Tantangan dalam Forensik Seluler – Tantangan utama dalam forensik seluler tetap menjadi enkripsi. Enkripsi di perangkat Android, meskipun muncul di perangkat Android 6, baru-baru ini mulai menjadi hambatan untuk ekstraksi.
Tantangan dalam Forensik Seluler
thetrainingco – Banyak ponsel cerdas Android kelas menengah dan semua ponsel Samsung pra-2019 tidak akan menggunakan Enkripsi Disk Penuh (FDE), skema enkripsi yang kurang aman yang melindungi data dengan “default_password” sebagai benih untuk kunci enkripsi.
Baca Juga : Proses Langkah Forensik Seluler
Tahun ini, sebagian besar ponsel cerdas baru menyertai Enkripsi Berbasis File yang lebih Aman (FBE), skema enkripsi yang lebih modern yang mengenkripsi file dengan kunci yang mendukung kode sandi kunci layar pengguna. Dalam banyak kasus, para ahli dapat bekerja di sekitar FDE; Namun, enkripsi FBE yang lebih baru mungkin merupakan tantangan nyata, masih kurang dieksplorasi.
Meskipun ponsel yang dirilis dengan enkripsi FDE tidak dapat diperbarui untuk menggunakan FBE, generasi perangkat tersebut pada dasarnya akan mati . Skema enkripsi baru yang digunakan pada perangkat yang lebih baru akan berlaku, dan ini akan membuat akuisisi jauh lebih sulit dan memakan waktu.
Di negeri Apple, enkripsi per file yang mendukung kode sandi kunci layar pengguna telah digunakan sejak iOS 8 di semua perangkat yang dimulai dengan iPhone 5s.Enkripsi itu dan tetap aman, dan meskipun tetap menjadi tantangan, itu tidak menghadirkan tantangan pengganti.
Forensik Android
Forensik perangkat Android mungkin memusingkan karena alasan yang sangat berbeda. Pasar dipenuhi dengan ribuan model. Morels ini dilengkapi dengan berbagai set chip yang dibuat oleh berbagai produsen yang berbeda. Ada metode akuisisi langsung yang kuat seperti ekstraksi EDL, yang menggunakan mode rekayasa khusus yang ada di sebagian besar perangkat; namun, metode tingkat rendah ini sangat terbatas pada vendor, model, dan/atau set chip tertentu. selain itu, metode ini mungkin berfungsi atau tidak bergantung pada pengaturan perangkat yang akan menerapkan mode enkripsi lanjutan yang tidak rentan terhadap metode ini.
Membuka kunci
Membuka kunci ponsel cerdas Apple akan menjadi semakin sulit. Kerentanan tingkat bootloader yang ditemukan di perangkat A5 hingga A11 tidak lagi ada di generasi iPhone Xs/Xr dan iPhone 11, sementara iOS 13 menutup banyak kerentanan keamanan yang ditemukan di iOS 12. Kami berharap perangkat yang lebih lama (hingga dan termasuk generasi iPhone 8/iPhone X) tetap dapat dibuka kuncinya dengan mudah, sedangkan generasi baru akan lebih sulit (dan lebih lambat) untuk dibuka kuncinya. Kode sandi 6 digit yang sekarang default sangat lambat untuk digunakan secara kasar, seringkali membuat serangan BFU (Before First Unlock) tidak dapat dilakukan.
Sementara Apple menggunakan biometrik yang aman untuk membuka kunci perangkat mereka, banyak peniru Android menggunakan tiruan ID Wajah Apple “saya juga”. Peniruan semacam itu umumnya tidak aman, dan mungkin dibodohi dengan gambar yang dicetak atau, paling buruk, model 3D dari wajah pengguna. Banyaknya jumlah dan variasi perangkat Android yang melindungi mereka dari penelitian keamanan yang fanatik; jenis penelitian yang menghasilkan eksploitasi checkm8 yang tidak dapat dilacak untuk beberapa perangkat Apple.
Ekstraksi
Enkripsi disk penuh dan berbasis file secara efektif mencegah ekstraksi langsung, membuat para ahli mencari alat forensik khusus untuk perangkat pencitraan. Sebelum Pembukaan Kunci Pertama atau Setelah ekstraksi Pembukaan Kunci Pertama masih akan mengembalikan jumlah bukti yang sangat berbeda, dengan ekstraksi AFU perlahan-lahan hilang karena model yang rentan berada di ambang puncak siklus hidupnya. Namun, alternatif untuk ekstraksi fisik masih akan berkembang. Dengan lebih banyak informasi yang disimpan di dalam cloud saat ini dibandingkan dengan hanya dua tahun yang lalu, para ahli forensik dapat berharap untuk mendapatkan data tersebut – dan banyak lagi.
Verifikasi
Dalam forensik desktop klasik di masa lalu, mengambil gambar drive disk dan menghitung checksum akan memenuhi persyaratan verifikasi. Ini tidak berfungsi dalam forensik seluler. Sebagian besar metode ekstraksi tidak sesuai dengan forensik. Hasilnya tidak dapat diulang, dan menghitung checksum hanya masuk akal untuk memvalidasi integritas dump atau arsip yang diberikan. Mengulangi ekstraksi akan menghasilkan gambar khusus dan checksum khusus. Banyak vendor merahasiakan teknik yang mereka gunakan untuk mengekstrak ponsel cerdas; kesaksian mereka juga bisa menjadi satu-satunya validasi yang tersedia di pengadilan.
Ekstraksi Cloud dan Kontra-Forensik Vendor
Sementara semakin banyak data pengguna berakhir di cloud, perusahaan masih mengamankan layanan cloud mereka dari upaya akuisisi langsung. Dimulai dengan Android 9, google mulai mengenkripsi cadangan Android dengan kode sandi perangkat pengguna. Pada titik ini, tidak ada data lain yang dienkripsi, bahkan kesehatan (Google Fit) atau kata sandi. Kami akan terus mengawasi layanan cloud Google.
Apple melanjutkan upayanya untuk melawan akses forensik ke bagian-bagian dari layanan cloud-nya. Cadangan iCloud, meskipun tidak dienkripsi dengan kredensial pengguna, semakin sulit diperoleh berkat penggunaan kredensial perangkat sebagai prasyarat yang diperlukan untuk mengakses info . Kata sandi pengguna (Rantai Kunci iCloud), data Kesehatan, dan bahkan pesan dienkripsi dengan aman menggunakan kode sandi kunci layar atau kata sandi sistem pengguna. Tak satu pun dari informasi tersebut diberikan kepada penegak hukum saat Apple mengajukan permintaan pemerintah, dan tak satu pun dari data tersebut diberikan kepada pengguna yang menarik data mereka melalui Permintaan Privasi Apple. Kami masih akan mengembangkan alat ekstraksi cloud untuk mendapatkan jumlah data semaksimal mungkin secara teknis.
Autentikasi Dua Faktor
Meskipun autentikasi dua faktor bukanlah hal baru, produsen terus mendorong pengguna untuk mengaktifkan fitur tersebut sekaligus mempersulit atau tidak mungkin untuk menonaktifkannya. Pada saat yang sama, otentikasi dua faktor memiliki sisi buruknya. Di ekosistem Apple, pengguna yang akunnya dilindungi dengan autentikasi dua faktor dapat melakukan hal-hal seperti menonaktifkan perlindungan Lacak atau menyetel ulang kata sandi ID Apple/iCloud tanpa memberikan kata sandi ID Apple asli mereka.
Analisis Data yang Dihapus
Analisis data yang dihapus sudah mati. selama beberapa tahun, tidak mungkin memulihkan file yang dihapus dari iPhone Apple karena cara Apple menangani kunci enkripsi. Banyaknya pemangkasan drive SSD membuat akses ke data yang dihapus menjadi tidak mungkin beberapa saat setelah file tersebut hilang. Pabrikan terus mencoba menemukan cara mewujudkan akses ke data yang dipangkas pada beberapa model SSD. Mode akses pabrik SSD adalah salah satu metode analisis SSD terbaru yang membantu para ahli mendapatkan akses ke bagian tersembunyi dari drive SSD.