging Security Trends di SANS Institute, otentikasi memainkan peran penting dalam mencegah kehilangan data.

4. Pembelajaran mendalam Pembelajaran mendalam mencakup berbagai teknologi seperti kecerdasan buatan dan pembelajaran mesin.

“Apa pun itu, ada banyak kepentingan untuk alasan keamanan,” kata Crawford dari 451. Mirip dengan menganalisis perilaku pengguna, pembelajaran mendalam berfokus pada perilaku anomali.

“Kami ingin memahami bagaimana perilaku jahat berbeda dari perilaku legal atau yang dapat diterima dalam hal keamanan,” jelas Crawford. Alih-alih melihat pengguna, sistem melihat “entitas,” kata Brad Medley, wakil presiden senior Booz Allen.

“Perkembangan terbaru dari analisis bisnis yang baik dan model pembelajaran mesin telah memungkinkan untuk melihat entitas yang berbeda di seluruh perusahaan, dari tingkat mikro hingga makro.

Misalnya, pusat data sebagai entitas seperti pengguna. Ia bekerja dengan cara tertentu. “Pembelajaran mesin dapat digunakan untuk menghilangkan kutukan ancaman persisten tingkat lanjut,” tambah Kris Lovejoy, presiden Acuity Solutions, produsen platform pendeteksi malware tingkat lanjut.

Ini menawarkan manfaat yang signifikan bagi para profesional keamanan yang ingin mengurangi waktu yang diperlukan untuk mendeteksi dan menghilangkan ancaman tingkat lanjut, “katanya.

Crawford mengatakan dia mengharapkan investasi berkelanjutan dalam pembelajaran mendalam untuk keamanan. Tapi “tantangan bagi perusahaan adalah banyak perusahaan mengambil pendekatan yang sama untuk masalah yang sama. Membedakan perbedaan antara penyedia akan menjadi tantangan besar bagi perusahaan tahun depan,” tambahnya.

5. cloud

“cloud umumnya akan memiliki dampak transformatif pada industri teknologi keamanan,” kata Crawford.

Dia menjelaskan bahwa semakin banyak perusahaan yang menggunakan cloud untuk domain TI lokal tradisional mereka, semakin banyak pendekatan keamanan yang akan mereka miliki di dan ke cloud.

Teknologi lokal ditransfer ke cloud. Perangkat keras keamanan virtual, firewall virtual, sistem virtual, dll. untuk mendeteksi dan mencegah penyusup. Tapi itu tahap menengah.

“Mengingat apa yang dapat dilakukan oleh penyedia infrastruktur sebagai layanan berskala besar untuk semua pelanggannya, Anda mungkin tidak perlu mengambil semua langkah yang diperlukan,” kata Crawford. “

Infrastruktur sebagai Penyedia Layanan akan memasukkan ini ke dalam platform untuk mengurangi kebutuhan pelanggan cloud individu.”

Pescatore SANS adalah pusat data tempat lembaga pemerintah dan sektor swasta menggunakan layanan IaaS seperti Amazon dan Firehost. Dia menambahkan bahwa dia telah meningkatkan keamanan.

“Program FedRAMP GSA adalah contoh yang bagus dari layanan cloud yang ‘bersertifikat dan cukup aman’ yang memudahkan perusahaan rata-rata untuk mencapai keamanan pusat data yang baik,” katanya.