Satori + Wireshark = Akurasi Proses Analysis Platform Fingerprinting

Salah satu tahapan dalam melakukan Pentesting atas Mobile Phone-terutama terkait Network-adalah melakukan fingerprinting atas semua client yang terhubung dengan satu Access Point.  Terdapat 2 (dua) tools yang dapat digunakan yaitu Wireshark dan Satori.

Untuk melakukan fingerprinting ini, tentunya analyst harus melakukan capturing data packet.  Untuk kasus ini, saya menggunakan mobile-traffic.pcap untuk bahan analisis.  Selanjutnya dengan menggunakan Wireshark, diperoleh hasil sebagai berikut:

Picture 2016-09-04 18_00_28

Tampak host name berupa Blackberry-C17C.  Untuk lebih mudahnya, kita bisa menggunakan tools yaitu Satori.  Untuk proses analisis platform, penggunaan Satori lebih straightforward ketimbang penggunaan Wireshark.  Hasilnya adalah sebagai berikut:

Picture 2016-09-04 17_56_17

 

 

Integrity vs Authenticity

Seorang kawan yang berlatar belakang Information Security pernah men-challenge saya terkait perbedaan integrity dan authenticity terkait perolehan data digital.  Pembahasan mengenai kedua masalah ini timbul setelah melihat acara di TV yang menyiarkan persidangan kasus Jessica.  Pada waktu itu, pengadilan sedang melakukan permintaan keterangan dari ahli digital forensics.  Saya mengatakan bahwa terkait data digital/data elektronik yang disajikan di depan pengadilan harus memperhatikan otentifikasi berupa hash value seperti MD5 ataupun SHA1.  Sedangkan kawan saya mengatakan bahwa hash value itu terkait data integrity.

Sebetulnya pada saat itu kita membicarakan hal yang kurang lebih sama, akan tetapi jika kita berbicara Digital Forensics yang sangat terkait dengan aspek legal, tentunya kita harus bisa menjelaskan ada tidaknya perbedaan diantara kedua istilah tersebut. Dan jika ada perbedaan, dimanakah letak perbedaannya.  Saya mendapatkan jawaban yang cukup efektif dan ringkas pada URL berikut ini: https://en.wikipedia.org/wiki/Digital_forensics.  Di tautan tersebut dijelaskan sebagai berikut:

… Laws dealing with digital evidence are concerned with two issues: integrity and authenticity. Integrity is ensuring that the act of seizing and acquiring digital media does not modify the evidence (either the original or the copy). Authenticity refers to the ability to confirm the integrity of information; for example that the imaged media matches the original evidence.

Jadi jika kita melihat penjelasan tersebut di atas, kita bisa simpulkan bahwa penggunaan hash value tersebut terkait pemenuhan authenticity. Yaitu bagaimana digital forensics examiner bisa membuktikan integritas data digital yang telah diperoleh.  Dengan kata lain, hash value data yang diperoleh tidak berubah sejak diperoleh sampai dengan disajikan ke depan pengadilan.

Risiko Hidden Apps dalam Mobile Phone Forensics

Hidden apps saat ini sangat populer terutama di kalangan para remaja.  Tujuan dari hidden apps ini-sesuai namanya-adalah menyembunyikan video, photo, aplikasi ‘terlarang’ dan juga SMS dari akses orang lain (baca: orang tua) selain pengguna handset.  Selain itu, hidden apps juga berpotensi digunakan untuk kepentingan para pelanggar hukum.  Misalnya untuk menyembunyikan bukti transaksi jual-beli obat-obatan terlarang (drugs), kejahatan seksual, data exfiltration dan pencurian data.  Tentunya dalam skala lebih tinggi, aplikasi tersebut dapat digunakan oleh teroris untuk menyembunyikan data terkait operasi atau kegiatan yang mereka lakukan.

Oleh karena itu, setiap mobile phone forensics examiner harus mengetahui dan memahami adanya hidden apps ini dan risiko terkait aplikasi ini jika terdapat pada handset yang sedang menjadi objek investigasi.  Walaupun membutuhkan waktu dan terbilang kompleks, proses analisis atas seluruh aplikasi yang di-instal dalam handset merupakan upaya paling efektif untuk mengetahui keberadaan hidden apps ini.  Examiner bisa melakukan proses pencarian melalui Google untuk mengetahui apakah satu apps merupakan hidden apps atau bukan.  Selanjutnya examiner juga harus mengetahui bagaimana dan jenis data yang disembunyikan oleh hidden apps tersebut.

Tipe Hidden Apps

Ada beberapa tipe teknik yang dapat digunakan oleh pengguna untuk menyembunyikan data atau aplikasi dalam handset:

a.  Pengguna dapat memanipulasi handset mereka yaitu dengan cara menempatkan data/aplikasi pada lokasi yang bukan seharusnya (sewajarnya);

b. Menggunakan aplikasi yang dapat menyembunyikan aplikasi lainnya agar tidak tampak;

c. Menggunakan aplikasi khusus yang tampak seperti aplikasi yang wajar dan umum terdapat dalam handset seperti kalkulator, walaupun sesungguhnya aplikasi tersebut digunakan untuk menyembunyikan data atau aplikasi lainnya.  Aplikasi khusus ini sering disebut dengan ‘decoy apps’, karena sekilas tampak seperti aplikasi biasa akan tetapi sesungguhnya berfungsi untuk menyembunyikan data.

Decoy apps yang populer saat ini tampak seperti kalkulator seperti Smart Hide Calculator, Calculator Vault-Gallery Lock, Calculator Photo & Video Vault, Hide Pictures Keep Safe Vault.  Decoy apps ini tetap dapat digunakan sebagai kalkulator walaupun memiliki fungsi untuk menyembunyikan data.  Aplikasi Audio Manager juga dapat digunakan untuk menyembunyikan data.  Aplikasi tersebut tampak seperti aplikasi guna mengatur volume.

Selain itu tersedia aplikasi untuk menciptakan folder khusus untuk menyimpan data seperti The Best Secret Folder, Secret Box-Hide Files.  Folder ini kemudian tidak akan tampak di layar (screen) hingga pengguna memasukkan PIN pada area tertentu di layar.

Teknik lainnya yang lebih sederhana adalah menciptakan folder yang nanti akan menyimpan data yang akan disembunyikan dan menggunakan aplikasi yang dapat mengubah ikon dari folder tersebut agar tampak seperti aplikasi yang wajar.

Pelajaran Berharga

Pelajaran berharga dari adanya hidden apps bagi Mobile Phone Forensics adalah examiner TIDAK BISA menyimpulkan bahwa suatu data tidak ada karena tidak tampak.  Melainkan examiner harus selalu mewaspadai adanya kemungkinan berupa anti-forensics yaitu penggunaan hidden apps yang dapat menyembunyikan data tertentu.

Pengujian Data

Examiner tetap dapat menggunakan mobile phone forensics tools yang tersedia seperti Cellebrite, XRY atau Oxygen.  Namun perlu diketahui, tools tersebut mungkin tidak akan seefektif ketika memparsing data dari aplikasi yang umumnya ditemukan seperti Facebook, Twitter, Skype dan lain sebagainya.  Terdapat risiko tools tidak akan secara otomatis menemukan dan menarik data dari hidden apps.  Selain itu, hidden apps juga dapat menyimpan data pada lokasi yang tidak umum atau bahkan mengenkripsi atau mengencoding data sehingga tidak dapat dibaca.

Kondisi ini dapat mempengaruhi kemampuan forensics tools dalam memparsing data dari hidden apps walaupun tools tersebut dapat mengakses data tersebut.  Oleh karena itu, examiner harus melakukan pengujian lebih dalam lagi.  Misalnya menganalisis file system dan database untuk kemudian memparsing data secara manual.  Tujuan akhir dari proses tersebut adalah adanya data yang disembunyikan tersebut dapat diperoleh dalam format yang dapat dibaca (readable format).  Dalam beberapa kasus, satu hidden apps mengklaim bahwa mereka menggunakan teknik enkripsi, walau dalam kenyataannya mereka hanya menggunakan teknik encoding secara berlapis.

Kabar Baik

Perolehan data dari hidden apps bukanlah satu hal yang mustahil, walaupun examiner membutuhkan ekstra waktu, tenaga dan tools untuk mencapai tujuan tersebut.  Kabar baik dari adanya hidden apps adalah besar kemungkinan bukti digital yang relevan dengan kasus tersimpan dalam hidden apps tersebut.

Sekali lagi, risiko dari hidden apps ini semakin mengukuhkan perlunya validasi dari beberapa forensics tools yang berbeda serta investigasi manual yang didukung oleh kompetensi examiner yang mencukupi. Artinya examiner tidak hanya mengandalkan hasil investigasi dari penggunaan satu tools saja. Hal ini tentunya membutuhkan pelatihan yang tidak terbatas pada vendor forensic tools saja melainkan juga perlunya mendapatkan pelatihan dari vendor yang tidak terafiliasi dengan vendor forensics tools.  Hal ini diperlukan agar examiner terbuka dengan setiap kemungkinan dan keterbatasan serta mengetahui berbagai forensics tools yang tersedia.

REFERENSI:

http://digital.forensicmag.com/forensics/june_2016?pg=8#pg8

http://lifehacker.com/hide-apps-in-ios-9-with-a-folder-trick-1751131506

Penerapan Mobile Phone Forensics pada Kasus “Texting While Driving”

Pada tanggal 14 April 2014 terjadi kecelakaan yang melibatkan 3 kendaraan pickup di Lott Rd di Alabama, Amerika Serikat.  Akibat kejadian tersebut, salah seorang pengedara pickup bernama Miranda Hamilton meninggal di lokasi kejadian.

Trooper Bruce dari Alabama State Trooper selaku penyidik kejadian tersebut menemukan fakta bahwa Jonathan Mikeal Raynes-salah seorang pengendara yang terlibat dalam kecelakaan melakukan ‘texting while driving’ yang diduga menjadi penyebab kecelakaan tersebut.

Tersangka menyangkal tuduhan tersebut, tetapi keterangan ahli dari Paul Weathersby-information technology specialist dan digital forensics examiner dari FBI Mobile Division membuktikan beberapa hal sebagai berikut:

  1. Raynes mulai menggunakan mobile phone secara aktif satu jam sebelum kecelakaan;
  2. Tersangka mengirimkan instant messages atau melihat profil beberapa wanita di situs dating Badoo;
  3. Tersangka menggunakan beberapa aplikasi social media walaupun akhirnya kembali ke situs Badoo;
  4. Terakhir kali tersangka melakukan aktivitas pada mobile phone pada pukul 8:57:36 AM atau 32 detik sebelum adanya panggilan 911 atas terjadinya kecelakaan tersebut.
  5. Tersangka menyangkal bahwa mobile phone yang dimiliki menyebabkan dia kehilangan konsentrasi ;
  6. Tidak ada saksi mata yang melihat tersangka menggunakan mobile phone nya pada saat kejadian.

Di Amerika Serikat, sudah 44 negara bagian yang memberlakukan aturan yang melarang texting while driving termasuk negara bagian Alabama yang secara efektif menerapkan aturan tersebut pada bulan Agustus 2012.

Setelah mempertimbangkan semua bukti yang ada, terutama dari ahli, maka hakim memutuskan bahwa tersangka terbukti bersalah dah dihukum kurungan 10 tahun.

Sumber:

http://www.mccanninvestigations.com/media/6310/case_study_texting_and_driving.pdf

Panduan dan Prosedur Dalam Mobile Phone Forensics

  • 2013 ; SWGDE Best Practices for Mobile Phone Forensics ; Scientific Working Group on Digital Evidence (SWGDE)
  • 2014 ; Guidelines on Mobile Device Forensics ; NIST Special Publication 800-101 Revision 1
  • 2012 ; Cellular Phone Evidence-Data Extraction and Documentation: Developing Process for the Examination of Cellular Phone Evidence ; Cindy Murphy
  • 2012 ; Smartphone Forensic Investigation Process Model ; Archit Goel Anurag Tyagi Ankit Agarwal
  • 2012 ; ACPO Good Practice Guide for Digital Evidence (ver 5.0) ; Association of Chief Police Officers (ACPO)
  • 2011 ; An analysis of digital forensic examinations: Mobile devices versus hard disk drives utilising ACPO & NIST guidelines ; Owen, Paul Thomas, Paula
  • 2011 ; Guidelines for the digital forensic processing of smartphones ; Alghafli, Khawla Abdulla Jones, Andrew Martin, Thomas Anthony
  • 2005 ; Cell Phone Forensic Tools: An Overview and Analysis ; Rick Ayers Wayne Jansen Nicolas Cilleros Ronan Daniellou
  • 2002 ; Guidelines for Evidence Collection and Archiving ; The Internet Society Network Working Group

Mobile Phone Forensics Tools

Tool Komersial

  1. IEF Mobile; Mendukung untuk pengumpulan data terkait penggunaan Internet dan perolehan data aplikasi dari pihak ketiga. Aplikasi ini juga dikenal sangat baik untuk memperoleh data dari iOS app.
  2. Cellebrite – UFED Physical Analyzer; Saat ini merupakan tools yang terbaik untuk melakukan analisis atas smartphone. Walaupun tidak dapat memperoleh data seutuhnya, tetapi tools tersebut mampu mendukung examiner untuk melakukan manual carving dan hex searches.  Tools ini juga dikenal sangat baik untuk melakukan proses searching pada data dalam bentuk raw hex.
  3. MSAB XRY/XACT; Dikenal kemampuannya dalam memberikan akses atas file raw selama proses ekstraksi secara secara lojik. Akses atas data raw sangat menunjang perolehan data yang telah dihapus.
  4. Lantern; Sangat baik untuk perolehan data terkait Facebook app. Juga sangat baik dalam perolehan data pada handset iOS tertentu.
  5. Blacklight; Berjalan hanya Mac, sehingga sangat sesuai untuk pemrosesan atas handset iOS;
  6. Mobilyze; Tool yang sangat baik untuk triaging handset iOS dan Android.
  7. MPE+; SQLite builder yang terdapat dalam tool ini sangat baik untuk melakukan analisis database dari aplikasi pihak ketiga secara manual.
  8. Oxygen; Merupakan tool yang sangat baik untuk penanganan Blackberry. Alat tersebut dapat memperoleh Event Log serta menghasilkan file BB backup secara aman.

Open Source and Other Solutions

  1. Andriller; Tool ini dapat digunakan untuk men-crack passcodes yang digunakan dalam handset dan dapat memperoleh data (parser) data aplikasi pihak ketiga dalam handset iOS, Android dan Windows Mobile Phone. This is one of my new favorites. Aparat penegak hukum dapat memperoleh alat ini secara gratis. Sedangkan untuk pihak lainnya harus membayar fee.
  2. Now Secure CE (dahulu dikenal sebagai ViaExtract CE); Now Secure memberikan secara gratis aplikasi ini. Terdapat fitur untuk proses ekstraksi dan parsing (https://www.nowsecure.com/forensics/community/).
  3. Sanderson Forensics tools; Sangat baik untuk proses SQLite yaitu melakukan proses pemulihan data yang telah terhapus di dalam database dan data konversi untuk timestamps (http://www.sandersonforensics.com/forum/content.php).
  4. Beberapa peneliti seperti Mari DeGrazia (http://az4n6.blogspot.com/) dan Adrian Leong (http://cheeky4n6monkey.blogspot.com/) mengembangkan scripts untuk komunitas digital dan mobile phone forensics.
  5. Autopsy v3; Modul Android Analyzer mendukung perolehan data yang dihapus dalam handset Tool ini juga memberikan akses atas File System directory tree lebih cepat dibandingkan dengan tool komersial yang ada (http://sleuthkit.org/autopsy/).

Android Malware “Hummer”: Menginfeksi 1,2 Juta Perangkat

Satu malware tipe Trojan yang diberi nama “Hummer” telah menyerang 1,2 juta perangkat mobile yang menggunakan Android sebagai sistem operasinya. Periset keamanan dari Cheetah Mobile Sec…

Source: Android Malware “Hummer”: Menginfeksi 1,2 Juta Perangkat